Tesy 
Zpětná vazba zákazníků
* Povinná pole
Zásady společnosti „TESY“ OOD pro zjišťování, eskalaci a oznamování narušení bezpečnosti
I. OBECNÁ USTANOVENÍ
Společnost „Tesy“ OOD (dále jen „Společnost“, Tesy), IČO 040029337, sídlí ve městě Šumen, bulvár „Madara“ 48, a je zastoupena generálním ředitelem Žečkem Kjurkčijevem.
Tyto zásady jsou součástí opatření určených k zajištění informační bezpečnosti a efektivního systému ochrany osobních údajů ve společnosti Tesy v souladu s platnými právními předpisy a příslušnými osvědčenými postupy.
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, které je použitelné od 25. května 2018, a také platný zákon o ochraně osobních údajů se zaměřují na bezpečnost osobních údajů. Prostřednictvím vhodných technických a organizačních opatření se údaje zpracovávají způsobem, který zaručuje jejich řádné zabezpečení, včetně ochrany před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Škody mohou být fyzické, majetkové i nemajetkové pro fyzické osoby, například ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež identity nebo podvod, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných profesním tajemstvím nebo jakékoli jiné významné ekonomické nebo sociální znevýhodnění dotčených fyzických osob.
Cílem této politiky je zavést následující organizační opatření:
· udělení úrovně přístupu, která odpovídá riziku vyplývajícímu z konkrétního zpracování osobních údajů;
· s přihlédnutím k dosaženým výsledkům technického pokroku, nákladům na implementaci, povaze, rozsahu, kontextu a účelům zpracování, jakož i k rizikům s různou pravděpodobností a závažností pro práva a svobody fyzických osob;
· zajištění včasného zjištění narušení bezpečnosti, potřeby oznámení a příslušného oznámení dozorovému úřadu/dotčeným subjektům údajů;
· při navrhování účinného akčního plánu (příručky) pro každý konkrétní případ se řádně zohlední všechny okolnosti související s narušením.
II. KLÍČOVÉ POJMY
„Zásady“ znamenají tyto Zásady pro zjišťování, eskalaci a oznamování porušení týkající se zabezpečení osobních údajů, jak je přijala společnost „Tesy“ OOD;
„GDPR“ znamená Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES;
„PDPA“ znamená Zákon o ochraně osobních údajů;
„CPDP“ znamená Komisi pro ochranu osobních údajů;
„Pověřenec pro ochranu osobních údajů“ znamená pověřence pro ochranu osobních údajů, kterému byly svěřeny úkoly podle čl. 39 GDPR. Pověřenec pro ochranu osobních údajů je jmenován příkazem generálního ředitele společnosti „Tesy“ OOD;
„Osobní údaje“ znamenají jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby; identifikovatelná fyzická osoba je osoba, kterou lze identifikovat přímo či nepřímo, zejména odkazem na identifikátor, jako je jméno, identifikační číslo, adresa, online identifikátor, nebo na jeden či více faktorů specifických pro fyzickou, fyziologickou, genetickou, duševní, ekonomickou, kulturní nebo sociální identitu této fyzické osoby;
„Subjekt údajů“ znamená fyzickou osobu, jejíž osobní údaje jsou zpracovávány, bez ohledu na to, zda je smluvní stranou Společnosti, zaměstnancem nebo jinou osobou, jejíž údaje Společnost zpracovává;
„Zpracování“ znamená jakoukoli operaci nebo soubor operací, které jsou prováděny s osobními údaji nebo se soubory osobních údajů, ať už automatizovanými prostředky či nikoli, jako je shromažďování, zaznamenávání, uspořádání, strukturování, ukládání, úprava nebo změna, vyhledávání, nahlížení, použití, zpřístupnění přenosem, šířením nebo jiným zpřístupněním, seřazení nebo kombinování, omezení, výmaz nebo zničení;
„Správce“ znamená osobu, která sama nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. V tomto případě je Správcem Společnost;
