І. ОСНОВНІ ПОЛОЖЕННЯ

ТОВ "Tesy" (Компанія, "TESY"), ЕІК /єдиний ідентифікаційний код/ 040029337, юридична адреса та адреса управління: м. Шумен, бул. "Мадара" № 48, яку представляє її Керівник Жечко Кюркчієв.

Ця політика є частиною заходів, спрямованих на забезпечення інформаційної безпеки та ефективної системи захисту персональних даних в "TESY", відповідно до чинного законодавства і вживаним передовим методам.

Регламент(ЄС) 2016/679 ЕП і Ради від 27 квітня 2016 року про захист фізичних осіб у зв'язку з обробкою їх персональних даних і вільного руху цих даних та відміни Директиви 95/46/EC, що набув чинності з 25 травня 2018 року, а також чинний на сьогодні Закон про захист персональних даних, фокусується на безпеці персональних даних. За допомогою відповідних технічних та організаційних заходів дані повинні оброблятися так, щоб забезпечити їх належну безпеку, включаючи захист від несанкціонованої або неправомірної обробки, а також від випадкової втрати, знищення або пошкодження. Збиток може бути, як фізичним, так і матеріальним або нематеріальним збитком для фізичних осіб, наприклад, втрата контролю за їх персональними даними або обмеження їх прав, дискримінація, крадіжка особи або шахрайство з фальшивою особою, фінансові збитки, недозволене скасування псевдонімізації, порушення репутації, порушення конфіденційності особистих даних, захищених професійною таємницею або будь-які інші істотні економічні або соціально несприятливі наслідки для постраждалих фізичних осіб.

Ця політика спрямована на створення наступних організаційних передумов:

 що надають рівень безпеки, який відповідає ризику, що виникає при конкретній обробці персональних даних;
що враховують досягнення технічного прогресу, вартість реалізації, єство, об'єм, контекст і цілі обробки, а також риски з різною вірогідністю і тяжкістю для прав та свобод фізичних осіб;
що забезпечують своєчасне виявлення порушень у безпеці, необхідність повідомлення і відповідно повідомлення наглядового органу/ суб'єктів даних, яких це стосується.
при розробці ефективного плану дій (playbook) для кожного конкретного випадку буде приділено належну увагу усім обставинам, пов'язаним з порушенням.

II. КЛЮЧОВІ ПОНЯТТЯ

«Політика» - політика виявлення, ескалації і повідомлення про порушення безпеки персональних даних, прийнята в ТОВ "TESY";

«ОРЗПД» - Регламент (EC) 2016/679 ЕП і Ради від 27 квітня 2016 року про захист фізичних осіб у зв'язку з обробкою персональних даних і вільного руху таких даних та відміна Директиви 95/46 / EC;

«ЗЗПД» - Закон про захист персональних даних;

«КЗПД» - Комісія з захисту персональних даних;

 «ПЗПД» - посадовець з захисту персональних даних, якому покладені завдання по ст. 39 ОРЗПД. ПЗПД визначається наказом Керівника ТОВ "Tesy".

«Персональні дані» - будь-яка інформація, пов'язана з ідентифікованою фізичною особою/ фізичною особою, яка може бути ідентифікована; фізична особа може бути ідентифікована (прямо або побічно), зокрема через ідентифікатор, такий як П.І.Б., ідентифікаційний номер, адреса, онлайн ідентифікатор або за одною або декількома ознаками, характерними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності цієї фізичної особи;

«Суб'єкт» - фізична особа, чиї Персональні дані обробляються, будь то контрагент Компанії, Співробітник або будь-яка інша особа, дані якої обробляються Компанією;

 «Обробка» - будь-яка операція/ сукупність операцій, що виконується з Персональними даними/ набором Персональних даних автоматичними/ іншими засобами, такими як збір, запис, організація, структуризація, зберігання, адаптація або зміна, витягання, консультування, використання, розкриття за допомогою передачі, поширення або іншим способом, за допомогою якого дані стають доступними, впорядковування або комбінування, обмеження, видалення або знищення;

