* Obavezna polja
I. OSNOVNE OKOLNOSTI
"Tesy" d.o.o. (Tvrtka „TESY“), OIB 040029337, je sa sjedištem i poslovnom adresom u Šumenu, bul. „Madara“ br.48, koju zastupa direktor Žečko Kjurkčiev.
Ova politika je dio mjera, kako bi se osigurala sigurnost informacija i učinkovit sustav za zaštitu osobnih podataka u tvrtki „Tesy“, koje će biti u skladu s važećim zakonima i dobrom praksom.
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ, koja je počela da se primjenjuje od 25. svibnja 2018., kao i ovaj Zakon o zaštiti osobnih podataka, akcentiran je na sigurnost osobnih podataka. S odgovarajućim tehničkim i organizacijskim mjerama podaci trebaju biti obrađeni na način, koji jamči odgovarajuću sigurnost, uključujući i zaštitu od neovlaštene ili nezakonite obrade i od slučajnog gubitka, uništenja ili oštećenja. Šteta može biti kako fizička tako i materijalna ili nematerijalna šteta za pojedince, kao što je gubitak kontrole nad svojim osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevare sa neoriginalnim identitetom, financijski gubici, neovlašteno uklanjanje pseudonimizacije, umanjenje reputacije, povreda tajnosti osobnih podataka, zaštićenih profesionalnom tajnom ili druge značajne ekonomske ili socijalne negativne posljedice za pogođene pojedince.
Ova politika nastoji da stvoriti sljedeće organizacijske preduvjete, koji:
§ osiguravaju razinu sigurnosti, koja odgovara riziku a koji proizlazi iz specifične obrade osobnih podataka;
§ uzimaju u obzir postignuća tehničkog procesa, troškove implementacije, prirodu, opseg, kontekstu i ciljeve obrade, kao i rizike s različitim vjerojatnostima i ozbiljnosti prava i slobode pojedinaca;
§ osiguravaju pravovremeno utvrđivanje narušavanja sigurnosti, potrebe za obavještavanjem i upućivanjem odgovarajuće obavijestiti nadzornom tijelu / pogođenim subjektima podataka.
§ prilikom izrade efikasnog plana aktivnosti (playbook) za svaki konkretan slučaj, pažnja će biti posvećena svim okolnostima u vezi s povredom.
II. KLJUČNI POJMOVI
"Politika" - trenutna politika za utvrđivanje, eskalaciju i prijavu povrede sigurnosti osobnih podataka, koja je usvojena u tvrtki „Tesy“ d.o.o.;
„OUZOP”- Opća Uredba za Zaštitu Osobnih Podataka“ odnosno Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ;
"ZZOP"- Zakon o zaštiti osobnih podataka;
"PZOP" - Povjerenstvo za zaštitu osobnih podataka;
"ODZOP" – Odgovorni dužnosnik za zaštitu osobnih podataka, koji je zadužen za zadatke iz čl. 39. OUZOP -a. ODZOP se imenuje na temelju Odluke Direktora tvrtke "Tesy" d.o.o.;
"Osobni podaci"- svi podaci koji se odnose na identificiranu fizičku osobu / pojedinca, koji se može identificirati; fizička osoba može se identificirati (izravno ili neizravno), posebno putem identifikatora, kao što su ime, identifikacijski broj, adresa, online identifikator ili na jedan ili više čimbenika, specifičnih za fizički, fiziološki, genetski, psihološki, mentalni, ekonomski, kulturni i socijalni identitet te osobe;
„Subjekt”-fizička osoba, za koju se obrađuju Osobni podaci, neovisno od toga da li je ista osoba ugovorna strane Tvrtke, Zaposlenik ili druga osoba, čiji se podaci obrađuju od strane Društva;
„Obrada”- svaka operacija / zbir operacija, koje se izvode sa osobnim podacima / komplet Osobnih podataka putem automatskih / odnosno drugih načina za prikupljanje, snimanje, organiziranje, strukturiranje, skladištenje, prilagodbu ili izmjenu, pravljenje izvadaka, konsultiranje, uporaba, otkrivanje putem prijenosa, distribucija ili drugi način, putem kojeg podaci postaju dostupni, raspoređivanje ili kombiniranje, ograničavanje brisanje ili uništavanje;
"Administrator" – osoba, koja samostalno ili zajedno s drugim osobama određuje svrhe i načine obrade osobnih podataka. Administrator u ovom slučaju je Tvrtka;
