Translate

четвъртък, 19 юли 2018 г.

GDPR - Система за управление на защитата на личните данни - Документална част (основни документи)

ПРИМЕР !
Разработен от INFOSEC SERVICE BG





ПОЛИТИКА

ЗА ИЗГРАЖДАНЕ, ПОДДРЪЖКА И РАЗВИТИЕ НА

СИСТЕМА ЗА УПРАВЛЕНИЕ НА ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ
(СУЗЛД)


Забележка:

Този документ е част от документалната част на Система за управление на защитата на личните данни (СУЗЛД). В него е представена Политиката на организацията – намерения, подход, цели, отговорности и др. - за изграждане, последващи поддръжка, и развитие на СУЗЛД. С тази, одобрена от Ръководството на организацията Политика, трябва да бъде запознат целия персонал (собствен и/или външен, временно нает по договор), а също и всички бизнес партньори, които при изпълнение на договорираните си задължения имат достъп до активи на организацията, работещи с лични данни.

Съдържанието на тази Политика е примерно, но е съобразено с конкретен тип бизнес организации, имащи характеристики на малки или средни предприятия (МСП), базирани в страна членка на ЕС, чиито основен бизнес изисква интензивно събиране, съхранение, обработка и обмен на лични данни.

Освен това, при разработката на документалната част на СУЗЛД е прието, че организацията, използвана, като пример:
  • е възложила с договор определени обработки на лични данни на друга организация (базирана в страна на ЕС);
  • използва публични, облачни услуги за съхранение на лични данни;
  • предава лични данни на организация, базирана в страна извън ЕС, при ползването на предоставяни от тази организация договорирани, бизнес услуги (напр., за целите „e mail marketing”)

Под „работа с лични данни“ организацията разбира всички операции, автоматизирани или ръчно изпълнявани, чрез които се извършва събиране, съхранение, обработка, трансфер, достъп (физически и логически) на/до лични данни, или, когато на тяхна база се генерира специална информация, свързана с личността (напр., профилиране за целите на маркетингови проучвания).



1.ВЪВЕДЕНИЕ

Функционирането и успешното изпълнение на бизнес целите на организацията зависи в голяма степен от наличността, цялостта и конфиденциалността на събираните, съхранявани, обработвани и обменяни лични данни. Постигането на тези основни параметри за сигурност на личните данни се осъществява от организацията чрез изграждането , внедряването, поддръжката и развитието на Система за управление на защитата на личните данни, отговаряща на изискванията и/или препоръките на:

  • РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни (Generall Data Protection Regulation - GDPR);
  • Закона за защита на личните данни (ЗЗЛД);
  • Документите на THE WORKING PARTY ON THE PROTECTION OF INDIVIDUALS WITH REGARD TO THE PROCESSING OF PERSONAL DATA set up by Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995, (независим консултативен орган по въпросите на защитата на личните данни и поверителността);
  • Международно признати и широко прилагани международни стандарти в областта на информационната / киберсигурност и управление на риска, както следва:
    • ISO 27001 – Системи за управление на информационната сигурност;
    • ISO 27002 – Контроли / защитни механизми за информационна сигурност;
    • ISO 27005 – Оценка и анализ на риска;
    • ISO 27032 – Киберсигурност;
    • ISO 27018 – Защита на личните данни при тяхното предоставяне за обработка в публичен облак.

Изгражданата, поддържана и развивана от организацията СУЗЛД е основния неин инструмент, чрез който се постига правото на гражданите за защитата на личните данни. В този смисъл, СУЗЛД осигурява организацията при изпълнението на нейните бизнес цели и задачи, като в същото време, създава условия за гарантиране и ползване на съответните права, и свободи от гражданите, субекти на лични данни.

2.ЦЕЛ

Целта на управлението на защитата на личните данни е да се осигури необходимото и достатъчно ниво на тяхната сигурност, а също, и на всички активи на организацията, работещи с лични данни, или имащи достъп до тях (ИТ системи, отделни програмни приложение, компютри и тяхната периферия, мобилни средства за комуникация, персонал и др.) спрямо съответните заплахи, без оглед на тяхната природа, дали са вътрешни или външни, умишлени или случайни.

Прилагането на практика на принципите в тази Политика е важно за поддържането на репутацията на организацията, като надежден и предвидим доставчик на решения, продукти и услуги, спазващ стриктно правата, и свободите на гражданите, чрез защита на личните им данни, събирани, обработвани, съхранявани и обменяни за бизнес цели.

