Politika për Konstatimin, Eskalimin dhe Njoftimin e Shkeljeve të “TESY” OOD

I. PËRGJITHSHME

“Tesy” OOD (Kompania, Tesy), NIPT 040029337, me seli në qytetin e Shumen, Bulevardi “Madara” nr. 48, përfaqësohet nga Drejtori Menaxhues Zhechko Kyurkchiev.

Kjo politikë është pjesë e masave që synojnë të sigurojnë sigurinë e informacionit dhe një sistem efikas për mbrojtjen e të dhënave personale në Tesy, në përputhje me legjislacionin në fuqi dhe praktikat e mira të zbatueshme.

Rregullorja (BE) 2016/679 e PE dhe e Këshillit të datës 27 prill 2016 për mbrojtjen e individëve në lidhje me përpunimin e të dhënave personale dhe për lëvizjen e lirë të këtyre të dhënave, si dhe Ligji për Mbrojtjen e të Dhënave Personale janë të përqendruara në sigurinë e të dhënave personale. Përmes masave të përshtatshme teknike dhe organizative, të dhënat do të përpunohen në një mënyrë që garanton sigurinë e tyre të duhur, duke përfshirë mbrojtjen kundër përpunimit të paautorizuar ose të paligjshëm dhe kundër humbjes aksidentale, shkatërrimit ose dëmtimit. Dëmet mund të jenë fizike, materiale ose jo-materiale për individët, për shembull, humbja e kontrollit mbi të dhënat e tyre personale ose kufizimi i të drejtave të tyre, diskriminimi, vjedhja e identitetit ose mashtrimi, humbje financiare, zbulimi i paautorizuar i të dhënave, etj.

Qëllimi i kësaj politike është të përcaktojë rregullimet organizative si më poshtë:

dhënia e një niveli aksesi që korrespondon me rrezikun që lind në lidhje me përpunimin specifik të të dhënave personale;
marrja parasysh e arritjeve të përparimit teknik, kostot e zbatimit, natyrën, fushën, kontekstin dhe qëllimet e përpunimit, si dhe rreziqet e mundshme për të drejtat dhe liritë e individëve;
garantimi i zbulimit të shpejtë të shkeljeve të sigurisë, nevoja për njoftim dhe njoftimi përkatës i autoritetit mbikëqyrës/personave të prekur;
hartimi i një plani veprimi efektiv për çdo rast specifik, duke marrë parasysh të gjitha rrethanat e lidhura me shkeljen.
II. KONCEPTET KRYESORE

“Politika” nënkupton këtë Politikë për Konstatimin, Eskalimin dhe Njoftimin e Shkeljeve në lidhje me sigurinë e të dhënave personale, e miratuar nga “Tesy” OOD;
“GDPR” nënkupton Rregulloren (BE) 2016/679 të PE dhe Këshillit të datës 27 prill 2016 për mbrojtjen e individëve në lidhje me përpunimin e të dhënave personale;
“Ligji për Mbrojtjen e të Dhënave Personale” (PDPA);
“Komisioni për Mbrojtjen e të Dhënave Personale” (CPDP);
“Zyrtari për Mbrojtjen e të Dhënave” (DPO);
“Të Dhëna Personale” do të thotë çdo informacion që lidhet me një person të identifikueshëm;
“Subjekti i të Dhënave” do të thotë personi natyror, të dhënat e të cilit përpunohen nga Kompania;
“Përpunimi” nënkupton çdo veprim të kryer mbi të dhënat personale;
“Kontrolluesi” do të thotë personi që përcakton qëllimet dhe mjetet e përpunimit të të dhënave personale;
“Përpunuesi” do të thotë personi që përpunon të dhënat personale në emër të Kontrolluesit;
“Shkelja e Sigurisë” do të thotë një ngjarje që çon në shkatërrim, humbje, ndryshim ose zbulim të paautorizuar të të dhënave personale.
III. QËLLIMI I POLITIKËS

Kjo politikë synon të shërbejë si një mjet efektiv për të ruajtur sigurinë dhe për të parandaluar çdo përpunim që shkel rregullat e brendshme të Tesy, GDPR-në dhe legjislacionin e zbatueshëm në fushën e të dhënave personale.

IV. VEPRIMET NË RAST SHKELJESH

Kompania merr masa për të trajnuar punonjësit e saj për të identifikuar ndodhjen e shkeljeve të sigurisë. Punonjësit duhet të njoftojnë menjëherë DPO-në dhe të ndihmojnë në ofrimin e detajeve të incidentit.

Ekipi i Përgjigjes do të hetojë raportin dhe do të mbështesë DPO-në në kryerjen e veprimtarive pasuese. Shkelja duhet të dokumentohet nga Kompania.

