НачинатьПолитика безопасности обработки персональных данных

Политика безопасности обработки персональных данных

ПОЛИТИКА БЕЗОПАСНОСТИ

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

в

BIZON INT Sp. z o. o

со штаб-квартирой в Томице, ул. Европейский 4.

Допуск

Реализация конституционного права каждого человека на защиту частной жизни и положений Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и об отмене Директивы 95/46 / EC (общее положение о защите данных) с целью применения технических и организационных мер, обеспечивающих защиту обрабатываемых персональных данных, соответствующих угрозам и категориям данных, подлежащих защите , и, в частности, для защиты данных от несанкционированного доступа, удаления неавторизованным лицом, обработки выше Регламента и изменения, утраты, повреждения или уничтожения вводится следующий набор процедур.

Глава 1

Основные положения

§ 1. Всякий раз, когда в документе упоминается:

1) регулирование - под ним понимается Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95 / 46 / EC (общие правила защиты данных);

2) личные данные - это информация об идентифицированном или идентифицируемом физическом лице («субъекте данных»); идентифицируемое физическое лицо - это лицо, которое может быть прямо или косвенно идентифицировано, в частности, на основе идентификатора, такого как имя и фамилия, идентификационный номер, данные о местоположении, интернет-идентификатор или один или несколько конкретных физических, физиологических, генетических, психических факторов экономическая, культурная или социальная принадлежность физического лица;

3) набор данных - под ним понимается упорядоченный набор персональных данных, доступных в соответствии с определенными критериями, независимо от того, является ли этот набор централизованным, децентрализованным или функционально или географически рассредоточенным;

4) обработка данных - под ним понимается операция или набор операций, выполняемых с персональными данными или наборами персональных данных в автоматическом или неавтоматическом режиме, например сбор, запись, организация, организация, хранение, адаптация или изменение, загрузка, просмотр, использование, раскрытие путем отправки, распространения или иного обмена, корректировки или комбинирования, ограничения, удаления или уничтожения;

5) IT система - понимается как совокупность взаимодействующих устройств, программ, процедур обработки информации и программных средств, используемых для обработки данных;

6) защита данных в IT-системе - понимается реализация и действие соответствующих технических и организационных мер, обеспечивающих защиту данных от несанкционированной обработки;

7) удаление данных - это понимается как уничтожение персональных данных или их изменение таким образом, что невозможно будет идентифицировать субъект данных;

8) контроллер данных - под ним понимается физическое или юридическое лицо, государственный орган, подразделение или другое юридическое лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; если цели и средства такой обработки указаны в законодательстве Союза или в законодательстве государства-члена, контролер также может быть назначен в соответствии с законодательством Союза или законодательством государства-члена, или могут быть установлены конкретные критерии для его назначения;

9) согласие субъекта данных - это означает добровольное, конкретное, информированное и недвусмысленное волеизъявление, которое субъект данных в форме заявления или четкого позитивного действия разрешает обрабатывать относящиеся к нему личные данные;

10) получатели данных - это означает физическое или юридическое лицо, государственный орган, агентство или другое лицо, которому раскрываются личные данные, независимо от того, является ли оно третьей стороной. Однако государственные органы, которые могут получать персональные данные в ходе конкретной процедуры в соответствии с законодательством Союза или государства-члена, не считаются получателями; обработка этих данных этими государственными органами должна соответствовать применимым правилам защиты данных в соответствии с целями обработки;

11) третья страна - понимается как страна, не входящая в Европейское экономическое пространство;

12) технические и организационные меры - следует понимать технические и организационные меры, необходимые для обеспечения конфиденциальности, целостности и подотчетности обрабатываемых персональных данных;

13) ограничение обработки - это следует понимать как маркировку сохраненных личных данных с целью ограничения их обработки в будущем;

14) профилирование - это означает любую форму автоматизированной обработки персональных данных, которая заключается в использовании персональных данных для оценки определенных личных факторов физического лица, в частности, для анализа или прогнозирования аспектов, связанных с последствиями работы физического лица, экономической ситуации, здоровье, личные предпочтения, интересы, надежность, поведение, местонахождение или передвижение;

15) псевдонимизация - это означает обработку персональных данных таким образом, чтобы их больше нельзя было отнести к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и подлежит техническим и организационным мерам, предотвращающим ее отнесение идентифицированному или идентифицируемому физическому лицу;

16) процессор - это означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера;

17) нарушение защиты персональных данных - это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, модификации, несанкционированному раскрытию или несанкционированному доступу к передаваемым, хранимым или иным образом обработанным личным данным.