Тази Политика осигурява основните предпоставки за:

- предпазване на личните данни от нерегламентиран достъп;
- постигане и поддържане на конфиденциалността на личните данни;
- недопускане на разкриване на лични данни на неупълномощени лица, по умишлен или непредпазлив начин;
- постигане и поддържане на цялостта на личните данни, чрез защита от нерегламентирани промени;
- постигане и поддържане на наличност на личните данни за упълномощени потребители и/или приложения;
- спазване на законовите и регулаторни изисквания за защита на личните данни – национални и на Европейския съюз (GDPR);
- провеждане на обучение на целия личен състав на организацията по въпросите на сигурността на личните данни;
- докладване и извършване на разследвания по възникнали събития и нарушения по сигурността на личните данни.


3.ОБХВАТ И ПРИЛОЖИМОСТ

3.1 Бизнес обхват

Тази Политика отчита и се прилага за всички основни бизнес процеси на организацията, изпълнението на които изисква, интензивна работа с лични данни.

Всяка промяна в бизнес процесите и бизнес средата, свързани с ползването на лични данни, се разглежда и в контекста на необходимостта за въвеждане на промени в изграждането и / или функционирането на СУЗЛД – напр., внедряване на допълнителни защитни механизми, базирани на проведен анализ на риска към защитата на личните данни за променените и/или новите бизнес процеси/среда.


3.2 Организационен обхват и местоположение

Тази Политика се прилага за всички звена на организацията, изпълняващи бизнес процеси, работещи с лични данни, независимо тяхното географско разположение (вкл., извън страната и/или ЕС, ако е приложимо), както е показано в следващата таблица:

Наименование на звеното
Местоположение / Адрес
Забележка
1





2





...






В контекста на организационния обхват на тази Политика, с нея се обхващат всички постоянни и временни офиси, подвижни и отдалечени работни места (вкл. домашни), работни помещения или които и да било други места, където има разположени и/или се работи с лични данни, притежание на организацията..

3.3 Обхват по активи

Тази Политика се прилага за всички активи на организацията, работещи с лични данни – напр., хардуер, софтуер, информация, ИТ системи, документални системи на хартия, персонала (собствен и външен), бизнес контрагенти и др., както е приложимо..

    4.ПОДХОД

Организацията приема и прилага проактивен подход към защитата на личните данни, чрез практическото изпълнение на изискванията на GDPR и ЗЗЛД.

Организацията счита, че може да осигури изпълнението на изискванията за защита на личните данни, чрез изграждането на съответната система за управление – СУЗЛД. По този начин организацията създава, освен другото и предпоставки за адаптивност на мерките за защита на личните данни към променящите се условия – рискове, бизнес среда, нови ИТ технологии и др.

Като инструментариум за изграждане на СУЗЛД, организацията използва рамката (методология, изисквания и препоръки) на приложимите за целта стандарти за информационна сигурност и управление на риска, от фамилията ISO 27000 – ISO 27001 / 27002 / 27005 / 27032 / 27018.

5.ОТГОВОРНОСТИ

Отговорността за изграждането, внедряването и развитието на СУЗЛД е изцяло в Ръководството на организацията, съответно в упълномощен негов представител на ръководна позиция. Всеки от Ръководството, споделя отговорностите по иницииране и контрол на дейности, свързани с изграждането, внедряването и развитието на ефективна СУЗЛД в организацията.

      5.1 Служител по защитата на личните данни

Организацията определя длъжностно лице по защитата на личните данни и съответните задачи, които то трябва да изпълнява, съгласно чл. 37, 38 и 39 на GDPR.

Освен другото, длъжностното лице по защита на личните данни е непосредствено подчинено и е отговорно пред Ръководство на организацията за:

    - наблюдението и контрола на изпълнението на политиките, процедурите, инструкциите и плановете по сигурността, от документалната част на СУЗЛД;
- ежедневното администриране на дейностите по защита на личните данни;
    - периодичното провеждане на анализ на риска към защитата на личните данни;
    - координацията с Ръководството, по всички въпроси, свързани със защитата на личните данни;
    - повишаването на знанията и уменията на персонала по въпроси, свързани със защитата на личните данни;

    6.ДОКУМЕНТАЛНА ЧАСТ НА СУЗЛД
Документалната част е задължителен елемент на СУЗЛД. Тя се разработва в съответствие с изискванията на GDPR, ЗЗЛД, ISO 27001 (както е приложимо) и бизнес целите на организацията. Документалната част на СУЗЛД се поддържа и развива в съответствие с промените в рисковете към защитата на личните данни, промените в правната рамка, измененията в бизнес процесите / средата на организацията и при въвеждане на нови ИТ технологии за обработка наличните данни.

