ПРИМЕР
!
Разработен
от INFOSEC SERVICE BG
ПОЛИТИКА
ЗА
ИЗГРАЖДАНЕ, ПОДДРЪЖКА И
РАЗВИТИЕ НА
СИСТЕМА
ЗА УПРАВЛЕНИЕ НА ЗАЩИТАТА НА ЛИЧНИТЕ
ДАННИ
(СУЗЛД)
Забележка:
Този
документ е част от документалната
част на
Система за управление на защитата на
личните данни (СУЗЛД). В него е представена
Политиката на организацията – намерения,
подход, цели, отговорности и др. - за
изграждане, последващи поддръжка, и
развитие на СУЗЛД. С тази, одобрена
от
Ръководството на организацията Политика,
трябва да бъде запознат целия персонал
(собствен и/или външен, временно нает
по договор), а също и всички бизнес
партньори, които при изпълнение на
договорираните си задължения имат
достъп до активи на организацията,
работещи с лични данни.
Съдържанието
на тази Политика е примерно,
но е съобразено с конкретен тип бизнес
организации, имащи характеристики на
малки или средни предприятия (МСП),
базирани в страна членка на ЕС, чиито
основен бизнес изисква интензивно
събиране, съхранение, обработка и обмен
на лични данни.
Освен
това, при разработката на документалната
част
на СУЗЛД е
прието,
че организацията, използвана, като
пример:
- е възложила с договор определени обработки на лични данни на друга организация (базирана в страна на ЕС);
- използва публични, облачни услуги за съхранение на лични данни;
- предава лични данни на организация, базирана в страна извън ЕС, при ползването на предоставяни от тази организация договорирани, бизнес услуги (напр., за целите „e mail marketing”)
Под
„работа с
лични данни“
организацията разбира всички операции,
автоматизирани или ръчно изпълнявани,
чрез които се извършва събиране,
съхранение, обработка, трансфер, достъп
(физически и
логически) на/до лични данни, или, когато
на тяхна база се генерира
специална информация, свързана с
личността (напр.,
профилиране за целите на маркетингови
проучвания).
1.ВЪВЕДЕНИЕ
Функционирането
и успешното изпълнение на бизнес целите
на организацията зависи в голяма степен
от наличността, цялостта и конфиденциалността
на събираните, съхранявани, обработвани
и обменяни лични данни. Постигането
на тези основни параметри за сигурност
на личните данни се осъществява от
организацията чрез изграждането ,
внедряването, поддръжката и развитието
на Система за управление на защитата
на личните данни, отговаряща на
изискванията и/или препоръките на:
- РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни (Generall Data Protection Regulation - GDPR);
- Закона за защита на личните данни (ЗЗЛД);
- Документите на THE WORKING PARTY ON THE PROTECTION OF INDIVIDUALS WITH REGARD TO THE PROCESSING OF PERSONAL DATA set up by Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995, (независим консултативен орган по въпросите на защитата на личните данни и поверителността);
- Международно признати и широко прилагани международни стандарти в областта на информационната / киберсигурност и управление на риска, както следва:
- ISO 27001 – Системи за управление на информационната сигурност;
- ISO 27002 – Контроли / защитни механизми за информационна сигурност;
- ISO 27005 – Оценка и анализ на риска;
- ISO 27032 – Киберсигурност;
- ISO 27018 – Защита на личните данни при тяхното предоставяне за обработка в публичен облак.
Изгражданата,
поддържана и развивана от организацията
СУЗЛД е основния неин инструмент,
чрез който се постига правото на
гражданите за защитата на личните данни.
В този смисъл, СУЗЛД осигурява организацията
при изпълнението на нейните бизнес цели
и задачи, като в същото време, създава
условия за гарантиране и ползване на
съответните права, и свободи от гражданите,
субекти на лични данни.
