* Obowiązkowe pola
I. PODSTAWOWE ZAGADNIENIA
„Tesy” OOD (Spółka, TESY), nr identyfikacyjny EIK 040029337 jest spółką z siedzibą i adresem zarządzania: m. Shumen, bul. Madara nr 48, reprezentowaną przez prezesa Zhechko Kyurkchiev.
Niniejsza polityka stanowi część środków mających na celu zapewnienia bezpieczeństwa informacji i efektywności systemu ochrony danych osobowych w Tesy, które powinne być w zgodzie z obowiązującymi przepisami prawa i dobrymi praktykami.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, wchodzące w życie z dnia 25 maja 2018 roku, i obowiązująca Ustawa o ochronie danych osobowych, skupiają się na bezpieczeństwie danych osobowych. Za pomocą odpowiednich środków technicznych i organizacyjnych dane powinno przetwarzać w sposób gwarantujący ich bezpieczeństwo, w tym ochronę przed nieuprawnionym lub nie zgodnym z prawem przetwarzaniem i przypadkowym utraceniem, zniszczeniem lub szkodami. Mogą to być uszczerbki fizyczne lub szkody majątkowe lub niemajątkowe, na przykład strata kontroli nad danymi osobowymi lub ograniczenie praw osób fizycznych, dyskryminacja, kradzież tożsamości lub oszustwo przy pomocy fałszywej tożsamości, straty finansowe, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową, lub wszelka inna znaczna szkoda gospodarcza lub społeczna dotycząca osób fizycznych.
Niniejsza polityka ma na celu stworzyć następujące warunki organizacyjne:
· pozwalające na zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku wynikającemu z przetwarzania danych osobowych;
· uwzględniające stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia;
· zapewniające natychmiastowe stwierdzenie naruszenia ochrony danych osobowych oraz potrzebę szybkiego poinformowania organu nadzorczego/osobę, której dane dotyczą.
· podczas opracowania efektywnego planu działania (playbook) dla każdej poszczególnej sprawy będzie zwrócono uwagę na wszystkiе okoliczności związane z naruszeniem.
II. KLUCZOWE POJĘCIA
„Polityka” - niniejsza polityka stwierdzenia, eskalacji i raportowania narzuszeń ochrony danych osobowych, zatwierdzona w „TESY” OOD;
„RODO” - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/W;
„UODO” – Ustawa o ochronie danych osobowych
„KODO” – Komisja ds ochrony danych osobowych;
„IODO” - Inspektor ochrony danych osobowych, który ma zadania określone w art 39 RODO. IODO wyznacza prezes spółki „Tesy” OOD drogą uchwały;
„Dane osobowe” - wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
„Osoba, której dane dotyczą” - osoba fizyczna, której dane przetwarzane są, niezależnie czy to jest kontrahent Spółki, Pracownik Spółki lub inna osoba, której dane przetwarzane są przez Spółką;
„Przetwarzanie” - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
„Administrator” - oznacza osobę, którą samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W tym przypadku administratorem jest Spółka;
„Podmiot przetwarzający” - oznacza osobę fizyczną (poza pracownikami Spółki) lub prawną, która przetwarza dane osobowe w imieniu Spółki, przy czym TESY ściśle ustala cele i środki przetwarzania, w tym sprawdza czy podmiot odpowiada wymaganiom RODO;
„Podwykonawca podmiotu” - podwykonawca podmiotu przetwarzającego;
„Pracownik” - każda osoba zatrudniona przez Spółkę na podstawie umowy o pracę lub wynajęta na podstawie umowy zlecenia, która przetwarza dane osobowe;
„Szczególne kategorii danych osobowych” - dane określone w art. 9 RODO, w szczególności dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby;
„Dane osobowe dotyczące wyroków skazujących i naruszeń prawa” - dane określone w art. 10 RODO, przetwarzanie których dokonywane jest wyłącznie pod nadzorem KODO;
„Naruszenie bezpieczeństwa” - zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, przy czym:
· „zniszczenie” jest wtedy, kiedy dane osobowe już nie istnieją/nie istnieją w formie umożliwiającej ich użycia przez Administratora;
· „utracenie” jest wtedy, kiedy dane osobowe nadal istnieją, ale Administrator stracił kontrolę/dostęp/władzę faktycznę nad nimi
· „nieuprawnione lub nie zgodne z prawem przetwarzanie” jest wtedy, kiedy obecne jest ujawnienie danych osobowych/dostęp do nich ze strony nieuprawnionych odbiorców, oraz przetwarzanie danych w każdej formie sprzecznej z RODO, naprz. przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych.