„Zpracovatel“ znamená fyzickou (jinou než zaměstnance Společnosti) nebo právnickou osobu, která zpracovává osobní údaje jménem Společnosti, za předpokladu, že Tesy přesně vymezí účel a prostředky zpracování, včetně ověření souladu této osoby s požadavky GDPR;
„Subzpracovatel“ znamená subdodavatele vybraného Zpracovatele;
„Zaměstnanec“ znamená jakoukoli osobu najatou Společností na základě pracovní a/nebo pracovní smlouvy, která zpracovává Osobní údaje;
„Zvláštní kategorie Osobních údajů“ znamenají údaje v souladu s čl. 9 GDPR, zejména údaje odhalující rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby, údaje o zdraví nebo údaje o sexuálním životě nebo sexuální orientaci fyzické osoby;
„Údaje týkající se trestních odsouzení a přestupků“ znamenají údaje v souladu s čl. 10 GDPR, jejichž zpracování je prováděno pouze pod kontrolou CPDP;
„Narušení bezpečnosti“ znamená událost vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k přenášeným, uchovávaným nebo jinak zpracovávaným osobním údajům, kde:
· „zničení“ znamená, že údaje již neexistují/neexistují ve formě, kterou by Správce mohl použít;
· „ztráta“ znamená, že osobní údaje existují, ale Správce nad nimi ztratil kontrolu, přístup k nim nebo fyzické držení;
· „neoprávněné nebo nezákonné zpracování“ znamená zveřejnění nebo přístup k osobním údajům neoprávněným příjemcům, jakož i jakákoli jiná forma zpracování, která porušuje GDPR, například náhodné nebo nezákonné zničení, ztráta, změna, neoprávněné zveřejnění nebo přístup k osobním údajům přenášeným, uchovávaným nebo jinak zpracovávaným nezákonně;
· „škody“ znamenají jakékoli fyzické, materiální a nemateriální újmy vzniklé v důsledku neoprávněného, protiprávního zpracování nebo ztráty.
Narušení bezpečnosti lze rozdělit do tří hlavních skupin:
1. Porušení důvěrnosti – v souvislosti s neoprávněným nebo náhodným zveřejněním osobních údajů nebo přístupem k nim;
2. Porušení přístupnosti – v případě náhodné nebo neoprávněné ztráty osobních údajů, přístupu k nim nebo jejich zničení;
3. Porušení spolehlivosti – v případě náhodné nebo neoprávněné změny osobních údajů.
Některá narušení lze současně zařadit do dvou nebo tří kategorií uvedených výše v bodech 1–3 včetně.
„Reakční tým“ je tým, který je zřízen v případech narušení bezpečnosti a který koordinuje činnosti související s vyšetřováním okolností potenciálního narušení bezpečnosti, pomáhá pověřenci pro ochranu osobních údajů při provádění činností, jako jsou analýzy, návrhy a omezení škod; implementuje akční plán a opatření pro omezení škod a obnovení informační bezpečnosti. Tým se skládá z členů se znalostmi a zkušenostmi v oblasti informační bezpečnosti, lidských zdrojů atd. a v případě potřeby je podporován dalšími zaměstnanci z jiných oddělení, například právního nebo informační bezpečnosti.
III. CÍL ZÁSAD
Tyto zásady mají sloužit jako účinný nástroj k zajištění bezpečnosti a prevenci jakéhokoli zpracování, které je v rozporu s interními pravidly společnosti Tesy, GDPR a platnými právními předpisy v oblasti osobních údajů, a také k zavedení účinných záruk v případě narušení bezpečnosti osobních údajů s cílem získat kontrolu nad incidenty vhodným a včasným způsobem.
IV. OPATŘENÍ V PŘÍPADĚ PORUŠENÍ
Společnost podniká veškerá možná opatření, aby své zaměstnance proškolila v identifikaci výskytu narušení bezpečnosti, včetně rizika takového výskytu. Zaměstnanci obdrží jasné pokyny ohledně priority okamžitého hlášení potenciálního narušení bezpečnosti, jakož i nezbytné pomoci v souvislosti s co nejrychlejším poskytnutím písemných informací o incidentu.
