* Обязательные поля
І. ОСНОВНЫЕ ПОЛОЖЕНИЯ
ООО «Tesy» (Компания, «TESY»), ЕИК /единый идентификационный код/ 040029337, юридический адрес и адрес управления: г. Шумен, бул. «Мадара» № 48, которую представляет её Управляющий Жечко Кюркчиев.
Настоящая политика является частью мер, направленных на обеспечение информационной безопасности и эффективной системы защиты персональных данных в «Tesy», в соответствии с действующим законодательством и применяемым передовым методам.
Регламент (ЕС) 2016/679 ЕП и Совета от 27 апреля 2016 года о защите физических лиц в связи с обработкой их персональных данных и свободного движения этих данных и отмены Директивы 95/46/EC, вступивший в силу с 25 мая 2018 года, а также действующий на сегодняшний день Закон о защите персональных данных, фокусируется на безопасности персональных данных. С помощью подходящих технических и организационных мер данные должны обрабатываться таким образом, чтобы обеспечить их надлежащую безопасность, включая защиту от несанкционированной или неправомерной обработки, а также от случайной потери, уничтожения или повреждения. Ущерб может быть, как физическим, так и материальным или нематериальным ущербом для физических лиц, например, потеря контроля за их персональными данными или ограничение их прав, дискриминация, кража личности или мошенничество с фальшивой личностью, финансовые потери, неразрешенное упразднение псевдонимизации, нарушение репутации, нарушение конфиденциальности личных данных, защищенных профессиональной тайной или любые другие существенные экономические или социально неблагоприятные последствия для пострадавших физических лиц.
Настоящая политика направлена на создание следующих организационных предпосылок:
предоставляющих уровень безопасности, соответствующий риску, возникающему при конкретной обработке персональных данных;
учитывающих достижения технического прогресса, стоимость реализации, естество, объем, контекст и цели обработки, а также риски с различной вероятностью и тяжестью для прав и свобод физических лиц;
обеспечивающих своевременное выявления нарушений в безопасности, необходимость уведомления и соответственно уведомление надзорного органа/ затронутых субъектов данных.
при разработке эффективного плана действий (playbook) для каждого конкретного случая будет уделено должное внимание всем обстоятельствам, связанным с нарушением.
II. КЛЮЧЕВЫЕ ПОНЯТИЯ
«Политика» - настоящая политика выявления, эскалации и уведомления о нарушениях безопасности персональных данных, принятая в ООО «TESY»;
«ОРЗПД» - Регламент (EC) 2016/679 ЕП и Совета от 27 апреля 2016 года о защите физических лиц в связи с обработкой персональных данных и свободного движения таких данных и отмена Директивы 95/46 / EC;
«ЗЗПД» - Закон о защите персональных данных;
«КЗПД» - Комиссия по защите персональных данных;
«ДЛЗПД» - должностное лицо по защите персональных данных, которому возложены задачи по ст. 39 ОРЗПД. ДЛЗПД определяется приказом Управляющего ООО «Tesy».
«Персональные данные» - любая информация, связанная с идентифицированным физическим лицом/ физическим лицом, которое может быть идентифицировано; физическое лицо может быть идентифицировано (прямо или косвенно), в частности через идентификатор, такой как Ф.И.О., идентификационный номер, адрес, онлайн идентификатор или по одному или нескольким признакам, характерным для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица;
«Субъект» - физическое лицо, чьи Персональные данные обрабатываются, будь то контрагент Компании, Сотрудник или любое другое лицо, данные которого обрабатываются Компанией;
«Обработка» - любая операция/ совокупность операций, выполняемая с Персональными данными/ набором Персональных данных автоматическими/ другими средствами, такими как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультирование, использование, раскрытие посредством передачи, распространение или другим способом, с помощью которого данные становятся доступными, упорядочивание или комбинирование, ограничение, удаление или уничтожение;
«Администратор» - лицо, которое самостоятельно или совместно с другими устанавливает цели и средства для обработки персональных данных. Администратором в данном случае является Компания;
«Обрабатывающее лицо» - физическое (кроме сотрудников Компании) или юридическое лицо, которое обрабатывает персональные данные по заказу Компании, причём «TESY» точно определяет свою цель и средства обработки, и в том числе проверяет, соответствует ли данное лицо требованиям ОРЗПД;
«Субобрабатывающее лицо» - субподрядчик выбранного Обрабатывающего лица;
«Сотрудник» - любое лицо, нанятое Компанией по трудовому и/или гражданскому договору, которое обрабатывает персональные данные;
«Специальные категории персональных данных» - данные согласно ст. 9 ОРЗПД, а именно такие, которые раскрывают расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, а также обработка генетических данных, биометрических данных с единственной целью идентификации физического лица, данные о состоянии здоровья, сексуальной жизни или сексуальной ориентации физического лица;
Данные, связанные с приговорами и нарушениями - данные согласно ст. 10 ОРЗПД, обработка которых выполняются только под контролем КЗПД;
«Нарушение безопасности»1 - событие, ведущее к случайному или неправомерному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным, которые передаются, раскрываются, хранятся или обрабатываются иным образом, например:
«Уничтожение» налицо, когда данные больше не существуют / не существуют в формате, в котором они могут использоваться Администратором;
«Потеря» налицо, когда Персональные данные существуют, но Администратор потерял контроль / доступ / фактическую власть над ними;
«неразрешенная или незаконная обработка» налицо, когда есть раскрытие Персональных данных/ доступ к ним неавторизованными получателями, а также любая другая форма обработки, нарушающая ОРЗПД. Например, случайное или неправомерное уничтожение, потеря, изменение, неправомерное раскрытие или доступ к переданным, сохраняемым или обрабатываемым другим нерегламентируемым способом персональным данным.