2.ЦЕЛ
Целта
на управлението на защитата на личните
данни е да се осигури необходимото и
достатъчно ниво на тяхната сигурност,
а също, и на всички активи
на организацията, работещи с лични
данни, или имащи достъп до тях (ИТ системи,
отделни програмни приложение, компютри
и тяхната периферия, мобилни средства
за комуникация, персонал и др.) спрямо
съответните заплахи, без оглед на тяхната
природа, дали са вътрешни или външни,
умишлени или случайни.
Прилагането
на практика на принципите в тази Политика
е важно за поддържането на репутацията
на организацията, като надежден и
предвидим доставчик на решения, продукти
и услуги, спазващ стриктно правата, и
свободите на гражданите, чрез защита
на личните им данни, събирани,
обработвани, съхранявани и обменяни за
бизнес цели.
Тази
Политика осигурява основните предпоставки
за:
-
предпазване на личните данни от
нерегламентиран достъп;
-
постигане и поддържане на конфиденциалността
на личните данни;
-
недопускане на разкриване на лични
данни на неупълномощени лица, по умишлен
или непредпазлив начин;
-
постигане и поддържане на цялостта на
личните данни, чрез защита от
нерегламентирани промени;
-
постигане и поддържане на наличност на
личните данни за упълномощени потребители
и/или приложения;
-
спазване на законовите и регулаторни
изисквания за защита на личните данни
– национални и на Европейския съюз
(GDPR);
-
провеждане на обучение на целия личен
състав на организацията по въпросите
на сигурността на личните данни;
-
докладване и извършване на разследвания
по възникнали събития и нарушения по
сигурността на личните данни.
3.ОБХВАТ
И ПРИЛОЖИМОСТ
3.1
Бизнес обхват
Тази
Политика отчита и се прилага за всички
основни бизнес процеси на организацията,
изпълнението на които изисква, интензивна
работа с лични данни.
Всяка
промяна в бизнес процесите и бизнес
средата, свързани с ползването на лични
данни, се разглежда и в контекста на
необходимостта за въвеждане на промени
в изграждането и / или функционирането
на СУЗЛД – напр., внедряване на допълнителни
защитни механизми, базирани на проведен
анализ на риска към защитата на личните
данни за променените и/или новите бизнес
процеси/среда.
3.2
Организационен обхват и местоположение
Тази
Политика се прилага за всички звена
на организацията, изпълняващи бизнес
процеси, работещи с лични данни,
независимо тяхното географско разположение
(вкл., извън страната и/или ЕС, ако е
приложимо), както е показано в следващата
таблица:
№
|
Наименование
на звеното
|
Местоположение
/ Адрес
|
Забележка
|
| 1 | |||
| 2 | |||
| ... |
В
контекста на организационния обхват
на тази Политика, с нея се обхващат
всички постоянни и временни офиси,
подвижни и отдалечени работни места
(вкл. домашни), работни помещения или
които и да било други места, където има
разположени и/или се работи с лични
данни, притежание на организацията..
3.3
Обхват по активи
Тази
Политика се прилага за всички активи
на организацията, работещи с лични данни
– напр., хардуер, софтуер, информация,
ИТ системи, документални системи на
хартия, персонала (собствен и външен),
бизнес контрагенти и др., както е
приложимо..
4.ПОДХОД
Организацията
приема и прилага проактивен подход към
защитата на личните данни, чрез
практическото изпълнение на изискванията
на GDPR
и ЗЗЛД.
Организацията
счита, че може да осигури изпълнението
на изискванията за защита на личните
данни, чрез изграждането на съответната
система
за управление –
СУЗЛД. По този начин организацията
създава, освен другото и предпоставки
за адаптивност на мерките за защита на
личните данни към променящите се условия
– рискове, бизнес среда, нови ИТ технологии
и др.
Като
инструментариум
за изграждане на СУЗЛД,
организацията използва рамката
(методология, изисквания и препоръки)
на приложимите за целта стандарти за
информационна сигурност и управление
на риска, от фамилията ISO
27000 –
ISO
27001 / 27002 / 27005 / 27032 / 27018.
