Richtlinie zur Feststellung, Eskalation und Meldung von Verstößen bei „Asenov Montagetehnik“ EOOD

  1. GRUNDLAGEN

"Asenov Montagetehnik" EOOD, EIK 206632286, hat seinen Sitz und seine Verwaltungsadresse: Veliko Tarnovo, 1 Hristo Botev Blvd., vertreten durch den Geschäftsführer Biser Asenov.

Diese Richtlinie ist Teil der Maßnahmen zur Gewährleistung der Informationssicherheit und eines wirksamen Systems zum Schutz personenbezogener Daten bei "Asenov Montagetehnik" EOOD, das der geltenden Gesetzgebung und den geltenden bewährten Praktiken entsprechen sollte.

Verordnung (EU) 2016/679 des EP und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, die in Kraft tritt Die seit dem 25. Mai 2018 geltenden Bestimmungen sowie das aktuelle Gesetz zum Schutz personenbezogener Daten konzentrieren sich auf die Sicherheit personenbezogener Daten. Unter Verwendung geeigneter technischer und organisatorischer Maßnahmen sollten Daten so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung. Schäden können sowohl körperliche als auch materielle oder immaterielle Schäden für Einzelpersonen sein, zum Beispiel Verlust der Kontrolle über ihre persönlichen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder Identitätsbetrug, finanzielle Verluste, unbefugtes Entfernen von Pseudonymen, Rufschädigung, Verletzung der Vertraulichkeit personenbezogener Daten, die durch das Berufsgeheimnis geschützt sind, oder andere erhebliche wirtschaftliche oder soziale nachteilige Folgen für die betroffenen natürlichen Personen.

Mit dieser Richtlinie sollen folgende organisatorische Voraussetzungen geschaffen werden:

□         Bereitstellung eines Sicherheitsniveaus, das dem Risiko entspricht, das sich aus der spezifischen Verarbeitung personenbezogener Daten ergibt;

□         unter Berücksichtigung der Errungenschaften des technischen Fortschritts, der Implementierungskosten, der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen;

□         Gewährleistung der rechtzeitigen Erkennung von Sicherheitsverletzungen, Meldepflicht und entsprechende Meldung an die Aufsichtsbehörde/betroffene Person.

□         Bei der Entwicklung eines effektiven Aktionsplans (Playbook) für jeden einzelnen Fall wird allen Umständen im Zusammenhang mit dem Verstoß gebührende Aufmerksamkeit geschenkt.

  1. SCHLÜSSEL KONZEPTE

"Richtlinie" - die aktuelle Richtlinie zur Feststellung, Eskalation und Benachrichtigung bei Verletzungen des Schutzes personenbezogener Daten, die von "Asenov Montagetehnik" EOOD übernommen wurde;

„DSGVO“ – Verordnung (EU) 2016/679 des EP und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG;

"PLD" - Gesetz zum Schutz personenbezogener Daten;

"KPLD" - Kommission zum Schutz personenbezogener Daten;

„Personenbezogene Daten“ – alle Informationen, die sich auf eine identifizierte natürliche Person/eine identifizierbare natürliche Person beziehen. Eine natürliche Person kann (direkt oder indirekt) identifiziert werden, insbesondere durch eine Kennung wie Name, Identifikationsnummer, Adresse, Online-Kennung oder durch ein oder mehrere Merkmale, die Ausdruck körperlicher, physiologischer, genetischer, psychischer, wirtschaftlicher oder kultureller Natur sind oder soziale Identität dieser natürlichen Person;

„Subjekt“ – eine natürliche Person, für die personenbezogene Daten verarbeitet werden, unabhängig davon, ob es sich um eine Gegenpartei des Unternehmens, einen Mitarbeiter oder eine andere Person handelt, deren Daten vom Unternehmen verarbeitet werden;

