Политика за личните данни

ПОЛИТИКА ЗА СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ на „ЧДГ КИДСВИЛ ООД“ ООД

ЧДГ КИДСВИЛ ООД“ ООД, ЕИК 203071360 („ДРУЖЕСТВОТО“) е внедрило и ще поддържа подходящи технически и организационни мерки за сигурност с цел защита на Личните данни на своите клиенти, потребители на уебсайта на дружеството (занапред уебсайт), служители и партньори, както и всякакви други субекти на лични данни, от който дружеството би могло да събира лични данни, срещу случайни загуби, унищожаване, промяна, неразрешено разкриване или достъп или незаконно унищожаване.

Като взема предвид естеството на обработването, ДРУЖЕСТВОТО се съгласява, че всеки субект на данни може и има право да изиска от ДРУЖЕСТВОТО да приеме допълнителни технически и организационни мерки.

Обработването включва обработване на Лични данни, свързани с клиенти, потребители на уебсайт, служители и партньори, както и всякакви други субекти на лични данни, в зависимост от спецификата на конкретната дейност, която извършва ДРУЖЕСТВОТО.

В контекста на осъществяване на дейност на частна детска градина „KIDSVILLE”, включително, но не само предоставяне на педагогически услуги, преподаване на чужди езици, игри, забавления, тържества, спортни занимания, педагогически услуги, (кино, театър, концерти), обработването е свързано със следните категории Лични данни в зависимост от съответния проект:

• Основни лични данни (като име), данни за контакт (като електронна поща, телефонен номер и др.).

• Данни за и от документи за самоличност на лица, необходими във връзка с услуги, предоставяни от Дружеството. Информация относно Администратора на лични данни и данни за контакт:

• Наименование: „ЧДГ КИДСВИЛ ООД“ ООД, собсветник на ДГ KIDSVILLE

• ЕИК: 203071360

• град София , р-н „Витоша“, п.к. 1415 кв. „Драгалевци“, ул. „Панайот Пипков“ № 53

• E-mail: welcome@kidsville.space

• Телефон: +359 88 2908136

МИНИМУМ ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА СИГУРНОСТ

1. ЗАЩИТА НА ДАННИ

ДРУЖЕСТВОТО ще третира всички Лични данни на субекти на данни (вкл. свои клиенти, потребители на уебсайт, служители и партньори) като поверителни, като не ги разкрива, освен на служителите си и на обработващите си подизпълнители и само до степента, необходима за предоставяне на определени услуги, освен ако друго не е посочено в договорки между ДРУЖЕСТВОТО и субекти на данни.

2. ПОЛИТИКИ ЗА СИГУРНОСТ

2.1. ДРУЖЕСТВОТО поддържа и следва практики за сигурност, които са неразделна част от бизнеса на ДРУЖЕСТВОТО и са задължителни за всички служители на ДРУЖЕСТВОТО.

2.2. ДРУЖЕСТВОТО преразглежда политиките си за сигурност най-малко веднъж годишно и ще изменя тези политики, както ДРУЖЕСТВОТО счита за разумно, за да поддържа защитата на Личните данни.

2.3. ДРУЖЕСТВОТО уведомява Комисията за защита на личните данни без ненужно забавяне след като узнае за нарушение, свързано с обработването на Лични данни. Уведомлението до Комисията за защита на личните данни описва като минимум:

(i) естеството на нарушението на сигурността на лични данни, включително, когато е възможно, категориите и приблизителния брой съответни субекти на данни и категориите и приблизителния брой съответни записи на Лични данни;

(ii) вероятните последици от нарушението на сигурността на лични данни;

(iii) мерките, предприети или предложени за предприемане от ДРУЖЕСТВОТО с цел справяне с нарушението на сигурността на лични данни, включително, когато е подходящо, мерки за смекчаване на възможните неблагоприятни последици от нарушението.

2.4. В случай че ДРУЖЕСТВОТО е задължено да съобщи нарушение на сигурността на лични данни на субектите на данни, ДРУЖЕСТВОТО предоставя необходими данни за контакт, ако са налични, със засегнатите субекти на данни. ДРУЖЕСТВОТО поема всички разходи, свързани с изпращането на такива съобщения до субектите на данни.

