Прегърнете приликите, обичайте разликите във всички наши дела

Политика за сигурност на информацията

- шести принцип за защита на данните изисква организациите да използват подходящи технологични и организационни мерки, за да гарантират сигурността на личните данни. В тази политика Регион 9 е определил процесите, които трябва да се следват, за да се гарантира сигурността на данните (организационни мерки), и технологичните мерки, които трябва да бъдат приети.

Обхват на тази политика

Тази политика се отнася за всички, които обработват лични данни от или от името на Регион 9. Това включва служители, попечители, председатели на комисии, членове на комисии, координатори на услуги или представители на събрания, домакини на годишни събрания и конгреси и други членове на службите на OA. Всички те са отговорни за това, ако обработват лични данни, те да се съхраняват сигурно и да не се разкриват (устно, писмено или случайно) на неупълномощени трети страни.

Основни принципи

ОА е анонимно сдружение и нашата 12-та Традиция гласи, че: „Анонимността е духовната основа на всички тези Традиции, която винаги ни напомня да поставяме принципите пред личностите“. Ние пазим информацията за други членове поверително. Тази политика е в съответствие с 12-та Традиция. Личната информация не трябва да се споделя неофициално, нито да се разкрива на хора, които не са упълномощени да я виждат. Данните трябва да се съхраняват сигурно и ако вече не са необходими, трябва да бъдат сигурно изтрити или унищожени. Ако данните бъдат загубени или откраднати, това трябва да бъде докладвано веднага щом това бъде установено, следвайки процедурата в този документ. Трябва да се обърне особено внимание, когато данните се прехвърлят от едно място на друго, за да се гарантира, че няма да бъдат загубени по време на пренос.

Хартиени документи

Когато личните данни се съхраняват на хартия (например: регистър на присъстващите на събрания), те трябва да се съхраняват на сигурно място, където неупълномощени лица не могат да ги видят.

Хартията или файловете трябва да се съхраняват в заключено чекмедже или шкаф за документи или да се унищожават по подходящ начин, ако вече не са необходими за нашите цели или изискванията на одита. Хартиените копия трябва да бъдат надеждно нарязани или изгорени, когато вече не са необходими. Късането или мачкането на хартия не е сигурен начин за изхвърляне.

Списъците с присъстващи на събранията следва да бъдат унищожени, когато вече не са необходими, в съответствие с Политиката за поверителност.

Електронни данни

Компютрите и устройствата, използвани за достъп до лични данни, трябва да имат инсталиран актуален софтуер, тъй като остарелият софтуер не се поддържа от актуализации за сигурност. Трябва да се инсталират актуализации за сигурност.

Устройствата винаги трябва да имат инсталиран антивирусен/анти-зловреден софтуер и да се актуализират. Това ще бъде осигурено от региона, ако е необходимо.

Трябва да се използват силни пароли за защита на електронните устройства, както и на услугите, използвани за достъп до данни (имейл, Google Suite и др.). Паролите не трябва да се използват повторно, споделят, запазват във файл или да се запазват в несигурни ключодържатели или браузъри. В идеалния случай трябва да се използва софтуер за управление на пароли, защитен със силна парола. Можете да намерите насоки за избор и използване на пароли. тук.

Ако използвате споделен компютър, защитените с парола услуги трябва да бъдат затворени, когато работата е приключила. Файловете и папките не трябва да се оставят отворени, а екранът трябва да бъде заключен, когато сте далеч от него.

Домашната Wi-Fi мрежа трябва да бъде криптирана по най-високия възможен стандарт (в идеалния случай WPA2). Предложения за защита на домашната Wi-Fi мрежа са:

  • Променете потребителското име и паролата за администратор на рутера си, така че да не са стандартните за вашия рутер.
  • Променете името на излъчваната мрежа за вашата Wi-Fi мрежа (SSID), така че да не описва рутера.
  • Активирайте защитните стени и изключете мрежите за гости.
  • Поддържайте фърмуера актуализиран.
  • Освен ако рутерът ви не е заключен, изключете WPS (бутонът за свързване с рутера с едно натискане).

Отворените Wi-Fi мрежи не трябва да се използват за достъп до лични данни.