«Адміністратор» - особа, яка самостійно або спільно з іншими встановлює цілі та засоби для обробки персональних даних. Адміністратором в даному випадку є Компанія;

«Особа, що оброблює дані» - фізична (окрім співробітників Компанії) або юридична особа, яка обробляє персональні дані за замовленням Компанії, причому "ТЕСІ" точно визначає свою ціль та засоби обробки, і у тому числі перевіряє, чи відповідає ця особа вимогам ОРЗПД;

«Субособа, що оброблює дані» - субпідрядник вибраної особи, який оброблює дані;

«Співробітник» - будь-яка особа, найнята Компанією за трудовим і/або цивільним договором, яка обробляє персональні дані;

 «Спеціальні категорії персональних даних» - дані згідно ст. 9 ОРЗПД, а саме такі, які розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання або членство в профспілках, а також обробка генетичних даних, біометричних даних з єдиною метою ідентифікації фізичної особи, дані про стан здоров'я, сексуальне життя або сексуальну орієнтацію фізичної особи;

Дані, пов'язані з вироками та порушеннями - дані згідно ст. 10 ОРЗПД, обробка яких виконуються тільки під контролем КЗПД;

 «Порушення безпеки»1 - подія, що веде до випадкового або неправомірного знищення, втрати, зміни, несанкціонованого розкриття або доступу до Персональних даних, які передаються, розкриваються, зберігаються або обробляються іншим чином, наприклад:

·         «знищення», коли дані більше не існують / не існують у форматі, в якому вони можуть використовуватися Адміністратором;

·         «втрата», коли Персональні дані існують, але Адміністратор втратив контроль/ доступ/ фактичну владу над ними;

·          «недозволена або незаконна обробка», коли є розкриття Персональних даних/ доступ до них неавторизованими одержувачами, а також будь-яка інша форма обробки, що порушує ОРЗПД. Наприклад, випадкове або неправомірне знищення, втрата, зміна, неправомірне розкриття або доступ до персональних даних, що передані, зберігаються або оброблюються іншим нерегламентованим способом.

·         «збиток» це увесь фізичний, матеріальний і нематеріальний збиток/шкода, що виникає в результаті несанкціонованої, незаконної обробки або втрати.

Порушення безпеки можна розділити на три основні групи:

1. Порушення конфіденційності - у зв'язку з несанкціонованим або випадковим розкриттям або доступом до персональних даних;

2. Порушення доступності - при виникненні випадкової або несанкціонованої втрати або доступу до персональних даних/ знищення персональних даних;

3. Порушення достовірності - при випадковій або несанкціонованій зміні персональних даних.

Деякі порушення можуть одночасно відповідати двом або трьом з описаних вище умов, від 1 до 3.

 «Група реагування» - це команда, яка формується при порушенні безпеки і координує заходи по розслідуванню обставин можливого Порушення безпеки, допомагає ПЗПД при здійсненні дій з аналізу, пропозиції дій та обмеженню збитку; виконує план дій та міри по обмеженню збитку і відновленню безпеки інформації. Команда складається з членів, які мають знання та досвід в області інформаційної безпеки, людських ресурсів тощо, і при необхідності додатково посилюється співробітниками інших відділів, наприклад, юридичного відділу або відділу інформаційної безпеки.

III. МЕТА ПОЛІТИКИ

Ця політика спрямована на те, щоб стати ефективним інструментом для забезпечення безпеки та запобігання обробки даних, що порушує внутрішні правила "TESY", ОРЗПД та чинного законодавства по захисту персональних даних; а також для затвердження ефективних захисних заходів у випадках порушення безпеки персональних даних з метою оволодіння інцидентів з відповідними та своєчасними діями.

ІV. ДІЇ ПРИ ПОРУШЕННЯХ

Компанія робить усі можливі кроки, щоб навчити своїх співробітників розпізнавати Порушення безпеки, включно і ризик виникнення таких. Співробітники повинні отримати чіткі інструкції відносно пріоритетного характеру негайного подання сигналу про можливе Порушення безпеки, а також про необхідне подальше сприяння в наданні письмових відомостей про інцидент при першій же нагоді.