5.ОТГОВОРНОСТИ
Отговорността
за изграждането, внедряването и развитието
на СУЗЛД е изцяло в Ръководството на
организацията, съответно в упълномощен
негов представител на ръководна позиция.
Всеки от Ръководството, споделя
отговорностите по иницииране и контрол
на дейности, свързани с изграждането,
внедряването и развитието на ефективна
СУЗЛД в организацията.
5.1
Служител по защитата на личните данни
Организацията
определя длъжностно
лице по защитата на личните данни и
съответните задачи, които то трябва да
изпълнява, съгласно чл.
37, 38 и 39 на GDPR.
Освен
другото, длъжностното лице по защита
на личните данни е непосредствено
подчинено и е отговорно пред Ръководство
на организацията за:
-
наблюдението и контрола на изпълнението
на политиките, процедурите, инструкциите
и плановете по сигурността, от
документалната част на СУЗЛД;
-
ежедневното администриране на дейностите
по защита на личните данни;
-
периодичното провеждане на анализ на
риска към защитата на личните данни;
-
координацията с Ръководството, по
всички въпроси, свързани със защитата
на личните данни;
-
повишаването на знанията и уменията
на персонала по въпроси, свързани със
защитата на личните данни;
6.ДОКУМЕНТАЛНА
ЧАСТ НА СУЗЛД
Документалната
част е задължителен елемент на СУЗЛД.
Тя се разработва в съответствие с
изискванията на GDPR, ЗЗЛД,
ISO 27001 (както е приложимо)
и бизнес целите на организацията.
Документалната част на СУЗЛД се поддържа
и развива в съответствие с промените в
рисковете към защитата на личните данни,
промените в правната рамка, измененията
в бизнес процесите / средата на
организацията и при въвеждане на нови
ИТ технологии за обработка наличните
данни.
Препоръчителни
и задължителни документи, свързани с
изграждането на СУЗЛД:
Забележка:
Показаните по-долу
в таблицата документи, не са
краен списък
от документите, свързани с внедряването
на изискванията на GDPR.
За всяка
отделна организация могат да се появят
още много допълнителни документи (напр.,
процедури,инструкции и др. по сигурността
на личните данни). На практика, не
съществува един, единствен набор от
документи, за различните организации.
В този смисъл,показаните по-долу в
таблицата документи, могат и трябва да
се разглеждат, като едно ядро,
около което могат да се добавят различни
документи, свързани с прилагането на
изискванията за защита на личните данни
– както е приложимо за съответната
организация.
№
|
№
документ
|
Име
на документа
|
Член
на
EU
GDPR
|
Задължителен
документ по GDPR
|
Препоръчителен
документ
|
1
|
Подготовка за работата по проект „Защита на личните данни в съответствие с изискванията на EU GDPR и законите на страната” | ||||
1
|
1.1
|
Анализ
и оценка на готовността на организацията
за изпълнение изискванита за защита
на личните данни
|
НЯМА
|
НЕ
|
ДА
|
2
|
1.2
|
План за изпълнение на проект „Защита на личните данни в съответствие с изискванията на EU GDPR и законите на страната” |
НЯМА
|
НЕ
|
ДА
|
2
|
Политики,
свързани със защитата на личните данни
|
||||
3
|
2.1
|
Политика
за защита на личните данни
|
Чл.
