Политика конфиденциальности

ПОЛИТИКА БЕЗОПАСНОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПОЛИТИКА БЕЗОПАСНОСТИ
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
В
Общество с ограниченной ответственностью «БизЭА»
с зарегистрированным офисом в Томице, ул. Европейский 4.

Вход


Реализация конституционного права каждого человека на защиту частной жизни и положений Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/ЕС (общее положение о защите данных) с целью применения технических и организационных мер для обеспечения защиты обрабатываемых персональных данных в соответствии с угрозами и категориями защищаемых данных, в частности, защита данных от несанкционированного раскрытия, удаления неуполномоченным лицом, обработки с нарушением вышеизложенного регулирования и изменения, утери, повреждения или уничтожения применяется следующий набор процедур.


Глава 1
Основные положения


§ 1. Всякий раз, когда в документе упоминается:
1) регулирование - означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46. /EC (общий регламент защиты данных);
2) личные данные – это означает информацию об идентифицированном или идентифицируемом физическом лице («субъект данных»); идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, на основе идентификатора, такого как имя и фамилия, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько конкретных факторов, определяющих физическое, физиологическое, генетическая, ментальная, экономическая, культурная или социальная идентичность физического лица;
3) набор данных – это означает упорядоченный набор персональных данных, доступных в соответствии с определенными критериями, независимо от того, является ли этот набор централизованным, децентрализованным или функционально или географически рассредоточенным;
4) обработка данных – это операция или совокупность операций, выполняемых с персональными данными или наборами персональных данных автоматизированным или неавтоматизированным способом, например, сбор, запись, систематизация, систематизация, хранение, адаптация или изменение, загрузка, просмотр, использование, раскрытие путем отправки, распространения или иного предоставления, сопоставления или объединения, ограничения, стирания или уничтожения;
5) ИТ-система – совокупность взаимодействующих устройств, программ, процедур обработки информации и программных средств, используемых для обработки данных;
6) защита данных в ИТ-системе – это означает внедрение и действие соответствующих технических и организационных мер для обеспечения защиты данных от несанкционированной обработки;
7) удаление данных – означает уничтожение персональных данных или их изменение таким образом, что невозможно будет установить личность субъекта данных;
8) контроллер данных – означает физическое или юридическое лицо, орган государственной власти, подразделение или иную организацию, которая самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; если цели и средства такой обработки определяются законодательством Союза или государства-члена, контролер или конкретные критерии его назначения могут быть предусмотрены законодательством Союза или государства-члена;
9) согласие субъекта данных – это означает добровольное, конкретное, информированное и недвусмысленное волеизъявление, которым субъект данных в форме заявления или четкого положительного действия дает согласие на обработку касающихся его персональных данных;
10) получатель данных - это означает физическое или юридическое лицо, орган государственной власти, подразделение или другое лицо, которому раскрываются персональные данные, независимо от того, является ли оно третьим лицом. Однако государственные органы, которые могут получать персональные данные в рамках конкретного запроса в соответствии с законодательством Союза или государства-члена, не считаются получателями; обработка этих данных этими государственными органами должна соответствовать правилам защиты данных, применимым в соответствии с целями обработки;
11) третья страна – это означает страну, не входящую в Европейскую экономическую зону;
12) технические и организационные меры – следует понимать технические и организационные меры, необходимые для обеспечения конфиденциальности, целостности и подотчетности обрабатываемых персональных данных;
13) ограничение обработки – следует понимать как маркировку сохраненных персональных данных с целью ограничения их обработки в будущем;
14) профилирование – это означает любую форму автоматизированной обработки персональных данных, которая заключается в использовании персональных данных для оценки определенных личных факторов физического лица, в частности, для анализа или прогнозирования аспектов, касающихся последствий работы этого физического лица, экономического положения, здоровья , личные предпочтения, интересы, вызывающее доверие поведение, местонахождение или передвижение;
15) псевдонимизация – это означает обработку персональных данных таким образом, что они больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и подвергается техническим и организационным мерам, предотвращающим ее отнесение идентифицированному или идентифицируемому физическому лицу;
16) процессинговый объект – это означает физическое или юридическое лицо, орган государственной власти, подразделение или другое лицо, которое обрабатывает персональные данные от имени контролера;
17) нарушение защиты персональных данных – это означает нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, модификации, несанкционированному раскрытию или несанкционированному доступу к передаваемым, хранимым или иным образом обрабатываемым персональным данным.

