Přijměte podobnosti, milujte rozdíly, ve všech našich záležitostech

Zásady bezpečnosti informací

Jedno šestá zásada ochrany osobních údajů vyžaduje, aby organizace používaly vhodná technologická a organizační opatření k zajištění bezpečnosti osobních údajů. V této politice Region 9 stanovil postupy, které je třeba dodržovat k zajištění bezpečnosti dat (organizační opatření), a technologická opatření, která je třeba přijmout.

Rozsah těchto zásad

Tato politika se vztahuje na všechny, kdo zpracovávají osobní údaje z Regionu 9 nebo jeho jménem. Patří sem funkcionáři, styční správci, předsedové výborů, členové výborů, koordinátoři služeb nebo zástupci shromáždění, hostitelé každoročních shromáždění a sjezdů a další členové služeb OA. Všichni jsou zodpovědní za zajištění toho, aby pokud nakládají s jakýmikoli osobními údaji, byly tyto údaje bezpečně uchovávány a nebyly sděleny (ať už ústně, písemně nebo náhodně) žádné neoprávněné třetí straně.

Obecné zásady

OA je anonymní společenství a naše 12. tradice říká: „Anonymita je duchovním základem všech těchto tradic a neustále nám připomíná, abychom kladli principy před osobnosti.“ Informace o ostatních členech uchováváme v tajnosti. Tato politika je v souladu s 12. tradicí. Osobní údaje nesmí být sdíleny neformálně ani zveřejňovány lidem, kteří k nim nejsou oprávněni. Data musí být uchovávána v bezpečí a pokud již nejsou potřeba, musí být bezpečně smazána nebo zničena. Pokud dojde ke ztrátě nebo odcizení dat, musí být tato skutečnost nahlášena, jakmile je to zjištěno, a to podle postupu v tomto dokumentu. Zvláštní pozornost je třeba věnovat přenosu dat z jednoho místa na druhé, aby se zajistilo, že se během přenosu neztratí.

Tištěné dokumenty

Pokud jsou osobní údaje uloženy v papírové podobě (například: seznam účastníků schůzí), musí být uloženy na bezpečném místě, kde k nim nemohou vidět neoprávněné osoby.

Papír nebo spisy musí být uloženy v uzamčené zásuvce nebo kartotéce, nebo řádně zničeny, pokud již nejsou pro naše účely nebo auditorské požadavky potřeba. Papírové kopie musí být bezpečně skartovány nebo spáleny, pokud již nejsou potřeba. Trhání nebo mačkání papíru není bezpečným způsobem likvidace.

Prezenční listiny shromáždění by měly být zničeny, jakmile již nejsou potřeba, v souladu se Zásadami ochrany osobních údajů.

Elektronická data

Počítače a zařízení používaná pro přístup k osobním údajům musí mít nainstalovaný aktuální software, protože starší software není podporován bezpečnostními záplatami. Měly by být nainstalovány bezpečnostní aktualizace.

Zařízení by měla mít vždy nainstalovaný a aktualizovaný antivirový/antimalwarový software. V případě potřeby jej poskytne region.

K zabezpečení elektronických zařízení a také služeb používaných pro přístup k datům (e-mail, Google Suite atd.) je nutné používat silná hesla. Hesla se nesmí opakovaně používat, sdílet, ukládat do souborů ani ukládat na nezabezpečené klíčenky nebo prohlížeče. V ideálním případě by se měl používat software pro správu hesel, který je chráněn silným heslem. Pokyny k výběru a používání hesel naleznete zde.

Pokud používáte sdílený počítač, je nutné po dokončení práce ukončit služby chráněné heslem. Soubory a složky nesmí být ponechány otevřené a obrazovka musí být uzamčena, když se od ní nejste blíž.

Domácí Wi-Fi musí být šifrována nejvyšším dostupným standardem (ideálně WPA2). Doporučení pro zabezpečení domácí Wi-Fi jsou:

  • Změňte uživatelské jméno a heslo správce routeru tak, aby nebyly standardní pro váš router.
  • Změňte vysílací název vaší Wi-Fi sítě (SSID) tak, aby nepopisoval router.
  • Aktivujte firewally a vypněte hostující sítě.
  • Udržujte firmware aktualizovaný.
  • Pokud není váš router uzamčen, vypněte WPS (připojení k routeru jedním stisknutím tlačítka).

Otevřené sítě Wi-Fi nesmí být používány pro přístup k osobním údajům.

