ПочнітьПолітика безпеки обробки персональних даних

Політика безпеки обробки персональних даних

ПОЛІТИКА БЕЗПЕКИ

ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ

в

BIZON INT Sp. z o. o

зі штаб-квартирою в Томіце, вул. Європейська 4.

Вступ

Реалізація конституційного права кожної людини на захист приватного життя та положень Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб при обробці персональних даних та про вільне переміщення таких даних та скасування Директиви 95/46 / ЄС (загальне положення про захист даних) з метою застосування технічних та організаційних заходів, що забезпечують захист персональних даних, що обробляються, відповідно до загроз та категорій даних, що підлягають захисту , і, зокрема, для захисту даних від несанкціонованого доступу, видалення несанкціонованою особою, обробки вище Положення та зміни, втрати, пошкодження чи знищення, вводиться такий набір процедур.

Розділ 1

Загальні положення

§ 1. Всякий раз, коли в документі згадується:

1) регулювання - це розуміється як Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб при обробці персональних даних та про вільний рух таких даних, а також про скасування Директиви 95 / 46 / EC (загальний регламент про захист даних);

2) особисті дані - це означає інформацію про ідентифіковану або ідентифікувану фізичну особу ("суб'єкт даних"); фізична особа, що ідентифікується - це особа, яку можна прямо або опосередковано ідентифікувати, зокрема на основі ідентифікатора, такого як ім’я та прізвище, ідентифікаційний номер, дані про місцезнаходження, ідентифікатор Інтернету або один або кілька конкретних фізичних, фізіологічних, генетичних, психічних факторів економічна, культурна чи соціальна ідентичність фізичної особи;

3) набір даних - це розуміється як упорядкований набір персональних даних, доступний за конкретними критеріями, незалежно від того, централізований, децентралізований чи функціонально чи географічно розподілений;

4) обробка даних - розуміється як операція або сукупність операцій, що виконуються над персональними даними або наборами персональних даних в автоматизованому або неавтоматизованому вигляді, наприклад, збір, запис, організація, організація, зберігання, адаптація або модифікація, завантаження, перегляд, використання, розкриття, надсилання, розповсюдження або іншим способом обмін, коригування або комбінування, обмеження, видалення або знищення;

5) ІТ-система - це розуміється як сукупність взаємодіючих пристроїв, програм, процедур обробки інформації та програмних засобів, що використовуються для обробки даних;

6) захист даних в ІТ-системі - це розуміється як здійснення та функціонування відповідних технічних та організаційних заходів, що забезпечують захист даних від несанкціонованої обробки;

7) видалення даних - це розуміється як знищення персональних даних або їх модифікація таким чином, що неможливо буде ідентифікувати суб’єкта даних;

8) контролер даних - розуміється як фізична або юридична особа, орган державної влади, підрозділ чи інший суб’єкт, який самостійно або спільно з іншими визначає цілі та засоби обробки персональних даних; якщо цілі та засоби такої обробки визначені законодавством Союзу або законодавством держави-члена, контролер також може бути призначений згідно із законодавством Союзу або законодавством держави-члена, або можуть бути встановлені конкретні критерії для його призначення;

9) згода суб'єкта даних - це означає добровільне, конкретне, поінформоване та однозначне волевиявлення, яке суб’єкт даних у формі заяви або чіткої позитивної дії дозволяє обробці персональних даних, що стосуються його;

10) одержувачів даних - це означає фізичну або юридичну особу, державний орган, установу чи іншу організацію, якій розкриваються персональні дані, незалежно від того, є вона третьою стороною чи ні. Однак органи державної влади, які можуть отримати персональні дані в ході конкретного провадження згідно із законодавством Союзу або держави-члена, не вважаються одержувачами; обробка цих даних цими державними органами повинна відповідати чинним правилам захисту даних відповідно до цілей обробки;

11) третя країна - розуміється як країна, що не належить до Європейського економічного простору;

12) технічні та організаційні заходи - це слід розуміти як технічні та організаційні заходи, необхідні для забезпечення конфіденційності, цілісності та підзвітності оброблюваних персональних даних;