Глава 2
администратор данных


§ 2. В частности, администратор данных:

  1. Принимая во внимание характер, объем, контекст и цели обработки, а также риск нарушения прав или свобод физических лиц с различной вероятностью и серьезностью, он принимает соответствующие технические и организационные меры для обеспечения того, чтобы обработка осуществлялась в соответствии с с регулированием и быть в состоянии продемонстрировать это. Эти меры пересматриваются и обновляются по мере необходимости.
  2. Ведет учет операций обработки. Реестр должен содержать следующую информацию:
    • имя и фамилия или название компании и контактные данные контролера данных и любых со-контролеров, а также, если применимо, представителя контролера данных и DPO;
    • цели обработки,
    • описание категорий субъектов данных и категорий персональных данных,
    • категории получателей, которым персональные данные были или будут раскрыты, включая получателей в третьих странах или международных организациях,
    • где это применимо, передача персональных данных в третью страну или международную организацию, включая название этой третьей страны или международной организации, а также в случае передачи, упомянутой в Регламенте, ст. 49 сек. 1, второй абзац, документация о соответствующих мерах предосторожности,
    • если возможно, планируемые даты удаления отдельных категорий данных,
    • если возможно, общее описание технических и организационных мер безопасности, указанных в ст. 32 сек. 1. регулирование,

Глава 3
Технические и организационные меры


§ 3. В целях защиты данных контроллер данных выполняет требования, указанные в регламенте:

а) провести оценку воздействия на защиту данных,
б) проводит анализ рисков в отношении ресурсов, задействованных в отдельных процессах,
в) только лица, уполномоченные контроллером данных, были допущены к обработке данных (Приложение 1),
г) заключены договоры о доверительном управлении данными в соответствии с Приложением 2,
e) эта политика безопасности разработана и реализована.

§ 4. В целях защиты персональных данных применяется следующее меры физической защиты персональных данных:

  • файлы персональных данных хранятся в помещении, запираемом обычной дверью (неармированной, неогнестойкой),
  • файлы персональных данных хранятся в помещении, запираемом дверью, файлы персональных данных хранятся в помещении, расположенном на первом и втором этажах.
  • здание, в котором находится контролер данных, оборудовано системой охранной сигнализации
  • доступ в помещения, где обрабатываются файлы персональных данных, обеспечен системой контроля доступа – ключи выдаются на рецепции только уполномоченным лицам.
  • доступ в здание, где находится контроллер данных, контролируется системой наблюдения с использованием промышленных камер
  • здание, в котором зарегистрирован офис контроллера данных, круглосуточно охраняется службой безопасности,
  • файлы персональных данных в бумажном виде хранятся в закрытом металлическом шкафу и в закрытых неметаллических шкафах,
  • резервные/архивные копии файлов персональных данных хранятся в закрытом неметаллическом шкафу
  • помещения, в которых обрабатываются файлы персональных данных, защищены от воздействия огня с помощью системы противопожарной защиты и/или отдельно стоящего огнетушителя,
  • документы, содержащие персональные данные, механически уничтожаются по истечении срока их действия с помощью шредеров документов.


§ 5. Для защиты персональных данных используются следующие аппаратные средства ИТ и телекоммуникационной инфраструктуры:

  • компьютеры, используемые для обработки персональных данных, подключены к локальной компьютерной сети,
  • такие устройства, как ИБП, генератор электроэнергии и/или отдельная электросеть, использовались для защиты ИТ-системы, используемой для обработки персональных данных, от последствий сбоя питания,
  • доступ к файлу персональных данных, который обрабатывается на отдельной компьютерной станции/портативном компьютере, защищен паролем от несанкционированной активации
  • доступ к операционной системе компьютера, на котором обрабатываются персональные данные, защищен посредством процесса аутентификации с использованием идентификатора пользователя и пароля,
  • приняты меры по предотвращению создания несанкционированных копий персональных данных, обрабатываемых с использованием ИТ-систем,
  • использовалась система регистрации доступа к системе/файлу персональных данных,
  • применены криптографические меры защиты данных для персональных данных, передаваемых по телевидению,
  • дисковый массив использовался для защиты персональных данных от последствий выхода из строя дисковой памяти,
  • применены меры защиты от вредоносных программ, таких как черви, вирусы, трояны, руткиты,
  • система Брандмауэра использовалась для защиты доступа к компьютерной сети,
  • для защиты доступа к компьютерной сети использовалась система IDS/IPS,


§ 6. В целях защиты персональных данных в составе программных средств и баз данных применяются следующие меры защиты:

  • использованы меры для определения прав доступа к указанному объему данных в составе обрабатываемого набора персональных данных,
  • доступ к наборам данных в части, обрабатываемой в ИТ-системах, требует аутентификации с использованием идентификатора пользователя и пароля,
  • системные меры использовались для определения соответствующих прав доступа к ИТ-ресурсам, включая наборы персональных данных для отдельных пользователей ИТ-системы,
  • использован механизм принудительной периодической смены паролей доступа к файлу персональных данных,
  • установлены хранители экрана на рабочих местах, где обрабатываются персональные данные,
  • применен механизм автоматической блокировки доступа к ИТ-системе, используемой для обработки персональных данных, в случае длительного бездействия работы пользователя (скринсейверы),
  • § 7. Для защиты персональных данных применяются следующие организационные меры:
  • лица, занятые обработкой данных, ознакомлены с положениями о защите персональных данных,
  • лица, занятые обработкой персональных данных, прошли обучение в области безопасности ИТ-систем,
  • лица, занятые обработкой персональных данных, обязаны хранить их в тайне,
  • мониторы компьютеров, на которых обрабатываются персональные данные, настроены таким образом, чтобы предотвратить несанкционированный доступ к обрабатываемым данным,
  • резервные копии набора персональных данных хранятся в помещении, отличном от того, в котором находится сервер, на котором на постоянной основе осуществляется обработка персональных данных,
  • контроллер данных определил основные правила безопасности, применимые ко всем сотрудникам Компании, т.е.:
    • принцип необходимости знать - ограничение доступа к данным только теми, которые необходимы для выполнения обязанностей в данной должности,
    • принцип ответственности за ресурсы - процессор несет ответственность за данные, которые он обрабатывает, и обязан соблюдать установленные процедуры безопасности в этом отношении,
    • принцип закрытого помещения - не оставлять в помещении посторонних наедине (при отсутствии доверенного лица), абсолютно запирать помещения на ключ при выходе из них и не оставлять ключи в замках,
    • принцип чистого стола - не оставлять без присмотра бумажные документы и носители информации на столе (CD, DVD, флешки и т.д.),
    • принцип конфиденциальности учетных записей в системах – каждый сотрудник обязан работать в ИКТ-системах на закрепленных за ним учетных записях, категорически запрещается совместное использование учетных записей с людьми, не закрепленными за ними,
    • принцип конфиденциальности паролей и кодов доступа - соблюдение конфиденциальности и не предоставление паролей и кодов доступа посторонним лицам, в частности этот принцип распространяется на личные пароли доступа к ИКТ-системам и охраняемым зонам,
    • принцип использования деловой электронной почты - каждое лицо, уполномоченное на обработку данных при исполнении служебных обязанностей, использует только рабочий почтовый ящик, использование частной электронной почты в этом отношении запрещено,
    • принцип чистого экрана - блокировка компьютера перед выходом из помещения, в случае более длительного отсутствия в помещении необходимо выйти из системы,
    • принцип чистого рабочего стола - на рабочем столе компьютера должны быть только значки стандартных программ и бизнес-приложений, а также ярлыки к папкам, при условии, что название не содержит данных, в частности персональных данных, которые могут быть раскрыты неконтролируемым образом (например, во время презентация),
    • правило чистых принтеров/копировальных аппаратов - взятие документов из принтеров сразу после их печати, в частности, это правило распространяется на документы, оставленные в принтерах, расположенных в другом помещении,
    • принцип чистой корзины - бумажные документы, за исключением рекламных материалов, должны быть уничтожены в шредерах или через стороннюю компанию,
    • принцип легальности программного обеспечения - запрет на самостоятельную установку программного обеспечения, в том числе, в частности, на хранение на компьютере контента, нарушающего авторские права, и других незаконных данных,
    • принцип сообщения об инцидентах безопасности - каждый обработчик данных обязан сообщать об инцидентах, связанных с информационной безопасностью, то есть о несанкционированном раскрытии, уничтожении или изменении информации, в соответствии с процедурой, изложенной в Главе 8,
    • принцип использования ресурсов Компании - данные, находящиеся у контроллера данных, могут обрабатываться только в средствах обработки, разрешенных для использования в Компании, в частности запрещено использовать для этой цели частные средства обработки данных,
    • принцип неиспользования имен, содержащих персональные данные, при указании файлов, папок и т.п.
    • принцип надлежащей защиты аппаратных ресурсов Компании, используемых в качестве бизнес-оборудования - портативные компьютеры, телефоны, смартфоны, планшеты и другие устройства, используемые лицами, обрабатывающими данные в Компании для деловых целей, должны быть должным образом защищены от доступа посторонних лиц, по крайней мере, они должна иметь безопасность в виде паролей доступа для активации устройства.