„Obrađivač” - fizička ili pravna osoba (neuključujući zaposlenike Tvrtke), koja obrađuje osobne podatke, temeljem dodjele posla od strane Tvrtke, tako da „Tesy“ strogo definira svrhu i način obrade, uklj. provjeru da li osoba ispunjava zahtjeve OUZOP-a;
"Podobrađivač" - podizvođač odabranog Obrađivača ;
"Zaposlenik" - svaka osoba koje je uposleno u Tvrtki na temelju Ugovora o radu / ili Ugovora o djelu, a koja obrađuje osobne podatke;
"Posebne kategorije osobnih podataka" - podaci u skladu s čl. 9 OUZOP, osobito oni koji otkrivaju rasno ili etničko podrijetlo, političke stavove, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, a također i obrada genetskih podataka, biometrijskih podataka isključivo u svrhu identificiranja pojedinca, njegovog zdravstvenog stanja ili podatke o seksualnom životu ili seksualnoj orijentaciji pojedinca;
„Podaci koji se odnose na osuđujuće presude i povrede“ - podaci u skladu s čl. 10 OUZOP, čija se obrada provodi samo pod kontrolom PZOP-a;
„Povreda sigurnosti” 1- događaj, koji vodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima, koji se prenose, otkrivaju, pohranjuju ili na drugi način obrađuju, kao što je:
§ "uništavanje" - kada podaci više ne postoje / ne postoje u obliku u kojem ih Administrator može koristiti;
§ "gubitak" – kada Osobni podaci postoje ali Administrator je izgubio kontrolu/ pristup/ činjeničnu vlast nad njima;
§ "neovlaštena ili nezakonita obrada" - kada se dogodi otkrivanje Osobnih podataka / pristup od strane neovlaštenih primatelja kao i bilo koji drugi oblik obrade, koji povređuje OUZOP, npr. slučajno ili nezakonito uništavanje, gubitak, izmjena, neodgovarajuće otkrivanje ili pristup prenesenim, pohranjenim ili na drugi način neregularno obrađivanim osobnim podacima.
§ "štete" podrazumijevaju svu fizičku, materijalnu i ne materijalnu štetu, koja proizlazi iz neovlaštene, nezakonite obrade ili gubitka.
Povrede sigurnosti mogu se podijeliti u tri glavne skupine:
1. Povreda povjerljivosti - u vezi s neovlaštenim ili slučajnim otkrivanjem ili pristupom osobnim podacima;
2. Povreda pristupačnosti - kada nastupi slučajni ili neovlašteni gubitak ili pristup / uništavanje osobnih podataka;
3. Povreda vjerodostojnosti – prilikom slučajne ili neovlaštene izmjenu osobnih podataka.
Pojedine povrede mogu istodobno ispunjavati dva ili tri opisana uvjeta, navedena u točkama 1 do 3 zaključno.
„Tim za reakciju” je tim, koji se formira u slučaju povrede sigurnosti i koji koordinira aktivnosti za istraživanje okolnosti eventualne povrede sigurnosti, pomaže ODZOP u obavljanju radnji za analizu, prijedloge i ograničavanju štete; poduzima radnje u ispunjenju akcijskog plana i mjera za ograničavanje štete i vraćanje sigurnosti informacijama. Tim se sastoji od članova koji su stručnu i iskusni u sferi informacijske sigurnosti, ljudskih resursa itd. i po potrebi ima podršku od strane dodatnog osoblja iz drugih odjela, npr. za pravnu ili informacijsku sigurnost.
III. CILJ POLITIKE
Ova politika ima u cilju da bude učinkovito sredstvo za održavanje sigurnosti i za sprečavanje obrade osobnih podataka, koje je u suprotnosti s internim pravilima tvrtke „Tesi“, pravilima OUZOP-a i važećim propisima o osobnim podacima; također i da ustanovi učinkovite zaštitne mjere u slučaju povrede sigurnosti osobnih podataka u cilju obuzdavanja incidenata na odgovarajući i pravodoban način.
IV. RADNJE, KOJE SE PODUZIMAJU U SLUČAJU POVREDE
Društvo poduzima sve moguće korake za obuku Zaposlenika kako bi prepoznali nastupanje Povrede sigurnosti, uključujući rizik od pojave istog. Zaposlenici moraju dobiti jasne upute o prioritetnoj neodložnoj prijavi eventualne Povrede sigurnosti, kao i za potrebne naknadne radnje za pružanje pisanih podataka o incidentu u najkraćem mogućem roku.