V. PLANIFIKIMI DHE MENAXHIMI I SHKELJEVE

Skema më poshtë ilustron veprimet që duhen ndërmarrë në rast të një shkeljeje të konstatuar.

 

VI.        KONSTATIMI I SHKELJEVE TË SIGURISË

Bazuar në informacionin e mbledhur, Ekipi i Reagimit dhe ZRT (Zyrtari për Ruajtjen e të Dhënave) do të vlerësojnë rrezikun për subjektet e të dhënave që rezulton nga Shkelja e Sigurisë. Nëse identifikohet një rrezik i tillë, ZRT do të japë mendimin e tij për Shkeljen e Sigurisë së konstatuar dhe do të rekomandojë masa për minimizimin e dëmeve ose për rikuperim.

Kur Shkelja e Sigurisë së të dhënave personale ka gjasa të shkaktojë një rrezik të lartë për të drejtat dhe liritë e personave fizikë, Kompania, brenda një afati kohor të përshtatshëm pas njoftimit për vlerësimin e rrezikut që mund të shkaktojë Shkelja specifike e Sigurisë, do të njoftojë subjektin e të dhënave për shkeljen e sigurisë së të dhënave personale.

Njoftimi për personat e prekur do të bazohet në modelin e miratuar (Shtojca Nr. 1). Personat e prekur do të njoftohen personalisht në një mënyrë të përshtatshme, sipas zgjedhjes së Kompanisë: me e-mail, SMS, letër, telefon, njoftim publik, në mënyrë që të sigurohet se Subjektet e të Dhënave janë të informuar në mënyrë efektive.

Kushtet nën të cilat nuk kërkohet njoftimi:

kur Shkelja e Sigurisë nuk do të shkaktojë asnjë rrezik për të drejtat dhe liritë e Subjekteve të të Dhënave;
kur të Dhënat Personale janë të disponueshme publikisht dhe zbulimi i tyre nuk do të shkaktojë ndonjë rrezik për Subjektet e të Dhënave;
kur Shkelja e Sigurisë prek vetëm konfidencialitetin dhe të Dhënat Personale përkatëse janë të koduara në mënyrë të sigurt me një algoritëm modern, çelësi i kodimit nuk është zbuluar dhe është gjeneruar në mënyrë që të mos mund të identifikohet përmes mjeteve teknike të disponueshme nga një person që nuk ka qasje në çelës.
Kompania konsiderohet se është në dijeni të një Shkeljeje të Sigurisë kur Ekipi i Reagimit dhe ZRT dalin me një opinion mbi praninë e kushteve për një ngjarje të tillë.

NJOFITIMI I KMPD-së (Komisioni për Mbrojtjen e të Dhënave Personale)

Brenda një periudhe prej 72 (shtatëdhjetë e dy) orësh pasi të jetë informuar për Shkeljen, Kompania do të njoftojë KMPD-në. Njoftimi për autoritetin mbikëqyrës do të bëhet duke përdorur një model të miratuar (Shtojca Nr. 2).

Nëse Kompania, në momentin e dorëzimit të njoftimit te KMPD-ja, ende nuk ka informuar subjektin e të dhënave për shkeljen e sigurisë që lidhet me të dhënat e tij/saj personale, KMPD-ja, pasi të vlerësojë gjasat e shkeljes së sigurisë së të dhënave personale për të shkaktuar një rrezik të lartë, mund të vendosë detyrimin për Kompaninë për të njoftuar shkeljen. Në një rast të tillë, Kompania do të marrë masa për të informuar subjektet e të dhënave në një mënyrë të përshtatshme për rastin specifik në përputhje me udhëzimet e KMPD-së.

Disa lloje të shkeljeve mund të kërkojnë dorëzimin e informacionit shtesë, me qëllim dhënien e një shpjegimi të plotë për rrethanat në secilin rast specifik.

Mungesa e informacionit të saktë (për shembull, numri specifik i personave të prekur) nuk do të pengojë njoftimin e duhur dhe në kohë të KMPD-së. Në raste të tilla, do të jepet numri i përafërt i personave të prekur.

