I. POZIŢII GENERALE

Tesy LTD (Societatea, TESY), având CUI 040029337, având sediul și adresa administrativă: orașul Shumen, bul. Madara nr. 48, reprezentată prin administratorul Zhechko Kyurkchiev.

Prezenta politică face parte din măsurile de asigurare a securității informațiilor și un sistem eficient de protecție a datelor cu caracter personal la Tesy, care să fie în conformitate cu legislația în vigoare și cele mai bune practici aplicabile.

Regulamentul (UE) 2016/679 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/UE, care a intrat în aplicare din data de 25 mai 2018, precum și prezenta Lege privind protecția datelor, se concentrează pe securitatea datelor cu caracter personal. Cu ajutorul unor măsuri tehnice și organizatorice adecvate, datele ar trebui să fie prelucrate într-un mod care să garanteze o securitate adecvată, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii accidentale, distrugerii sau deteriorării. Daunele pot fi atât fizice, cât si daune materiale sau nemateriale pentru persoanele fizice, cum ar fi pierderea controlului asupra datelor lor personale sau restricționarea lor drepturilor lor, discriminarea, furtul de identitate sau frauda cu identitate falsă, pierderi financiare, îndepărtarea neautorizată a pseudonimizării , prejudicierea reputației, violarea confidențialității datelor cu caracter personal protejate de secretul profesional sau orice alte consecințe negative, economice sau sociale, semnificative pentru persoanele afectate.

Această politică are ca scop crearea următoarelor condiții prealabile organizatorice care să:

§  ofere un nivel de securitate adecvat riscurilor care decurg, în special, din prelucrarea datelor cu caracter personal;

§  țină ținând seama de stadiul actual al tehnicii, costul de punere în aplicare, natura, domeniul de aplicare, contextul și scopul prelucrării, precum și riscurile cu diferite probabilități și gravitate pentru drepturile și libertățile persoanelor fizice;

§  să asigure identificarea la timp util a încălcărilor de securitate, nevoia de notificare și, respectiv, notificarea autorității / persoanele vizate afectate.

§  la dezvoltarea unui plan eficient de acțiune (PlayBook) pentru fiecare caz în parte, se va acorda atenția cuvenită tuturor circumstanțelor încălcării.

II.        CONCEPTE CHEIE

”Politica” - prezenta politică de constatare, escalare și raportare a violării securității datelor cu caracter personal, adoptată de Tesy LTD;

RGPD - Regulamentul (UE) 2016/679 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/UE;

”LPDP” - Legea privind protecția date cu caracter personal;

”CPDP” - Comisia de protecție a datelor cu caracter personal;

"FRDP" - Funcționar responsabil cu protecția date cu caracter personal, căruia i-au fost atribuite sarcinile prevăzute de art. 39 din RGPD. FRDP va fi numit prin Ordin al Administratorului Tesy LTD;

”Date cu caracter personal” - orice informație referitoare la o persoană fizică identificată / persoană fizică care poate fi identificată; o persoană fizică poate fi identificată (direct sau indirect), în special printr-un cod de identificare, cum ar fi numele, numărul de identificare, adresa, identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihologice, mentale, economice, culturale sau sociale a acestei persoane fizice;

”Persoană vizată” - persoană fizică pentru care sunt prelucrate date cu caracter personal, indiferent dacă de contrapartidă al Societății, angajat sau altă persoană ale cărei date sunt procesate de către Societate;

”Prelucrare” - fiecare operațiune / set de operații efectuate asupra datelor cu caracter personal / seturi de date cu caracter personal prin mijloace automate alte / cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în alt mod în care datele sunt disponibile, alinierea sau combinarea, restricție, ștergerea sau distrugerea;

”Administrator” - persoană care fie singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Administratorul în acest caz este Societatea;

”Prelucrător” -  persoană fizică (în afară angajaților Societății) sau persoane juridice care prelucrează date cu caracter personal prin atribuire din partea Societății, iar TESY definește strict scopul și mijloacele de prelucrare incl. a verificat dacă persoana îndeplinește cerințele RGPD;

”Subprelucrător” - subcontractor al Prelucrătorului ales;