24(2)
|
ДА
|
|
4
|
2.2
|
Политика
за защита на личните данни на служителите
на организацията
|
Чл. 24(2) |
НЕ
|
ДА
|
5
|
2.3
|
Съобщение,
свързано с тайната на личните данни
|
Чл.12,
13 и14
|
ДА
|
|
6
|
2.4
|
Регистър
на съобщенията, свързани с тайната на
личните данни
|
Чл.12,
13 и14
|
НЕ
|
ДА
|
7
|
2.5
|
Политика
за запазване на личните данни
|
Чл. 5(1)(e), 13(1), 17 и 30 |
ДА
|
|
8
|
2.6
|
Приложение – Опис , свързан със запазването на личните данни | Чл. 30 |
ДА
|
|
9
|
2.7
|
Длъжностна
характеристика на „Служител по защита
на личните данни“
|
Чл.
37, 38 и 39
|
ДА
|
|
3
|
Дейности,
свързани с обработките на лични данни
|
||||
10
|
3.1
|
Ръководство
за подготовка на Опис на личните данни
и съответните обработки, които се
извършват с тях
|
Чл. 30 |
НЕ
|
ДА
|
11
|
3.2
|
Приложение
– Опис на обработките на личните данни
|
Чл. 30 |
ДА
|
|
4
|
Управление
на правата на субектите на данни
|
||||
12
|
4.1
|
Форма
за съгласие на субекта на данни
|
Чл.
6(1)(a), 7(1) и 9(2)
|
ДА
|
|
13
|
4.2
|
Форма
за оттегляне на дадено съгласие от
субекта на данни
|
Чл. 7(3) |
НЕ
|
ДА
|
14
|
4.3
|
Форма
за родителско съгласие
|
Чл. 8 |
ДА
|
|
15
|
4.4
|
Форма
за оттегляне на дадено родителско
съгласие
|
Чл. 8 |
ДА
|
|
16
|
4.5
|
Процедура
за искане на достъп от субект на данни
|
Чл. 7(3), 15, 16, 17, 18, 20, 21 и 22 |
НЕ
|
ДА
|
17
|
4.6
|
Форма
за искане на достъп от субект на данни
|
Чл. 15 |
НЕ
|
ДА
|
18
|
4.7
|
Форма
при разкриване на лични данни на
субекта на данни
|
Чл.15 |
НЕ
|
ДА
|
5
|
Оценка
на въздействието върху защитата на
личните данни
|
||||
19
|
5.1
|
Методология
за оценка на въздействието върху
защитата на личните данни
|
Чл.35
|
НЕ
|
ДА
|
20
|
5.2
|
Регистър
на оценките на въздействие върху
защитата на личните данни
|
Чл. 35 |
ДА
|
|
6
|
Трансфер
на лични данни
|
||||
21
|
6.1
|
Процедура за
трансграничен трансфер на лични данни
|
Чл.
1(3), 44, 45, 46, 47 и 49
|
НЕ
|
ДА
|
22
|
6.2
|
Приложение
1 – Стандартизирани клаузи в Договор
за трансфер на лични данни
|
Чл.
46(5)
|
ДА
|
|
23
|
6.3
|
Приложение
2 - Стандартизирани клаузи в Договор
за трансфер на лични данни към обработващ
данни
|
Чл. 46(5) |
ДА
|
|
7
|
Съответствие на трети страни с GDPR | ||||
24
|
7.1
|
Въпросник за оценка на съответствието с GDPR на обработващ данни. |
Чл.
28 и 32
|
НЕ
|
ДА
|
25
|
7.2
|
Споразумение
/ договор с доставчик на услуги за
обработка на лични данни
|
Чл.