Nëse informacioni i nevojshëm nuk mund të sigurohet së bashku me njoftimin për KMPD-në, ai do të dorëzohet në faza pa vonesa të panevojshme. Kushtet për një njoftim të tillë në faza janë si më poshtë:

të gjitha faktet përkatëse ende nuk janë të disponueshme;
shkelja e sigurisë është më komplekse në fakt (për shembull, incidente të caktuara në fushën e sigurisë kibernetike);
të specifikohen arsyet për vonesën dhe të informohet KMPD-ja në kohë se është e pamundur të ofrohet informacioni i plotë;
të merret miratimi i KMPD-së për një njoftim të tillë me faza;
të merren udhëzime nga KMPD-ja për nëse, kur dhe si të informohen subjektet e të dhënave përkatëse.
Si përjashtim dhe në rrethana specifike, mund të përdoret një njoftim i vonuar - për shembull, nëse gjatë hetimit konkludohet se ka Shkelje të Sigurisë të përsëritura dhe të ngjashme për kategori të caktuara të të dhënave për një periudhë të shkurtër kohore dhe për një numër të madh Subjektësh të Dhënash, Kompania mund të njoftojë KMPD-në për të gjitha njëkohësisht, duke tejkaluar afatin kohor prej 72 orësh. Kjo mundësi duhet të përdoret në mënyrë të kufizuar, duke marrë parasysh karakteristikat e veçanta të rastit në fjalë.

Në raste të tilla, njoftimi për autoritetin mbikëqyrës do të specifikojë arsyet për vonesën.

VLERËSIMI I RREZIKUT

Sapo të pranohet një raport për një Shkelje të mundshme të Sigurisë ose të ketë dyshime për praninë e një shkeljeje të tillë, Ekipi i Reagimit do të njoftojë ZRT-në dhe ky i fundit do të zbatojë planin e mëposhtëm të veprimit (me kusht që Kompania të sigurojë burimet e nevojshme/ekspertizën shtesë, nëse është e nevojshme):

vlerësim i rrezikut në një shkallë nga 1 në 5 (nga i papërfillshëm deri në të lartë; si dhe për sa i përket mundësisë së ndodhjes dhe intensitetit) në lidhje me të drejtat e subjekteve të të dhënave me qëllim madhësinë;
identifikimi i kategorive të të dhënave personale të prekura;
konstatimi i mungesës/pranisë së kodimit/rrethanave të tjera përkatëse, të cilat minimizojnë rrezikun e shkaktuar nga Shkelja e Sigurisë dhe për rrjedhojë mund të shmangin nevojën për të njoftuar Subjektet e të Dhënave;
dalja me rekomandime, bazuar në nivelin e rrezikut të konstatuar, nëse duhet të njoftohet KMPD-ja; dhe
sugjerimi i masave specifike të mëtejshme për të kufizuar rrezikun e Shkeljes së Sigurisë së ndodhur.
Kur vlerësohet rreziku, Ekipi i Reagimit mund të përdorë si udhëzime shkeljet treguese të rrezikut dhe nevojën për njoftim (Shtojca Nr. 4). ZRT-ja do të mbajë udhëzimet të përditësuara dhe mund t'i plotësojë ato me praktika të tjera të mira.

Për qëllimet e vlerësimit, ekziston një rrezik i lartë kur Shkelja e Sigurisë ka gjasa të rezultojë në një dëm fizik, material ose jomaterial për subjektet e të dhënave, të cilët të dhënat e tyre janë të cenuara. Diskriminimi, vjedhja e identitetit ose mashtrimi, humbja financiare ose dëmtimi i reputacionit janë shembuj të tillë të dëmeve. Kur Shkelja e Sigurisë lidhet me të Dhëna Personale që kanë të bëjnë me origjinën racore ose etnike, gjendjen shëndetësore, orientimin seksual, dënimet penale dhe veprat penale, veprimet e zbatimit të ligjit në këtë drejtim, supozohet se do të ndodhë një dëm fizik, material ose jomaterial.

Vlerësimi i rrezikut të Shkeljes së Sigurisë do të marrë parasysh rrethanat specifike, përfshirë kompleksitetin e efektit të mundshëm dhe gjasat e ndodhjes së tij, siç janë:

lloji i Shkeljes së Sigurisë;
natyra, ndjeshmëria dhe vëllimi i të Dhënave Personale të përfshira – sa më të ndjeshme të jenë të dhënat, aq më i lartë është rreziku i dëmeve për Subjektet e të Dhënave.
Të dhënat sensitive mund të jenë të dhënat personale që zbulojnë origjinën racore ose etnike, opinionet politike, bindjet fetare ose filozofike, ose anëtarësimin në sindikata, dhe përpunimi i të dhënave gjenetike, të dhënave biometrike për qëllim të identifikimit unik të një personi fizik, të dhënat në lidhje me shëndetin ose të dhënat që lidhen me jetën seksuale ose orientimin seksual të një personi fizik.