13) обмеження обробки - це слід розуміти як маркування збережених персональних даних з метою обмеження їх подальшої обробки;

14) профілювання - це означає будь-яку форму автоматизованої обробки персональних даних, яка полягає у використанні персональних даних для оцінки певних особистих факторів фізичної особи, зокрема для аналізу або прогнозування аспектів, пов'язаних з наслідками роботи фізичної особи, економічним становищем, здоров'я, особисті уподобання, інтереси, надійність, поведінка, місцезнаходження або пересування;

15) псевдонімізація - це означає обробку персональних даних таким чином, що вони більше не можуть бути віднесені до конкретного суб'єкта даних без використання додаткової інформації, за умови, що така додаткова інформація зберігається окремо і підлягає технічним та організаційним заходам, що перешкоджають її приписуванню ідентифікованій або ідентифікуваній фізичній особі;

16) процесор - це означає фізичну або юридичну особу, державний орган, установу чи інший орган, який обробляє персональні дані від імені контролера;

17) порушення захисту персональних даних - це означає порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, модифікації, несанкціонованого розголошення або несанкціонованого доступу до персональних даних, що передаються, зберігаються або обробляються іншим чином.

 

Розділ 2

Контролер даних

§ 2. Контролер даних, зокрема:

1. Беручи до уваги характер, обсяг, контекст та цілі обробки, а також ризик порушення прав або свобод фізичних осіб з різною ймовірністю та ступенем ризику, здійснює відповідні технічні та організаційні заходи, щоб забезпечити проведення обробки відповідно до норм і мати можливість це продемонструвати. Ці заходи переглядаються та за необхідності оновлюються.

2. Веде реєстр переробної діяльності. У реєстр включена така інформація:

  • ім'я та прізвище або ім'я та контактні дані контролера даних, а також будь-яких спільних контролерів, і, де це можливо - представника контролера даних та DPO;
  • цілі обробки,
  • опис категорій суб'єктів даних та категорій персональних даних,
  • категорії одержувачів, яким особисті дані були або будуть розкриті, включаючи одержувачів у третіх країнах або в міжнародних організаціях,
  • де це можливо, передача персональних даних третій країні або міжнародній організації, включаючи назву цієї третьої країни або міжнародної організації, а у випадку передачі, про яку йдеться у регламенті, ст. 49 сек. Абзац другий 1, документація про відповідні запобіжні заходи,
  • якщо можливо, заплановані дати видалення окремих категорій даних,
  • де це можливо, загальний опис технічних та організаційних заходів безпеки, зазначених у ст 32 сек. 1. регламенту,

Розділ 3

Технічні та організаційні заходи

§ 3. З метою захисту даних контролер даних відповідає вимогам, зазначеним у регламенті:

а) проводить оцінку впливу на захист даних,

b) проводить аналіз ризиків щодо ресурсів, що беруть участь в окремих процесах,

в) обробляти дані дозволяється лише особам, уповноваженим адміністратором даних (Додаток 1),

г) контракти на доручення обробки даних відповідно до додатка 2,

д) ця політика безпеки була розроблена та впроваджена.

§ 4 . З метою захисту персональних даних застосовуються такі заходи фізичного захисту персональних даних :

  • колекції персональних даних зберігаються в приміщенні, захищеному звичайними дверима (неармовані, не пожежні),
  • файли персональних даних зберігаються в приміщенні, захищеному дверима, файли персональних даних - у приміщенні, розташованому на 1-му та 2-му поверсі.
  • будівля, в якій знаходиться адміністратор даних, обладнана протиугінною сигналізацією
  • доступ до приміщень, де обробляються файли персональних даних, охоплюється системою контролю доступу - ключі видаються на стійці реєстрації лише уповноваженим особам.
  • доступ до будівлі, де знаходиться адміністратор даних, контролюється системою спостереження за допомогою промислових камер
  • будівля, в якій базується контролер даних, цілодобово контролюється службою безпеки,
  • файли персональних даних на паперовій основі зберігаються в закритій металевій шафі та в закритих неметалевих шафах,
  • резервні копії / архіви файлів персональних даних зберігаються в закритому неметалевому шафі
  • приміщення, в яких обробляються файли персональних даних, захищені від впливу вогню за допомогою системи протипожежного захисту та / або окремо стоячого вогнегасника,
  • Після закінчення строку корисності документи, що містять персональні дані, механічно знищуються за допомогою подрібнювачів документів.