”Angajat” - orice persoană angajată de către Societate pe baza unui contract de muncă și / sau contract civil, care prelucrează Date cu caracter personal;

”Categorii speciale de date cu caracter personal” - date conform art. 9 din RGPD, în special de origine revelatoare rasială sau etnică, opiniile politice, convingerile religioase sau filozofice sau apartenența sindicală, precum și prelucrarea datelor genetice, datele biometrice pentru unicul scop de a identifica date individuale de sănătate sau sexualitatea date sau orientarea sexuală a individului;

Datele referitoare la condamnările penale și contravențiilor - date în conformitate cu art. 10 din RGPD, a căror prelucrare se efectuează numai sub supravegherea CPDP;

 ”Încălcarea securității” - eveniment care duce la distrugerea accidentală sau ilegală, pierderea, alterarea, divulgarea sau accesul la datele cu caracter personal transmise neautorizate, divulgate, stocate sau prelucrate în alt mod, cum ar fi:

§  ”distrugerea” apare atunci când datele nu există / nu există într-o formă care poate fi utilizată de către Administratorul;

§  ”pierderea” se produce atunci când există date cu caracter personal, dar Administratorul a pierdut controlul / accesul / posesia reală asupra lor;

§  ”prelucrarea neautorizată sau ilegală” apare atunci când există o dezvăluire de date cu caracter personal/ acces la ele de către destinatari neautorizați, precum și orice altă formă de tratament care încalcă RGPD, de exemplu. distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat la transmise, stocate sau prelucrate în orice alt mod neautorizat date cu caracter personal.

§  ” daunele” sunt toate daunele fizice, materiale, nemateriale care rezultă din prelucrarea neautorizată, ilegală sau pierderea. 

Încălcările de securitate pot fi împărțite în trei grupe principale:

1. Încălcarea confidențialității - în legătură cu divulgarea neautorizată sau accidentală sau accesul la datelor cu caracter personal;

2. Încălcarea accesibilității - atunci când are loc accesul accidental sau neautorizat sau pierderea / distrugerea datelor cu caracter personal;

3. Încălcarea autenticității - în cazul unei modificări accidentale sau neautorizate a datelor cu caracter personal;

Unele încălcări pot îndeplini simultan două sau trei dintre condițiile descrise mai sus - la 1 la 3 inclusiv.

”Echipa de reacție” este o echipa care sa formată în cazul unor încălcări ale securității și care coordonează activitățile de explorare a circumstanțelor legate de presupusa Încălcare a securității, asistă FRDP în îndeplinirea analizei, propunerile și limitarea daunelor; ia un plan de acțiune și măsuri de limitare a daunelor și de a restabili securitatea informațiilor; Echipa este formată din membri care posedă cunoștințe și experiență în domeniul securității informațional, resurselor umane și altele, și, dacă e cazul, este completată cu angajați suplimentari din alte departamente, precum juridic sau de securitatea informațională. 

III.       SCOPUL POLITICII

Această politică își propune să fie un instrument eficient pentru a menține securitatea și pentru a împiedica procesarea care încalcă normele interne ale TESY, ale RGPD și ale legislației aplicabile privind protecția datelor cu caracter personal; și pentru a promova măsuri eficiente de protecție în caz de încălcare a securității datelor cu caracter personal, în scopul de a reduce incidentele în mod corespunzător și în timp util.

IV.       ACȚIUNI ÎN CAZ DE ÎNCĂLCARE

Societatea ia toate măsurile posibile pentru a instrui Angajații să recunoască apariția unor încălcări de securitate, inclusiv riscul de apariție a unei astfel de încălcări. Angajații trebuie să primească instrucțiuni clare cu privire la prioritatea raportării imediate despre o potențială încălcare a securității, ca și asistența necesară ulterioară, în furnizarea de detalii scrise cu privire la incident, cât mai curând posibil.

Odată familiarizați cu această politică, fiecare angajat ar trebui să o aplice cu prioritate în activitățile de prelucrare a datelor cu caracter personal de către Societate; În caz de suspiciune de încălcare a securității, Angajatul, care a constatat primul probabilitatea unui astfel de eveniment, va notifica imediat FRDP, care, după evaluarea situației, va forma Echipa de reacție.