Препоръчителни и задължителни документи, свързани с изграждането на СУЗЛД:

Забележка: Показаните по-долу в таблицата документи, не са краен списък от документите, свързани с внедряването на изискванията на GDPR. За всяка отделна организация могат да се появят още много допълнителни документи (напр., процедури,инструкции и др. по сигурността на личните данни). На практика, не съществува един, единствен набор от документи, за различните организации. В този смисъл,показаните по-долу в таблицата документи, могат и трябва да се разглеждат, като едно ядро, около което могат да се добавят различни документи, свързани с прилагането на изискванията за защита на личните данни – както е приложимо за съответната организация.


документ
Име на документа
Член на
EU GDPR

Задължителен документ по GDPR
Препоръчителен документ


1
Подготовка за работата по проект „Защита на личните данни в съответствие с изискванията на EU GDPR и законите на страната”





1
1.1
Анализ и оценка на готовността на организацията за изпълнение изискванита за защита на личните данни
НЯМА
НЕ
ДА
2
1.2
План за изпълнение на проект „Защита на личните данни в съответствие с изискванията на EU GDPR и законите на страната”
НЯМА
НЕ
ДА


2
Политики, свързани със защитата на личните данни






3
2.1
Политика за защита на личните данни

Забележка: Към тази Политика може да има, както е приложимо, процедури, инструкции, планове, шаблони на документи и др., свързани със сигурността на личните данни
Чл. 24(2)


ДА

4
2.2
Политика за защита на личните данни на служителите на организацията

Забележка: Към тази Политика може да има, както е приложимо, процедури, инструкции, планове, шаблони на документи и др., свързани със сигурността на личните данни
Чл. 24(2)
НЕ
ДА
5
2.3
Съобщение, свързано с тайната на личните данни
Чл.12, 13 и14


ДА

6
2.4
Регистър на съобщенията, свързани с тайната на личните данни
Чл.12, 13 и14


НЕ
ДА
7
2.5
Политика за запазване на личните данни

Забележка: Към тази Политика може да има, както е приложимо, процедури, инструкции, планове, шаблони на документи и др., свързани със сигурността на личните данни
Чл. 5(1)(e), 13(1), 17 и 30
ДА

8
2.6
Приложение Опис , свързан със запазването на личните данни Чл. 30
ДА

9
2.7
Длъжностна характеристика на „Служител по защита на личните данни“
Чл. 37, 38 и 39


ДА



3
Дейности, свързани с обработките на лични данни






10
3.1
Ръководство за подготовка на Опис на личните данни и съответните обработки, които се извършват с тях
Чл. 30
НЕ
ДА
11
3.2
Приложение – Опис на обработките на личните данни
Чл. 30
ДА


4
Управление на правата на субектите на данни






12
4.1
Форма за съгласие на субекта на данни
Чл. 6(1)(a), 7(1) и 9(2)


ДА

13
4.2
Форма за оттегляне на дадено съгласие от субекта на данни
Чл. 7(3)
НЕ
ДА
14
4.3
Форма за родителско съгласие
Чл. 8
ДА

15
4.4
Форма за оттегляне на дадено родителско съгласие
Чл. 8
ДА

16
4.5
Процедура за искане на достъп от субект на данни
Чл. 7(3), 15, 16, 17, 18, 20, 21 и 22
НЕ
ДА
17
4.6
Форма за искане на достъп от субект на данни
Чл. 15
НЕ
ДА
18
4.7
Форма при разкриване на лични данни на субекта на данни
Чл.15
НЕ
ДА


5
Оценка на въздействието върху защитата на личните данни






19
5.1
Методология за оценка на въздействието върху защитата на личните данни
Чл.35


НЕ
ДА
20
5.2
Регистър на оценките на въздействие върху защитата на личните данни


Чл. 35
ДА



6
Трансфер на лични данни






21
6.1
Процедура за трансграничен трансфер на лични данни
Чл. 1(3), 44, 45, 46, 47 и 49


НЕ
ДА
22
6.2
Приложение 1 – Стандартизирани клаузи в Договор за трансфер на лични данни