§ 5 . З метою захисту персональних даних використовуються такі апаратні заходи ІТ та телекомунікаційної інфраструктури :

  • комп'ютери, що використовуються для обробки персональних даних, підключені до локальної комп'ютерної мережі,
  • такі пристрої, як ДБЖ, генератор електроенергії та / або окрема електромережа, використовувались для захисту ІТ-системи, що використовується для обробки персональних даних, від наслідків відключення електроенергії,
  • доступ до набору персональних даних, який обробляється на окремій комп'ютерній станції / ноутбуці, захищений від несанкціонованої активації паролем
  • доступ до операційної системи комп'ютера, в якому обробляються персональні дані, забезпечується процесом автентифікації з використанням ідентифікатора користувача та пароля,
  • вжито заходів для запобігання виготовлення несанкціонованих копій персональних даних, що обробляються з використанням ІТ-систем,
  • була використана система реєстрації доступу до системи / набору персональних даних,
  • застосовані заходи захисту криптографічних даних щодо персональних даних, переданих за допомогою телепередачі,
  • дисковий масив використовувався для захисту персональних даних від наслідків збою дискової пам'яті,
  • були застосовані заходи проти зловмисного програмного забезпечення, такі як хробаки, віруси, троянські коні, руткіти,
  • система брандмауера була використана для захисту доступу до комп'ютерної мережі,
  • система IDS / IPS була використана для захисту доступу до комп’ютерної мережі,

§ 6 . Для захисту персональних даних у програмних засобах та базах даних використовуються такі заходи захисту:

  • були застосовані заходи щодо визначення прав доступу до зазначеного обсягу даних як частини оброблюваного набору персональних даних,
  • доступ до наборів даних, частково оброблених в ІТ-системах, вимагає автентифікації з використанням ідентифікатора користувача та пароля,
  • системні заходи були застосовані для визначення відповідних прав доступу до ІТ-ресурсів, включаючи файли персональних даних для окремих користувачів ІТ-системи,
  • механізм був використаний для примусової періодичної зміни паролів доступу до набору персональних даних,
  • заставки були встановлені на робочих станціях, де обробляються персональні дані,
  • застосовувався механізм автоматичного блокування доступу до ІТ-системи, що використовується для обробки персональних даних, у разі тривалої бездіяльності роботи користувача (заставки),

§ 7 . З метою захисту персональних даних використовуються такі організаційні заходи :