«ущерб» это весь физический, материальный и нематериальный ущерб/вред, возникающий в результате несанкционированной, незаконной обработки или потери.
Нарушения безопасности можно разделить на три основные группы:
1. Нарушение конфиденциальности - в связи с несанкционированным или случайным раскрытием или доступом к персональным данным;
2. Нарушение доступности - при возникновении случайной или несанкционированной потери или доступа к персональным данным/ уничтожения персональных данных;
3. Нарушение достоверности - при случайном или несанкционированном изменении персональных данных.
Некоторые нарушения могут одновременно отвечать двум или трём из описанных выше условий, от 1 до 3 включительно.
«Группа реагирования» - это команда, которая формируется при нарушении безопасности и координирует мероприятия по расследованию обстоятельств возможного Нарушения безопасности, помогает ДЛЗПД при осуществлении действий по анализу, предложению действий и ограничению ущерба; выполняет план действий и меры по ограничению ущерба и восстановлению безопасности информации. Команда состоит из членов, обладающих знаниями и опытом в области информационной безопасности, человеческих ресурсов и пр., и при необходимости дополнительно усиливается сотрудниками других отделов, например, юридического отдела или отдела информационной безопасности.
III. ЦЕЛЬ ПОЛИТИКИ
Настоящая политика направлена на то, чтобы стать эффективным инструментом для обеспечения безопасности и предотвращения обработки данных, нарушающей внутренние правила «TESY», ОРЗПД и действующего законодательства по защите персональных данных; а также для утверждения эффективных защитных мер в случаях нарушения безопасности персональных данных с целью овладения инцидентов с подходящими и своевременными действиями.
ІV. ДЕЙСТВИЯ ПРИ НАРУШЕНИЯХ
Компания предпринимает все возможные шаги, чтобы обучить своих сотрудников распознавать Нарушения безопасности, включительно и риск возникновения таковых. Сотрудники должны получить чёткие инструкции относительно приоритетного характера немедленной подачи сигнала о возможном Нарушении безопасности, а также о необходимом дальнейшем содействии в предоставлении письменных сведений об инциденте при первой же возможности.
После ознакомления с настоящей Политикой каждый сотрудник должен приоритетно применять её при обработке персональных данных Компанией. При возникновении сомнения относительно Нарушения безопасности, Сотрудник, который первым обнаружит вероятность такого события, немедленно информирует ДЛЗПД, которое после оценки конкретной ситуации формирует Команду реагирования.
Группа реагирования немедленно предпринимает расследование сигнала о потенциальном Нарушении безопасности, используя все организационные и технические ресурсы Компании, информирует ДЛЗПД и помогает ему в проведении последующего анализа, даче предложений и ограничению ущерба/вреда.
ДЛЗПД составляет документ, который оценивает потенциальный риск нарушения и его последствия, включая защитные меры, которые могут смягчить его воздействие, и предоставляет его Управляющему Компании. Основываясь на документе по предыдущему предложению, Управляющий принимает обоснованное решение о том, необходимо ли:
• Извещать Комиссию по защите персональных данных о нарушении; и
• Уведомлять пострадавших субъектов данных, когда существует высокий риск согласно предыдущему пункту.
Любое нарушение безопасности подлежит документированию со стороны Компании.
V. ПЛАН И УПРАВЛЕНИЕ НАРУШЕНИЯМИ
Приведенная ниже схема иллюстрирует наглядно, какие действия следует предпринять в случае установления нарушения.
VI. УСТАНОВЛЕНИЕ НАРУШЕНИЯ БЕЗОПАСНОСТИ
На основе собранной информации Группа реагирования и ДЛЗПД оценивают риск для субъектов в результате нарушения безопасности. Если таковой будет идентифицирован, ДЛЗПД дает мнение о выявленном Нарушении безопасности и рекомендует меры по минимизации/возмещению ущерба.
