Політика конфіденційності

ПОЛІТИКА БЕЗПЕКИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

ПОЛІТИКА БЕЗПЕКИ
ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ
в
Товариство З Обмеженою Відповідальністю "БізА".
з зареєстрованим офісом у Томіце, вул. Європейський 4.

Вхід


Реалізація конституційного права кожної людини на захист приватного життя та положень Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист осіб щодо обробки персональних даних та про вільний рух таких даних та скасування Директиви 95 / 46 / EC (загальний регламент захисту даних) з метою застосування технічних та організаційних заходів для забезпечення захисту персональних даних, що обробляються відповідно до загроз і категорій захищених даних, зокрема захист даних від несанкціонованого розголошення, видалення неавторизованою особою, обробки з порушенням вищезазначених регулювання та зміни, втрати, пошкодження чи знищення, діє наступний набір процедур.


Розділ 1
Загальні положення


§ 1. Щоразу, коли в документі згадується:
1) регулювання - означає Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних і про вільний рух таких даних, а також про скасування Директиви 95/46 /EC (загальний регламент захисту даних);
2) особисті дані – означає інформацію про ідентифіковану або ідентифіковану фізичну особу («суб’єкт даних»); фізична особа, яку можна ідентифікувати, — це особа, яку можна ідентифікувати прямо чи опосередковано, зокрема на основі ідентифікатора, такого як ім’я та прізвище, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або один або більше конкретних факторів, що визначають фізичні, фізіологічні, генетична, психічна економічна, культурна чи соціальна ідентичність фізичної особи;
3) набір даних – це означає впорядкований набір персональних даних, доступних відповідно до певних критеріїв, незалежно від того, чи є цей набір централізованим, децентралізованим або функціонально чи географічно розпорошеним;
4) обробка даних – це означає операцію або набір операцій, що виконуються з персональними даними або наборами персональних даних автоматизованим або неавтоматизованим способом, наприклад збір, запис, упорядкування, упорядкування, зберігання, адаптація або модифікація, завантаження, перегляд, використання, розголошення шляхом надсилання, розповсюдження або іншим чином надання доступу, зіставлення або комбінування, обмеження, видалення або знищення;
5) ІТ-система – це набір взаємодіючих пристроїв, програм, процедур обробки інформації та програмних засобів, що використовуються для обробки даних;
6) захист даних в ІТ-системі – це означає впровадження та дію відповідних технічних та організаційних заходів для забезпечення захисту даних від несанкціонованої обробки;
7) видалення даних – це означає знищення персональних даних або їх зміну таким чином, що неможливо буде визначити особу суб’єкта даних;
8) контролер даних – означає фізичну або юридичну особу, державний орган, підрозділ чи іншу установу, яка самостійно чи спільно з іншими визначає цілі та засоби обробки персональних даних; якщо цілі та засоби такої обробки визначаються законодавством Союзу або держави-члена, контролер або спеціальні критерії для його призначення можуть бути передбачені законодавством Союзу або держави-члена;
9) згода суб'єкта даних – це означає добровільне, конкретне, інформоване та недвозначне волевиявлення, за допомогою якого суб’єкт даних у формі заяви чи чіткої позитивної дії дає згоду на обробку персональних даних, що стосуються його;
10) одержувач даних – це фізична чи юридична особа, державний орган, підрозділ чи інша організація, якій розкриваються персональні дані, незалежно від того, чи є це третьою стороною. Однак державні органи, які можуть отримувати персональні дані в рамках спеціального запиту відповідно до законодавства Союзу або держави-члена, не вважаються одержувачами; обробка цих даних цими державними органами має відповідати правилам захисту даних, які застосовуються відповідно до цілей обробки;
11) третя країна – означає країну, що не належить до Європейської економічної зони;
12) технічні та організаційні заходи – слід розуміти технічні та організаційні заходи, необхідні для забезпечення конфіденційності, цілісності та звітності оброблених персональних даних;
13) обмеження обробки – це слід розуміти як маркування збережених персональних даних з метою обмеження їх майбутньої обробки;
14) профілювання – це означає будь-яку форму автоматизованої обробки персональних даних, яка полягає у використанні персональних даних для оцінки певних особистих факторів фізичної особи, зокрема для аналізу або прогнозування аспектів, що стосуються наслідків роботи цієї фізичної особи, економічного становища, здоров’я , особисті уподобання, інтереси, поведінка, яка викликає довіру, місцезнаходження чи рух;
15) псевдонімізація – це означає обробку персональних даних таким чином, що вони більше не можуть бути віднесені до конкретного суб’єкта даних без використання додаткової інформації, за умови, що така додаткова інформація зберігається окремо та підлягає технічним та організаційним заходам, які запобігають її віднесенню фізичній особі, яка ідентифікується або яку можна ідентифікувати;
16) суб'єкт обробки – це означає фізичну або юридичну особу, державний орган, підрозділ або іншу установу, яка обробляє персональні дані від імені контролера;
17) порушення захисту персональних даних – це означає порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, модифікації, несанкціонованого розкриття або несанкціонованого доступу до персональних даних, що передаються, зберігаються або обробляються іншим чином.

