* Campos obligatorios
I. CONCEPTOS PRINCIPALES
"Tesy", OOD (denominada en adelante por brevedad la Compañía, TESY), provista de UIC 040 029 337, con domicilio social en: la ciudad de Shumen, Avda./ Madara No.48, representada por el gerente Zhechko Kyurkchiev.
Esta política constituye parte de las medidas para garantizar la seguridad de la información y el sistema eficaz para la protección de los datos personales mantenidos en la entidad Tesy que deben estar en conformidad con la legislación vigente y con las mejores prácticas aplicables.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, que comienza aplicarse desde el 25 de mayo de 2018, la Ley de Protección de datos personales, se centran en la seguridad de los datos personales. Por medio de los instrumentos de medidas técnicas y organizativas adecuadas los datos deben tratarse de una manera que garantice la seguridad adecuada, incluso la protección contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción o daño producidos. El daño puede ser tanto físico como daño material o inmaterial con respecto a las personas, por ejemplo pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, el robo de identidad o fraude de identidad, pérdida financiera, la retirada no autorizada de seudonimización , deterioro de la reputación, violación de la confidencialidad de los datos personales protegidos por el secreto profesional o cualquier otra consecuencia económica o social significativa con respecto a las personas afectadas.
El objetivo de esta política es crear los siguientes requisitos previos de la organización:
· proporcionar un nivel de seguridad adecuado al riesgo derivado del procesamiento específico de datos personales;
· requisitos que respetan el estado de desarrollo de la técnica, el costo de la implementación, la naturaleza, el alcance, el contexto y finalidad del tratamiento de los datos, y también los riesgos provistos de diferente probabilidad y severidad de los derechos y las libertades de las personas;
· garantizar la detección oportuna de infracciones que afectan la seguridad, la necesidad de notificaciones y, cuando corresponda, la respectiva notificación entregada a la atención de las personas interesadas respectivas.
· con respecto al desarrollo de un plan de acción efectivo (playbook) para cada caso será debidamente tomada bajo consideración cada circunstancia relacionada con la infracción.
II. CONCEPTOS CLAVE
"Política": la presente política creada a efectos de establecer, escalar y notificar infracciones de datos personales, adoptada por parte de Tesy OOD;
"RGPDCP" - Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos y por el que se deroga la Directiva 95/46/
"LPDP" - Ley de Protección de Datos de carácter personal;
"CPDP" - Comisión de Protección de Datos de carácter Personal;
"OPDCP" - Un Oficial de Protección de Datos, a quien se le asignan las tareas en virtud del Art. 39 de la RGPDCP. El "OPDCP" se nombra por medio de orden entregada por el gerente de "Tesy" OOD;
"Datos de carácter personal" constituye cualquier información relacionada con una persona física / persona física sujeta a aplicable identificación; un individuo puede ser identificado (de manera directa o indirecta), en particular a través de un identificador tal como el nombre, número de identificación, la dirección, el identificador en régimen online o por medio de uno o más factores específicos con respecto a la identidad física, fisiológica, genética, psicológica, mental, económica, cultural o identidad social de ese individuo;
"Sujeto" – constituye una persona física con respecto a quien se procesan los datos personales, ya sea contraparte de la Sociedad, empleado u otra persona cuyos datos queden procesados por representantes de la Compañía;
"Procesamiento" – cualquier operación / conjunto de operaciones realizadas con respecto a los datos / Datos de carácter personal por medios automáticos / otros medios tales como la recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión u otros medios por los cuales los datos están disponibles, arreglados o combinados, restringidos, eliminados o destruidos;
"Administrador": constituye una persona que, sola o en conjunto con otras personas, determina los propósitos y los medios a efectos de que se procesan los datos personales. El Administrador en este caso es la Compañía;
"Persona encargada de procesamiento de datos" – una persona física (que no sea empleado de la compañía) o una persona jurídica que trate datos personales cuya tarea está encargada por la Compañía determinando TESY la manera estricta, el propósito y los medios del tratamiento de estos datos, incluso con verificación en materia de comprobación de que la persona respectiva cumple con los requisitos del RGPDCP;