Po seznámení se s těmito Zásadami je každý zaměstnanec povinen je přednostně uplatňovat v činnostech Společnosti souvisejících se zpracováním osobních údajů. V případě pochybností o narušení bezpečnosti první zaměstnanec, který identifikuje možnost vzniku takové události, neprodleně informuje pověřence pro ochranu osobních údajů, který po posouzení konkrétní situace zřídí tým pro reakci.
Zásahový tým neprodleně prošetří hlášení o potenciálním narušení bezpečnosti s využitím všech organizačních a technických zdrojů Společnosti a uvědomí pověřence pro ochranu osobních údajů (DPO) a podpoří ho/ji při provádění následných činností, jako je analýza, návrhy a omezení škod.
Pověřenec pro ochranu osobních údajů vypracuje hodnotící zprávu týkající se potenciálního rizika narušení a jeho důsledků, včetně ochranných opatření, která mohou zmírnit jeho dopad, a tuto zprávu předá generálnímu řediteli Společnosti. Na základě dokumentu dle předchozí věty generální ředitel s odůvodněním rozhodne, zda je povinen:
· informovat Komisi pro ochranu osobních údajů o vzniklém porušení; a
· informovat dotčené subjekty údajů, pokud existuje vysoké riziko dle předchozího bodu.
Každé porušení bezpečnosti Společnost zdokumentuje.
V. PLÁN A ŘÍZENÍ PORUŠENÍ
Níže uvedené schéma ilustruje opatření, která je třeba podniknout v případě zjištěného porušení.
VI. ZJIŠTĚNÍ PORUŠENÍ BEZPEČNOSTI
Na základě shromážděných informací posoudí tým pro reakci a pověřenec pro ochranu osobních údajů riziko pro subjekty údajů vyplývající z narušení bezpečnosti. Pokud je takové riziko zjištěno, pověřenec pro ochranu osobních údajů vydá své stanovisko ke zjištěnému narušení bezpečnosti a doporučí opatření k minimalizaci škod nebo k nápravě.
Pokud je pravděpodobné, že narušení bezpečnosti osobních údajů povede k vysokému riziku pro práva a svobody fyzických osob, Společnost v přiměřené lhůtě poté, co se dozví o posouzení rizika, které by konkrétní narušení bezpečnosti mohlo způsobit, informuje subjekt údajů o narušení bezpečnosti osobních údajů.
Oznámení dotčeným osobám bude probíhat podle schváleného vzoru (příloha č. 1). Dotčené osoby budou osobně informovány vhodným způsobem dle volby Společnosti: e-mailem, SMS zprávou, dopisem, telefonicky, veřejným oznámením, aby bylo zajištěno účinné informování Subjektů údajů.
Podmínky, za kterých se oznámení nevyžaduje:
· pokud narušení bezpečnosti nezpůsobí žádné riziko pro práva a svobody Subjektů údajů;
· pokud jsou Osobní údaje veřejně dostupné a jejich zveřejnění nezpůsobí žádné riziko pro Subjekty údajů;
· Pokud se narušení bezpečnosti týká pouze důvěrnosti a dotčené osobní údaje jsou bezpečně kódovány nejmodernějším algoritmem, dekódovací klíč se nezveřejňuje a je generován tak, aby jej nemohla identifikovat osoba, která k němu nemá přístup, pomocí dostupných technických prostředků.
Společnost se považuje za informovanou o narušení bezpečnosti, jakmile tým pro reakci a pověřenec pro ochranu osobních údajů vydají stanovisko k existenci podmínek pro jeho vznik.
OZNÁMENÍ CPDP
Společnost do 72 (sedmdesáti dvou) hodin od zjištění o narušení informuje CPDP. Oznámení dozorovému orgánu se provádí pomocí schválené šablony (příloha č. 2).
Pokud Společnost v době podání oznámení Úřadu pro ochranu osobních údajů (CPDP) stále neinformovala subjekt údajů o narušení zabezpečení týkajícím se jeho osobních údajů, může CPDP po vyhodnocení pravděpodobnosti, že narušení zabezpečení osobních údajů představuje vysoké riziko, uložit Společnosti povinnost narušení oznámit. V takovém případě Společnost přijme opatření k informování subjektů údajů vhodným způsobem pro daný případ v souladu s pokyny CPDP.