Echipa de reacție se angajează imediat cu studiul notificării de o posibilă încălcare a securității, folosind toate resursele tehnice și organizatorice ale Societății, notifică FRDP și îl asistă la efectuarea analizei ulterioare, facerea de propuneri și la limitare pagubele provocate.

FRDP pregătește un document pentru evaluarea riscului potențial al încălcării și consecințele acesteia, inclusiv măsurile de protecție care pot atenua efectele acesteia și le transmite Administratorului Societății. În baza documentului din propoziția precedentă, Administratorul ia o decizie motivată dacă este obligat să:

·         Notifice Comisia de protecție a date cu caracter personal cu privire la încălcarea apărută; și

·         Să notifice persoanele vizate afectate atunci când există un risc ridicat conform alineatul precedent.

Fiecare Încălcare a securității va fi documentată de către Societate.

V PLAN ȘI ADMINISTRARE A ÎNCĂLCĂRILOR 

Diagrama de mai jos ilustrează în mod clar ce acțiuni trebuie luate în caz de încălcare stabilită.

 

VI.       CONSTATAREA ÎNCĂLCĂRII A SECURITĂȚII

În baza informațiilor strânse Echipa de reacție și FRDP evaluează riscul pentru persoanele vizate în urma Încălcării securității. În cazul în care acesta va fi identificat, FRDP face un aviz cu privire la încălcarea securității și recomandă măsuri pentru a minimiza / repara prejudiciile.

Atunci când există posibilitate încălcarea securității datelor cu caracter personal să creeze riscuri ridicate pentru drepturile și libertățile persoanelor fizice, Societatea, într-un termen rezonabil după constatarea și evaluarea riscului care ar putea cauza această Încălcare a securității, notifică persoanele vizate cu privire la încălcarea securitatea datelor cu caracter personal.

Notificarea persoanelor afectate se face folosind un model aprobat (Anexă nr. 1). Persoanele afectate urmează să fie personal informate în mod corespunzător, la latitudinea Societății - prin e-mail, SMS, scrisoare, prin telefon, prin notificare publică, astfel încât Persoanele vizate să fie informați în mod eficient.

Condiții în care nu este necesară nici-o notificare:

§  Atunci când Încălcarea securității nu va crea riscuri pentru drepturile și libertățile Persoanelor vizate;

§  În cazul în care Datele cu caracter personal sunt disponibile în mod public și dezvăluirea lor nu va reprezenta un risc pentru Persoanele vizate;

§  Atunci când încălcarea securității afectează numai confidențialitatea, iar Datele cu caracter personal în cauză sunt în siguranță, criptate print-un algoritm care corespunde nivelului tehnologic modern, iar cheia de descifrare nu a fost descoperită și a fost generată, astfel încât nu poate fi detectată cu mijloacele tehnice disponibile de către o persoană care nu are acces la cheie.

Se consideră că Societatea a aflat despre producerea unei încălcări de securitate în cazul în care Echipa de reacție și FRDP au declarat că sunt prezente factorii determinanți de apariție a unei astfel de încălcări.

NOTIFICAREA CPDP

În termen de 72 (șaptezeci și două) de ore din cunoașterea încălcării, Societatea este obligată să notifice CPDP. Notificarea către autoritatea de supraveghere se face folosind un model aprobat (Anexă nr. 2).

În cazul în care Societatea, la momentul notificării către CPDP încă nu a informat persoana vizată despre încălcarea securității datelor sale cu caracter personal, CPDP poare, după luarea în considerare care est probabilitatea că încălcarea securității datelor cu caracter personal să creeze un risc ridicat, să ceară Societății să raporteze încălcarea. În acest caz Societatea, urmând instrucțiunile primite de la CPDP, urmează să procedeze la informarea persoanelor vizate în modul cel mai corespunzător.

Diferitele tipuri de încălcări pot necesita informații suplimentare care să fie prezentate pentru a fi explicate circumstanțele legate de fiecare caz în parte.

Lipsa unor informații exacte (precum numărul total al persoanelor afectate), nu este un obstacol pentru notificare în timp util a CPDP. În asemenea cazuri urmează să fie consemnat numărul aproximativ al persoanelor afectate.