Nakon što je jednom upoznat s ovom Politikom, svaki zaposlenik treba je primjenjivati prioritetno u poslu koji se odnosi na Obradu Osobnih podataka od strane Tvrtke. U slučaju sumnje za Povrede sigurnosti, zaposlenik, koji je prvi ustanovio vjerojatnost takvog događaja, mora odmah obavijestiti ODZOP, koji nakon procjene konkretne situacije formira Tim za reagiranje.
Tim za reagiranje odmah poduzima radnje za ispitivanje signala o eventualnoj Povredi sigurnosti, koristeći sve organizacijske i tehničke resurse Tvrtke, informira ODZOP i pomaže mu u obavljanju naknadnih radnji za analiziranje, prijedloge i ograničenje štete.
ODZOP priprema dokument za procjenu potencijalnog rizika od Povrede i njene posljedice, uključujući i zaštitne mjere, koje mogu ublažiti učinke od istog i prosljeđuje ga Direktoru Tvrtke. U svezi sa dokumentom iz prethodne rečenice, Direktor donosi obrazloženu odluku o tome, postoji li obveza:
• Da obavijestiti Povjerenstvo za zaštitu osobnih podataka o povredi; i
• Da obavijestiti pogođene subjekte podataka, kada postoji visoki rizik u skladu s prethodnom točkom.
Svaka povreda sigurnosti podliježe dokumentiranju od strane Tvrtke.
V. PLAN I UPRAVLJANJE POVREDAMA
Dijagram u nastavku jasno ilustrira koje postupke treba poduzeti u slučaju utvrđene povrede.
VI. UTVRĐIVANJE POVREDE SIGURNOSTI
Na temelju prikupljenih informacija Tim za reagiranje i ODZOP procjenjuju rizik za subjekte, koji bi se mogao pojaviti kao rezultat Povrede sigurnosti. Ako rizik bude identificiran, ODZOP iznosi svoje mišljenje o utvrđenoj Povredi sigurnosti i preporučuje mjere za smanjivanje / oporavak štete.
Onda, kada postoji mogućnost da bi povreda osobnih podataka mogla da prouzrokuje stvaranje visokog rizika za prava i slobodu fizičkih osoba, Tvrtka, u razumnom roku nakon spoznaje i procjene rizika, koji bi mogao da izazove konkretnu Povredu sigurnosti, izvještava subjekta podataka o povredi sigurnosti osobnih podataka.
Obavijest koja se upućuje pogođenim osobama je po utvrđenom obrascu (Prilog br.1). Pogođene osobe treba da budu informirane osobno na odgovarajući način, prema procjeni Tvrtke - putem e-maila, sms-a, pismom, telefonom, putem javne obavijesti, tako da Subjekti mogu biti učinkovito obaviješteni.
Uvjeti, pod kojima nije obavezno obavještavanje:
§ Kada Povreda sigurnosti ne predstavlja rizik za prava i slobodu Subjekta podataka;
§ Kada su osobni podaci dostupni u javnosti i objavljivanje istih neće predstavljati rizik za Subjekte;
§ Kada Povreda sigurnosti utječe samo na privatnost a povrijeđeni Osobni podaci su sigurno šifrirani sa algoritmom koji je skladu sa suvremenim tehnološkim razinama, šifrarnika nije otkriven i je generiran tako, da se ne može otkriti s raspoloživim tehničkim sredstvima od osobe, koja nema pristup ključu.
Smatra se, da Tvrtka ima spoznaju o pojavi Povrede sigurnosti, kada Tim za reagiranje i ODZOP daju svoje mišljenje o tome, da su nastupili preduvjeti za nastanak takve.
OBAVIJEŠTAVANJE PZOP-a
U roku od 72 (sedamdeset dva) sata od spoznaje za izvršenu Povredu, Tvrtka je dužna obavijestiti Povjerenstvo za zaštitu osobnih podataka /PZOP/. obavještavanje nadzornog tijela je po utvrđenom obrascu (Dodatak br.2).
Ako Tvrtka u trenutku slanja obavijesti PZOP-u još uvijek nije priopćila subjekta podataka o povredi njegovih osobnih podataka, PZOP može, nakon uzimanja u obzir kakva je vjerojatnost povrede osobnih podataka da prouzrokuje visoki rizik, zahtijevati od Tvrtke da prijavi povredu. U tom slučaju, Tvrtka, slijedeći upute PZOP treba da poduzme radnje za obavještavanje Subjekata podataka, na odgovarajući način prema nastalom slučaju.