2.5. ДРУЖЕСТВОТО може да наема друго лице, обработващо данни, което да съдейства за предоставяне на неговите услуги и обработването на Лични данни за различни дейности в търговската си дейност, като гарантира, че:

i. задължения, свързани със защитата на данните, предвидени тук за обработване на данни и в законодателството в областта на защитата на данните се налагат на всеки един подизпълнител с договор в писмена форма;

ii. Всеки подизпълнител следва да предоставя достатъчни гаранции за предприемане на подходящи технически и организационни мерки за спазване на законодателството в областта на защитата на данните и настоящите политики за обработване на данни и да предоставя на администратора и съответните надзорни органи достъп и информация, необходими за проверка на това спазване на законодателството. ДРУЖЕСТВОТО остава напълно отговорно пред субектите на данни за изпълнението от страна на който и да било подизпълнител.

3. СПАЗВАНЕ НА ЗАЩИТАТА ОТ СЛУЖИТЕЛИТЕ

3.1. ДРУЖЕСТВОТО прилага система от организационни мерки спрямо физическите лица, които обработват Лични данни. Персоналът на ДРУЖЕСТВОТО следва да: (i) познава Приложимото законодателство; (ii) познава политиката за защита на личните данни в организацията на ДРУЖЕСТВОТО;

(iii) е в състояние да демонстрира знания за опасностите за обработването на Лични данни;

(iv) е преминал обучение за реакция при събития, застрашаващи сигурността на данните.

3.2. ДРУЖЕСТВОТО прилага мерки за защита на Лични данни, гарантиращи достъпа до такива данни само на лица, чиито служебни задължения или конкретно възложена задача за изпълнение на договори налагат такъв достъп, при спазване на принципа „Необходимост да знае”.

3.3. ДРУЖЕСТВОТО ще поддържа и ще спазва стандарти и задължителни изисквания за проверка на всички нови наети служители. При селектирането на кадри ДРУЖЕСТВОТО може да събира документи, изискуеми от приложимото законодателство, регулиращо съответната длъжност (свидетелство за съдимост и други), идентификация и проверка на самоличността, и допълнителни проверки, които ДРУЖЕСТВОТО счита за необходими. ДРУЖЕСТВОТО е отговорно за изпълнението на тези изисквания в процеса на наемане на персонал, както е приложимо и разрешено съгласно приложимото законодателство.

3.4. Служителите на ДРУЖЕСТВОТО ще преминават всяка година обучение за защита и поверителност на Лични данни. Допълнителни обучения за политики и обработване на Лични данни ще преминават служителите на ДРУЖЕСТВОТО, на които е осигурен административен достъп и които извършват дейности, при които те имат досег с лични данни, в зависимост от спецификите на тяхната роля в операциите на ДРУЖЕСТВОТО.

4. ФИЗИЧЕСКА ЗАЩИТА И КОНТРОЛ НА ДОСТЪПА

4.1. ДРУЖЕСТВОТО поддържа подходящ контрол върху физическия достъп чрез система от технически и организационни мерки за предотвратяване на неоторизиран достъп до сгради, помещения и съоръжения, в които се обработват Лични данни на клиенти, потребители на уебсайт, служители и партньори.

Тази физическа сигурност се прилага за седалището на ДРУЖЕСТВОТО, където се съхраняват Лични данни на клиенти, потребители на уебсайт, служители и партньори, и контролирани зони и помещения, където се обработват Лични данни на клиенти, потребители на уебсайт, служители и партньори.

4.2. ДРУЖЕСТВОТО спазва минимум следните организационни мерки на физическа защита:

(i) обособяват се зони с контролиран достъп;

(ii) обособяват се помещения, в които ще се обработват Лични данни;

(iii) обособяват се помещения, в които се разполагат елементите на комуникационно- информационните системи за обработване на Лични данни;

(iv) обособяват се системи за организация на физическия достъп;

(v) създават се и се поддържат процедури за управление и достъпа на посетители;

(vi) осигуряват се технически средства за физическа защита;

(vii) осигуряване лице за реагиране при инциденти/Нарушения на сигурността.