În cazul în care nu este posibil că informațiile necesare să fie furnizate împreuna cu notificarea către CPDP, acestea pot fi transmise treptat, fără întârzieri nejustificate.  Motivele unei astfel de notificare sunt:

§  Nu sunt prezente toate faptele relevante;

§  Încălcarea securității este de o complexitate faptică mai mare (de exemplu unele tipuri de accidente din domeniul securității cibernetice);

§  Să fie indicate motivele întârzierii și CPDP să fie notificată în timp util despre faptul că este imposibil să fie furnizate toate informațiile;

§  Să fie obținută aprobarea CPDP cu privire la unei notificări treptate;

§  Să fie primite indicații din partea CPDP cu privire la notificarea persoanelor vizate afectate, dacă, când sau cum acestea să fie notificate.

În mod excepțional și în anumite condiții, este posibilă o notificare amânată - de exemplu, în cazul în care în timpul anchetei a fost constatată prezența unor multiple și asemănătoare Încălcări de securitate pentru anumite categorii de date, într-o perioadă scurtă de timp, care afectează un număr mare de Persoane vizate, Societatea poate notifica CPDP despre toate simultan, depășind perioada de 72 de ore. Această variantă ar trebui să fie aplicată în mod restrictiv și cu respectare strictă a specificul cazului.

Notificarea către autorități de supraveghere în asemenea cazuri urmează să conțină cauzele întârzierii.

EVALUAREA RISCULUI

De îndată ce va fi primit semnalul despre o posibilă Încălcare de securitate sau este suspectată una, Echipa de reacție trebuie să notifice FRDP, iar cel din urmă trece la următorul plan de acțiune (cu asigurare din partea Societății a resurselor necesare / expertiză suplimentară, dacă este necesar):

§  evaluarea riscului pe o scală de la 1 la 5 (de la neglijabil la mar; atât după probabilitatea de apariție, cât și după intensitate) pentru drepturile persoanelor vizate, având în vedere amploarea implicării;

§  determinarea categoriilor de Date cu caracter personal afectate;

§  stabilirea absenței / prezenței de criptare / altor circumstanțe relevante, care să minimizeze riscul unei Încălcări de securitate și, prin urmare, să elimine nevoia de notificare a Persoanelor vizate;

§  facerea de recomandări bazate pe amploarea riscului, cu privire la faptul dacă trebuie să fie notificată CPDP;

§  propunerea de măsuri concrete de monitorizare pentru a limita riscul în urma Încălcării securității care a avut loc.

La evaluarea riscului, Echipa de reacție poate să folosească drept indicații, Încălcările indicative ale riscului și necesitatea de notificare (Anexa nr. 4).  Indicațiile vor fi păstrate actuale de către FRDP care le poate completa și cu alte practici din domeniu.

Un risc mare pentru evaluarea apare atunci când Încălcarea securității este de natură să aducă prejudicii fizice, materiale sau nemateriale Persoanelor vizate, a căror securitate a datelor este încălcată. Exemple de astfel de daune sunt discriminarea, furtul de identitate, frauda, ​​pierderile financiare sau prejudicierea reputației. Atunci când Încălcarea securității implică Sate cu caracter personal, legate de rasă sau etnie, starea de sănătate, orientarea sexuală, condamnările sau urmăririle penale, măsuri restrictive impuse în acest sens, se presupune apariția unor daune fizice, materiale sau nemateriale.

În evaluarea riscului de Încălcare a securității ar trebui să fie luate în considerare circumstanțele specifice, inclusiv complexitatea potențialului impact și probabilitatea de apariție, cum ar fi:

§  Tipul de Încălcare a securității;

§  Caracterul, sensibilitatea și volumul Date cu caracter personal afectate - cu cât mai sensibile sunt datele, cu atât mai mare este riscul de prejudiciere a Persoanelor vizate.

Sensibile pot fi date cu caracter personal de origine revelatoare rasială sau etnică, opiniile politice, convingerile religioase sau filozofice sau apartenența sindicală, precum și prelucrarea datelor genetice, datele biometrice pentru unicul scop de a identifica date individuale de sănătate sau sexualitatea date sau orientarea sexuală a persoanei fizice.