Mobilní zařízení

Zvláštní pozornost je třeba věnovat zabezpečení mobilních zařízení: musí být chráněna heslem a ideálně šifrována. Nešifrovaná USB zařízení jsou obzvláště nebezpečná, protože se velmi snadno ztratí. V ideálním případě by zařízení měla mít nainstalované agenty pro vzdálené mazání, aby bylo možné je v případě krádeže vymazat.

Sada Google

Úředníci Regionu 9, styční správci, předsedové výborů, členové výborů, koordinátoři služeb nebo zástupci shromáždění a další členové OA používají k ukládání informací Google Suite. Je nutné aktivovat dvoufázové ověření a použít silné heslo.

Dokumenty musí být uloženy na správném místě a více kopií stejných dokumentů není povoleno. Jakýkoli dokument, který obsahuje osobní údaje, musí být uložen s názvem souboru s příponou PD, například: „Faktury z webu (PD)“. Každý vedoucí pracovník, styčná osoba správce, předseda výboru a koordinátor služeb je zodpovědný za svůj vlastní sdílený disk Google Suite a další složky.

Dokumenty musí být smazány v souladu s pravidly archivace a uchovávání stanovenými v Zásadách ochrany osobních údajů.

Digitální referent Regionu 9 a předseda digitálního výboru jsou administrátoři Google Suite. Budou spravovat přístup ke sdíleným diskům a dalším složkám Google Suite a zajistí, aby přístup byl udělen pouze současným funkcionářům, styčným osobám správců, předsedům výborů, členům výborů, koordinátorům služeb nebo zástupcům shromáždění a dalším členům OA a odcházejícím členům provádějícím předávání. Po dokončení předání budou odebráni nebo jim bude snížen přístup ke sdíleným diskům a složkám.

Email

Vedoucí pracovníci Regionu 9, styční správci, předsedové výborů, členové výborů, koordinátoři nebo zástupci služeb a další členové OA budou při zpracování osobních údajů pro Region 9 používat e-mailové účty Regionu 9, které jim budou poskytnuty jako součást licence Google Suite.

E-mail není bezpečný. Většina e-mailů přenášených přes internet je odesílána v prostém textu, což je činí zranitelnými vůči zachycení. Zvažte, jaké informace se odesílají e-mailem. Například k odesílání bankovních informací používejte šifrované formuláře místo e-mailu.

Důrazně se doporučuje používat generické e-mailové adresy, kdykoli je to možné, na všech úrovních služeb OA v Regionu 9 (viz Manuál zásad OA Regionu 9). E-mailové účty musí být bezpečně chráněny heslem a musí být povoleny bezpečnostní funkce.

Při otevírání e-mailových příloh je třeba dbát zvýšené opatrnosti, aby se zabránilo výskytu virů, trojských koní, spyware nebo jiného malwaru. V současné době je běžné, že útoky ransomwaru jsou spouštěny „falešnými“ e-maily, které vypadají, jako by pocházely od legitimní organizace (například HMRC), a přikládají k nim fakturu nebo objednávkový formulář. Pokud je tento formulář otevřen, nainstaluje se malware, který zašifruje všechna data na napadeném zařízení. Za dešifrovací klíč je poté účtováno výkupné. Podle GDPR je „poškození dat“ narušením bezpečnosti dat, a proto by měl být útok ransomwaru jako takový nahlášen předsedovi Regionu 9 v souladu s níže uvedenými zásadami.

Při odesílání e-mailů na distribuční seznam nebo více příjemcům se e-mail odesílatele použije v poli „Komu“ a příjemci se uvedou v poli „Skrytá kopie“. To znamená, že e-mailové adresy nejsou sdíleny mezi celým seznamem.

Dokumenty obsahující osobní údaje mohou být přiloženy k e-mailům, ať už odeslaným nebo přijatým. Tyto dokumenty musí být bezpečně uloženy. E-maily s přílohami musí být také bezpečně uchovávány a samy smazány v souladu s pravidly archivace a uchovávání stanovenými v Zásadách ochrany osobních údajů.

Použití anonymizovaných informací na webových stránkách a v publikacích

Osobní jména nebudou použita v žádném obsahu webových stránek, tištěných materiálech ani jiných publikacích produkovaných OA Region 9, pokud nebude v okamžiku odeslání podána výjimka. Tento přístup minimalizuje zpracování osobních údajů, snižuje riziko náhodného zveřejnění a podporuje náš závazek k zásadám GDPR týkajícím se minimalizace dat, ochrany soukromí a ochrany práv jednotlivce.