„Verarbeitung“ – jeder Vorgang/jede Reihe von Vorgängen, die mit personenbezogenen Daten/einem Satz personenbezogener Daten auf automatische/andere Weise durchgeführt werden, wie z , Verbreitung oder andere Art und Weise, in der die Daten verfügbar gemacht, angeordnet oder kombiniert, eingeschränkt, gelöscht oder vernichtet werden;

"Administrator" - eine Person, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Der Administrator ist in diesem Fall das Unternehmen;

„Auftragsverarbeiter“ – eine natürliche (außerhalb der Mitarbeiter des Unternehmens) oder juristische Person, die personenbezogene Daten im Auftrag des Unternehmens verarbeitet, wobei der Zweck und die Mittel der Verarbeitung streng festgelegt werden, inkl. es wurde geprüft, ob die Person die Anforderungen des ORZLD erfüllt;

„Unterauftragsverarbeiter“ – Unterauftragnehmer des ausgewählten Auftragsverarbeiters;

„Mitarbeiter“ – jede Person, die vom Unternehmen im Rahmen eines Arbeits- und/oder Zivilvertrags beschäftigt ist und personenbezogene Daten verarbeitet;

„Besondere Kategorien personenbezogener Daten“ – Daten nach Art. 9 DSGVO, nämlich solche, die die rassische oder ethnische Herkunft, politische Ansichten, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit offenbaren, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zum alleinigen Zweck der Identifizierung einer natürlichen Person, Daten über der Gesundheitszustand oder Daten zum Sexualleben oder der sexuellen Orientierung der natürlichen Person;

Daten im Zusammenhang mit Verurteilungen und Übertretungen – Daten gemäß Art. 10 der OCPD, deren Verarbeitung nur unter der Kontrolle der OCPD erfolgt;

„Sicherheitsverletzung“1 – ein Ereignis, das zu versehentlicher oder rechtswidriger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten führt, die übertragen, offengelegt, gespeichert oder anderweitig verarbeitet werden, wie z.

□         „Vernichtung“ liegt vor, wenn die Daten nicht mehr/nicht mehr in der Form vorliegen, in der sie vom Administrator verwendet werden können;

□         „Verlust“ liegt vor, wenn die personenbezogenen Daten vorhanden sind, aber der Administrator die Kontrolle/Zugriff/De-facto-Autorität darüber verloren hat;

□         „unbefugte oder rechtswidrige Verarbeitung“ liegt vor, wenn personenbezogene Daten an unbefugte Empfänger weitergegeben/zugegriffen werden, sowie jede andere Form der Verarbeitung, die gegen die DSGVO verstößt, z. versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unrechtmäßige Offenlegung oder Zugriff auf personenbezogene Daten, die auf unkontrollierte Weise übermittelt, gespeichert oder anderweitig verarbeitet werden.

□         „Schäden“ sind alle körperlichen, materiellen und immateriellen Schäden, die aus unbefugter, rechtswidriger Verarbeitung oder Verlust resultieren.

Sicherheitsverletzungen können in drei Hauptgruppen unterteilt werden:

  1. Verletzungen der Privatsphäre – in Bezug auf die unbefugte oder versehentliche Offenlegung oder den Zugriff auf personenbezogene Daten;
  2. Verletzungen der Zugänglichkeit – wenn versehentlicher oder unbefugter Verlust oder Zugriff auf/Vernichtung personenbezogener Daten erfolgt;
  3. Verletzung der Glaubwürdigkeit – im Falle einer versehentlichen oder unbefugten Änderung personenbezogener Daten.

Einige Verstöße können gleichzeitig zwei oder drei der oben in 1 bis 3 beschriebenen Bedingungen erfüllen, inkl.

„Reaktionsteam“ ist ein Team, das im Falle einer Sicherheitsverletzung gebildet wird und die Aktivitäten zur Untersuchung der Umstände einer möglichen Sicherheitsverletzung koordiniert, Analysen durchführt, Vorschläge macht und Maßnahmen zur Schadensbegrenzung durchführt; unternimmt einen Aktionsplan und Maßnahmen zur Schadensbegrenzung und Wiederherstellung der Informationssicherheit. Das Team besteht aus Mitgliedern mit Kenntnissen und Erfahrungen in den Bereichen Informationssicherheit, Personalwesen usw. und wird bei Bedarf durch zusätzliches Personal aus anderen Abteilungen unterstützt, z.B. Rechts- oder Informationssicherheit.