În plus, o mică parte din datele cu caracter personal sensibile pot să aibă un impact mare asupra unei Persoane vizate, iar o gamă largă de detalii cu privire la aceste date poate dezvălui mai multe informații despre aceasta. O Încălcare care afectează o mare cantitate de Date cu caracter personal de Persoane vizate, de asemenea poate să aibă un impact negativ;

§  Identificarea ilegală a Persoanelor vizate afectate de terțe părți - atunci când a avut loc accesul neautorizat la Date cu caracter personal afectate, de către o terță parte, trebuie să se ia în considerare cât de ușor acea persoană poate identifica Persoanele vizate. În funcție de circumstanțe, identificarea ar putea fi realizată prin utilizarea datelor fără teste suplimentare de identificare a individului și poate fi extrem de dificil de a face legătură între Date cu caracter personal afectate și o anumită Persoană vizată, dar identificarea este posibilă în anumite condiţii

§  Gravitatea consecințelor survenite pentru Persoanele vizate;

§  Specificul Persoanelor vizate;

§  Caracteristicile specifice ale activității Societății ca Administrator;

§  Numărul de Persoane vizate afectate.

REGISTRUL ÎNCĂLCĂRILOR

Fie că Încălcarea securității necesită sau nu o notificare, Societatea înregistrează toate faptele asociate cu acesta, consecințele, acțiunile, motivele pentru deciziile luate. La recomandarea FRDP și prin decizie a Administratorului, Societatea creează un registru special pentru acest scop (Anexa nr. 3).

În registru trebuie consemnate în mod obligatoriu ora sau perioada de timp de apariție suspectată, ora și data constatării, ora și data de raportare, și numele angajatului care a raportat. După analiză din partea Echipei de reacție, în registru vor fi consemnate consecințele accidentului și măsurile luate în vederea îndepărtării acestora.

MĂSURI ȘI PROCEDURI PREVENTIVE 

FRDP face un plan de instruire a angajaților noi și/sau a celor transferați, precum și instruiri și clarificări periodice pentru toți angajații. n îndeplinirea sarcinilor lor, angajații sunt guvernați de politicile interne, normele și procedurile Societății cu privire la prelucrarea datelor cu caracter personal.

La plecarea din firmă a angajaților, vor fi luate toate măsurile tehnice și organizatorice necesare, cu privire la protecția fiecărui registru/categorie de date cu caracter personal, ținut de TESY LTD, cum ar fi:

1) Schimbarea parolelor;

2) Limitarea accesului (inclusiv VPN, servicii de cloud, servere și altele);

3) Restituirea tuturor echipamentelor de lucru, cum ar fi telefon, laptop, memorie flash USB și altele, după caz; returnarea dispozitivului în mod obligatoriu trebuie urmat de ștergerea informațiilor personalizate ale ultimei persoane care l-a folosit, inclusiv, în cazul în care dispozitivul returnat urmează fie în mod direct scos din uz în mod direct / distrus.

4) Restricționarea accesului fizic prin returnarea cheilor, modificarea codurilor de acces și altele.

Criptarea de date - în cazul în care există un risc ridicat de un acces fizic nereglementat la suporturile de date sensibile, sau în caz de furt de dispozitivele de lucru, care sunt suporturi de date cu caracter personal.

În cazul necesității de recuperare de date, procedura se efectuează după aprobarea scrisă a persoanei responsabile de securitatea informațiilor, iar această este consemnată în registrul de arhivare și recuperare a datelor.

În cazurile de compromitere a parolei, aceasta urmează să fie imediat înlocuită cu una nouă, iar certificatul de acces al angajatului respectiv este anulat, și evenimentul este consemnat în registrul de accidente.

Echipa de reacție, împreuna cu FRDP pot lua și alte măsuri, mecanisme și instrucțiuni preventive.

Prezentele reguli și anexele la ele au fost elaborate în data de 21.05.2018 și intră în vigoare din data de 25.05.2018.

 

________________

 

Zhechko Kyurkchiev, administrator al TESY LTD