Únik dat

Zpráva předsedovi Regionu 9

GDPR vyžaduje, aby region OA 9 informoval příslušný národní orgán o případném narušení bezpečnosti údajů bez zbytečného odkladu a nejpozději do 72 hodin od zjištění o něm, s výjimkou případů, kdy je nepravděpodobné, že by narušení představovalo riziko pro práva a svobody subjektů údajů. Region 9 si jako svůj národní orgán zvolil Úřad komisaře pro informace Spojeného království.

Porušení bezpečnosti osobních údajů znamená narušení bezpečnosti, které vede k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k osobním údajům přenášeným, uchovávaným nebo jinak zpracovávaným. Může se jednat o ztrátu USB flash disku s kontaktními údaji členů OA nebo o náhodné odeslání kontaktních údajů e-mailem komukoli, kdo není oprávněn je přijmout.

Každý, kdo nakládá s osobními údaji v souvislosti s OA (úředníci, styční správci, předsedové výborů, členové výborů, koordinátoři služeb nebo zástupci shromáždění a další členové služeb OA), musí informovat předsedu Regionu 9, jakmile se dozví o narušení bezpečnosti údajů (chair@oaregion9.org). Každý, kdo má obavy ohledně ochrany osobních údajů nebo rizika narušení, by měl o svých obavách informovat předsedu.

Oznámení Úřadu komisaře pro informace

Předseda zváží, zda je pravděpodobné, že porušení povede k riziku pro práva a svobody subjektů údajů. Pokud je takové riziko nepravděpodobné, nebude porušení hlášeno Úřadu komisaře pro informace, ale bude zaznamenáno v šabloně pro narušení bezpečnosti údajů. Budou stanovena nápravná opatření a bude vypracován harmonogram jejich dokončení.

Pokud existuje riziko pro subjekty údajů, předseda oznámí porušení Úřadu komisaře pro informace a popíše:

  1. povaha narušení bezpečnosti osobních údajů, včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného počtu dotčených záznamů osobních údajů
  2. jméno a kontaktní údaje osoby, od které lze získat další informace. Může se jednat o předsedu nebo jinou osobu pověřenou řešením úniku dat.
  3. pravděpodobné důsledky úniku osobních údajů
  4. opatření přijatá nebo navrhovaná správcem k řešení narušení bezpečnosti osobních údajů, včetně případných opatření ke zmírnění jeho možných nepříznivých dopadů

Toto oznámení proběhne do 72 hodin od oznámení předsedovi o porušení, pokud to není možné, v takovém případě proběhne co nejdříve a budou uvedeny důvody zpoždění.

Pokud není možné poskytnout všechny výše uvedené informace současně, mohou být informace poskytovány postupně bez zbytečného dalšího odkladu.

Předseda zaznamená narušení do šablony a uvede povahu narušení, kdy a jak bylo nahlášeno, kdy bylo oznámeno Úřadu komisaře pro informace, důsledky narušení a přijatá nápravná opatření a jakoukoli reakci Úřadu komisaře pro informace, včetně jakýchkoli nařízených opatření.

Oznámení subjektu/subjektům údajů

Pokud je pravděpodobné, že narušení bezpečnosti osobních údajů povede k vysokému riziku pro práva a svobody fyzických osob a není možné tomuto riziku zabránit, předseda bez zbytečného odkladu informuje subjekt/subjekty údajů. Následující informace budou sděleny jasným a srozumitelným jazykem:

  1. Povaha narušení bezpečnosti osobních údajů
  2. jméno a kontaktní údaje osoby, od které lze získat další informace. Může se jednat o předsedu nebo jinou osobu pověřenou řešením úniku dat.
  3. pravděpodobné důsledky úniku osobních údajů
  4. opatření přijatá nebo navrhovaná správcem k řešení narušení bezpečnosti osobních údajů, včetně případných opatření ke zmírnění jeho možných nepříznivých dopadů

Oznámení musí být zasláno přímo subjektu údajů, pokud by to nevyžadovalo nepřiměřené úsilí, v takovém případě může být zveřejněno na webových stránkách.

Delegace

Předseda může delegovat své povinnosti podle této části na určenou osobu, ale i nadále ponese konečnou odpovědnost za zajištění toho, aby bylo jakékoli porušení řádně zaznamenáno a (pokud je to relevantní) oznámeno.

Verze

Tato politika byla vypracována 5. května 2020 a schválena shromážděním Regionu 9 v říjnu 2021.

Tato politika byla revidována a schválena 16. ledna 2026.

Veškeré dotazy týkající se těchto zásad nebo záležitostí ochrany osobních údajů by měly být směřovány na předsedu Regionu 9 (chair@oaregion9.org)

Zpět na začátek