Після ознайомлення з цією Політикою кожен співробітник повинен застосовувати її  з пріоритетом при обробці персональних даних Компанією. При виникненні сумніву щодо Порушення безпеки, Співробітник, який першим виявить вірогідність такої події, негайно інформує ПЗПД, який після оцінки конкретної ситуації формує Команду реагування.

Група реагування негайно робить розслідування сигналу про потенційне Порушення безпеки, використовуючи усі організаційні та технічні ресурси Компанії, інформує ПЗПД і допомагає йому в проведенні подальшого аналізу, дачі пропозицій і обмеженню збитку/шкоди.

ПЗПД складає документ, який оцінює потенційний ризик порушення та його наслідку, включаючи захисні заходи, які можуть пом'якшити його дію, і надає його Керівникові Компанії. Ґрунтуючись на документі по попередньому реченню, Керівник приймає обгрунтоване рішення про те, чи потрібно:

 

·     Сповіщати Комісію з захисту персональних даних про порушення; та

·     Повідомляти постраждалих суб'єктів даних, коли існує високий ризик згідно з попереднім пунктом.

·     Будь-яке порушення безпеки підлягає документуванню з боку Компанії.

V. ПЛАН ТА УПРАВЛІННЯ ПОРУШЕННЯМИ

Приведена нижче схема ілюструє наочно, які дії слід зробити у разі встановлення порушення.

 

VI. ВСТАНОВЛЕННЯ ПОРУШЕННЯ БЕЗПЕКИ

На основі зібраної інформації Група реагування та ПЗПД оцінюють ризик для суб'єктів в результаті порушення безпеки. Якщо такий буде ідентифікований, ПЗПД дає свою думку про виявлене Порушення безпеки та рекомендує заходи по мінімізації/відшкодуванню збитку.

Коли порушення безпеки персональних даних може представляти високий ризик для прав і свобод фізичних осіб, Компанія, в розумні строки після встановлення та оцінки ризику, який може призвести до певного Порушення безпеки, повідомляє суб'єктові даних про порушення безпеки персональних даних.

Повідомлення, що відправляється постраждалим особам, відповідає затвердженому зразку (Додаток № 1). Постраждалі особи мають бути особисто повідомлені відповідним чином на розсуд Компанії - по електронній пошті, SMS, листом, по телефону, через публічне повідомлення, так, щоб Суб'єкти були ефективно інформовані.

Умови, за яких повідомлення непотрібне:

Коли Порушення безпеки не представлятиме загрозу правам і свободам Суб'єктів даних;
Коли Персональні дані є загальнодоступними і їх розкриття не представляє небезпеки для Суб'єктів;
Коли Порушення безпеки стосується тільки конфіденційності, а персональні дані, до яких це відноситься, надійно зашифровані за допомогою алгоритму, що відповідає сучасному технологічному рівню, ключ, для дешифрування якого, не є відкритий і генерується таким чином, що наявними технічними засобами він не може бути відкритий тою особою, яка не має доступу до ключа.

Вважається, що Компанія дізналася про настання Порушення безпеки, коли Група реагування і ПЗПД висловили думку, що в наявності є передумови для такого виникнення.

ПОВІДОМЛЕННЯ КЗПД

В строк до 72 (сімдесяти двох) годин після розкриття Порушення, Компанія зобов'язана повідомляти КЗПД. Повідомлення наглядового органу здійснюється за затвердженим зразком (Додаток № 2).

Якщо Компанія, на момент повідомлення КЗПД, ще не повідомила суб'єкта даних про порушення безпеки його персональних даних, КЗДЛ може, після того, як оцінить яка вірогідність того, що порушення безпеки персональних даних створить високий ризик, зажадати від Компанії повідомити про порушення. В цьому випадку Компанія, слідуючи вказівкам КЗПД, повинна здійснити дії з повідомлення суб'єктів даних відповідним для конкретного випадку способом.