"Sub- Procesador": subcontratista del procesador seleccionado y nombrado;
"Empleado" constituye cualquier persona empleada por la Compañía en régimen de contrato laboral y / o civil y que procesa Datos de carácter personal;
"Categorías especiales de datos de carácter personal": datos en virtud del art. 9 de RGPDCP, es decir datos que revelan un origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o la afiliación sindical, y el tratamiento de los datos genéticos, datos biométricos con el único propósito de identificar a los datos del individuo, datos sobre el estado de salud o datos sobre la vida sexual u orientación sexual del individuo;
Datos relacionados con condenas y violaciones - datos en virtud del art. 10 de la RGPDCP, cuyo procesamiento se lleva a cabo solo bajo el control ejecutado por la CPDP;
"Infracción de la seguridad"1 -evento que conduce a la destrucción accidental o ilícita, la pérdida, alteración, la difusión o acceso no autorizado con respecto a los datos personales que se transmiten, se revelan, se almacenan o procesan de otro modo, tales como:
· "Destrucción" existe cuando los datos ya no existen / no existen en la forma en que el Administrador puede usarlos;
· "pérdida" ocurre cuando los datos personales existen pero el administrador ha perdido el control / acceso / autoridad fáctica sobre ellos;
· "procesamiento no autorizado o ilegal" se produce cuando hay divulgación de los datos personales / acceso de receptores no autorizados y cualquier otra forma de tratamiento que viola las provisiones de RGPDCP, por ejemplo. Destrucción accidental o ilegal, pérdida, alteración, divulgación indebida o acceso a datos personales transmitidos, almacenados o no regulados.
· "daño" constituye cualquier daño físico, material o no material que resulte de un procesamiento o pérdida no autorizados, ilegales.
Las violaciones de seguridad se pueden dividir en tres grupos principales:
1. La falta de confidencialidad - en relación con la divulgación no autorizada o accidental o acceso a los datos personales;
2. Violaciones de la disponibilidad – cuando ocurre un acceso accidental o no autorizado o pérdida / destrucción de los datos personales;
3. Violación de autenticidad – en el evento de modificación accidental o no autorizado con respecto a los datos de carácter personal.
Ciertas violaciones pueden cumplir simultáneamente con dos o tres de las condiciones con anterioridad descritas que quedan formuladas en punto 1 a 3.
"Equipo de Respuesta" constituye un equipo que se forma cuando ocurre un fallo de seguridad y el que coordina las actividades de exploración de las circunstancias de la supuesta violación de la seguridad, ayuda a OPDCP en el transcurso de la realización de los análisis, propuestas y limitaciones de los daños; llevando a cabo un plan de acción y adoptando medidas para limitar el daño y restablecer la seguridad de la información. El equipo consta de miembros con conocimiento y experiencia en el ámbito de la seguridad de la información, los recursos humanos, etc., y si quede necesario, con el apoyo de personal adicional de otros departamentos, por ejemplo el departamento de seguridad legal o seguridad de información.
III. OBJETIVO DE LA POLÍTICA
El objetivo de esta es llegar a ser una herramienta eficaz para mantener la seguridad y para evitar el procesamiento que viola las normas internas de TESY, de RGPDCP y la legislación aplicable en el ámbito de los datos personales; y promover medidas efectivas de protección en caso de un fallo de seguridad de los datos personales con el fin de eliminar los incidentes de una manera apropiada y oportuna.
IV. ACCIONES EN CASO DE VIOLACIÓN
La Compañía está adoptando todas las medidas posibles para capacitar a los empleados a reconocer la aparición de fallos de seguridad, incluso el riesgo de aparición de tales fallos. Los empleados deben recibir instrucciones claras sobre la prioridad de la notificación inmediata de una posible violación de seguridad, y con respecto a la asistencia necesaria posterior relacionada con entrega de todos los detalles escritos del incidente tan pronto como sea posible.
Una vez familiarizado con esta política, cada empleado debe aplicarla con prioridad con respecto a las actividades de tratamiento de datos de carácter personal de la Compañía. En caso de sospecha de incumplimiento de la seguridad, el funcionario quien originalmente estableció la probabilidad de un evento notificará inmediatamente al OPDCP, el quien después de evaluación de la situación particular, formará equipos para poder responder al evento.