 

Глава 2

Контроллер данных

§ 2. Контроллер данных, в частности:

1. Принимая во внимание характер, объем, контекст и цели обработки, а также риск нарушения прав и свобод физических лиц с различной вероятностью и степенью риска, принимает соответствующие технические и организационные меры для обеспечения того, чтобы обработка выполнялась. в соответствии с регламентом и иметь возможность продемонстрировать это. Эти меры пересматриваются и обновляются по мере необходимости.

2. Ведет реестр перерабатывающей деятельности. В реестр внесена следующая информация:

  • имя и фамилия или имя и контактные данные контроллера данных, а также любых совместных контроллеров и, если применимо, представителя контроллера данных и DPO;
  • цели обработки,
  • описание категорий субъектов данных и категорий персональных данных,
  • категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах или в международных организациях,
  • где применимо, передача персональных данных в третью страну или международную организацию, включая название этой третьей страны или международной организации, а в случае передачи, упомянутой в регламенте, ст. 49 сек. 1, второй абзац, документация о соответствующих гарантиях,
  • по возможности планируемые даты удаления отдельных категорий данных,
  • где возможно, общее описание технических и организационных мер безопасности, указанных в Статье 32 сек. 1. постановления,

Глава 3

Технические и организационные меры

§ 3. Чтобы защитить данные, контролер данных соблюдает требования, указанные в постановлении:

а) проводит оценку воздействия на защиту данных,

б) проводит анализ рисков в отношении ресурсов, задействованных в отдельных процессах,

c) только лицам, уполномоченным администратором данных, разрешено обрабатывать данные (Приложение 1),

г) договоры на поручение обработки данных в соответствии с Приложением 2,

e) эта политика безопасности была разработана и реализована.

§ 4 . В целях защиты персональных данных используются следующие меры физической защиты персональных данных :

  • сборники персональных данных хранятся в помещении, закрытом обычными дверьми (неармированными, негорючими),
  • файлы с личными данными хранятся в помещении, защищенном дверью, файлы с личными данными хранятся в помещении, расположенном на 1 и 2 этажах.
  • здание, в котором находится администратор данных, оборудовано системой охранной сигнализации.
  • доступ в помещения, где обрабатываются файлы с персональными данными, обеспечивается системой контроля доступа - ключи выдаются на стойке регистрации только уполномоченным лицам.
  • доступ в здание, где находится администратор данных, контролируется системой видеонаблюдения с использованием промышленных камер
  • здание, в котором находится контроллер данных, круглосуточно контролируется службой безопасности,
  • файлы персональных данных на бумажных носителях хранятся в закрытом металлическом шкафу и в закрытых неметаллических шкафах,
  • резервные копии / архивы файлов персональных данных хранятся в закрытом неметаллическом шкафу
  • помещения, в которых обрабатываются файлы с персональными данными, защищены от воздействия пожара с помощью системы противопожарной защиты и / или отдельно стоящего огнетушителя,
  • По истечении срока годности документы, содержащие персональные данные, уничтожаются механически с помощью уничтожителей документов.

§ 5 . Для защиты персональных данных используются следующие аппаратные средства ИТ и телекоммуникационной инфраструктуры :

  • компьютеры, используемые для обработки персональных данных, подключены к локальной компьютерной сети,
  • такие устройства, как ИБП, электрогенератор и / или отдельная электросеть, использовались для защиты ИТ-системы, используемой для обработки персональных данных, от последствий отключения электроэнергии,
  • доступ к набору персональных данных, который обрабатывается на отдельной компьютерной станции / ноутбуке, защищен от несанкционированной активации паролем
  • доступ к операционной системе компьютера, на котором обрабатываются персональные данные, защищен процессом аутентификации с использованием идентификатора пользователя и пароля,
  • приняты меры по предотвращению создания несанкционированных копий персональных данных, обрабатываемых с использованием ИТ-систем,
  • использовалась система регистрации доступа к системе / набору персональных данных,
  • были применены меры криптографической защиты данных для персональных данных, передаваемых посредством телетрансляции,
  • дисковый массив использовался для защиты личных данных от последствий сбоя дисковой памяти,
  • Были применены меры защиты от вредоносных программ, такие как черви, вирусы, троянские кони, руткиты,
  • Система Firewall использовалась для защиты доступа к компьютерной сети,
  • система IDS / IPS использовалась для защиты доступа к компьютерной сети,

§ 6 . В целях защиты персональных данных в программных инструментах и базах данных используются следующие меры защиты:

  • применены меры для определения прав доступа к указанному объему данных в составе обрабатываемого набора персональных данных,
  • доступ к наборам данных, частично обрабатываемых в ИТ-системах, требует аутентификации с использованием идентификатора пользователя и пароля,
  • были применены системные меры для определения соответствующих прав доступа к ИТ-ресурсам, включая файлы личных данных для отдельных пользователей ИТ-системы,
  • использован механизм принудительной периодической смены паролей доступа к набору персональных данных,
  • установлены заставки на рабочие места, где обрабатываются персональные данные,
  • использовался механизм автоматической блокировки доступа к ИТ-системе, используемой для обработки персональных данных, в случае длительного бездействия пользователя (хранители экрана),