· „szkody” to wszyszkie fizyczne, majątkowe, lub niemajątkowe szkody wynikające z nieuprawnionego lub nie zgodnego z prawem przetwarzania lub utracenia.
Naruszenia bezpieczeństwa można podzielić na trzech rodzajach:
1. Narzuszenia poufności – występują w związku z nieuprawnionym lub przypadkowym ujawnięciem lub udostępnianiem danych osobowych;
2. Naruszenia dostępczości – występują w razie przypadkowego lub nieuprawnionego utracenia lub dostępu/zniszczenia danych osobowych;
3. Naruszenia wiarygodności – występują w razie przypadkowego lub nieuprawnionego zmodyfikowania danych osobowych;
Niektóre naruszenia mogą odpowiadać jednocześnie dwom lub trzem warunkom wymienionym powyżej w ppkt. 1-3.
„Zespół reagowania” to zespół, który jest zwoływany w przypadku naruszenia bezpieczeństwa i który koordynuje czynności i badań okoliczności ewentualnego naruszenia bezpieczeństwa, wspiera IODO w dokonaniu analizy, propozycji i ograniczenia szkód; realizuje plan działania i stosuje środki ograniczenia szkód i odzyskania bezpieczeństwa informacji. Zespół składa się z czterych członków posiadających wiedzę i doświadczenie w zakresie bezpieczeństwa informacji, zasobów ludzkich i innych i w razie potrzeby wspierany jest przez dodatkowych pracowników z innych działów spółki, naprz. z działu prawnego lub działu bezpieczeństwa informacji.
III. CEL POLITYKI
Niniejsza polityka ma na celu bycia efektywnym narzędziem do przestrzegania bezpieczeństwa i zapobiegania przetwarzania danych w sprzeczności z regulaminem wewnętrznym TESY, z przepisami RODO i z obowiązującymi przepisami prawa dotyczącego ochrony danych osobowych; oraz zatwierdzenia efektywnych środków ochrony w przypadku naruszenia bezpieczeństwa danych osobowych w celu zarządzania incydentami w sposób odpowiedni i dokładny.
IV. CZYNNOŚCI PODEJMOWANE W PRZYPADKU NARUSZENIA
Spółka podejmuje wszelkie możliwe kroki w celu przeszkolenia Pracowników w zakresie identyfikacji powstania naruszeń bezpieczeństwa, w tym identyfikacji ryzyka powstania naruszeń bezpieczeństwa. Pracownicy muszą zostać poinformowani o priorytetowym charakterze niezwłocznego sygnalizowania w przypadku stwierdzenia ewentualnego naruszenia bezpieczeństwa i o potrzebie dalszej współpracy związanej z udzieleniem pisemnej informacji o incydencie w pierszej możliwej chwili.
Po zapoznaniu się z niniejszą Polityką każdy Pracownik powinien przestrzegać ją priorytetowo podczas wykonania czynności związanych z przetwarzaniem danych osobowych przez Spółką. W przypadku powstania podejrzenia o naruszeniu bezpieczeństwa Pracownik, który pierszy stwierdził możliwość zachodzenia tego zdarzenia, powinien niezwłocznie powiadomić o tym IODO, który po rozpatrywaniu danej sytuacji zwoła Zespół reagowania.
Zespół reagowania musi niezwłocznie sprawdzić zasadność sygnalu o ewentualnym naruszeniu bezpieczeństwa, korzystając ze wszystkich zasobów organizacyjnych i technicznych Spółki, powiadomić IODO i wspierać go podczas dalszych czynności związanych z analizą, propozycji i organiczenia szkód.