El equipo de respuesta va a emprender de inmediato un estudio del caso de una Posible violación de seguridad, utilizando todos los recursos técnicos y organizativos de la empresa, va a informar al OPDCP y va a ayudar y asistir el transcurso de la realización de análisis de seguimiento, propuestas y limitación de daños.
El OPDCP prepara un documento para evaluar el riesgo potencial de la violación y sus consecuencias, incluso las medidas de protección que pueden mitigar los efectos de la misma y lo remitirá al Gerente de la Compañía. Basándose en el documento descrito en la frase con anterioridad descrita el Gerente tomará una decisión motivada sobre si existe una obligación de:
· Notificar a la Comisión de Protección de Datos Personales con respecto a la violación; y
· Notificar a los interesados afectados cuando exista un riesgo elevado en conformidad con el punto anterior.
Cualquier violación de la seguridad está sujeta a almacenamiento documental instrumentado por la Compañía.
V PLAN Y GESTIÓN DE INFRACCIONES
El siguiente diagrama a continuación revela el tipo de acciones que se deben adoptarse en el supuesto de una violación detectada.
VI. DETECCIÓN DE INFRACCIONES DE SEGURIDAD
Teniendo en cuenta la información recopilada, el Equipo de respuesta y el OPDCP evalúan el riesgo para los sujetos como resultado de la Infracción de la seguridad. Si se identifica a esa persona, el OPDCP presenta una opinión en lo que concierne al incumplimiento de seguridad identificado y recomienda medidas para minimizar / recuperar el daño.
Cuando es probable que la violación de los datos de carácter personal pueda crear un alto riesgo para los derechos y libertades de las personas físicas, empresas, dentro de un tiempo razonable después de la revelación y la evaluación de riesgos que pueden derivar de la violación de la seguridad particular, este notifica al titular de los datos sobre la infracción de seguridad de los datos personales.
La notificación a las personas afectadas se realiza en conformidad con un modelo aprobado (Anexo No1). Las personas afectadas deben ser notificadas individualmente de una manera apropiada resuelta según la discreción de la empresa - por e-mail, SMS, por carta o comunicación, por teléfono, mediante anuncio público, por el que los sujetos puedan quedar informados de manera efectiva.
Condiciones según las que no se requiere notificación:
· Cuando una violación de seguridad no supone un riesgo para los derechos y libertades de las partes interesadas;
· Cuando los Datos Personales están disponibles públicamente y la divulgación no representará un riesgo para los Sujetos;
· Cuando un fallo de seguridad sólo afecta a la privacidad y los datos personales en cuestión se codifican mediante algoritmo que cumple con el nivel tecnológico, cuando la clave no ha sido descubierta y se genera de manera que no puede ser detectada con los medios técnicos disponibles por una persona que no tiene acceso a la clave.
Se considera que la Compañía dispone de conocimiento en lo que atañe a la existencia de una brecha de seguridad cuando la reacción del equipo y el OPDCP entregan una opinión de que son aplicables los requisitos previos para la aparición de este tipo de infracción de la seguridad.
NOTIFICACIÓN DE CPDP
Dentro de un período de 72 (setenta y dos) horas posteriores al momento de detección de la infracción, la Compañía debe notificar a la CPDP. La notificación al órgano de supervisión se basa en un modelo de formulario preliminarmente aprobado (Anexo No.2).
En caso de que la Compañía al momento de la notificación enviada a la atención de CPDP aún no ha sido comunicado a la persona interesada en lo que atañe al incumplimiento del nivel de seguridad de sus datos personales la CPDP puede, después de tomar en cuenta y considerar la probabilidad de que el incumplimiento del nivel de seguridad de los datos personales suponen un alto riesgo requerir que la Compañía reporte la violación. En este caso, la Compañía, siguiendo las instrucciones del CPDP, debería tomar medidas para notificar a los interesados y a los sujetos interesados de una manera adecuada en conformidad con el escenario particular.
Varios tipos de infracciones pueden requerir que se proporcione información adicional para explicar completamente las circunstancias de cada caso particular.