Розділ 2
адміністратор даних


§ 2. Адміністратор даних зокрема:

  1. Беручи до уваги характер, обсяг, контекст і цілі обробки, а також ризик порушення прав або свобод фізичних осіб з різною ймовірністю та серйозністю, він впроваджує належні технічні та організаційні заходи для забезпечення того, щоб обробка здійснювалася відповідно до з положенням і мати можливість це продемонструвати. Ці заходи переглядаються та оновлюються за необхідності.
  2. Веде облік діяльності з обробки. До реєстру вносяться такі відомості:
    • ім’я та прізвище або назва компанії та контактні дані контролера даних і будь-яких співконтролерів, а також, якщо це можливо, представника контролера даних і DPO;
    • цілі обробки,
    • опис категорій суб’єктів даних і категорій персональних даних,
    • категорії одержувачів, яким персональні дані були або будуть розкриті, включаючи одержувачів у третіх країнах або міжнародних організаціях,
    • якщо застосовно, передачі персональних даних третій країні або міжнародній організації, включаючи назву такої третьої країни або міжнародної організації, а у випадку передачі, згаданої в Регламенті, ст. 49 сек. 1, другий абзац, документація відповідних гарантій,
    • якщо можливо, заплановані дати видалення окремих категорій даних,
    • якщо можливо, загальний опис технічних та організаційних заходів безпеки, зазначених у ст. 32 сек. 1. регулювання,

Розділ 3
Технічні та організаційні заходи


§ 3. З метою захисту даних контролер даних відповідає вимогам, зазначеним у регламенті:

a) провести оцінку впливу на захист даних,
b) проводить аналіз ризиків щодо ресурсів, залучених до окремих процесів,
c) лише особам, уповноваженим контролером даних, дозволено обробляти дані (Додаток 1),
г) укладено договори доручення обробки даних згідно з додатком 2,
e) цю політику безпеки розроблено та впроваджено.

§ 4. З метою захисту персональних даних застосовується наступне заходи фізичного захисту персональних даних:

  • файли персональних даних зберігаються в приміщенні, що закривається звичайними дверима (неармованими, не протипожежними),
  • персональні дані зберігаються в кімнаті, що закривається дверима, персональні дані зберігаються в кімнаті, розташованій на першому та другому поверсі.
  • будівля, де зареєстрований офіс контролера даних, обладнана системою охоронної сигналізації
  • доступ до приміщень, де обробляються файли персональних даних, забезпечений системою контролю доступу - ключі видаються на рецепції тільки уповноваженим особам.
  • доступ до будівлі, де знаходиться контролер даних, контролюється системою моніторингу за допомогою промислових камер
  • будівля, де знаходиться зареєстрований офіс контролера даних, цілодобово контролюється службою безпеки,
  • картотеки персональних даних у паперовій формі зберігаються в закритій металевій шафі та закритій неметалевій шафі,
  • резервні/архівні копії файлів персональних даних зберігаються в закритій неметалевій шафі
  • приміщення, де обробляються файли персональних даних, захищені від впливу вогню за допомогою системи протипожежного захисту та/або окремого вогнегасника,
  • документи, що містять персональні дані, механічно знищуються після закінчення терміну придатності за допомогою шредерів документів.