4.3. ДРУЖЕСТВОТО прилага подходящи технически мерки за физическа защита, като: ключалки, шкафове, метални каси, оборудвани зони с контролиран достъп, оборудвани помещения, система за физически контрол на достъпа (вкл. бариери, камери за наблюдение), охранители и система за управление на сигурността, автоматична пожароизвестяване, аларма и пожарогасителна система, системи за защита на периметъра.

4.4. Достъпът до помещения за данни е ограничен според ролята на длъжността на съответния служител на ДРУЖЕСТВОТО и с режим на разрешаване.

4.5. Всяко лице, надлежно упълномощено временно да влезе в помещение за данни, ще бъде регистрирано при влизане в помещенията, трябва да представи доказателство за самоличност при регистрацията и ще бъде придружено от упълномощен персонал на ДРУЖЕСТВОТО.

Всяко временно разрешение за влизане, включително за доставки, ще бъде насрочено предварително и ще изисква одобрение от упълномощен персонал на ДРУЖЕСТВОТО.

4.6. ДРУЖЕСТВОТО взема предпазни мерки, за да защити физическата инфраструктура на помещенията за данни от екологични заплахи, както естествени, така и предизвикани от човека, като прекомерна околна температура, пожар, наводнение, влажност, кражба и вандализъм.

5. ЗАЩИТА НА ДОКУМЕНТИТЕ

5.1. ДРУЖЕСТВОТО прилага подходяща документалната защита като система от организационни мерки при обработването на Лични данни на хартиен носител.

5.2. ДРУЖЕСТВОТО спазва минимум следните мерки на документалната защита:

(i) поддържа регистри, които ще се поддържат на хартиен носител;

(ii) създава и поддържа условия за обработване на Лични данни;

(iii) регламентира достъпа до регистрите;

(iv) има контрол на достъпа до регистрите;

(v) определя ясно срокове за съхранение;

(vi) създава и поддържа правила за размножаване и разпространение на Лични данни;

(vii) създава и поддържа процедури за унищожаване на Лични данни;

(vii) създава и поддържа процедури за проверка и контрол на обработването; i

5.3. Мерки при обработване на Лични данни в документи на хартиен носител:

(i) всеки служител държи документите, с които работи, в заключено чекмедже или каса, така че само той и прекият му ръководител да имат достъп до тях;

(ii) документи с лични данни не се изнасят извън офисите, освен ако не се налага с оглед изпълнение на договорно или законово задължение или не е изрично поискано от субекта на лични данни;

(iii) забранено е на служителите да копират и снимат документи на хартиен носител, освен ако не е необходимо за изпълнение на трудовите им задължения;

(iv) при напускане на работното място в офиса, където се работи с екипи и външни лица, за повече от 5 минути служителите не могат да оставят документи с лични данни на бюрата си; документите се прибират и заключват в шкафове, където неоторизирани лица да не могат да ги виждат;

(v) документи се копират, принтират, сканират и шредират лично от служителя, който работи със съответните документи или от специално определен служител със задължение да пази конфиденциалност; служителите взимат възможно най-скоро документите от машината и внимават да не ги оставят непотърсени за продължително време;

(vi) документите с лични данни се шредират /унищожават чрез накъсване на малки ленти на специална машина/; забранява се изхвърляне на документи на боклука, освен ако не са шредирани или скъсани на ръка по такъв начин, че да е невъзможно възпроизвеждането на лични данни от документите.

6. ИТ СИСТЕМИ И СИГУРНОСТ НА МРЕЖАТА

6.1. ДРУЖЕСТВОТО прилага защита на автоматизираните информационни системи и мрежи, чрез система от технически и организационни мерки за защита от незаконни форми на обработване на Личните данни.