  • особи, зайняті в обробці даних, знайомі з положеннями про захист персональних даних,
  • особи, зайняті в обробці персональних даних, пройшли навчання в галузі безпеки ІТ-системи,
  • особи, зайняті в обробці персональних даних, зобов'язані зберігати їх у таємниці,
  • комп’ютерні монітори, на яких обробляються персональні дані, встановлюються таким чином, щоб запобігти несанкціонованому доступу до оброблених даних,
  • резервні копії набору персональних даних зберігаються в приміщенні, відмінному від того, в якому сервер, на якому постійно обробляються персональні дані,
  • адміністратор даних визначив основні правила безпеки, що застосовуються до всіх працівників Компанії, тобто:
    • принцип необхідних знань - обмеження доступу до даних лише до тих, які необхідні для виконання обов'язків на певній посаді,
    • принцип відповідальності за ресурси - обробник відповідає за дані, які він обробляє, і зобов'язаний дотримуватися встановлених процедур безпеки у зв'язку з цим,
    • принцип закритої кімнати - не залишати присутніх наодинці в кімнаті (за відсутності уповноваженої особи), абсолютне замикання кімнат ключем при виході з них і не залишаючи ключі в замках,
    • принцип чистого письмового столу - не залишати паперові документи та носії даних на столі (компакт-диски, DVD-диски, флешки тощо) без нагляду,
    • принцип конфіденційності рахунків у системах - кожен працівник зобов'язаний працювати в системах ІКТ на призначених йому рахунках, категорично забороняється робити облікові записи доступними для людей, які їм не призначені,
    • принцип конфіденційності паролів та кодів доступу - збереження конфіденційності та нерозголошення паролів та кодів доступу стороннім особам, зокрема цей принцип застосовується до персональних паролів для доступу до систем ІКТ та захищених зон,
    • принцип використання ділової електронної пошти - кожна особа, уповноважена обробляти дані при виконанні службових обов'язків, використовує лише офіційну електронну скриньку, заборонено використовувати приватну електронну пошту в цьому обсязі,
    • принцип чистого екрану - блокування комп'ютера перед виходом із приміщення, у разі тривалої відсутності в приміщенні необхідно вийти з системи,
    • принцип чистого робочого столу - робочий стіл комп'ютера повинен містити лише піктограми для стандартного програмного забезпечення та бізнес-додатків, а також ярлики до папок, за умови, що ім'я не містить даних, зокрема особистих даних, які можуть неконтрольовано розкриватися (наприклад, під час презентації),
    • принцип чистоти принтерів / копірів - взяття документів із принтерів відразу після їх друку, зокрема, це правило поширюється на документи, залишені в принтерах, розташованих в іншій кімнаті,
    • принцип чистого сміття - паперові документи, за винятком рекламних матеріалів, повинні подрібнюватися або подрібнюватися зовнішньою компанією,
    • принцип законності програмного забезпечення - заборона самовстановлення програмного забезпечення, включаючи зокрема зберігання на комп’ютері вмісту, що порушує авторські права та інші незаконні дані,
    • принцип повідомлення про інциденти з безпекою - кожен обробник даних зобов'язаний повідомляти про інциденти, пов'язані з інформаційною безпекою, тобто несанкціоноване розголошення, знищення або зміна інформації, відповідно до процедури, зазначеної в главі 8,
    • принцип використання ресурсів Компанії - дані, що зберігаються адміністратором даних, можуть оброблятися лише в засобах обробки, дозволених для використання в Компанії, зокрема, забороняється використовувати для цього приватні засоби обробки даних,
    • принцип не використання імен, що містять персональні дані, з точки зору вказівки файлів, папок тощо.
    • принцип належного захисту апаратних ресурсів Компанії, що використовуються як господарське обладнання, - портативні комп’ютери, телефони, смартфони, планшети та інші пристрої, які особи, які обробляють дані в Компанії, використовують у комерційних цілях, повинні бути належним чином захищені від доступу сторонніх осіб, принаймні вони повинні мати захист у вигляді паролів для активації пристрою.

 

Розділ 4 

Процедура DPIA

(Оцінка впливу на захист даних)

§ 8. Для кожного процесу проводиться Оцінка впливу на захист персональних даних (DPIA).

§ 9. DPIA здійснюється з кожною суттєвою зміною обробки персональних даних, наприклад, зміною постачальника послуг, зміною способу обробки даних, обміном ресурсів, що беруть участь у процесі.

§ 10. DPIA проводиться разом з аналізом ризиків принаймні раз на рік стосовно процесів, які в результаті попереднього DPIA виявили високий ризик для прав та свобод суб'єктів даних.

 

Розділ 5

Процедура аналізу ризику та план лікування ризиків 

§ 11. Контролер даних проводить аналіз ризиків для ресурсів, що беруть участь у процесах.

§ 12. Аналіз ризиків проводиться принаймні раз на рік і є основою для оновлення методу управління ризиками.

§ 13. На основі результатів аналізу ризиків контролер даних самостійно впроваджує методи управління ризиками.

§ 14. Кожного разу, коли контролер даних вибирає метод боротьби з ризиком та визначає, які ризики та в якому порядку будуть розглядатися першими.