III. ZIEL DER POLITIK

Diese Richtlinie soll ein wirksames Instrument sein, um die Sicherheit zu gewährleisten und eine Verarbeitung zu verhindern, die gegen die internen Regeln von „Asenov Montagetehnik“ EOOD, ORZLD und die geltenden Gesetze im Bereich personenbezogener Daten verstößt; sowie wirksame Schutzmaßnahmen im Falle einer Verletzung der Sicherheit personenbezogener Daten festzulegen, um Vorfälle angemessen und rechtzeitig zu kontrollieren.

  1. MASSNAHMEN BEI VERLETZUNGEN

Das Unternehmen unternimmt alle möglichen Schritte, um Mitarbeiter darin zu schulen, das Auftreten von Sicherheitsverletzungen zu erkennen, einschließlich des Risikos solcher Vorkommnisse. Die Mitarbeiter sollten eine klare Anleitung zur Priorität der sofortigen Meldung einer möglichen Sicherheitsverletzung und die notwendige Unterstützung erhalten, indem sie so schnell wie möglich schriftliche Einzelheiten des Vorfalls zur Verfügung stellen.

Sobald sich jeder Mitarbeiter mit dieser Richtlinie vertraut gemacht hat, sollte er sie bei den Aktivitäten zur Verarbeitung personenbezogener Daten des Unternehmens vorrangig anwenden. Im Falle einer vermuteten Sicherheitsverletzung der Mitarbeiter, der zuerst die Wahrscheinlichkeit eines solchen Ereignisses identifiziert hat

benachrichtigt unverzüglich den Manager, der nach Beurteilung der konkreten Situation ein Reaktionsteam bildet.

Das Response Team führt umgehend eine Untersuchung der potenziellen Sicherheitsverletzungswarnung durch und nutzt dabei alle organisatorischen und technischen Ressourcen des Unternehmens sowie die Nachverfolgung von Analysen, Vorschlägen und Schadensbegrenzung. Erstellt ein Dokument über die Bewertung des möglichen Risikos des Verstoßes und seiner Folgen, einschließlich der Schutzmaßnahmen, die seine Auswirkungen mildern können, und leitet es an den Unternehmensleiter weiter. Auf der Grundlage des Dokuments im vorstehenden Satz trifft der Manager eine begründete Entscheidung darüber, ob er verpflichtet ist:

□         Um die Personal Data Protection Commission über den aufgetretenen Verstoß zu informieren; und

□         Um betroffene Personen zu benachrichtigen, wenn ein hohes Risiko gemäß dem vorherigen Punkt besteht.

Jede Sicherheitsverletzung unterliegt der Dokumentation durch das Unternehmen.

V           VERLETZUNGSPLAN UND MANAGEMENT

Das folgende Diagramm zeigt deutlich, welche Maßnahmen im Falle eines erkannten Verstoßes ergriffen werden sollten.

  1. ERKENNEN EINER SICHERHEITSVERLETZUNG

Basierend auf den gesammelten Informationen bewertet das Reaktionsteam das Risiko für die Unternehmen als Folge der Sicherheitsverletzung. Wenn eine identifiziert wird, gibt das Team eine Stellungnahme zu der festgestellten Sicherheitsverletzung ab und empfiehlt Maßnahmen zur Minimierung/Wiederherstellung des Schadens.

Wenn die Möglichkeit besteht, dass die Verletzung der Sicherheit personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, informiert das Unternehmen in einem angemessenen Zeitraum nach Kenntnisnahme und Bewertung des Risikos, das die spezifische Sicherheitsverletzung verursachen kann, die betroffene Person der Verletzung der Sicherheit personenbezogener Daten.