6.2. ДРУЖЕСТВОТО спазва минимум следните мерки за защита на автоматизираните информационни системи и мрежи:

(i) определя роли и отговорности;

(ii) прилага автентификация;

(iii) прилага идентификация;

(iv) прилага управление на регистрите;

(v) прилага контроли на сесията;

(vi) има ясно описание на външните връзки;

(vii) има описание на обработването чрез телекомуникации и отдалечен достъп;

(viii) осъществява наблюдение; (ix) осигурява защита от вируси;

(x) планира случайността/непредвидените случаи;

(xi) осигурява поддържане и експлоатация;

(xii) осигурява копия и резервни копия за възстановяване;

(xi) има ясно описание на носителите на информация;

ii (xv) съобразява физическата среда обкръжение;

i (xv) осигурява тренировки на персонала за реакция при събития, застрашаващи сигурността на данните;

(xvi) определя срокове за съхранение на Личните данни;

(xvii) изготвя и поддържа процедури за унищожаване, заличаване или изтриване на носители.

6.3. ДРУЖЕСТВОТО прилага криптографска защита, чрез система от технически и организационни мерки, с цел защита на Личните данни от нерегламентиран достъп при предаване, разпространяване или предоставяне.

6.4. Прилаганите мерки за криптографска защита, които администратора прилага, са чрез използване на:

(i) стандартните криптографски възможности на операционните системи;

(ii) стандартните криптографски възможности на системите за управление на бази данни;

(iii) стандартните криптографски възможности на комуникационното оборудване;

(iv) системи за разпределение и управление на криптографските ключове.

6.5. ДРУЖЕСТВОТО поддържа сигурността на мрежите, управлявани от него в процеса на извършване на своята дейност. ДРУЖЕСТВОТО може да използва безжична мрежова технология при изпълнението и поддръжката на своите дейности. Такива безжични мрежи, ако има такива, ще бъдат криптирани и изискват сигурно удостоверяване и няма да осигурят директен достъп до мрежите, чрез които се изпълняват дейностите на дружеството. Мрежите, чрез които се изпълняват дейностите, не използват технологията за безжична мрежа.

6.6. ДРУЖЕСТВОТО поддържа мерки, които са предназначени за отделяне, предотвратяване на излагането и неоторизирания достъп до Лични данни на клиенти, потребители на уебсайт, служители и партньори.

6.7. ДРУЖЕСТВОТО кодира Личните данни на клиенти, потребители на уебсайт, служители и партньори, които не са предназначени за публично или непроверен достъп при прехвърляне на Личните данни на клиенти, потребители на уебсайт, служители и партньори през обществени мрежи и използва криптографски протокол като HTTPS, SFTP и FTPS за сигурно прехвърляне на Личните данни на клиенти, потребители на уебсайт, служители и партньори по/чрез обществени мрежи.

6.8. ДРУЖЕСТВОТО ще кодира Личните данни на клиенти, потребители на уебсайт, служители и партньори, когато това е посочено в договорите с тях.

6.9. Ако някоя от дейностите на ДРУЖЕСТВОТО изисква ДРУЖЕСТВОТО да има достъп до Лични данни на клиенти, потребители на уебсайт, служители и партньори, ДРУЖЕСТВОТО ще ограничи този достъп до най-малкото ниво, необходимо за осигуряване и поддръжка на съответните дейности. Този достъп, включително административният достъп, е индивидуален, базиран на роля и подлежи на одобрение и редовно валидиране от оторизиран персонал на ДРУЖЕСТВОТО, следвайки принципите на разделяне на задълженията.

ДРУЖЕСТВОТО ще поддържа мерки за идентифициране и премахване на излишни и пасивни профили с привилегирован достъп и незабавно ще отмени този достъп, в случай че съответният служител промени длъжността си или прекрати трудовото си правоотношение, както и по искане на съответно упълномощени за това служители на ДРУЖЕСТВОТО, като например от съответния пряк ръководител.

6.10. В съответствие със стандартните практики в индустрията ДРУЖЕСТВОТО поддържа техническите мерки, които налагат затваряне на неактивни сесии, блокиране на профили след няколко последователни неуспешни опита за вход, силна парола или удостоверяване чрез парола и мерки, изискващи сигурен трансфер и съхранение на такива пароли.

6.11. ДРУЖЕСТВОТО следва да контролира използването на привилегирован достъп и да поддържа мерки за сигурност на информация и управление на събития, предназначени да: а) идентифицират неразрешен достъп и дейност; б) да улесняват своевременното и подходящо реагиране; и в) да позволяват вътрешни и независими одити на съответствието с документирани правила на ДРУЖЕСТВОТО.