Когда нарушение безопасности персональных данных может представлять высокий риск для прав и свобод физических лиц, Компания, в разумные сроки после установления и оценки риска, который может привести к определенному Нарушению безопасности, сообщает субъекту данных о нарушении безопасности персональных данных.
Уведомление, отправляемое пострадавшим лицам, соответствует утвержденному образцу (Приложение № 1). Пострадавшие лица должны быть лично уведомлены соответствующим образом по усмотрению Компании - по электронной почте, SMS, письмом, по телефону, через публичное сообщение, так, чтобы Субъекты были эффективно информированы.
Условия, при которых уведомления не требуется:
Когда Нарушение безопасности не будет представлять угрозу правам и свободам Субъектов данных;
Когда Персональные данные являются общедоступными и их раскрытие не представляет опасности для Субъектов;
Когда Нарушение безопасности затрагивает только конфиденциальность, а затронутые персональные данные надежно зашифрованы с помощью отвечающего современному технологическому уровню алгоритма, ключ, для дешифровки которого, не открыт и генерирован таким образом, что наличными техническими средствами он не может быть открыт лицом, не имеющим доступа к ключу.
Считается, что Компания узнала о наступлении Нарушения безопасности, когда Группа реагирования и ДЛЗПД высказали мнение, что налицо имеются предпосылки для такого возникновения.
УВЕДОМЛЕНИЕ КЗПД
В срок до 72 (семидесяти двух) часов после раскрытия Нарушения, Компания обязана уведомлять КЗПД. Уведомление надзорного органа осуществляется по утвержденному образцу (Приложение № 2).
Если Компания, на момент уведомления КЗПД, еще не сообщила субъекту данных о нарушении безопасности его персональных данных, КЗДЛ может, после того как оценит какова вероятность того, что нарушение безопасности персональных данных создаст высокий риск, потребовать от Компании сообщить о нарушении. В этом случае Компания, следуя указаниям КЗПД, должна предпринять действия по уведомлению субъектов данных подходящим для конкретного случая способом.
Для различных типов нарушений может быть затребована дополнительная информация, которая должна быть предоставлена для полного изъяснения обстоятельств каждого конкретного случая.
Отсутствие точной информации (например, точное число пострадавших лиц) не является препятствием для своевременного уведомления КЗПД. В таких случаях должно быть описано приблизительное число пострадавших лиц.
Если невозможно предоставить требуемую информацию одновременно с уведомлением в КЗПД, её можно подавать поэтапно без неоправданной задержки. Предпосылками для такого поэтапного уведомления являются:
Отсутствие всех ревалентных фактов;
Нарушение безопасности с большей фактической сложностью (например, некоторые виды инцидентов в области кибербезопасности);
Указать причины задержки и своевременно уведомить КЗПД о существовании невозможности предоставления полной информации;
Необходимо получить одобрение КЗПД на такое поэтапное уведомление;
Необходимо получить рекомендации КЗПД относительно уведомления пострадавших субъектов о том, когда или как они должны быть уведомлены.
В виде исключения и при определенных обстоятельствах возможно отсроченное уведомление - например, если в ходе расследования установится наличие многократных и сходных случаев Нарушения безопасности определенных категорий данных в течение короткого периода времени, затрагивающее большое число Субъектов, Компания может уведомить КЗПД обо всех них одновременно, превысив полагающийся 72-часой срок. Эту возможность следует применять ограничительно, и в этом случае строго учитывая особенности конкретного случая.
Уведомление надзорному органу в таких случаях должно содержать причины задержки.
ОЦЕНКА РИСКА
Как только будет получен сигнал о возможном Нарушении безопасности или появится подозрение о таковом, Группа реагирования уведомляет ДЛЗПД, а тот приступает к следующему плану действий (при предоставлении Компанией необходимых ресурсов/ дополнительных экспертных знаний, при необходимости):
оценка риска по шкале от 1 до 5 (от пренебрежимо малого до высокого, как по вероятности возникновения, так и по интенсивности) прав субъектов с учётом масштаба затронутости;
определение категорий затронутых Персональных данных;
определение отсутствия/наличия кодирования/других обстоятельств, которые могут минимизировать риск, связанный с Нарушением безопасности и соответственно устранить необходимость уведомления Субъектов;
дает рекомендации, исходя из степени выявленного риска, относительно необходимости уведомления КЗПД;
предлагает конкретные последующие меры для ограничения риска наступившего Нарушения безопасности.
При оценке риска Группа реагирования может использовать в качестве указаний Примерные нарушения риска и необходимость уведомления (Приложение № 4). Указания постоянно обновляются ДЛЗПД, которое может дополнять их другими хорошими практиками.
