Политика за защита на личните данни
Последна промяна: март 2021 г.
Благодарим Ви, че посетихте нашия уебсайт и проявихте интерес към нашите услуги.
ЕН ТИ ЕЙЧ приема защитата на личните данни като въпрос от голямо значение и се отнася подобаващо към тях. Настоящата Политика за защита на личните данни има за цел да предостави информация на посетителите на уебсайта какви лични данни се събират по време на посещението, как се обработват и какви мерки се вземат за тяхната защита.
Всички термини, използвани в тази Политика за защита на личните данни, имат същото значение като в Регламента (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 г. относно защитата на лицата по отношение на обработката на лични данни и относно свободното движение на такива данни Директива 95/46 / ЕО (Общ регламент за защита на данните).
1. Ръководител на обработката на лични данни
Ръководител на обработката на лични данни: NTH Media d.o.o.
Адрес: р-н Средец, бул. Цар Освободител, 14, ет. 5 гр. София
Имейл: info@nth.ch
Като ръководител на обработката на лични данни във връзка с този уебсайт, ние сме длъжни да Ви информираме за целите на събиране на Вашите лични данни. Когато посещавате нашия уебсайт, вие доброволно ни предоставяте част от информацията в съответствие с целите, описани по-долу в тази Политика за защита на личните данни.
● Въпроси за защита на личните данни
Ако имате въпроси относно обработката или защитата на вашите лични данни, не се колебайте да се свържете с нас по имейл: dataprotection@nth.ch
Можете да оттеглите всички данни на съгласие по всяко време, като изпратите заявка на имейл: dataprotection@nth.ch
● Защо и на каква база обработваме вашите данни
Посетете нашият уеб сайт
Когато посещавате нашия сайт, ние използваме услуги на трети страни, като Google Analytics, за да събираме стандартни данни в блога и подробности за моделите на поведение на посетителите. Правим това, за да разберем информация, като например броя на посетителите на различни части на сайта. Тези данни се обработват само по начин, който не идентифицира никого. Ние не позволяваме на Google да разкрива самоличността на посетителите на нашия уебсайт. Ние също използваме LinkedIn Analytics. Вижте подходящото съобщение за защитата на личните данни за повече информация.
Когато разглеждате нашия уебсайт, ние автоматично поставяме необходимите бисквитки във вашия браузър. Можете да приемате бисквитки за реклама или анализ. Събираната от нас информация ни помага да поддържаме и подобряваме нашия уебсайт и бизнес. Обикновено това включва вашия IP адрес, вида на браузъра, страниците, които сте посетили, и реда, в който сте ги посетили, както и дали сте нов или повторен посетител. Прочетете нашата политика за бисквитки за повече информация.
● Посетете нашите социални мрежи
ЕН ТИ ЕЙЧ използва определени социални мрежи. Ако се свържете с нас чрез някоя от нашите социални мрежи, ние ще съхраняваме вашата информация и ще я използваме в съответствие с настоящата Политика за защита на личните данни.
Ние присъстваме в следните социални мрежи:
Linkedin: https://www.linkedin.com/company/nth-business-messaging/
Запитвания за бизнес сътрудничество или услуги, които предоставяме
Когато се свържете с нас относно нашите услуги, ние използваме следната информация за контакт:
● Име и фамилия
● Имейл адрес
● Телефон / мобилен номер
Ние използваме тези данни за целите на извършване на действия, предшестващи сключването на договори и по-късно сключването на договори, а също така обработката на тези данни е от законен интерес за нас по отношение на развиване на бизнес отношения и евентуално бизнес сътрудничество. Ние ще съхраняваме вашата информация в продължение на три години от датата, на която сме я получили. В случай на сключване на договор между вас и ЕН ТИ ЕЙЧ, ние сме задължени по закон да съхраняваме вашите данни за по-дълъг период.
Заявления за работа, студентска работа или стаж
В случай, че се интересувате от работа или стаж в нашата компания, по време на процеса на подбор, в зависимост от етапа му, можем да обработим следните данни:
● Име и фамилия
● Имейл адрес
● Телефонен номер
● Вашaта автобиография
● Резултати от тестовете
Ако няма отворени позиции, моля, изпратете отвореното си заявление на адрес posao@nth.ch. Посочените данни ще се събират въз основа на законния ни интерес от намирането на нови служители и въз основа на факта, че посочените действия, които предхождат сключването на договора или водят до него.
Ние ще съхраняваме вашите данни за период от две години от датата на подаване въз основа на вашето съгласие, след което те ще бъдат изтрити. Ако не сте съгласни, че данните ще се съхраняват след кандидатстване или процедура за подбор, моля, уведомете ни.