Для різних типів порушень може зажадатися додаткова інформація, яка має бути надана для повного з’ясування обставин кожного конкретного випадку.

Відсутність точної інформації (наприклад, точного числа постраждалих осіб) не є перешкодою для своєчасного повідомлення КЗПД. У таких випадках має бути описане приблизне число постраждалих осіб.

Якщо неможливо надати необхідну інформацію одночасно з повідомленням в КЗПД, її можна подавати поетапно без невиправданої затримки. Передумовами для такого поетапного повідомлення є:

·         Відсутність усіх ревалентних фактів;

·         Порушення безпеки з більшою фактичною складністю (наприклад, деякі види інцидентів в області кібербезпеки);

·         Вказати причини затримки і своєчасно повідомити КЗПД про існування неможливості надання повної інформації;

·         Необхідно отримати схвалення КЗПД на таке поетапне повідомлення;

·         Необхідно отримати рекомендації КЗПД відносно повідомлення постраждалих суб'єктів про те, коли або як вони мають бути повідомлені.

Як виняток і при певних обставинах можливо відстрочене повідомлення - наприклад, якщо в ході розслідування встановиться наявність багатократних і схожих випадків Порушення безпеки певних категорій даних впродовж короткого періоду часу, що стосується великого числа Суб'єктів, Компанія може повідомити КЗПД про всіх них одночасно, перевищивши 72-годинний строк, що дозволяється. Цю можливість слід застосовувати обмежувально, і в цьому випадку строго враховуючи особливості конкретного випадку.

Повідомлення наглядовому органу в таких випадках повинне містити причини затримки.

ОЦІНКА РИЗИКУ

Як тільки буде отриманий сигнал про можливе Порушення безпеки або з'явиться підозра про таке, Група реагування повідомляє ПЗПД, а той приступає до наступного плану дій (при наданні Компанією необхідних ресурсів/ додаткових експертних знань, при необхідності):

·         робить оцінку ризику за шкалою від 1 до 5 (від незначного до високого, як по вірогідності виникнення, так і по інтенсивності) прав суб'єктів з урахуванням масштабу впливу;

·         визначає категорії Персональних даних, що піддалися впливу можливого порушення;

·         визначає відсутність/наявність кодування/інших обставин, які можуть мінімізувати ризик, пов'язаний з Порушенням безпеки і відповідно усунути необхідність повідомлення Суб'єктів;

·         дає рекомендації, виходячи із ступеня виявленого ризику, відносно необхідності повідомлення КЗПД;

·         пропонує конкретні подальші заходи для обмеження ризику Порушення, що настало.

При оцінці ризику Група реагування може використати в якості вказівок Зразкові порушення ризику і необхідність повідомлення (Додаток № 4). Вказівки постійно оновлюються ПЗПД, який може доповнювати їх іншими хорошими практиками.

Високий ризик, пов'язаний з цілями оцінки існує, коли Порушення безпеки мають вірогідність завдати фізичного, матеріального або нематеріального збитку/шкоди суб'єктам, безпека персональних даних яких була порушена. Прикладами такого збитку є дискримінація, крадіжка особи, шахрайство, фінансові втрати або збиток репутації. Коли Порушення безпеки включає персональні дані, що стосуються раси або етнічної приналежності, стану здоров'я, сексуальної орієнтації, вироків або кримінального переслідування, застосованих в зв'язку з цим примусових заходів, настання фізичного, матеріального або нематеріального збитку тільки передбачається.

При оцінці ризику Порушення безпеки слід враховувати специфічні обставини, включно складність потенційної дії і вірогідність настання, таких як:

·         Вид Порушення безпеки;

·         Характер, чутливість та об'єм Персональних даних, що піддалися впливу порушення - чим чутливіше ці дані, тим вище ризик ушкодження Суб'єктів.

Чутливими можуть бути персональні дані, що стосуються расового або етнічного походження, політичних поглядів, релігійних або філософських переконань, членства в профспілкових організаціях, а також обробка генетичних даних, біометричних даних тільки в цілях ідентифікації фізичної особи, дані про стан здоров'я або дані про сексуальне життя та сексуальну орієнтацію фізичної особи.