Мобилни устройства

Трябва да се обърне особено внимание на сигурността на мобилните устройства: те трябва да бъдат защитени с парола и в идеалния случай криптирани. Некриптираните USB устройства са особено несигурни, тъй като е много лесно да се загубят. В идеалния случай устройствата трябва да имат инсталирани агенти за дистанционно изтриване, така че данните им да могат да бъдат изтрити в случай на кражба.

Google Suite

Служители от Регион 9, лица за връзка с попечители, председатели на комисии, членове на комисии, координатори на услуги или представители на събранията и други членове на OA използват Google Suite за запазване на информация. Трябва да се активира двуетапното потвърждаване и да се използва силна парола.

Документите трябва да се запазват на правилното място и не се допускат множество копия на едни и същи документи. Всеки документ, който съдържа лични данни, трябва да се запазва с име на файл с наставка PD, например: „Фактури от уебсайт (PD)“. Всеки служител, попечител, председател на комисия и координатор на услуги е отговорен за собствения си споделен диск в Google Suite и други папки.

Документите трябва да бъдат изтрити в съответствие с правилата за архивиране и съхранение, посочени в Политиката за поверителност.

Служителят по дигитализацията на Регион 9 и председателят на комисията по дигитализацията са администраторите на Google Suite. Те ще управляват достъпа до споделените дискове и други папки на Google Suite, като гарантират, че достъпът се предоставя само на настоящи служители, лица за връзка с попечители, председатели на комисии, членове на комисии, координатори на услуги или представители на събранията, както и на други членове на OA, както и напускащи членове, извършващи предаване. След като предаването приключи, те ще бъдат премахнати или достъпът им до споделените дискове и папки ще бъде понижен.

Имейл

Служителите от Регион 9, попечителите, председателите на комисии, членовете на комисии, координаторите или представителите на услугите и други членове на OA ще използват имейл акаунти от Регион 9, когато обработват лични данни за Регион 9. Тези имейл акаунти ще бъдат предоставени като част от техния лиценз за Google Suite.

Имейлът не е защитен. Повечето имейли, предавани по интернет, се изпращат в обикновен текст, което ги прави уязвими за прихващане. Помислете каква информация се изпраща по имейл. Например, използвайте криптирани формуляри за изпращане на банкова информация вместо имейл.

Силно се препоръчва използването на генерични имейл адреси, където е възможно, на всички нива на OA услуги в Регион 9 (моля, вижте Ръководството за политиката на OA Регион 9). Имейл акаунтите трябва да бъдат сигурно защитени с парола и функциите за сигурност да са активирани.

Трябва да се внимава много при отваряне на прикачени файлове към имейли, в случай че те съдържат вирус, троянски софтуер, шпионски софтуер или друг зловреден софтуер. Вече е обичайно атаките с ransomware да се стартират чрез „фалшиви“ имейли, които изглеждат сякаш идват от легитимна организация (например HMRC), прикачвайки фактура или формуляр за поръчка, които, ако бъдат отворени, инсталират зловреден софтуер, който криптира всички данни на атакуваното устройство. След това се начислява откуп за ключа за декриптиране. Съгласно GDPR „повреждането на данни“ е нарушение на данните и следователно атаката с ransomware трябва да бъде докладвана като такава на председателя на Регион 9, съгласно политиката по-долу.

Когато изпращате имейли до списък за разпространение или няколко получатели, имейл адресът на подателя се използва в полето „До“, а получателите са изброени в полето „Скрито копие“. Това означава, че имейл адресите не се споделят между целия списък.

Документи, съдържащи лични данни, могат да бъдат прикачени към имейли, независимо дали са изпратени или получени. Те трябва да се съхраняват сигурно. Имейлите с прикачените файлове също трябва да се съхраняват сигурно, а самите те да се изтриват в съответствие с правилата за архивиране и съхранение, посочени в Политиката за поверителност.

Използване на анонимизирана информация на уебсайта и в публикации

Лични имена няма да бъдат използвани в съдържанието на уебсайтове, печатни материали или други публикации, издадени от OA Region 9, освен ако не е попълнено освобождаване от отговорност в момента на подаване. Този подход минимизира обработката на лични данни, намалява риска от случайно разкриване и подкрепя нашия ангажимент към принципите на GDPR за минимизиране на данните, поверителност и защита на правата на личността.