Die Benachrichtigung der betroffenen Personen erfolgt nach einem etablierten Muster. Die betroffenen Personen sollten nach Ermessen des Unternehmens in geeigneter Weise persönlich benachrichtigt werden - per E-Mail, SMS, Brief, telefonisch, durch öffentliche Bekanntmachung, damit die Subjekte effektiv informiert werden.

Bedingungen, bei denen keine Benachrichtigung erforderlich ist:

□      Wenn die Sicherheitsverletzung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt;

□      Wenn die personenbezogenen Daten öffentlich zugänglich sind und ihre Offenlegung kein Risiko für die Subjekte darstellt;

□      Wenn die Sicherheitsverletzung nur die Vertraulichkeit betrifft und die betroffenen personenbezogenen Daten mit einem hochmodernen Algorithmus sicher verschlüsselt sind, wird der Entschlüsselungsschlüssel nicht offengelegt und so generiert, dass er mit verfügbaren technischen Mitteln nicht erkannt werden kann eine Person, die keinen Zugriff auf den Schlüssel hat.

Es wird davon ausgegangen, dass das Unternehmen von dem Auftreten einer Sicherheitsverletzung Kenntnis erlangt hat, wenn das Reaktionsteam die Meinung vertritt, dass die Voraussetzungen für ein solches Auftreten vorliegen.

MITTEILUNG VON KZLD

Innerhalb von 72 (zweiundsiebzig) Stunden nach Bekanntwerden des Verstoßes ist das Unternehmen verpflichtet, das CPLD zu benachrichtigen.

Wenn das Unternehmen zum Zeitpunkt der Übermittlung der Benachrichtigung an CPLD die betroffene Person noch nicht über die Verletzung der Sicherheit seiner personenbezogenen Daten informiert hat, kann CPLD nach Abwägung der Wahrscheinlichkeit, dass die Verletzung der Sicherheit personenbezogener Daten ein hohes Risiko darstellt, dies tun , das Unternehmen aufzufordern, den Verstoß zu melden. In diesem Fall sollte das Unternehmen gemäß den Anweisungen des CPLD Maßnahmen ergreifen, um die betroffenen Personen in einer dem konkreten Fall angemessenen Weise zu benachrichtigen.

Verschiedene Arten von Verstößen können zusätzliche Informationen erfordern, um die Umstände des jeweiligen Falls vollständig zu erläutern.

Das Fehlen genauer Informationen (z. B. genaue Anzahl der betroffenen Personen) steht einer rechtzeitigen Meldung der CPLD nicht entgegen. In solchen Fällen sollte die ungefähre Anzahl der betroffenen Personen beschrieben werden.

Wenn es nicht möglich ist, die erforderlichen Informationen gleichzeitig mit der Meldung an die CPLD zu übermitteln, können diese ohne unangemessene Verzögerung schrittweise übermittelt werden. Voraussetzungen für eine solche gestaffelte Benachrichtigung sind:

□      Nicht alle relevanten Fakten sind verfügbar;

□      Die Sicherheitsverletzung ist von größerer faktischer Komplexität (z. B. bestimmte Arten von Cybersicherheitsvorfällen);

□      Um die Gründe für die Verzögerung anzugeben und CPLD rechtzeitig zu benachrichtigen, dass es unmöglich ist, die vollständigen Informationen bereitzustellen;

□      Um die Genehmigung von CPLD für eine solche schrittweise Benachrichtigung zu erhalten;

□      Anleitung von CPDP bezüglich der Benachrichtigung betroffener Einrichtungen zu erhalten, ob, wann oder wie sie benachrichtigt werden

Ausnahmsweise und unter bestimmten Umständen ist eine verzögerte Benachrichtigung möglich – wenn beispielsweise die Untersuchung das Vorhandensein mehrerer und ähnlicher Sicherheitsverletzungen für bestimmte Datenkategorien in kurzer Zeit aufdeckt, die eine große Anzahl von Subjekten betreffen, kann das Unternehmen benachrichtigen die GDPR über alle gleichzeitig und überschreitet den 72-Stunden-Zeitraum. Diese Möglichkeit sollte restriktiv und unter strenger Berücksichtigung der Besonderheiten des Einzelfalls genutzt werden.