La falta de información precisa (por ejemplo, el número exacto de personas afectadas) no impide que se realice notificación oportuna a la atención de la CPDP. En tales casos, se debe describir el número aproximado de personas afectadas.
En caso de que no sea posible enviar la información requerida al mismo tiempo que la notificación a la CPDP, esta información puede ser entregada por etapas sin demora indebida. Prerrequisitos para tal notificación llevada a cabo paso a paso son:
· No todos los hechos relevantes están disponibles;
· La infracción de seguridad es de naturaleza más compleja (por ejemplo, algunos tipos de incidentes en el área de ciberseguridad);
· Indicar los motivos de la demora e informar a la CPDP de manera oportuna de que hay una incapacidad para proporcionar información completa;
· Obtener la aprobación de CPDP para dicha notificación llevada a cabo paso a paso;
· Obtener instrucciones de la CPDP con respecto a la notificación de los sujetos afectados en lo que atañe a si las personas con anterioridad descritas deben ser notificadas, y sobre el período de tiempo y la manera según la que dichos sujetos deben quedar notificados.
En casos excepcionales y en régimen de circunstancias específicas, es posible llevar a cabo notificación diferida: por ejemplo, si la investigación revela ocurrencias múltiples y similares de infracciones de seguridad para ciertas categorías de datos por un corto período de tiempo que afecta un número importante de sujetos, la Compañía puede notificar a la CLPD de todos estos eventos simultáneamente, excediendo el límite de tiempo de 72 horas determinado. Esta posibilidad debe aplicarse de forma restrictiva también y en régimen de consideración estricta de las particularidades específicas de cada evento particular.
La notificación a la autoridad de control en tales casos debe contener los motivos de la demora.
EVALUACIÓN DE RIESGO
Tan pronto como se reciba una notificación de infracción de seguridad o cuando surjan sospechas para ello el Equipo de Respuesta notifica al OPDCP, y este último procede a realizar al siguiente plan (cuando la empresa proporciona los recursos necesarios / conocimientos profesionales adicionales, si esto sea necesario):
· evaluación de riesgos en una escala de 1 a 5 (desde riesgo insignificante hasta riesgo alto, tanto en materia de probabilidad como en materia de intensidad) con respecto a los derechos de los sujetos considerándose el alcance del impacto;
· Definición de categorías de datos personales afectados;
· Identificar la ausencia / presencia de cifrado / otras circunstancias relevantes que pueden minimizar el riesgo de violación de seguridad y eliminar la necesidad de notificación de los Sujetos;
· Recomendación, basada en el grado de riesgo identificado, con respecto a la necesidad de notificar a La CPDP;
· proponer medidas específicas de seguimiento para reducir el riesgo de ocurrencia de la Infracción de seguridad.
En el transcurso de evaluación de riesgos, el Equipo de respuesta puede usar en materia de consejos modelos de violaciones del riesgo el riesgo y la necesidad de notificación (Anexo No.4). Estas instrucciones se mantienen actualizadas por el OPDCP, el quien puede complementarlas con otras buenas prácticas.
Existe un alto riesgo para propósitos de evaluación cuando ocurren violaciones de seguridad que probablemente puedan causar daño físico, material o no material a los sujetos, la seguridad de cuyos datos se ha visto comprometida. Ejemplos de tales daños son la discriminación, el robo de identidad, fraude, pérdida financiera o daño a la reputación. Cuando la infracción de la seguridad incluye datos personales relacionados con la raza o etnia, salud, orientación sexual, condenas o enjuiciamiento, medidas coercitivas forzadas relacionados con ello, la ocurrencia de daño físico, material o no material se presume.
Al evaluar el riesgo de una violación de seguridad, se deben tener en cuenta las circunstancias específicas, incluso la complejidad del posible impacto y la probabilidad de que ocurra, tal como por ejemplo:
· Tipo de violación de seguridad;
· La naturaleza, la sensibilidad y el volumen de los datos de carácter personal afectados: cuanto más sensibles sean los datos, mayor será el riesgo de daños a los sujetos.