Gjithashtu, një përqindje e vogël e të dhënave sensitive mund të ketë një efekt të konsiderueshëm në një Subjekt të caktuar të Dhënave, ndërsa një gamë e gjerë detajesh rreth këtyre të dhënave mund të zbulojë më shumë informacion rreth tij/saj. Çdo Shkelje që përfshin një sasi të madhe të të Dhënave Personale për një gamë të gjerë Subjektësh të Dhënave gjithashtu mund të ketë një efekt material negativ;

identifikimi i paligjshëm i Subjekteve të të Dhënave përkatëse nga palët e treta, kur një palë e tretë ka fituar akses të paautorizuar në të Dhënat Personale të përfshira, çështja që duhet marrë parasysh është sa e lehtë është për këtë person të identifikojë Subjektet e të Dhënave. Në varësi të rrethanave, identifikimi mund të realizohet përmes përdorimit të të dhënave pa eksploruar më tej identitetin e personit të përfshirë, por gjithashtu mund të jetë jashtëzakonisht e vështirë të lidhësh të Dhënat Personale përkatëse me një Subjekt të caktuar të Dhënave, megjithatë identifikimi mund të jetë i mundur në rrethana të caktuara;
ashpërsia e pasojave për Subjektet e të Dhënave;
veçoritë specifike të Subjekteve të të Dhënave;
karakteristikat specifike të aktivitetit të Kompanisë si Kontrollues;
numri i Subjekteve të të Dhënave përkatëse.
VII.        REGJISTRI I SHKELJEVE

Pavarësisht nëse Shkelja e Sigurisë kërkon njoftim apo jo, Kompania do të dokumentojë të gjitha faktet që lidhen me të, pasojat e saj, veprimet e ndërmarra dhe argumentet për vendimet e marra. Me rekomandimin e ZRT-së dhe vendimin e Drejtorit Menaxhues, Kompania do të krijojë një regjistër të veçantë për këtë qëllim (Shtojca Nr. 3).

Të dhënat e mëposhtme duhet të regjistrohen me detyrim: koha e supozuar e ndodhjes, momenti i konstatuar, koha e raportimit dhe emri i punonjësit që bëri raportimin. Bazuar në analizën e Ekipit të Reagimit, pasojat nga incidenti dhe masat e marra për tejkalimin e tyre do të regjistrohen në regjistër.

PROCEDURAT DHE MEKANIZMAT PARANDALUES

ZRT-ja do të hartojë planin për trajnimin e punonjësve të sapoemëruar dhe/ose të rizgjedhur, si dhe trajnimet periodike dhe informimet për të gjithë punonjësit. Gjatë përmbushjes së detyrave të tyre, punonjësit do të respektojnë gjithashtu politikat, rregullat dhe procedurat e brendshme të Kompanisë që lidhen me përpunimin e të dhënave personale.

Kur punonjësit largohen nga Kompania, do të ndërmerren të gjitha masat teknike dhe organizative të nevojshme në lidhje me mbrojtjen e çdo regjistri/kategorie të të dhënave personale të mbajtura nga “Tesy” OOD, si:

ndryshimi i fjalëkalimeve;
kufizimi i aksesit (përfshirë VPN, shërbime cloud, serverë, etj.);
kthimi i të gjitha pajisjeve të Kompanisë, si telefoni, laptopi, USB flash drive, etj., në varësi të rastit specifik; kthimi i pajisjeve duhet të ndiqet me detyrim nga fshirja e informacionit personalizues të punonjësit që ka përdorur pajisjen për herë të fundit, përfshirë rastet kur pajisja e kthyer është subjekt i asgjësimit/shkatërrimit të drejtpërdrejtë;
kufizimi i aksesit fizik përmes kthimit të çelësave, ndryshimi i kodeve të aksesit, etj.
Të dhënat janë të koduara, nëse ekziston një rrezik më i lartë i aksesit fizik të paligjshëm në mbajtësit e të dhënave sensitive ose në rastin e një vjedhjeje të pajisjeve të Kompanisë, në të cilat janë të ruajtura të dhënat personale.

Nëse është e nevojshme të rikuperohen të dhëna të caktuara, procedura do të zbatohet me lejen me shkrim të personit përkatës që është përgjegjës për sigurinë e informacionit, me kusht që ky fakt të regjistrohet në regjistrin për arkivimin dhe restaurimin e të dhënave.

Nëse një fjalëkalim është kompromentuar, ai do të ndryshohet menjëherë me një të ri, ndërsa certifikata për akses e punonjësit përkatës do të bëhet e pavlefshme dhe ngjarja do të regjistrohet në regjistrin e incidenteve.

Ekipi i Reagimit, së bashku me ZRT-në, mund të zbatojnë masa parandaluese të tjera, mekanizma dhe udhëzime të brendshme.

Këto rregulla dhe shtojcat përkatëse janë hartuar më 21 maj 2018 dhe do të hyjnë në fuqi më 25 maj 2018.

Zhechko Kyurkchiev, Drejtor Menaxhues i "Tesy" OOD

Krahaso

Fshij të gjitha