IODO wystawia dokument oceny możliwego ryzyka wynikającego z naruszenia i jego skutków, razem z podaniem środków ochrony, które mogłyby złagodzić efekt naruszenia, po wystawieniu on przesyła dokument do prezesa, który podejmuje uzasadnioną decyzję czy powstaje obowiązek:
* zgłoszenia powstałego naruszenia Komisji ds ochrony danych osobowych i
* powiadomienia osób, których dane dotyczą, kiedy ryzyko z poprzedniego punktu jest wysokie.
Każde narzuszenie bezpieczeństwa ulega udokumentowaniu przez Spółką.
V. PLAN I ZARZĄDZANIE NARUSZENIAMI
Na poniższym schemacie wskazano jakie czynności należy podjąć w przypadku stwierdzenia naruszenia.
VI. STWIERDZENIE NARZUSZENIA BEZPIECZEŃSTWA
Na podstawie zebranej informacji Zespół reagowania i IODO dokonują ocenę ryzyka wynikającego z naruszenia bezpieczeństwa. W przypadku gdy stwierdza się obecność ryzyka, IODO wyraża opinię w sprawie stwierdzonego narzuszenia bezpieczeństwa i zaleca pojęcie odpowiednich czynności do ograniczania / usunięcia szkód.
W przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Spółka w odpowiednim terminie po stwierdzeniu i ocenie ryzyka, który mógłby wyniknąć z konkretnego naruszenia bezpieczeństwa, zawiadamia osobę, której dane dotyczą o naruszeniu bezpieczeństwa ochrony danych osobowych.
Spółka opracowała i zatwierdziła wzór zawiadomienia osób, których dane dotyczą (Załącznik 1). Osoby, których dane dotyczą, należy zawiadomić osobiście i w odpowiedni sposób według uznania Spółki – za pomocą e-mail, SMS lub telefonicznie, poprzez zawiadomienie publiczne w sposób umożliwiający efektywnego poinformowania osób, których dane dotyczą.
Przypadki, w których nie jest wymagane zawiadomienie:
· Naruszenie bezpieczeństwa nie powoduje wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą;
· Dane osobowe są publicznie dostępne i ich ujawnienia nie powoduje ryzyka dla osób, których dane dotyczą;
· Naruszenie bezpieczeństwa dotyczy tylko poufności, a zagrożone dane osobowe są szyfrowane algorytmem uwzględniającym współczesny stan wiedzy technicznej, szyfr potrzebny do odczytu danych nie jest ujawniony i jest generowany w sposób uniemożliwiający odszyfrowania za pomocą obecnych środków technicznych przez osobę nieuprawnioną do dostępu.
Uważa się, że Spółka stwierdza naruszenie bezpieczeństwa po tym, jak Zespół reagowania i IODO opracują opinię, według której jest możliwość zaistnienia naruszenia.
ZGLASZANIE NARUSZENIA KODO
W terminie 72 (siedemdziesięciu dwóch godzin) po stwierdzeniu naruszenia, Spółka zobowiązana jest zgłosić je KODO. Spółka opracowała i zatwierdziła wzór tego zgłoszenia (Załącznik 2).
Jeżeli Spółka do chwili zgłoszenia Komicji, nie zawiadomiła jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, KODO, biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może tego zażądać od Spółkę. W takim razie Spółka powinna podjąć czynności dążące do zawiadomienia osób, których dane dotyczą, w odpowiedni sposób zgodnie z konkretną sytuacją.
Poszczególne przypadki naruszeń mogą wymagać uzyskania dodatkowych informacji w celu całościowego przebadania okoliczności związanych z konkretną sprawą.
Brak szczegółowej informacji (na przykład brak informacji o dokładnej liczbie osób, których dane dotyczą) nie stanowi przyczynę braku zgłoszenia KODO. W takich sytuacjach należy podać przybliżoną liczbę osób.