Крім того, невелика кількість чутливих персональних даних може зробити великий вплив на цей Суб'єкт, а широкий спектр подробиць про ці дані може розкрити більше інформації про нього. Порушення, що стосується великої кількості Персональних даних для широкого кола Суб'єктів, також може мати істотний негативний ефект;

·         неправомірна ідентифікація постраждалих Суб'єктів третіми особами - при здійсненні несанкціонованого доступу до Персональних даних, що піддалися впливу порушення, третьою стороною, повинно бути враховано, як легко ця особа може ідентифікувати Суб'єктів. Залежно від обставин, ідентифікація може бути виконана з використанням даних без додаткових розслідувань для ідентифікації індивіда, а може бути і виключно складно зв'язати Персональні дані, що піддалися впливу можливого порушення, з конкретним Суб'єктом, але, незважаючи на це ідентифікація можлива при визначених умовах;

·         Тяжкість наслідків, що настали, для Суб'єктів;

·         Специфічні особливості Суб'єктів;

·         Специфічні характеристики діяльності Компанії в якості Адміністратора;

·         Число Суб'єктів, що піддалися впливу порушення.

РЕЄСТР ПОРУШЕНЬ

Незалежно від того, чи вимагає Порушення безпеки повідомлення або ні, Компанія документує усі пов'язані з ним факти, його наслідки, вчинені дії та аргументи на користь прийнятих рішень. За рекомендацією ПЗПД та рішенню Керівника, з цією ціллю Компанія створює спеціальний реєстр порушень (Додаток № 3).

У Реєстр обов'язково вноситься запис про передбачуваний час або період виникнення, про час виявлення, час повідомлення, а також П.І.Б. співробітника, який зробив доповідь по цьому випадку. Після аналізу Групи реагування, в Реєстрі реєструються наслідки інциденту і дії, вчинені для вирішення цієї проблеми.

ПРЕВЕНТИВНІ ПРОЦЕДУРИ ТА МЕХАНІЗМИ

ПЗПД складає план навчання нещодавно прийнятих на роботу співробітників та/або співробітників, що були перепризначені, а також періодичного навчання і роз'яснення для усіх співробітників.

При здійсненні своєї діяльності співробітники також керуються внутрішньою політикою, правилами та процедурами Компанії по обробці персональних даних.

Після звільнення співробітника з підприємства вчиняються всі необхідні технічні та організаційні дії, пов'язані із захистом кожного реєстру/категорії персональних даних, підтримуваних ТОВ "TESY", наприклад:

1) Зміна паролів;

2) Обмеження доступу (включаючи VРN /від англ. Virtual Private Network - віртуальна приватна мережа/, хмарні сервіси, сервери тощо);

3) Повернення усіх службових пристроїв, таких як телефон, ноутбук, USB- накопичувач та інших, залежно від конкретного випадку; з повернених пристроїв обов'язково видаляється інформація останнього співробітника, який користувався пристроєм, включно і у випадках, коли повернений пристрій підлягає бракуванню/знищенню.

4) Обмеження фізичного доступу через повернення ключів, зміну кодів доступу та інше.

Кодування даних - у разі існування підвищеного ризику нерегламентованого фізичного доступу до носіїв чутливих даних або у разі крадіжки службових пристроїв, які є носіями персональних даних.

У випадках необхідності відновлення даних, процедура виконується після письмового дозволу відповідної особи, відповідальної за забезпечення інформаційної безпеки, і відображається в реєстрі архівації та відновлення даних.

У разі компрометації пароля він негайно замінюється новим, а сертифікат доступу відповідного співробітника відміняється і подія відбивається в реєстрі інцидентів.

Група реагування разом з ПЗПД можуть вчинити і інші превентивні заходи, механізми та внутрішні інструкції.

Справжні правила і додатки до них підготовлені 21.05.2018 р. і набули чинності з 25.05.2018 року.

 

_________________________________________

Жечко Кюркчієв, Керівник ТОВ "TESY"