Die Meldung an die Aufsichtsbehörde sollte in diesen Fällen die Gründe für die Verzögerung enthalten.

RISIKOABSCHÄTZUNG

Sobald eine mögliche Sicherheitsverletzung gemeldet oder vermutet wird, fährt das Response Team mit dem folgenden Aktionsplan fort (vorausgesetzt, das Unternehmen stellt die erforderlichen Ressourcen/zusätzliches Fachwissen bereit, falls erforderlich):

□      eine Risikobewertung auf einer Skala von 1 bis 5 (vernachlässigbar bis hoch; sowohl in Bezug auf die Eintrittswahrscheinlichkeit als auch in Bezug auf die Intensität) für die Rechte der Betroffenen im Hinblick auf das Ausmaß der Auswirkungen;

□      Bestimmung der Kategorien betroffener personenbezogener Daten;

□      Feststellung des Fehlens/Vorhandenseins von Verschlüsselung/anderer relevanter Umstände, um das Risiko der Sicherheitsverletzung zu minimieren und dementsprechend die Notwendigkeit zu beseitigen, die Subjekte zu benachrichtigen;

□      Abgabe einer Empfehlung, basierend auf dem ermittelten Risikograd, ob die CPLD zu benachrichtigen ist;

□      konkrete Folgemaßnahmen vorzuschlagen, um das Risiko einer aufgetretenen Sicherheitsverletzung zu begrenzen.

Ein hohes Risiko für Bewertungszwecke besteht, wenn die Sicherheitsverletzung wahrscheinlich zu physischen, materiellen oder immateriellen Schäden für die Unternehmen führt, deren Daten verletzt werden. Beispiele für solche Schäden sind Diskriminierung, Identitätsdiebstahl, Betrug, finanzielle Verluste oder Rufschädigung. Wenn die Sicherheitsverletzung personenbezogene Daten im Zusammenhang mit Rasse oder ethnischer Zugehörigkeit, Gesundheitszustand, sexueller Orientierung, Verurteilungen oder strafrechtlicher Verfolgung und diesbezüglich verhängten Zwangsmaßnahmen betrifft, wird das Auftreten eines körperlichen, materiellen oder immateriellen Schadens vermutet.

Bei der Bewertung des Risikos der Sicherheitsverletzung sollten die spezifischen Umstände berücksichtigt werden, einschließlich der Komplexität der potenziellen Auswirkungen und der Wahrscheinlichkeit des Auftretens, wie z. B.:

Bei der Bewertung des Risikos der Sicherheitsverletzung sollten die spezifischen Umstände berücksichtigt werden, einschließlich der Komplexität der potenziellen Auswirkungen und der Wahrscheinlichkeit des Auftretens, wie z. B.:

□      Die Art, Sensibilität und Menge der betroffenen personenbezogenen Daten – je sensibler die Daten, desto größer ist das Schadensrisiko für die Subjekte.

Personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Ansichten, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, können ebenso sensibel sein wie die Verarbeitung von genetischen Daten, biometrischen Daten zum alleinigen Zweck der Identifizierung einer Person, Gesundheitsdaten oder Daten über das Geschlecht Leben oder sexuelle Orientierung der natürlichen Person.