Različite vrste povreda mogu zahtijevati dodatnu informaciju, koju treba pružiti, kako bi se u potpunosti objasnile sve okolnosti za svaki pojedini slučaj.
Nedostatak točnih informacija (npr. točan broj pogođenih osoba) nije prepreka za pravovremeno obavještavanje PZOP. U takvim slučajevima potrebno je opisati približan broj pogođenih osoba.
Ako je nemoguće potrebnu informaciju uputiti zajedno s obavijesti PZOP-a, ista se može poslati u etapama, bez nepotrebnog odgađanja. Preduvjeti za takvo etapno obavještavanje su:
§ Nisu dostupne sve relevantne činjenice;
§ Povreda sigurnosti je sa većom činjeničnom složnosti (npr., pojedine vrste incidenata u sferi cyber-sigurnosti);
§ Da se navedu razlozi kašnjenja i PZOP pravodobno da bude obaviješteno, da je nemoguće da bude predočena potpun informacija;
§ Da se dobije odobrenje od strane PZOP-a za takvo etapno obavještavanje;
§ Da se dobiju smjernice od strane PZOP-a u vezi s obavještavanjem pogođenih subjekata, dali, kada i kako da budu obaviješteni.
Iznimno i pod određenim okolnostima je moguće odgođeno obavještavanje - na primjer, ako se tijekom istrage ukazuje na prisutnost višestrukih i sličnih Poremećaja sigurnosti za određene kategorije podataka u kratkom periodu koji utječu na veliki broj Subjekata. Tvrtka može obavijestiti PZOP o njima svima istovremeno, prekoračujući rok od 72 sata. Ovu mogućnost treba primijeniti restriktivno i uzimajući u obzir specifičnosti konkretnog slučaja.
Obavještenje nadzornog tijela u takvim slučajevima mora sadržavati razloge kašnjenja.
OCJENA RIZIKA
Čim primi signal o mogućoj Povredi sigurnosti ili postojanju sumnje o istoj, Tim za reagiranje Obavještava ODZOP, tako što isti započinje sa sljedećim planom djelovanja (nakon što Tvrtka pruži svie potrebne resurse / i dodatne stručnjake, ako je to potrebno):
§ procjena rizika po skali od 1 do 5 (od zanemarivog do visokog; kako po vjerojatnosti pojave, tako i po intenzitetu) o pravima subjekata u pogledu obujma utjecaja povrede;
§ određivanje kategorija povrede Osobnih podataka;
§ utvrđivanje postojanja /nepostojanja kriptiranja/drugih relevantnih okolnosti, koji bi smanjili rizik Povrede sigurnosti i s time eliminirali potrebu za obavještavanje Subjekata;
§ davanje preporuka, na temelju stupnja utvrđenog rizika, u vezi toga, dali da bude obaviještena PZOP;
§ predlaganje konkretnih slijedećih mjera, koje bi ograničile rizik od nastupile Povrede sigurnosti.
U procjeni rizika, tim za reagiranje može koristiti kao smjernice Primjere za povredu rizika i potrebu o obavještavanju (Dodatak br.4). Smjernice su ažurirane od strane ODZOP-a, koji može da ih nadopuni drugim dobrim praksama.
Visoki rizik za ciljeve procjene postoji, kada Povreda sigurnosti vjerojatno bi rezultirala u fizičkoj, materijalnoj ili nematerijalnoj šteti za subjekte, čija je sigurnost podataka povrijeđena. Primjeri takve štete su diskriminacija, krađa identiteta, prijevare, financijski gubitak ili oštećenje ugleda. Kada Povreda sigurnosti uključuje Osobne podatke, koji se odnose na rasu ili narodnost, zdravstveni status, seksualnu orijentaciju, presude ili krivično gonjenje, nametnute mjere prisile, onda se pojava fizičke, materijalne ili nematerijalne štete pretpostavlja.
U procjeni rizika od Povrede sigurnosti, treba uzeti u obzir specifične okolnosti, uključujući složenosti potencijalnog utjecaja i vjerojatnosti pojave, kao što su:
§ Vrsta Povrede sigurnosti;
§ Priroda, osjetljivost i obujam ugroženih Osobnih podataka – koliko su više osjetljiviji podaci, to je veća opasnost od Povrede za Subjekte.