6.12. Софтуерните логове, в които се записват привилегирован достъп и дейност, когато се използва специализиран софтуер с такава функционалност, ще бъдат архивирани. ДРУЖЕСТВОТО ще поддържа мерки, предназначени да предпазват от неразрешен достъп, модификация и случайно или умишлено унищожаване на такива логове.

6.13. Доколкото това се поддържа от функционалността на съответното устройство или операционна система, ДРУЖЕСТВОТО ще поддържа компютърни защити за системи, съдържащи Лични данни на клиенти, потребители на уебсайт, служители и партньори, които включват, но не се ограничават до: защитни стени на крайните точки (endpoint firewalls), криптиране на цялото дисково пространство, откриване и отстраняване на зловреден софтуер (malware), които: а) се актуализират редовно от централна локация и б) се логват на централно място, заключват екрани на определено време.

6.14. Мерки при обработване на Лични данни на електронен носител:

(i) Идентификация/автентификация (уникален идентификатор (логин) за всеки потребител в IT системата): напр. парола, смарт карта, токен; паролите са „силни“, т.е. поне 8 знака от различен вид; редовно сменяне на паролата;

(ii) Оторизация (дефиниране на нива на достъп до информацията в IT системата и предварителен контрол върху достъпа в IT системата на всеки потребител);

(iii) Контрол на операциите: Проследяване на IT операциите (записване и съхранение в лог файлове), вкл. влизанията в и излизанията от IT системата от конкретните лица; периодичен преглед на лог файловете.

(iv) Защита на IT системата: – антивируснен софтуер; firewall софтуер; – автоматично прекратяване на IT сесията след кратък период на липса на активност; – лимитиране на броя неуспешни опити за достъп до IT системата;

(v) Защита на данни в мобилни устройства и физически носители (лаптопи, USB устройства, СD, DVD) чрез: – криптиране на ниво хардуер и софтуер; – криптиране на отделните файлове.

(vi) Защита на дистанционното пренасяне на данни: – криптиране на файлове при имейл комуникация; криптиране на материален носител (USB устройства, СD, DVD); уведомяване за криптографския ключ/ парола чрез отделно съобщение и по възможност чрез различен комуникационен канал;

(vii) защита на данни срещу инцидентна загуба и модификация: – против спиране на електричество: UPS; – осигурено възстановяване на системите в случай на прекъсване; рапортуване на грешки.

7. ИНТЕГРИТЕТ НА ДЕЙНОСТИТЕ И КОНТРОЛ НА ДОСТЪПА

7.1. ДРУЖЕСТВОТО a) провежда тестове за проникване и уязвимост, включително автоматизирано сканиране на сигурността на системите и приложенията на определен период; периодични проверки в процеса на работа. б) ще изисква от квалифицирана независима трета страна да провежда тестове за проникване поне веднъж годишно; в) Ще възстановява идентифицираните уязвимости или несъответствие с изискванията за конфигуриране на сигурността въз основа на свързания с тях риск, експлоатационна способност и въздействие. ДРУЖЕСТВОТО ще предприема разумни стъпки, за да избегне прекъсване на свои дейности, когато извършва своите тестове, оценки, сканирания и извършване на дейности по поправка.

7.2. ДРУЖЕСТВОТО следва да поддържа опис на всички информационни технологии, които използва, за да изпълнява своите дейности. ДРУЖЕСТВОТО непрекъснато следи за надлежното функциониране и наличността на услугите, които са част от дейността му.

7.3. ДРУЖЕСТВОТО ще a) Архивира (back up), системи съдържащи Лични данни на клиенти, потребители на уебсайт, служители и партньори, б) гарантира, че поне едно място за архивиране (back up) е на място, отделено от производствени системи, в) криптира архивираните (backed up) данни, съхранявани на преносими резервни носители, и г) потвърди интегритета на архивираните данни чрез регулярно извършване на тестове за възстановяване на данни.