В случай на сключване на договор, данните ще се съхраняват в съответствие със законоустановените срокове на съхранение.
● Кой има достъп до вашите данни
Само оторизирани служители имат достъп до вашите данни и единствено за целите на изпълнение на техните задачи. ЕН ТИ ЕЙЧ няма да предава вашите данни на трети страни или да им позволи достъп до вашите данни, освен ако не е посочено друго в настоящата Политика или въз основа на законосъобразно искане на компетентен държавен орган.
● Къде и как съхраняваме вашите данни
Всички данни, които събираме, се намират в нашата вътрешна ИТ инфраструктура, която е адекватно защитена от всички рискове по най-високите стандарти.
● Вашите права
Съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на лицата по отношение на обработката на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент за защита на данните) и Закона за неговото прилагане имате следните права:
● Правото на информация за вашите данни, които нашата компания обработва;
● Право на достъп до лични данни; Право на корекция на лични данни; Правото на изтриване на лични данни („Право да бъдете забравени“), в съответствие със закона;
● Правото да се ограничи обработването на лични данни;
● Право на преносимост на данни;
● Право на възражение по имейл: dataprotection@nth.ch
- Технически и организационни мерки за сигурност
| Цел на контрола | Предприети мерки |
| (1) Контрол на достъпа За предотвратяване на физическия достъп на неупълномощени лица до сървърната инфраструктура за обработка на данни, и по-специално за легитимиране на оторизирани лица, се използват следните мерки. | Център за данни, отделен от общодостъпните зониДостъп само на упълномощени служители (посещенията обикновено не са разрешени)Система за контрол на достъпа (биометрична) с регистрацияАлармена система/система за заключване с кодово управление24-часова охрана със свързана алармена системаВидеонаблюдение (външно, врати и коридори)Отделно заключващи се стелажи с възможност за използване на персонализирани ключалки и ключовеПочистване само от оторизирани служители |
| (2) Контрол на достъпа (на потребителите) Трябва да се предотврати възможността системите за обработка на данни да бъдат използвани от неоторизирани лица. | Използване на защитни системи (firewalls) и системи за откриване на проникване.За административни цели (напр. поддръжка на инфраструктурата и системите) само малка група вътрешни администратори имат достъп до системите за обработка на данни чрез SSH и уеб интерфейси. За тази цел се използват само криптирани комуникационни канали. Връзката се установява чрез VPN, TLS и LDAP.Удостоверяването винаги се извършва с потребителско име и парола (вътрешна политика за паролите).Идентификацията на потребителя трябва да се извърши с лични данни за вход. Споделянето на данните за вход с друго лице е забранено.Сигурно управление на паролите (използване на софтуер за централно администриране на устройствата с криптиране).При спешни случаи системните администратори могат да получат достъп до сървърите с root login, ако обичайното удостоверяване на потребителите не работи правилно. Използването на root login се регистрира. |
(3) Контрол на достъп и съхранение Трябва да се гарантира, че лицата, упълномощени да използват дадена система за обработка на данни, имат достъп само до данните, които са необходими за изпълнение на техните задачи, и които са предмет на тяхното разрешение за достъп, както и че данните на клиентите (включително личните данни) се обработват, използват и след това не могат да бъдат прочетени, копирани, променени или премахнати без разрешение. | Защита срещу неоторизиран вътрешен и външен достъп чрез защитни системи (firewalls), използване на процеси за удостоверяване и криптиране.Сигурно задаване на пароли в съответствие с вътрешната политика за пароли. В зависимост от системата или приложението – задължителна редовна смяна на паролата и автоматично блокиране.Никога не се предоставя привилегирован административен достъп за администриране на клиенти/потребители или външни лица.Правата за външен достъп до системите и приложенията се предоставят при необходимост и изключително на данните, които са обект на тяхното разрешение за достъп (създаване на потребителски профили и предоставяне на потребителски права). Те трябва да бъдат договорени или поне записани в дизайна на услугата (метод на оторизация).Оторизациите се присвояват само от лицето, отговорно за услугата/приложението, освен ако не е договорено друго в метода за оторизация за бъдещата услуга/приложение. Броят на администраторите винаги се свежда до “необходимия”. Предоставянето на допълнителни права за достъп по искане на клиента/потребителя трябва да бъде направено в писмена форма.На системно ниво всички достъпи винаги се регистрират по подразбиране. В случай на особено чувствителни данни, ако това се изисква от закона или по искане на клиента/потребителя, достъпът се регистрира и прилага (въвеждане, промяна и изтриване, както и получаване на данните).Безопасно съхранение на носителите на данниСигурно премахване на носителите на данни чрез унищожаването им |