Osjetljivi mogu biti osobni podaci koji otkrivaju rasno ili etničko podrijetlo, političke stavove, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, a također i obrada genetskih podataka, biometrijskih podataka isključivo u svrhu identificiranja pojedinca, njegovog zdravstvenog stanja ili podatke o seksualnom životu ili seksualnoj orijentaciji pojedinca.
Mali dio osjetljivih osobnih podataka mogu imati veliki utjecaj na konkretni Subjekt, a širok spektar detalja u vezi sa tim podacima može da otkrije više informacija o njemu. Povreda, koja se odnosi na veliku količinu Osobnih podataka za širok raspon Subjekata, također može imati značajan negativan učinak;
§ Nezakonita identifikacija pogođenih Subjekata od strane trećih osoba: - kada se ostvaruje neovlašteni pristup pogođenim Osobnim podacima od strane treće osobe, mora se uzeti u obzir, kako lako ta osoba može da identificira Subjekte. Ovisno o okolnostima, identifikacija bi se mogla učiniti pomoću korištenja podataka bez dodatnih istraživanja za otkrivanje identiteta pojedinca, a može biti i vrlo teško da se povežu pogođeni osobni podatci s konkretnim Subjektom, no usprkos tome, identifikacija da je moguća pod određenim uvjetima;
§ Ozbiljnost nastalih posljedica za Subjekte;
§ Specifične osobitosti Subjekta;
§ Specifične karakteristike djelatnosti Tvrtke kao Administratora;
§ Broj pogođenih Subjekata.
REGISTAR POVREDA
Bez obzira na to dali Povreda sigurnosti zahtijeva obavještavanje, Tvrtka dokumentira sve činjenice, koje se odnose na istu, njihove posljedice, poduzete radnje, argumente za donesene odluke. Po preporuci ODZOP i odluke Direktora, Društvo stvara poseban registar u tu svrhu (Dodatak br. 3).
U registar obavezno se upisuje pretpostavljeno vrijeme ili razdoblje nastanka, vrijeme utvrđivanja, vrijeme izvještavanja i ime službenika, koji je izradio izvješće. Nakon analize od strane Tima za reagiranje, u Registar se bilježe posljedice incidenta i mjere, koje su poduzete za njegovo rješavanje.
PREVENTIVNI POSTUPCI I MEHANIZMI
ODZOP priprema plan obuke za novouposlene i/ili premještene uposlenike, kao i periodično osposobljavanje i pojašnjenja za sve uposlenike. U obavljanju svojih djelatnosti, uposlenici su također vođeni i internim politikama, pravilima i postupcima Tvrtke u obradi osobnih podataka.
U slučaju napuštanja radnog mjesta uposlenika, poduzimaju se sve potrebne tehničke i organizacijske mjere, vezane za zaštitu svih registara / kategorija osobnih podataka, koje vodi Tvrtka „TESY“ doo, kao što su, npr.:
1) mijenjanje lozinki;
2) Ograničenje pristupa (uključujući VPN, cloud usluge, serveri, itd.);
3) Vraćanje u posjed Tvrtke svih poslovnih aparata i uređaja, kao što su telefoni, prijenosna računala, USB memorije itd., ovisno o konkretnom slučaju; Vraćanje aparata odnosno uređaja obavezno je propraćeno od brisanja osobnih podataka posljednjeg zaposlenika koji je upotrebljavao konkretni uređaj, uključujući i u slučajevima, kada je vraćeni uređaj podložan izravnom rashodovanju/uništenju.
4) Ograničavanje fizičkog pristup, vraćanjem ključeva, promjenom pristupnih kodova itd.
Kriptiranje podataka - u slučaju postojanja povećanog rizika od neovlaštenog fizičkog pristupa nosačima osjetljivih podataka ili u slučaju krađe službenih uređaja, u kojima su pohranjeni osobni podatci.
U slučaju potrebe obnavljanja podataka, postupak se obavlja nakon pismenog dopuštenja osobe, koja je odgovorna za sigurnost informacija, tako što se to unosi u Registar arhivskih fondova i u registar za obnavljanje podataka.
U slučaju kompromitiranja lozinke, ista se odmah zamjenjuje novom, potvrda za pristup zaposlenika se anulira, a događaj se evidentira u registru incidenata.
Tim za reagiranje, zajedno s ODZOP-om, mogu poduzeti i druge preventivne mjere, mehanizme i interne upute.
Ova pravila i njihovi aneksi pripremljeni su 21.05. 2018.g., na snazi od 25.05.2018.g.
Žečko Kjurkčiev, direktor tvrtke "TESY" d.o.o.