Высокий риск, связанный с целями оценки существует, когда Нарушения безопасности имеют вероятность нанести физический, материальный или нематериальный ущерб/ вред субъектам, безопасность персональных данных которых была нарушена. Примерами такого ущерба являются дискриминация, кража личности, мошенничество, финансовые потери или ущерб репутации. Когда Нарушение безопасности включает персональные данные, касающиеся расы или этнической принадлежности, состояния здоровья, сексуальной ориентации, приговоров или уголовного преследования, применённых в этой связи принудительных мер, наступление физического, материального или нематериального ущерба предполагается.
При оценке риска Нарушения безопасности следует учитывать специфические обстоятельства, включительно сложность потенциального воздействия и вероятность наступления, таких как:
Вид Нарушения безопасности;
Характер, чувствительность и объем затронутых Персональных данных - чем чувствительнее эти данные, тем выше риск повреждения Субъектов.
Чувствительными могут быть персональные данные, касающиеся расового или этнического происхождения, политических взглядов, религиозных или философских убеждений, членства в профсоюзных организациях, а также обработка генетических данных, биометрических данных только в целях идентификации физического лица, данные о состоянии здоровья или данные о сексуальной жизни или сексуальной ориентации физического лица.
Кроме того, небольшое количество чувствительных персональных данных может оказать большое влияние на данный Субъект, а широкий спектр подробностей об этих данных может раскрыть больше информации о нём. Нарушение, касающееся большого количества Персональных данных для широкого круга Субъектов, также может иметь существенный негативный эффект;
Неправомерная идентификация пострадавших Субъектов третьими лицами - при осуществлении несанкционированного доступа к затронутым Персональным данным третьей стороной, должно быть учтено, как легко это лицо может идентифицировать Субъектов. В зависимости от обстоятельств, идентификация может быть выполнена с использованием данных без дополнительных расследований для идентификации индивида, а может быть и исключительно сложно связать затронутые Персональные данные с конкретным Субъектом, но, несмотря на это идентификация возможна при определенных условиях;
Тяжесть наступивших последствий для Субъектов;
Специфические особенности Субъектов;
Специфические характеристики деятельности Компании в качестве Администратора;
Число затронутых Субъектов.
РЕЕСТР НАРУШЕНИЙ
Независимо от того, требует ли Нарушение безопасности уведомления или нет, Компания документирует все связанные с ним факты, его последствия, предпринятые действия и аргументы в пользу принятых решений. По рекомендации ДЛЗПД и решению Управляющего, для этой цели Компания создает специальный реестр нарушений (Приложение № 3).
В Реестр обязательно вносится запись о предполагаемом времени или периоде возникновения, времени обнаружения, времени уведомления, а также Ф.И.О. сотрудника сделавшего доклад по случаю. После анализа Группы реагирования, в Реестре регистрируются последствия инцидента и меры, предпринятые для решения этой проблемы.
ПРЕВЕНТИВНЫЕ ПРОЦЕДУРЫ И МЕХАНИЗМЫ
ДЛЗПД составляет план обучения недавно принятых на работу и/или переназначенных сотрудников, а также периодического обучения и разъяснения для всех сотрудников.
При осуществлении своей деятельности сотрудники также руководствуются внутренней политикой, правилами и процедурами Компании по обработке персональных данных.
После увольнения сотрудника с предприятия предпринимаются все необходимые технические и организационные действия, связанные с защитой каждого реестра/категории персональных данных, поддерживаемых ООО «TESY», например:
1) Изменение паролей;
2) Ограничение доступа (включая VРN /от англ. Virtual Private Network - виртуальная частная сеть/, облачные сервисы, серверы и пр.);
3) Возврат всех служебных устройств, таких как телефон, ноутбук, USB-накопитель и других, в зависимости от конкретного случая; с возвращенных устройств обязательно удаляется персонализированная информация последнего, пользовавшего устройство сотрудника, включительно и в случаях, когда возвращенное устройство подлежит браковке/уничтожению.
4) Ограничение физического доступа через возвращение ключей, изменение кодов доступа и другое.
Кодирование данных - в случае существования повышенного риска нерегламентированного физического доступа к носителям чувствительных данных или в случае кражи служебных устройств, которые являются носителями персональных данных.
В случаях необходимости восстановления данных, процедура выполняется после письменного разрешения соответствующего лица, ответственного за обеспечение информационной безопасности, и отражается в реестре архивирование и восстановление данных.
В случае компрометации пароля он немедленно заменяется новым, а сертификат доступа соответствующего сотрудника отменяется и событие отражается в реестре инцидентов.
Группа реагирования вместе с ДЛЗПД могут предпринять и другие превентивные меры, механизмы и внутренние инструкции.
Настоящие правила и приложения к ним подготовлены 21.05.2018 и вступили в силу с 25.05.2018 г.
Жечко Кюркчиев, Управляющий ООО "TESY"