| (4) Контрол на разпределението Трябва да се гарантира, че данните, събрани за различни цели, могат да се обработват отделно. | Физическо разделяне на функционални и целеви системи, бази данни и носители на данни.Дефинирани процеси, при които се инсталират, доставят и експлоатират системи, услуги или приложения (метод за оторизация на корпоративно ниво).Разделяне на производствената и тестовата средаФункционално и логическо разделяне на клиентитеДефиниране на права за базите данни |
| (5) Контрол на дистрибуцията (контрол на диска, на транспорта и разкриването) Трябва да се гарантира, че данните на клиента (включително лични данни) не могат да бъдат прочетени, копирани, променени или премахнати без разрешение по време на електронното предаване или по време на транспортирането или съхранението им на носители на данни, както и че може да се провери и определи в кои локации се извършва предаването на данни на клиента (включително лични данни) от съоръженията за предаване на данни. | · Предаването на данни винаги се извършва със сигурно криптиране. Това се отнася особено за личните данни. · Привилегировани действия за административни цели, например за извършване на миграция, могат да се извършват само чрез VPN. Само малка група служители имат VPN достъп с такива права. · Всички привилегировани действия на системно ниво се записват (дневник на дейностите), записването може да се извършва и на ниво приложение. Документи, които подлежат на защита, могат да се изпращат само в криптиран вид (например компресирани по електронна поща със защита с парола, като паролата трябва да се съобщава отделно по друг канал). |
| (6) Контрол и регистрация на входящи данни Трябва да се гарантира, че впоследствие може да се провери и установи дали и от кого са били въведени, променени или премахнати данни за клиенти (включително лични данни) в системите за обработка на данни. | Присвояване на права на достъп за въвеждане, промяна и изтриване на данни въз основа на метода за оторизацияРегистрирането на въвеждането, промяната и изтриването на данни винаги се извършва на системно ниво (дневник на дейностите), на ниво услуга/приложение, ако е предписано/задължително или желано (прилага се метода за чувствителни данни).Проследимост на въвеждането, промяната и изтриването на данни чрез индивидуални потребителски имена |
| (7) Контрол на наличността и възстановяване Трябва да се гарантира, че данните на клиентите (включително личните данни) са защитени срещу случайно или умишлено унищожение или загуба. | Непрекъснато електрозахранване (дизелов генератор и резервен UPS)Климатизация в сървърните помещенияУстройства за наблюдение на температурата и влажността в сървърните помещенияЗащитни захранващи ленти в сървърните помещения (PDU)Цялостна противопожарна защита с газово пожарогасене (Inergen)Създаване на метод за архивиране и възстановяванеОгледално копиране на хард дисковете, напр. метод RAIDПланове за действие при извънредни ситуации, които подробно описват сценариите при грешки, предпазните мерки и измерванията на наличноститеСървърни помещения, които не са под санитарните помещенияНаблюдение на цялостната инфраструктура и услуги на центъра за данниРезервна инфраструктура |
| (8) Контрол на поръчките Взети са мерки, за да се гарантира, че личните данни, обработвани от името на клиента, могат да бъдат обработвани само в съответствие с инструкциите на клиента. | Ако по време на работата по поддръжката на системите за обработка на данни не може да бъде изключена евентуална промяна в личните данни, NTH ще информира клиента за този период на поддръжка.Заявките за промяна и миграция, които съдържат лични данни, трябва да бъдат направени в писмен вид от клиента.Обработката на данни се извършва в центъра за данни на NTH, освен ако клиентът изрично не поиска други местоположения (напр. определени доставчици на хостинг).Гарантиране на унищожаването на данните след приключване на поръчката |
| (9) Контрол на организацията и изпълнението Определени са процеси и работни потоци за обработката на данни, които ефективно прилагат принципите за защита на данните и гаранциите за сигурност, за да се изпълнят изискванията за защита на данните и да се защитят правата на засегнатите лица. | Редовно обучение и повишаване на чувствителността на служителите към принципите на защита на данните и IT сигурносттаЗадължение за пазене на тайна по отношение на търговски и бизнес тайниПравилно и внимателно боравене с данни, файлове, носители на данни и други документиПроверка на изпълнението и ефективността на техническите и организационните мерки за защита чрез проверки на случайни извадкиПроцес за управление на реакциите при инциденти и документиране на инциденти в сигурността чрез тикетинг систематаФормализиран процес за обработка на искания за информация от субекти на данниNTH гарантира, че предоставянето на услуги се извършва в съответствие със закона за защита на данните |
Техническите и организационните мерки подлежат на обновление и по-нататъшно развитие. В тази връзка NTH може да приложи алтернативни, адекватни мерки, доколкото нивото на сигурност и техническите изисквания в настоящата декларация за защита на данните не са нарушени.
*