 

частина 6

Порядок співпраці із зовнішніми суб'єктами 

§ 15 .1. Кожному використанню послуг суб’єкта обробки передує укладення договору про доручення обробки персональних даних

2. Адміністратор даних веде реєстр зовнішніх суб’єктів, яким доручені персональні дані для обробки

§ 16. Кожного разу, перед укладанням контракту на доручення обробки персональних даних, контролер даних перевіряє відповідність регламенту всіх обробників, послугами яких він має намір користуватися, використовуючи процедуру співпраці із зовнішніми суб’єктами.

 

Розділ 7

Процедура захисту даних за замовчуванням

(врахування захисту даних на етапі проектування) 

§ 17. Щоразу, коли розробляється новий продукт або послуга, контролер даних враховує права суб’єктів даних на кожному ключовому етапі його проектування та впровадження. Він реалізує відповідні технічні та організаційні заходи для обробки за замовчуванням лише тих персональних даних, які необхідні для досягнення кожної конкретної мети обробки (обсяг зібраних даних, обсяг та період оброблених даних та їх наявність).

§ 18. Контролер даних, якщо він має намір розпочати обробку персональних даних у новому процесі, здійснює DPIA стосовно цього процесу.

 

Розділ 8

Процедура управління аваріями 

§ 20 . У кожному випадку порушення захисту персональних даних контролер даних перевіряє, чи не призвело порушення до ризику порушення прав або свобод фізичних осіб.

§ 21. Якщо виявиться, що порушення призвело до ризику порушення прав або свобод фізичних осіб, контролер даних повинен негайно повідомити про це контролюючий орган, але не пізніше ніж 72 год від виявлення порушення за допомогою процедури управління інцидентами безпеки.

§ 22. Контролер даних повідомляє суб'єктів даних у разі порушень, що призводять до ризику порушення їх прав або свобод, на основі схеми повідомлення суб'єкта даних про порушення, якщо він не застосував заходів, що усувають ймовірність високого ризику вищезазначеного порушення.

§ 23. Контролер даних документує порушення та веде реєстр порушень, наслідком яких є порушення прав і свобод фізичних осіб.

Розділ 9

Порядок здійснення прав осіб 

§ 24. Контролер даних розглядає кожен випадок готовності суб'єкта персональних даних реалізовувати права, передбачені регламентом, в індивідуальному порядку.

§ 25. Контролер даних негайно реалізує такі права суб'єктів даних:

  • право на доступ до даних,
  • право на виправлення даних,
  • право на видалення даних,
  • право на перенесення даних,
  • право заперечувати проти обробки даних,
  • право не підлягати рішенням, заснованим виключно на профілюванні.

§ 26. У разі здійснення права на виправлення, видалення та обмеження обробки даних контролер даних повинен негайно інформувати одержувачів даних, яким він надав дані, якщо це неможливо або вимагатиме непропорційних зусиль.

§ 27. Контролер даних відмовляється здійснювати права суб'єктів даних, якщо така можливість випливає з положень регламенту, однак будь-яка відмова у здійсненні прав суб'єктів даних вимагає обґрунтування правовою основою, що випливає з регулювання.

Розділ 10

Порядок отримання згоди та інформування людей

§ 28 . 1. Кожного разу, коли дані збираються безпосередньо від суб'єкта даних, контролер даних повинен виконувати інформаційне зобов'язання щодо суб'єкта даних.

2. У разі збору даних від працівника застосовується шаблон інформаційного обов’язку.

§ 29. У кожному випадку збору даних з інших джерел, крім суб'єкта даних, контролер даних виконує інформаційне зобов'язання щодо суб'єкта даних негайно, але не пізніше, ніж під час першого контакту з суб'єктом даних,

§ тридцять. Пункти використовуються в кожному випадку отримання згоди від суб'єкта даних.

 

Розділ 11

Заключні положення

§ 31. Усі принципи, описані в цьому документі, дотримуються особами, уповноваженими обробляти персональні дані, з особливим акцентом на інтереси суб’єктів даних.

§ 32. Цей документ діє з дати його затвердження контролером даних.

ukУкраїнська
ukУкраїнська pl_PLPolski en_GBEnglish (UK) de_DEDeutsch ro_RORomână lt_LTLietuvių kalba ru_RUРусский