Různé druhy narušení mohou vyžadovat poskytnutí dalších informací, aby bylo možné poskytnout úplné vysvětlení okolností v každém konkrétním případě.
Nedostatek přesných informací (například konkrétní počet dotčených osob) nebrání včasnému oznámení Úřadu pro ochranu osobních údajů (CPDP). V takových případech se poskytne přibližný počet dotčených osob.
Pokud nelze potřebné informace poskytnout spolu s oznámením Úřadu pro ochranu osobních údajů, podávají se po etapách bez zbytečného odkladu. Podmínky pro takové oznámení po etapách jsou následující:
· nejsou dosud k dispozici všechny relevantní skutečnosti;
· je narušení bezpečnosti ve skutečnosti složitější (například určité incidenty v oblasti kybernetické bezpečnosti);
· uvést důvody zpoždění a včas informovat Úřad pro ochranu osobních údajů, že není možné poskytnout úplné informace;
· získat souhlas Úřadu pro ochranu osobních údajů s takovým oznámením po etapách;
· obdržet od Úřadu pro ochranu osobních údajů pokyny, zda, kdy a jak informovat dotčené subjekty údajů.
Výjimečně a za specifických okolností lze použít opožděné oznámení – například pokud se v průběhu vyšetřování zjistí, že dochází k opakovaným a podobným narušením bezpečnosti určitých kategorií údajů po krátkou dobu a týkajícím se velkého počtu subjektů údajů, může Společnost informovat Úřad pro ochranu osobních údajů (CPDP) o všech těchto narušeních současně, a to i po uplynutí 72hodinové lhůty. Tato možnost se uplatňuje restriktivně a s ohledem na specifické charakteristiky daného případu.
V takových případech musí oznámení dozorovému úřadu specifikovat důvody zpoždění.
POSOUZENÍ RIZIK
Jakmile je přijato hlášení o možném narušení bezpečnosti nebo existují pochybnosti o existenci takového narušení, tým pro reakci informuje pověřence pro ochranu osobních údajů (DPO) a ten přistoupí k implementaci následujícího akčního plánu (za předpokladu, že společnost v případě potřeby poskytne potřebné zdroje/další odborné znalosti):
· posouzení rizik na stupnici od 1 do 5 (od zanedbatelného po vysoké; a také z hlediska pravděpodobnosti výskytu a intenzity) týkajících se práv subjektů údajů s ohledem na jejich rozsah;
· identifikace kategorií dotčených osobních údajů;
· stanovení absence/přítomnosti kódování/dalších relevantních okolností, které minimalizují riziko způsobené narušením bezpečnosti, a popřípadě mohou zabránit nutnosti informovat subjekty údajů;
· vypracování doporučení na základě úrovně zjištěného rizika, zda má být informován pověřenec pro ochranu osobních údajů (CPDP); a
· návrh konkrétních následných opatření k omezení rizika vzniklého narušení bezpečnosti.
Při posuzování rizika může Reakce použít jako vodítka indikativní porušení rizik a potřebu oznámení (příloha č. 4). Pověřenec pro ochranu osobních údajů bude tyto pokyny udržovat aktuální a může je doplňovat o další osvědčené postupy.
Pro účely posouzení existuje vysoké riziko, pokud je pravděpodobné, že narušení bezpečnosti povede k fyzické, materiální nebo nemateriální újmě subjektů údajů, jejichž zabezpečení údajů je porušeno. Příklady takových újm jsou diskriminace, krádež identity nebo podvod, finanční ztráta nebo poškození pověsti. Pokud se narušení bezpečnosti týká osobních údajů souvisejících s rasovým nebo etnickým původem, zdravotním stavem, sexuální orientací, odsouzením za trestné činy a přestupky, donucovacími opatřeními v tomto ohledu, předpokládá se vznik fyzické, materiální nebo nemateriální újmy.
Posouzení rizik narušení bezpečnosti musí zohlednit specifické okolnosti, včetně složitosti potenciálního dopadu a pravděpodobnosti jeho výskytu, jako například:
· typ narušení bezpečnosti;
· povaha, citlivost a objem dotčených osobních údajů – čím citlivější údaje, tím vyšší je riziko škody pro subjekty údajů.