W razie niemożliwości zgłoszenia wszystkich faktów jednosześnie z pierwotnym zawiadomieniem do KODO, należy przekazać dodatkowe szczegóły sukcesywnie bez zbędnej zwłoki. Warunki takiego dodatkowego zgłoszenia faktów to:
· Brak obecności wszystkich istotnych faktów;
· Naruszenie bezpieczeństwa jest bardziej skomplikowane (na przykład w przypadku niektórych incydentów w zakresie cyberbezpieczeństwa;
· Podanie przyczyn zwłoki i powiadomienie KODO o niemożliwości zgłoszenia wszystkich faktów;
· Uzyskanie zgody KODO o dodatkowym zgłoszeniu faktów;
· Uzyskanie zalecenia KODO dotyczące zawiadomienia osób, których dane dotyczą, w sprawie czy istnieje obowiązek ich zawiadomienia, kiedy i jak zawiadomić.
Wyjątkowo i w przypadku specyficznych okoliczności jest możliwie odroczenie powiadomienia – na przykład jeżeli w toku wyjaśnienia sprawy stwierdzono obecność wielu podobnych naruszeń bezpieczeństwa dla poszczególnych kategorii danych, powstałych w krótkim okresie i dotyczących wielu osób, Spółka może zgłosić wszystkie te naruszenie jesnocześnie KODO po upływie terminu 72 godzinowego. To jest możliwość, której należy stosować rzadko, biorąc pod uwagę specyficzne cechy danej sprawy.
W takim przypadku do zgłoszenia przekazanego organowi nadzorczemu dołącza się wyjaśnienie przyczyn opóźnienia.
OCENA RYZYKA
Od razu po otrzymaniu sygnalu ewentualnego naruszenia bezpieczeństwa lub jeżeli zachodzą podejrzenia o tym, Zespół reagowania zawiadamia IODO, a ten podejmuje następujące czynności z planu działania (Spółka zapewni potrzebne zasoby / wiedzę ekspertowę, w razie potrzeby):
· Ocena ryzyka w skali od 1 do 5 (od nieznacznego do wisokiego; w zakresie prawdopodobieństwa i w zakresie intensywności) dla praw osób, których dane dotyczą, ze względu na zakres skutków;
· Określenie kategorii danych osobowych;
· Ustalenie braku/obecności szyfrowania/innych okoliczności minimalizujących potrzeby zawiadomienia osób, których dane dotyczą;
· Udzielenie zalecenia na podstawie stopnia ustalonego ryzyka w sprawie czy jest obowiązek zgłoszenia KODO;
· Proponowanie szczegółowych środków ograniczących ryzyka wynikającego z naruszenia bezpieczeństwa.
Podczas opracowania oceny ryzyka Zespół reagowania może korzystać z zaleceń zawartych w Przykładowych naruszeń ryzyka i obowiązek zgłoszenia (Załącznik 4). IODO jest zobowiązany do utrzymania zaleceń w stanie aktualnym poprzez dopełnienia i dodawania innych dobrych praktyk.
Dla celów oceny, ryzyko jest wysokie, kiedy istnieje duże prawdopodobieństwo, by naruszenie bezpieczeństwa spowodowało szkody fizyczne, majątkowe lub niemajątkowe dla osób, których dane dotyczą. Przykłady takich szkód to: dyskryminacja, kradzież tożsamości, oszustwo, strata finansowa lub naruszenie dobrego imienia. Kiedy naruszenie dotyczy danych dotyczących pochodzenia rasowego lub etnicznego, zdrowia, seksualności lub orientacji seksualnej, wyroków skazujących i naruszeń prawa, wtedy sugerowana jest szkoda fizyczna, majątkowa lub niemajątkowa.
Podczas opracowania oceny ryzyka wynikającego z naruszenia bezpieczeństwa należy wziąć pod uwagę wszystkie specyficzne okoliczności, w tym ich ewentualny skomplikowany wpływ i prawdopodobieństwo powstania:
· Rodzaj naruszenia bezpieczeństwa;
· Charakter, wrażliwość i zakres danych osobowych – im bardziej wrażliwe są dane, tym wyższe jest ryzyko poszkodowania osób, których dane dotyczą;
Wrażliwe są dane osobowe ujawniące pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.