§ 5. Для захисту персональних даних використовуються наступні апаратні засоби ІТ та телекомунікаційної інфраструктури:

  • комп’ютери, які використовуються для обробки персональних даних, підключені до локальної комп’ютерної мережі,
  • такі пристрої, як джерело безперебійного живлення, генератор електроенергії та/або окрема мережа електроживлення, використовувалися для захисту ІТ-системи, що використовується для обробки персональних даних, від наслідків збою живлення,
  • доступ до файлу персональних даних, який обробляється на окремій комп’ютерній станції/портативному комп’ютері, захищено паролем від несанкціонованої активації
  • доступ до операційної системи комп’ютера, на якому обробляються персональні дані, захищено за допомогою процесу аутентифікації за допомогою ідентифікатора користувача та пароля,
  • вжито заходів для запобігання створенню несанкціонованих копій персональних даних, які обробляються за допомогою ІТ-систем,
  • використовувалася система реєстрації доступу до файлу системних/персональних даних,
  • до персональних даних, що передаються телетрансляцією, застосовано заходи криптографічного захисту даних,
  • дисковий масив використовувався для захисту особистих даних від наслідків збою дискової пам'яті,
  • застосовано заходи захисту від шкідливого програмного забезпечення, такого як хробаки, віруси, троянські програми, руткіти,
  • для захисту доступу до комп’ютерної мережі використовувалася система Firewall,
  • для захисту доступу до комп’ютерної мережі використовувалася система IDS/IPS,


§ 6. З метою захисту персональних даних у складі програмних засобів і баз даних застосовуються такі заходи захисту:

  • були використані заходи для визначення прав доступу до зазначеного обсягу даних у межах обробленого набору персональних даних,
  • доступ до наборів даних у частині, що обробляється в ІТ-системах, вимагає автентифікації за допомогою ідентифікатора користувача та пароля,
  • заходи системи були використані для визначення відповідних прав доступу до ІТ-ресурсів, включаючи набори персональних даних для окремих користувачів ІТ-системи,
  • використовувався механізм примусової періодичної зміни паролів доступу до файлу персональних даних,
  • на робочих станціях, де обробляються персональні дані, встановлені заставки,
  • застосовано механізм автоматичного блокування доступу до ІТ-системи, яка використовується для обробки персональних даних, у разі тривалої бездіяльності користувача (скрінсейвери),
  • § 7. Для захисту персональних даних застосовуються такі організаційні заходи:
  • особи, зайняті в обробці даних, були ознайомлені з положеннями про захист персональних даних,
  • особи, зайняті в обробці персональних даних, пройшли навчання у сфері безпеки ІТ-систем,
  • особи, зайняті обробкою персональних даних, зобов'язані зберігати їх у таємниці,
  • монітори комп’ютерів, на яких обробляються персональні дані, налаштовані таким чином, щоб унеможливити несанкціонований доступ до даних, що обробляються,
  • резервні копії набору персональних даних зберігаються в іншому приміщенні, ніж те, в якому знаходиться сервер, на якому постійно обробляються персональні дані,
  • контролер даних визначив основні правила безпеки, що застосовуються до всіх співробітників Компанії, а саме:
    • принцип «необхідності знати» – обмеження доступу до даних лише тими, які необхідні для виконання обов’язків на даній посаді,
    • принцип відповідальності за ресурси - процесор несе відповідальність за дані, які він обробляє, і зобов'язаний дотримуватися встановлених процедур безпеки в цьому відношенні,
    • принцип зачиненого приміщення - не залишати в приміщенні сторонніх осіб (за відсутності уповноваженої особи), обов'язково замикати приміщення на ключ при виході з них і не залишати ключі в замках,
    • принцип чистого столу - не залишати на столі без нагляду паперові документи та носії інформації (CD, DVD, флешки тощо),
    • принцип конфіденційності облікових записів в системах - кожен співробітник зобов'язаний працювати в ІКТ-системах на закріплених за ним облікових записах, категорично заборонено ділитися обліковими записами з людьми, які їм не були закріплені,
    • принцип конфіденційності паролів і кодів доступу - збереження конфіденційності та ненадання паролів і кодів доступу стороннім особам, зокрема цей принцип стосується особистих паролів доступу до ІКТ-систем і охоронюваних зон,
    • принцип використання службової електронної пошти - кожна особа, уповноважена на обробку даних під час виконання службових обов'язків, використовує лише службову електронну скриньку, використання приватної електронної пошти в цьому відношенні заборонено,
    • принцип чистого екрана - блокування комп'ютера перед виходом з кімнати, при тривалій відсутності в кімнаті необхідно вийти з системи,
    • принцип чистого робочого столу – на робочому столі комп’ютера мають бути лише іконки стандартного програмного забезпечення та бізнес-додатків, а також ярлики папок, за умови, що ім’я не містить даних, зокрема особистих даних, які можуть бути розголошені неконтрольованим чином (наприклад, під час презентація),
    • правило чистих принтерів/ксерокопіювальних пристроїв - забирання документів із принтерів одразу після їх друку, зокрема, це правило стосується документів, залишених у принтерах, розташованих в іншому приміщенні,
    • принцип чистого смітника - паперові документи, за винятком рекламних матеріалів, повинні бути знищені в шредерах або через сторонню компанію,
    • принцип законності програмного забезпечення - заборона на самостійне встановлення програмного забезпечення, в тому числі, зокрема, зберігання на комп'ютері контенту, що порушує авторські права, та інших незаконних даних,
    • принцип звітності про інциденти безпеки - кожен обробник даних зобов'язаний повідомляти про інциденти, пов'язані з інформаційною безпекою, тобто неавторизоване розкриття, знищення або модифікацію інформації, відповідно до процедури, викладеної в Главі 8,
    • принцип використання ресурсів Компанії - дані, які зберігаються контролером даних, можуть оброблятися лише засобами обробки, схваленими для використання в Компанії, зокрема, заборонено використовувати для цієї мети приватні засоби обробки даних,
    • принцип невикористання імен, що містять персональні дані, у межах зазначення файлів, папок тощо.
    • принцип належного захисту апаратних ресурсів Компанії, які використовуються як бізнес-обладнання - портативні комп'ютери, телефони, смартфони, планшети та інші пристрої, які використовуються особами, які обробляють дані в Компанії для бізнес-цілей, повинні бути належним чином захищені від доступу неавторизованих осіб, принаймні вони повинні мати захист у вигляді паролів доступу для активації пристрою.

Розділ 4
процедура DPIA
(Оцінка впливу на захист даних)


§ 8. Для кожного процесу проводиться оцінка впливу на захист даних (DPIA).
§ 9. DPIA проводиться кожного разу, коли відбувається значна зміна в обробці персональних даних, наприклад, зміна постачальника послуг, зміна методу обробки даних, заміна ресурсів, залучених до процесу.
§ 10. DPIA проводиться разом з аналізом ризиків принаймні раз на рік стосовно процесів, які в результаті попередньо проведеного DPIA показали високий ризик для прав і свобод суб’єктів даних.

Розділ 5
Процедура аналізу ризиків та план управління ризиками


§ 11. Адміністратор даних проводить аналіз ризиків для ресурсів, залучених до процесів.
§ 12. Аналіз ризиків проводиться не рідше одного разу на рік і є основою для оновлення методики управління ризиками.
§ 13. За результатами аналізу ризиків контролер даних самостійно впроваджує методи боротьби з ризиком.
§ 14. Кожного разу контролер даних обирає, як боротися з ризиком, і визначає, які ризики та в якому порядку розглядатимуться в першу чергу.