28, 32 и 82
|
ДА
|
|
8
|
Сигурност
на личните данни
|
26
|
8.1
|
Политика
за ИТ сигурност
|
Чл.32 |
НЕ
|
ДА
|
27
|
8.2
|
Политика
за контрол на достъпа
|
Чл.32 |
НЕ
|
ДА
|
28
|
8.3
|
Политики
за сигурност на ИТ звеното
|
Чл.32 |
НЕ
|
ДА
|
29
|
8.4
|
Политика
за работа с лични компютърни средства
|
Чл.32 |
НЕ
|
ДА
|
30
|
8.5
|
Политика
за работа с мобилни устройства
|
Чл.32 |
НЕ
|
ДА
|
31
|
8.6
|
Политика
за „чисто“ бюро
|
Чл.32 |
НЕ
|
ДА
|
32
|
8.7
|
Политика
за класифициране на информацията
|
Чл.32 |
НЕ
|
ДА
|
33
|
8.8
|
Политика
за анонимизация и псевдонимизация
|
Чл.32 |
НЕ
|
ДА
|
34
|
8.9
|
Политика
за използване на криптография
|
Чл.32 |
НЕ
|
ДА
|
35
|
8.10
|
План
за възстановяване при бедствия
|
Чл.32 |
НЕ
|
ДА
|
36
|
8.11
|
Процедура
за провеждане на вътрешни одити по
сигурността
|
Чл.32 |
НЕ
|
ДА
|
37
|
8.12
|
Приложение
– Въпроси за предварителна проверка
на сигурността, при провеждане на
вътрешни одити.
|
Чл.32 |
НЕ
|
ДА
|
9
|
Пробиви
в защитата на личните данни
|
||||
38
|
9.1
|
Процедура
за отговор и уведомяване при пробив
на защитата на личните данни.
|
Чл.
4(12), 33 и 34
|
ДА
|
|
39
|
9.2
|
Регистър
на пробивите в защитата на личните
данни
|
Чл. 33(5) |
ДА
|
|
40
|
9.3
|
Форма
за уведомяване на надзорния орган при
пробив в защитата на личните данни.
|
Чл.
33
|
ДА
|
|
41
|
9.4
|
Форма
за уведомяване на субекта на данни,
при пробив в защитата на личните данни.
|
Чл.
34
|
ДА
|
Забележка:
СУЗЛД
се разработва, внедрява, поддържа,
развива , финансира, осигурява и управлява,
като всеки останал проект в организацията
(с подобна важност и сложност), по
възприетите и прилагани от организацията
ред и правила.
7.ОСНОВНИ
ПОЛОЖЕНИЕ, СВЪРЗАНИ С ИЗГРАЖДАНЕТО,
ПОДДРЪЖКАТА И РАЗВИТИЕТО НА СУЗЛД
Тази
Политика е разработена, за да осигури
изисквания за създаване, внедряване,
поддържане и непрекъснато
подобряване на СУЗЛД..
Възприемането
и прилагането на СУЗЛД е стратегическо
решение за организацията.
СУЗЛД
запазва поверителността, цялостността
и наличността на личните данни, чрез
прилагане на процес за управление на
риска и дава увереност на заинтересуваните
страни, че рисковете се управляват по
подходящ начин.
СУЗЛД
е част и е интегрирана с процесите, и
цялостната управленска структура на
организацията. Сигурността на на личните
данни се взема под внимание при
разработването на бизнес процеси,
информационни системи и механизмите /
средствата за контрол / защита, свързани
с обработки на лични данни.
8.
ЗАКЛЮЧЕНИЕ
Тази
Политика е неразделна част от документалната
част на СУЗЛД. Тя подлежи на актуализация,
така, както е приложимо. С нея са длъжни
да се запознаят:
- ръководството на организацията;
- персонала на организацията;
- контрагентите на организацията
Дата: Утвърдил:
НЕ ЗАБРАВЯЙТЕ, ЧЕ ТОЗИ ДОКУМЕНТ Е ПРИМЕР,
РАЗРАБОТЕН ОТ INFOSEC SERVICE BG
И Е
ПРЕДНАЗНАЧЕН
ДА ВИ ПОДПОМОГНЕ ПРИ РАЗРАБОТВАНЕТО НА
ВАШ, СОБСТВЕН ДОКУМЕНТ,
ОТРАЗЯВАЩ
ХАРАКТЕРИСТИКИТЕ И ОСОБЕНОСТИТЕ НА
ВАШАТА ОРГАНИЗАЦИЯ !