Mała część wrażliwych danych osobowych może okazać duży wpływ na daną osobę, której te dane dotyczą, a duży zakres szczegółów dotyczących tych danych może ujawnić więcej informacji o niej. Naruszenie obejmujące dużą ilość danych osobowych dotyczących dużo osób też może mieć istotny niegatywny skutek;
· Nieuprawniona identyfikacja osób, których dane dotyczą, ze strony osób trzecich – w przypadkach nieuprawnionego dostępu osób trzecich do danych osobowych, należy ocenić możliwość zidentyfikowania osób, których dane dotyczą, ze strony tej nieuprawnionej osoby. W zależności od okoliczności identyfikacją można dokonać za pomocą danych bez dodatkowej informacji o tożsamości osoby, ale z innej strony może być bardzo trudno połączyć uzyskane dane osobowe z konkretną osobą, lecz identyfikacja nadal jest możliwa pod pewnymi warunkami:
· Poważność skutków dla osób, których dane dotyczą;
· Specyficzne cechy osób, których dane dotyczą;
· Specyficzne cechy działalności Spółki w jej funkcji Administratora;
· Liczba osób, których dane są narażone na ryzyko.
REJESTR NARZUSZEŃ
Niezależnie czy naruszenie bezpieczeństwa powoduje obowiązek zgłoszenia, czy nie, Spółka dokumentuje wszystkie fakty związane z tym, skutki, podjęte czynności i decyzje. Na zaleceniu IODO i za uchwałą Prezesa, Spółka prowadzi specjalny rejestr w tym celu (Załącznik 3).
Do rejestru wpisywane są czas lub okres powstania naruszenia, czas stwierdzenia naruszenia, czas raportowania i imię i nazwisko pracownika opracujący raport. Po analizie wykonanej przez Zespoł reagowania do rejestru wpisywane są skutki incydenta i śródki mający na celu usunięcia tych skutków.
PROCEDURY I MECHANIZMY ZAPOBIEGAWCZE
IODO opracuje plan szkolenia dla pracowników nowo zatrudnionych i/lub zatrudnionych na innych stanowiskach, oraz okresowe szkolenia i wyjaśnienia dla wszystkich pracowników. Przy wykonaniu swoich obowiązków zawodowych pracownicy przestrzegają polityki wewnętrznych, reguł i procedur Spółki dotyczących przetwarzania danych osobowych.
W przypadku zwolnienia pracownika należy podjąć wszelkie techniczne i organizacyjne czynności w celu ochrony każdego rejstru / kategorii danych osobowych przetwarzanych przez TESY OOD, na przykład:
1) Zmiana haseł;
2) Ograniczenie dostępu (w tym VPN, usługi w chmurze, serwery itd.);
3) Uzyskanie z powrotem wszystkich urządzeń służbowych, naprz. telefon komórkowy, laptop, pamięć USB i inne w zależności od konkretnej sytuacji; powrót urządzenia wiąży się obowiązkowo z usunięciem informacje personalizujące pracownika, który ostatnio korzystał z tego urządzenia, nawet kiedy urządzenie to ulegnie złomowaniu/zniszczeniu.
4) Ograniczenie dostępu fizycznego – oddanie z powrotem kluczy, zmiana kodów dostępu itd.
Szyfrowanie danych – w przypadku gdy istnieje wysokie ryzyko nieuprawnionego dostępu fizycznego do nośników danych wrażliwych lub w przypadku kradzieży urządzeń służbowych stanowiących nośniki danych osobowych.
W razie potrzeby odzyskania danych z powrotem, procedura ta wamaga pisemnej zgody osoby, odpowiadającej o bezpieczeństwie informacji, co zostaje rejestrowane w rejestrze archiwów i odzyskiwań danych.
W przypadkach złamania hasła, hasło należy niezwłocznie zamienić na nowe, a certyfikat dostępu danego pracownika zostaje unieważniony, zdarzenie to należy udokumentować w rejestrze zdarzeń.
Zespół reagowania razem w IODO mogą opracować inne środki, mechanizmy lub instrukcje zapobiegawcze.
Niniejsze reguły i załączniki do nich zostały opracowane w dniu 21.05.2018 r, wchodzą w życie z dnia 25.05.2018 r.
Zheczko Kyurkchiev, prezes spółki „TESY” OOD