Sensibles pueden ser datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o la afiliación sindical, y el tratamiento de los datos genéticos, datos biométricos con el único propósito de identificar a los datos de salud individuales o datos para la vida sexual o la orientación sexual del individuo.
Por otra parte, una pequeña cantidad de datos personales sensibles puede tener un gran impacto con respecto a un sujeto en particular, y una amplia gama de detalles sobre estos datos puede revelar más información al respecto. La perturbación que involucra una gran cantidad de datos personales para una amplia gama de sujetos también puede tener un impacto negativo significativo;
· La identificación ilegal de Sujetos afectados por terceros: cuando se ha realizado un acceso no autorizado a los Datos personales afectados por parte de terceros, se debe tomar en consideración con qué grado de facilidad esta persona puede identificar a los sujetos. En función de las circunstancias, la identificación podría hacerse mediante el uso de los datos sin pruebas adicionales para detectar la identidad del individuo y por otra parte puede resultar extremadamente difícil acceder y relacionar los datos personales afectados con determinados Sujetos, pero a pesar de ello puede resultar que la identificación sea posible bajo ciertas condiciones;
· La gravedad de las consecuencias para los sujetos;
· Especificidades de los sujetos;
· Las características específicas de la actividad de la Compañía en su calidad de Administrador;
· Número de sujetos afectados.
REGISTRO DE INFRACCIONES
Independientemente de que la violación de la seguridad requiera notificación, la compañía documenta todos los hechos, sus consecuencias, las acciones adoptadas, los argumentos para las decisiones tomadas. Por recomendación proporcionada por el OPDCP y por decisión del Gerente, la Compañía crea un registro especial con el propósito de realizar la iniciativa con anterioridad descrita (Anexo No.3).
El registro debe incluir necesariamente el tiempo presunto o el período de ocurrencia, el momento de detección de eventos, el momento del informe y notificación y el nombre del funcionario quien ha realizado el informe. Después del análisis desarrollado por el Equipo de Respuesta, el registro debe inscribir las consecuencias del incidente y las medidas adoptadas para eliminarlas.
PROCEDIMIENTOS Y MECANISMOS PREVENTIVOS
El OPDCP prepara y elabora un plan de capacitación para el personal recién contratado y / o reelegido, y capacitación y aclaraciones periódicas para todos los empleados. En el transcurso de llevar a cabo su actividad, los empleados también cumplen con las políticas internas, las reglas y procedimientos de la Compañía en el transcurso de procesamiento de datos de carácter personal.
Al terminar su relación laboral, los empleados toman todas las medidas técnicas y organizativas necesarias relacionadas con la protección de cada categoría de registro /categoría de datos personales que mantiene TESY OOD, tales como:
1) Cambio de contraseñas;
2) Restricción de acceso (incluso VPN, servicios en la nube, servidores, etc.);
3) Devolver todos los dispositivos comerciales, tales como teléfono, computadora portátil, unidad flash USB etc. dependiendo del caso particular; la devolución de los dispositivos debe ser seguida por eliminación de la información personalizada del último empleado disponible en el dispositivo, incluso en el supuesto de que el dispositivo devuelto está sujeto a desguace / destrucción directa.
4) Restricción del acceso físico mediante devolución de claves, cambios con respecto a códigos de acceso, etc.
Cifrado de datos: en caso de que exista un mayor riesgo de acceso físico no autorizado a soportes de datos confidenciales o en caso de robo de dispositivos de servicio que sean portadores de datos de carácter personal.
En caso de necesidad de recuperación de datos, el procedimiento se ejecuta después del permiso por escrito de la persona responsable de la seguridad de la información, que se refleja en el archivo y el registro de recuperación de datos.
En caso de compromiso de la contraseña, esta se reemplaza inmediatamente con contraseña nueva, cancelándose el certificado de acceso del empleado y reflejándose dicho evento en el registro de incidentes.
El Equipo de respuesta, junto con el OPDCP, puede adoptar otras medidas preventivas, mecanismos e instrucciones internas.
El presente reglamento y sus anexos se han preparado el 21.05.2018, y entran en vigor desde el 25.05.2018.
Zhechko Kyurkchiev, gerente de la entidad "TESY" OOD