Unabhängig davon kann eine kleine Menge sensibler personenbezogener Daten große Auswirkungen auf eine Person haben, und eine Vielzahl von Details zu diesen Daten können weitere Informationen über sie preisgeben. Ein Verstoß, der eine große Menge personenbezogener Daten für eine Vielzahl von Personen betrifft, kann auch erhebliche negative Auswirkungen haben;

□      Die unrechtmäßige Identifizierung betroffener Subjekte durch Dritte – wenn unbefugter Zugriff auf die betroffenen personenbezogenen Daten durch Dritte erfolgt, sollte berücksichtigt werden, wie leicht diese Person die Subjekte identifizieren kann. Je nach den Umständen könnte eine Identifizierung durch die Verwendung der Daten ohne weitere Nachforschungen zur Feststellung der Identität der Person erfolgen, und es kann äußerst schwierig sein, die betroffenen personenbezogenen Daten einem bestimmten Subjekt zuzuordnen, aber eine Identifizierung kann dennoch möglich sein bestimmte Bedingungen;

□      Die Schwere der Folgen für die Probanden;

□      Die spezifischen Merkmale der Themen;

□      Die spezifischen Merkmale der Tätigkeit des Unternehmens als Administrator;

□      Die Anzahl der betroffenen Entitäten.

REGISTER DER VERLETZUNGEN

Unabhängig davon, ob die Sicherheitsverletzung gemeldet werden muss oder nicht, dokumentiert das Unternehmen alle damit verbundenen Fakten, ihre Folgen, die ergriffenen Maßnahmen und die Argumente für die getroffenen Entscheidungen. Das Unternehmen erstellt zu diesem Zweck ein spezielles Register.

In das Register sind der angebliche Zeitpunkt oder Zeitraum des Auftretens, der Zeitpunkt der Feststellung, der Zeitpunkt der Meldung und der Name des meldenden Mitarbeiters einzutragen. Nach der Analyse durch das Response Team werden die Folgen des Vorfalls und die getroffenen Maßnahmen zu deren Beseitigung im Register festgehalten.

VORBEUGENDE VERFAHREN UND MECHANISMEN

Das Unternehmen erstellt einen Schulungsplan für neu eingestellte und/oder versetzte Mitarbeiter sowie regelmäßige Schulungen und Erläuterungen für alle Mitarbeiter. Bei der Ausübung ihrer Tätigkeiten orientieren sich die Mitarbeiter auch bei der Verarbeitung personenbezogener Daten an den internen Richtlinien, Regeln und Verfahren des Unternehmens.

Wenn Mitarbeiter ausscheiden, werden alle notwendigen technischen und organisatorischen Maßnahmen in Bezug auf den Schutz jedes Registers/jeder Kategorie personenbezogener Daten ergriffen, die von „Asenov Montagetehnik“ EOOD geführt werden, wie zum Beispiel:

1)                Passwörter ändern;

2)                Zugriffsbeschränkung (einschließlich VPN, Cloud-Dienste, Server usw.);

3)                Rücksendung aller Servicegeräte wie z Telefon, Laptop, USB-Stick usw. je nach Einzelfall; der rückgabe von geräten muss die löschung der personalisierungsinformationen des zuletzt genutzten mitarbeiters im gerät folgen, inkl. in Fällen, in denen das zurückgegebene Gerät direkt verschrottet/zerstört wird.

4)                Einschränkung des physischen Zugangs durch Schlüsselrückgaben, Änderungen des Zugangscodes usw.

Datenverschlüsselung – bei erhöhtem Risiko eines unkontrollierten physischen Zugriffs auf sensible Datenträger oder bei Diebstahl von Bürogeräten mit personenbezogenen Daten.

In Fällen, in denen eine Datenwiederherstellung erforderlich ist, wird das Verfahren nach schriftlicher Genehmigung der für die Informationssicherheit zuständigen Person durchgeführt, was sich im Datensicherungs- und Wiederherstellungsregister widerspiegelt.

В случаите на компрометирането на парола тя незабавно се подменя с нова, като сертификата за достъп на съответния служител се обезсилва, а събитието се отразява в регистъра за инциденти.

Das Reaktionsteam kann zusammen mit dem Unternehmensleiter andere vorbeugende Maßnahmen, Mechanismen und interne Anweisungen ergreifen.

Diese Richtlinie wurde mit Verfügung Nr. 30 vom 21.05.2018 der Verwaltungsgesellschaft genehmigt und ist am 25.05.2018 in Kraft.