Чл. 46(5)


ДА

23
6.3
Приложение 2 - Стандартизирани клаузи в Договор за трансфер на лични данни към обработващ данни



Чл. 46(5)
ДА



7
Съответствие на трети страни с GDPR





24
7.1
Въпросник за оценка на съответствието с GDPR на обработващ данни.
Чл. 28 и 32


НЕ
ДА
25
7.2
Споразумение / договор с доставчик на услуги за обработка на лични данни


Чл. 28, 32 и 82


ДА



8
Сигурност на личните данни






26
8.1
Политика за ИТ сигурност
Чл.32
НЕ
ДА
27
8.2
Политика за контрол на достъпа
Чл.32
НЕ
ДА
28
8.3
Политики за сигурност на ИТ звеното
Чл.32
НЕ
ДА
29
8.4
Политика за работа с лични компютърни средства
Чл.32
НЕ
ДА
30
8.5
Политика за работа с мобилни устройства
Чл.32
НЕ
ДА
31
8.6
Политика за „чисто“ бюро
Чл.32
НЕ
ДА
32
8.7
Политика за класифициране на информацията
Чл.32
НЕ
ДА
33
8.8
Политика за анонимизация и псевдонимизация
Чл.32
НЕ
ДА
34
8.9
Политика за използване на криптография
Чл.32
НЕ
ДА
35
8.10

План за възстановяване при бедствия
Чл.32
НЕ
ДА
36
8.11
Процедура за провеждане на вътрешни одити по сигурността
Чл.32
НЕ
ДА
37
8.12
Приложение – Въпроси за предварителна проверка на сигурността, при провеждане на вътрешни одити.
Чл.32
НЕ
ДА


9
Пробиви в защитата на личните данни






38
9.1
Процедура за отговор и уведомяване при пробив на защитата на личните данни.
Чл. 4(12), 33 и 34


ДА

39
9.2
Регистър на пробивите в защитата на личните данни
Чл. 33(5)
ДА

40
9.3
Форма за уведомяване на надзорния орган при пробив в защитата на личните данни.
Чл. 33


ДА

41
9.4
Форма за уведомяване на субекта на данни, при пробив в защитата на личните данни.
Чл. 34


ДА




Забележка: СУЗЛД се разработва, внедрява, поддържа, развива , финансира, осигурява и управлява, като всеки останал проект в организацията (с подобна важност и сложност), по възприетите и прилагани от организацията ред и правила.


    7.ОСНОВНИ ПОЛОЖЕНИЕ, СВЪРЗАНИ С ИЗГРАЖДАНЕТО, ПОДДРЪЖКАТА И РАЗВИТИЕТО НА СУЗЛД

Тази Политика е разработена, за да осигури изисквания за създаване, внедряване, поддържане и непрекъснато подобряване на СУЗЛД..
Възприемането и прилагането на СУЗЛД е стратегическо решение за организацията.
СУЗЛД запазва поверителността, цялостността и наличността на личните данни, чрез прилагане на процес за управление на риска и дава увереност на заинтересуваните страни, че рисковете се управляват по подходящ начин.

СУЗЛД е част и е интегрирана с процесите, и цялостната управленска структура на организацията. Сигурността на на личните данни се взема под внимание при разработването на бизнес процеси, информационни системи и механизмите / средствата за контрол / защита, свързани с обработки на лични данни.

8. ЗАКЛЮЧЕНИЕ

Тази Политика е неразделна част от документалната част на СУЗЛД. Тя подлежи на актуализация, така, както е приложимо. С нея са длъжни да се запознаят:
  • ръководството на организацията;
  • персонала на организацията;
  • контрагентите на организацията


Дата:                                                                           Утвърдил:



НЕ ЗАБРАВЯЙТЕ, ЧЕ ТОЗИ ДОКУМЕНТ Е ПРИМЕР, РАЗРАБОТЕН ОТ INFOSEC SERVICE BG И Е
ПРЕДНАЗНАЧЕН ДА ВИ ПОДПОМОГНЕ ПРИ РАЗРАБОТВАНЕТО НА ВАШ, СОБСТВЕН ДОКУМЕНТ,


ОТРАЗЯВАЩ ХАРАКТЕРИСТИКИТЕ И ОСОБЕНОСТИТЕ НА ВАШАТА ОРГАНИЗАЦИЯ !

Няма коментари:

Публикуване на коментар