Нарушаване на данните

Докладване пред председателя на Регион 9

GDPR изисква Регион 9 на Обединеното кралство да уведоми съответния национален орган, ако има нарушение на сигурността на данните, без ненужно забавяне и не по-късно от 72 часа след като е узнал за него, освен ако е малко вероятно нарушението да доведе до риск за правата и свободите на субектите на данни. Регион 9 е избрал Службата на комисаря по информацията на Обединеното кралство за наш съответен национален орган.

Нарушение на сигурността на лични данни означава нарушение на сигурността, водещо до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. Това може да включва загуба на USB памет с данни за контакт на членовете на OA или случайно изпращане по имейл на данни за контакт на лице, което не е упълномощено да ги получава.

Всеки, който обработва лични данни във връзка с OA (длъжностни лица, попечители, председатели на комисии, членове на комисии, координатори на услуги или представители на събранието и други членове на службата на OA), трябва да уведоми председателя на Регион 9 веднага щом узнае за нарушение на данните (chair@oaregion9.org). Всеки, който има опасения относно поверителността на данните или риска от нарушение, следва да уведоми председателя за своите опасения.

Уведомление до Службата на комисаря по информацията

Председателят ще прецени дали е вероятно нарушението да доведе до риск за правата и свободите на субектите на данни. Ако такъв риск е малко вероятен, нарушението няма да бъде докладвано на Службата на комисаря по информацията, а ще бъде записано в образеца за нарушение на данните. Ще бъдат определени коригиращи действия и ще бъде изготвен график за тяхното изпълнение.

Ако съществува риск за субектите на данни, председателят ще уведоми Службата на комисаря по информацията за нарушението, като опише:

  1. естеството на нарушението на сигурността на личните данни, включително, когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни, както и категориите и приблизителния брой на засегнатите записи на лични данни
  2. Името и данните за контакт на лицето, от което може да се получи повече информация. Това може да е председателят или друго лице, на което е възложена отговорността за справяне с нарушението на данните.
  3. вероятните последици от нарушението на сигурността на личните данни
  4. мерките, предприети или предложени да бъдат предприети от администратора за справяне с нарушението на сигурността на личните данни, включително, когато е уместно, мерки за смекчаване на евентуалните му неблагоприятни последици

Това уведомление ще се извърши в рамките на 72 часа след уведомяването на председателя за нарушението, освен ако това не е възможно, като в този случай то ще се извърши възможно най-скоро, като се посочат причините за забавянето.

Когато не е възможно да се предостави цялата горепосочена информация едновременно, тя може да бъде предоставена на етапи без ненужно допълнително забавяне.

Председателят ще запише нарушението в образеца, като посочи естеството на нарушението, кога и как е било докладвано, кога е било забелязано в Службата на информационния комисар, последиците от нарушението и предприетите коригиращи действия, както и всеки отговор от Службата на информационния комисар, включително всички задължителни действия.

Уведомяване на субекта(ите) на данни

Когато е вероятно нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на физическите лица и не е възможно да се предотврати материализирането на този риск, председателят ще информира субекта(ите) на данните без ненужно забавяне. Следната информация ще бъде съобщена, използвайки ясен и разбираем език:

  1. Характерът на нарушението на сигурността на личните данни
  2. Името и данните за контакт на лицето, от което може да се получи повече информация. Това може да е председателят или друго лице, на което е възложена отговорността за справяне с нарушението на данните.
  3. вероятните последици от нарушението на сигурността на личните данни
  4. мерките, предприети или предложени да бъдат предприети от администратора за справяне с нарушението на сигурността на личните данни, включително, когато е уместно, мерки за смекчаване на евентуалните му неблагоприятни последици

Известието трябва да бъде изпратено директно до субекта на данните, освен ако това би изисквало непропорционални усилия, като в този случай то може да бъде публикувано на уебсайта.

делегация

Председателят може да делегира своите отговорности по този раздел на посочено лице, но ще продължи да носи крайната отговорност за осигуряване на правилното документиране и (ако е приложимо) уведомяване за всяко нарушение.

версия

Тази политика е изготвена на 5 май 2020 г. и е одобрена от Асамблеята на Регион 9 през октомври 2021 г.

Политиката беше преработена и одобрена на 16 януари 2026 г.

Всякакви въпроси относно тази политика или запитвания, свързани със защитата на данните, трябва да бъдат повдигнати пред председателя на Регион 9 (chair@oaregion9.org)

Върнете се в началото