8. ОСИГУРЯВАНЕ НА ДОСТЪП НА ЛИЦАТА ДО ЛИЧНИТЕ ИМ ДАННИ

8.1. (1) Заетите по трудови и граждански правоотношения, както и всички останали субекти на данни имат право на достъп до личните си данни, за което могат да подават искания/заявления до обработващия лични данни, в това число и по електронен път лично или чрез упълномощено лице на посочените в настоящата Политика за сигурност, данни за контакт на ДРУЖЕСТВОТО.

(2) Заявлението съдържа искането на субекта в свободен текст.

(3) Достъп до данните на лицето се осигурява под формата на: 1. устна справка; 2. писмена справка; 3. преглед на данните от самото лице или упълномощено от него такова; 4. предоставяне на копие от исканата информация.

(4) Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на получаване на искането, съответно 30- дневен, когато е необходимо повече време за събиране личните данни на лицето с оглед възможни затруднения в събирането. Решението се съобщава на заявителя по същия ред и начин, който заявителя е използвал за искането си. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение.

(5) Всеки субект на данни има право: – право на коригиране или допълване на неточни или непълни лични данни; – право на изтриване („право да бъдеш забравен“) на лични данни, които се обработват незаконосъобразно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани и др.); – право на ограничаване на обработването – при наличие на правен спор между ДРУЖЕСТВОТО и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции; – право на преносимост на данните – ако се обработват по автоматизиран начин на основание съгласие или договор. Ако е технически осъществимо, прехвърлянето на данните може да стане пряко от един администратор към друг. – право на възражение – по всяко време и на основания, свързани с конкретната ситуация на лицето, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес; – право да не бъде обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за субекта на данните или го засяга в значителна степен. Данни, които събира ДРУЖЕСТВОТО

8.2. При осъществяване на дейността си ДРУЖЕСТВОТО може да събира следните данни за следните цели: – Имена по документ за самоличност, дата на раждане, ЕГН, номер на документ за самоличност – необходими за мобилни билети в сферата на транспорта, паркинг и други обществени услуги (кино, театър, концерти). Тези данни се изискват от доставчиците на подобни услуги; – електронна поща и/или телефон – за връзка със съответния потребител, клиент или партньор, или друг субект на данни когато е необходима комуникация;

8.3. Данните, събирани от служители могат да бъдат предоставени за обработване от счетоводител/счетоводна фирма, която предоставя гаранции за обработването на личните данни съгласно приложимото законодателство. Срокове

8.4. ДРУЖЕСТВОТО унищожава всички лични данни след изпълнение на целите, за които те са били събрани, както следва: – в срок от 30 (тридесет) дни след изтриване на профила на клиента, съотв. от направена заявка за изтриване на лични данни; – за лични данни, съдържащи се в счетоводни, търговски, данъчни и други документи, които са от значение за данъчно облагане, задължителни осигурителни вноски или други публични задължения – 5 години след изтичане на давностния срок за погасяване на съответното публично задължение.

9. ИНЦИДЕНТИ В СИГУРНОСТТА

9.1. ДРУЖЕСТВОТО поддържа и да следва политики за реагиране при инциденти с компютърна сигурност и спазва условията на законодателството, касаещи уведомяване на съответните лица при нарушаване сигурността на данните.

9.2. ДРУЖЕСТВОТО ще разследва всеки неразрешен достъп и неразрешено използване на Лични данни на клиенти, потребители на уебсайт, служители и партньори, за които ДРУЖЕСТВОТО узнае (инцидент по сигурността), и ще определи и изпълни подходящ план за отговор. Всички субекти на данни може да уведомяват ДРУЖЕСТВОТО за предполагаема уязвимост или инцидент.

9.3. ДРУЖЕСТВОТО незабавно (и в никакъв случай не по-късно от 24 часа) и когато е необходимо ще уведомява засегнати лица за инцидент, свързан със сигурността или за нарушаване сигурността на Лични данни, което е известно или разумно подозирано от ДРУЖЕСТВОТО, че ще засегне субекти на данни. ДРУЖЕСТВОТО ще предостави на всички лица поискана информация за такъв инцидент по сигурността и статута на всякакви дейности по оздравяване и възстановяване на сигурността.