§ 7 . В целях защиты персональных данных используются следующие организационные меры :

  • лица, занятые в обработке данных, ознакомлены с положениями о защите личных данных,
  • лица, занятые обработкой персональных данных, прошли обучение в области безопасности ИТ-систем,
  • лица, занятые обработкой персональных данных, обязаны хранить их в тайне,
  • компьютерные мониторы, на которых обрабатываются персональные данные, настроены таким образом, чтобы предотвращать несанкционированный доступ к обрабатываемым данным,
  • резервные копии набора персональных данных хранятся не в той комнате, где находится сервер, на котором персональные данные обрабатываются на постоянной основе,
  • администратор данных определил основные правила безопасности, применимые ко всем сотрудникам Компании, а именно:
    • принцип необходимых знаний - ограничение доступа к данным только теми, которые необходимы для выполнения обязанностей в данной должности,
    • принцип ответственности за ресурсы - процессор несет ответственность за обрабатываемые данные и обязан соблюдать установленные процедуры безопасности в этом отношении,
    • принцип закрытого помещения - не оставлять в помещении одних посторонних (в случае отсутствия уполномоченного лица), абсолютное запирание помещений ключом при выходе из них и не оставлять ключи в замках,
    • принцип чистого стола - не оставлять бумажные документы и носители информации на столе (CD, DVD, USB-флешки и т. д.) без присмотра,
    • принцип конфиденциальности учетных записей в системах - каждый сотрудник обязан работать в ИКТ-системах на назначенных ему учетных записях, категорически запрещается делать учетные записи доступными для людей, которые к ним не привязаны,
    • принцип конфиденциальности паролей и кодов доступа - сохранение конфиденциальности и неразглашение паролей и кодов доступа посторонним лицам, в частности, этот принцип применяется к личным паролям для доступа к системам ИКТ и защищенным зонам,
    • принцип использования деловой электронной почты - каждое лицо, уполномоченное обрабатывать данные при исполнении служебных обязанностей, использует только официальный электронный почтовый ящик, запрещается использовать личную электронную почту в этой сфере,
    • принцип чистого экрана - блокировка компьютера перед выходом из комнаты, в случае длительного отсутствия в комнате необходимо выйти из системы,
    • принцип чистого рабочего стола - рабочий стол компьютера должен содержать только значки для стандартного программного обеспечения и бизнес-приложений, а также ярлыки для папок, при условии, что имя не содержит данных, в частности персональных данных, которые могут быть неконтролируемым раскрытием (например, во время презентации),
    • принцип чистых принтеров / копиров - снятие документов с принтеров сразу после их печати, в частности, это правило распространяется на документы, оставленные в принтерах, расположенных в другом помещении,
    • принцип чистого мусора - бумажные документы, за исключением рекламных материалов, должны быть измельчены или измельчены сторонней компанией,
    • принцип законности программного обеспечения - запрет на самостоятельную установку программного обеспечения, включая, в частности, хранение на компьютере контента, нарушающего авторские права, и других незаконных данных,
    • принцип сообщения об инцидентах безопасности - каждый обработчик данных обязан сообщать об инцидентах, связанных с информационной безопасностью, то есть о несанкционированном раскрытии, уничтожении или изменении информации, в соответствии с процедурой, указанной в главе 8,
    • принцип использования ресурсов Компании - данные, которыми владеет администратор данных, могут обрабатываться только средствами обработки, разрешенными для использования в Компании, в частности, запрещено использовать частные средства обработки данных для этой цели,
    • принцип отказа от имен, содержащих личные данные, с точки зрения указания файлов, папок и т. д.
    • принцип адекватной защиты аппаратных ресурсов Компании, используемых в качестве бизнес-оборудования - портативных компьютеров, телефонов, смартфонов, планшетов и других устройств, которые лица, обрабатывающие данные в Компании, используют в коммерческих целях, должен быть надлежащим образом защищен от доступа посторонних лиц, по крайней мере, они должны иметь защиту в виде паролей для активации устройства.

 

Глава 4 

Процедура DPIA

(Оценка воздействия на защиту данных)

§ 8. Оценка воздействия на защиту персональных данных (DPIA) проводится для каждого процесса.

§ 9. DPIA выполняется при каждом значительном изменении обработки персональных данных, например, при смене поставщика услуг, изменении метода обработки данных, обмене задействованными в процессе ресурсами.