Глава 4
Процедура DPIA
(Оценка воздействия на защиту данных)


§ 8. Оценка воздействия на защиту данных (DPIA) проводится для каждого процесса.
§ 9. DPIA проводится каждый раз, когда происходит существенное изменение в обработке персональных данных, например, смена поставщика услуг, изменение метода обработки данных, замена задействованных в процессе ресурсов.
§ 10. DPIA проводится вместе с анализом рисков не реже одного раза в год в отношении процессов, которые в результате ранее проведенного DPIA показали высокий риск для прав и свобод субъектов данных.

Глава 5
Процедура анализа рисков и план управления рисками


§ 11. Администратор данных проводит анализ рисков для ресурсов, задействованных в процессах.
§ 12. Анализ рисков проводится не реже одного раза в год и является основой для актуализации методики управления рисками.
§ 13. На основании результатов анализа рисков контролер данных самостоятельно реализует методы борьбы с риском.
§ 14. Каждый раз контроллер данных выбирает, как поступить с риском, и определяет, какие риски и в каком порядке будут рассматриваться в первую очередь.

Глава 6
Порядок взаимодействия с внешними организациями


§ 15.1. Каждому использованию услуг обрабатывающего субъекта предшествует заключение договора о поручении обработки персональных данных.
2. Администратор данных ведет реестр внешних лиц, которым доверены персональные данные для обработки.
§ 16. Каждый раз перед заключением договора о поручении обработки персональных данных контроллер данных проверяет соблюдение регламента всех субъектов обработки, услугами которых он намерен пользоваться, используя процедуру сотрудничества с внешними субъектами.

Глава 7
Процедура защиты данных по умолчанию
(защита данных по дизайну)


§ 17. Всякий раз, когда создается новый продукт или услуга, контроллер данных учитывает права субъектов данных на каждом ключевом этапе его разработки и реализации. Он реализует соответствующие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только те персональные данные, которые необходимы для достижения каждой конкретной цели обработки (количество собранных данных, объем и период обработки данных и их доступность).
§ 18. В случае намерения начать обработку персональных данных в новом процессе, контроллер данных проводит DPIA в отношении этого процесса.

Глава 8
Процедура управления инцидентами


§ 20. В каждом случае утечки персональных данных контролер данных проверяет, не привело ли нарушение к риску для прав или свобод физических лиц.
§ 21. В случае обнаружения того, что нарушение привело к риску нарушения прав или свобод физических лиц, контролер данных должен немедленно уведомить об этом надзорный орган, но не позднее, чем в течение 72 часов. от выявления нарушения с использованием процедуры управления инцидентами безопасности.
§ 22. Контроллер данных уведомляет субъектов данных в случае нарушения с их участием, приводящего к риску нарушения их прав или свобод, на основе шаблона уведомления субъекта данных о нарушении, если он не применил меры для устранения вероятности нарушения. высокий риск вышеуказанного нарушения. нарушения.
§ 23. Контролер данных документирует нарушения и ведет реестр нарушений, которые приводят к нарушению прав и свобод физических лиц.

Глава 9
Порядок реализации прав лиц


§ 24. Каждый случай уведомления субъекта данных о желании воспользоваться правами, предусмотренными в регламенте, рассматривается контроллером данных в индивидуальном порядке.
§ 25. Контроллер данных немедленно реализует следующие права субъектов данных:

  • право доступа к данным,
  • право на исправление данных,
  • право на удаление данных,
  • право на передачу данных,
  • право возражать против обработки данных,
  • право не подвергаться решениям, основанным исключительно на профилировании.


§ 26. В случае осуществления права на исправление, удаление и ограничение обработки данных контролер данных должен немедленно проинформировать получателей данных, которым он предоставил данные, за исключением случаев, когда это невозможно или потребует непропорциональных усилий.
§ 27. Контролер данных отказывается от реализации прав субъектов данных, если такая возможность вытекает из положений регламента, однако каждый отказ от реализации прав субъектов данных требует обоснования с правовой основой, вытекающей из регламента.

Глава 10
Порядок получения согласий и информирования граждан


§ 28. 1. В каждом случае сбора данных непосредственно от субъекта данных контроллер данных выполняет информационное обязательство перед субъектом данных.
2. В случае сбора данных от работника используется шаблон информационного обязательства.
§ 29. В каждом случае сбора данных из источников, отличных от субъекта данных, контроллер данных выполняет информационное обязательство перед субъектом данных немедленно, но не позднее, чем при первом контакте с субъектом данных,
§ тридцать. В каждом случае получения согласия от субъекта данных используются пункты.

Глава 11
Заключительные положения


§ 31. Все правила, описанные в этом документе, соблюдаются лицами, уполномоченными на обработку персональных данных, с особым упором на благо субъектов данных.
§ 32. Этот документ действителен с даты его утверждения контроллером данных.