частина 6
Порядок взаємодії із зовнішніми суб'єктами


§ 15.1. Кожному використанню послуг суб’єкта обробки персональних даних передує укладення договору про доручення обробки персональних даних.
2. Розпорядник даних веде реєстр зовнішніх суб’єктів, яким доручено обробку персональних даних
§ 16. Кожного разу перед укладенням договору про доручення обробки персональних даних контролер даних перевіряє дотримання регламенту всіма суб’єктами обробки, послугами яких він має намір користуватися, використовуючи процедуру співпраці із зовнішніми суб’єктами.

Розділ 7
Стандартна процедура захисту даних
(захист даних за проектом)


§ 17. Щоразу, коли створюється новий продукт або послуга, контролер даних враховує права суб’єктів даних на кожному ключовому етапі їх розробки та впровадження. Він реалізує відповідні технічні та організаційні заходи, щоб гарантувати, що за умовчанням обробляються лише ті персональні дані, які необхідні для досягнення кожної конкретної мети обробки (кількість зібраних даних, обсяг і період обробки даних та їх доступність).
§ 18. У разі наміру розпочати обробку персональних даних у новому процесі, контролер даних проводить DPIA щодо цього процесу.

Розділ 8
Процедура управління інцидентами


§ 20. У кожному випадку порушення персональних даних контролер перевіряє, чи призвело порушення до ризику для прав або свобод фізичних осіб.
§ 21. У разі виявлення того, що порушення призвело до ризику порушення прав чи свобод фізичних осіб, контролер персональних даних негайно повідомляє про це контролюючий орган, але не пізніше ніж протягом 72 годин. від виявлення порушення за допомогою процедури управління інцидентами безпеки.
§ 22. Контролер даних повідомляє суб’єктів даних у разі порушення, пов’язаного з ними, що призводить до ризику порушення їхніх прав чи свобод, на основі шаблону для повідомлення суб’єкта даних про порушення, якщо він не вжив заходів для усунення ймовірності високий ризик вищезгаданого порушення. порушення.
§ 23. Розпорядник даних документує порушення та веде реєстр порушень, що призвели до порушення прав і свобод фізичних осіб.

Розділ 9
Порядок реалізації прав осіб


§ 24. Кожен випадок повідомлення суб’єкта даних про бажання скористатися правами, передбаченими регламентом, розглядається контролером персональних даних індивідуально.
§ 25. Контролер даних негайно реалізує такі права суб’єктів даних:

  • право на доступ до даних,
  • право на виправлення даних,
  • право на видалення даних,
  • право на передачу даних,
  • право заперечувати проти обробки даних,
  • право не підлягати рішенням, заснованим виключно на профілюванні.


§ 26. У разі використання права на виправлення, видалення та обмеження обробки даних контролер даних повинен негайно повідомити одержувачів даних, яким він надав дані, за винятком випадків, коли це неможливо або вимагатиме непропорційних зусиль.
§ 27. Контролер даних відмовляється від реалізації прав суб’єктів даних, якщо така можливість випливає з положень регламенту, однак кожна відмова у реалізації прав суб’єктів даних вимагає обґрунтування правовою основою, що випливає з регламенту.

Розділ 10
Порядок отримання згод та інформування осіб


§ 28. 1. У кожному випадку збору даних безпосередньо від суб’єкта даних контролер даних виконує зобов’язання щодо надання інформації щодо суб’єкта даних.
2. У разі збору даних від працівника використовується шаблон інформаційного зобов’язання.
§ 29. У кожному випадку збору даних з джерел, відмінних від суб’єкта даних, контролер даних виконує інформаційні зобов’язання щодо суб’єкта даних негайно, але не пізніше ніж під час першого контакту з суб’єктом даних,
§ тридцять. У кожному випадку отримання згоди від суб’єкта даних використовуються застереження.

Розділ 11
Прикінцеві положення


§ 31. Усі правила, описані в цьому документі, дотримуються особами, уповноваженими на обробку персональних даних, з особливим акцентом на користь суб’єктів даних.
§ 32. Цей документ дійсний з дати його затвердження контролером даних.