§ 10. DPIA проводится вместе с анализом рисков не реже одного раза в год в отношении процессов, которые в результате предыдущего DPIA показали высокий риск для прав и свобод субъектов данных.

 

Глава 5

Процедура анализа рисков и план обработки рисков 

§ 11. Контроллер данных выполняет анализ рисков для ресурсов, задействованных в процессах.

§ 12. Анализ рисков проводится не реже одного раза в год и является основой для обновления метода управления рисками.

§ 13. По результатам анализа рисков контролер данных самостоятельно внедряет методы управления рисками.

§ 14.. Каждый раз контролер данных выбирает метод борьбы с риском и определяет, какие риски и в каком порядке будут рассматриваться в первую очередь.

 

Глава 6

Порядок взаимодействия с внешними организациями 

§ 15 .1. Каждому использованию услуг обрабатывающей организации предшествует заключение договора на поручение обработки персональных данных.

2. Администратор данных ведет реестр внешних лиц, которым доверяют персональные данные для обработки.

§ 16. Каждый раз перед заключением договора на поручение обработки персональных данных контролер данных проверяет соблюдение правил всеми обработчиками, чьи услуги он намеревается использовать, используя процедуру сотрудничества с внешними организациями.

 

Глава 7

Процедура защиты данных по умолчанию

(с учетом защиты данных на этапе проектирования) 

§ 17. Каждый раз, когда разрабатывается новый продукт или услуга, контролер данных принимает во внимание права субъектов данных на каждом ключевом этапе их разработки и внедрения. Он реализует соответствующие технические и организационные меры для обработки по умолчанию только тех персональных данных, которые необходимы для достижения каждой конкретной цели обработки (объем собранных данных, объем и период обработки данных, а также их доступность).

§ 18.. Контроллер данных, если он намеревается начать обработку персональных данных в новом процессе, выполняет DPIA в отношении этого процесса.

 

Глава 8

Процедура управления инцидентами 

§ 20 . В каждом случае нарушения защиты персональных данных контролер данных проверяет, привело ли нарушение к риску нарушения прав или свобод физических лиц.

§ 21. Контроллер данных, если обнаруживается, что нарушение привело к риску нарушения прав или свобод физических лиц, немедленно уведомляет надзорный орган, но не позднее, чем в течение 72 ч от выявления нарушения с помощью процедуры управления инцидентами безопасности.

§ 22. Контроллер данных уведомляет субъектов данных в случае нарушений, приводящих к риску нарушения их прав или свобод, на основе схемы уведомления субъекта данных о нарушении, если только он не применил меры, исключающие вероятность высокого риска вышеперечисленного нарушения.

§ 23. Контроллер данных документирует нарушения и ведет реестр нарушений, которые приводят к нарушению прав и свобод физических лиц.

Глава 9

Порядок реализации прав человека 

§ 24. Контроллер данных рассматривает каждый случай желания субъекта данных осуществлять права, предусмотренные в регулировании, на индивидуальной основе.

§ 25.. Контроллер данных немедленно пользуется следующими правами субъектов данных:

  • право на доступ к данным,
  • право исправлять данные,
  • право на удаление данных,
  • право на переносимость данных,
  • право возражать против обработки данных,
  • право не подчиняться решениям, основанным исключительно на профилировании.

§ 26.. В случае реализации права на исправление, удаление или ограничение обработки данных, контролер данных должен немедленно проинформировать получателей данных, которым он предоставил данные, за исключением случаев, когда это невозможно или потребует несоразмерных усилий.

§ 27.. Контроллер данных отказывается осуществлять права субъектов данных, если такая возможность вытекает из положений регламента, однако любой отказ от осуществления прав субъектов данных требует обоснования с правовой основой, вытекающей из регулирования.

Глава 10

Порядок получения согласия и информирования людей

§ 28 . 1. Когда данные собираются непосредственно от субъекта данных, контролер данных должен выполнить информационное обязательство по отношению к субъекту данных.

2. В случае сбора данных от сотрудника применяется шаблон информационного обязательства.

§ 29. В каждом случае сбора данных из источников, отличных от субъекта данных, контроллер данных выполняет информационное обязательство перед субъектом данных немедленно, но не позднее, чем во время первого контакта с субъектом данных,

§ 30. Пункты используются в каждом случае получения согласия от субъекта данных.

 

Глава 11

Заключительные положения

§ 31. Все принципы, описанные в этом документе, соблюдаются лицами, уполномоченными обрабатывать персональные данные, с особым упором на интересы субъектов данных.

Статья 32.. Этот документ действителен с момента его утверждения контроллером данных.

ru_RUРусский
ru_RUРусский pl_PLPolski en_GBEnglish (UK) de_DEDeutsch ro_RORomână lt_LTLietuvių kalba ukУкраїнська