Citlivými údaji mohou být osobní údaje odhalující rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby, údaje týkající se zdraví nebo údaje týkající se sexuálního života nebo sexuální orientace fyzické osoby.
Malá část citlivých údajů může mít navíc na daný subjekt údajů značný dopad, zatímco široká škála podrobností o těchto údajích může o něm/ní odhalit více informací. Jakékoli porušení, které se týká velkého množství osobních údajů širokého okruhu subjektů údajů, může mít také podstatný negativní dopad;
· protiprávní identifikace dotčených subjektů údajů třetími osobami, pokud třetí osoba získala neoprávněný přístup k dotčeným osobním údajům, je třeba zohlednit otázku, jak snadno je pro tuto osobu subjekty údajů identifikovat. V závislosti na okolnostech může být identifikace provedena pomocí údajů bez dalšího zkoumání totožnosti dotčené osoby, ale může být také extrémně obtížné přiřadit dotčené osobní údaje ke konkrétnímu subjektu údajů, nicméně za určitých okolností může být identifikace možná;
· závažnost důsledků pro Subjekty údajů;
· specifické vlastnosti Subjektů údajů;
· specifické charakteristiky činnosti Společnosti jako Správce;
· počet dotčených Subjektů údajů.
VII. REGISTER PORUŠENÍ
Ať už narušení bezpečnosti vyžaduje oznámení či nikoli, Společnost zdokumentuje všechny s ním spojené skutečnosti, jeho důsledky, přijatá opatření a argumenty pro přijatá rozhodnutí. Na doporučení pověřence pro ochranu osobních údajů a rozhodnutí generálního ředitele Společnost pro tento účel vytvoří zvláštní registr (příloha č. 3).
Do registru se povinně zapisují následující údaje: předpokládaný čas vzniku, okamžik zjištění, čas nahlášení a jméno zaměstnance, který hlášení podal. Na základě analýzy zásahového týmu se do registru zapisují důsledky incidentu a opatření přijatá k jejich překonání.
PREVENTIVNÍ POSTUPY A MECHANISMY
Pověřenec pro ochranu osobních údajů vypracuje plán školení nově jmenovaných a/nebo znovu jmenovaných zaměstnanců, jakož i pravidelná školení a instruktáže pro všechny zaměstnance. Při plnění svých povinností zaměstnanci dodržují také interní zásady, pravidla a postupy Společnosti týkající se zpracování osobních údajů.
Při odchodu zaměstnanců ze Společnosti budou přijata veškerá nezbytná technická a organizační opatření v souvislosti s ochranou každého registru/kategorie osobních údajů vedených společností „Tesy“ OOD, jako například:
1) změna hesel;
2) omezení přístupu (včetně VPN, cloudových služeb, serverů atd.);
3) vrácení všech firemních zařízení, jako jsou telefony, notebooky, USB flash disky atd., v závislosti na konkrétním případu; po vrácení zařízení musí být povinně vymazány osobní údaje zaměstnance, který zařízení používal naposledy, a to i v případech, kdy vrácené zařízení podléhá přímé likvidaci/zničení;
4) omezení fyzického přístupu vrácením klíčů, změnou přístupových kódů atd.
Data jsou kódována, pokud existuje vyšší riziko neoprávněného fyzického přístupu k nosičům citlivých dat nebo v případě krádeže firemních zařízení, na kterých jsou uloženy osobní údaje.
Pokud je nutné získat určitá data, postup se provede s písemným souhlasem příslušné osoby odpovědné za informační bezpečnost, za předpokladu, že tato skutečnost bude zaznamenána v registru pro archivaci a obnovu dat.
V případě ohrožení hesla bude okamžitě změněno na nové, certifikát pro přístup příslušného zaměstnance bude zneplatněn a událost bude zaznamenána v rejstříku incidentů.
Reakční tým může společně s pověřencem pro ochranu osobních údajů zavést další preventivní opatření, mechanismy a interní pokyny.
Tato pravidla a jejich dodatky byly vypracovány dne 21. května 2018 a vstoupí v platnost dne 25. května 2018.
Žečko Kjurkčijev, generální ředitel společnosti „Tesy“ OOD