1. VŠEOBECNÉ OPATRENIA

1.1 Spoločnosť Ferrero zaviedla zásady ochrany osobných údajov, ktoré riadne zdokumentovala a pravidelne aktualizuje. 

1.2 Postupy spoločnosti Ferrero v oblasti ochrany osobných údajov sú v prípade potreby formálne zdokumentované, pravidelne preskúmavané a podložené objektívnymi podkladmi (napr. zápisy z rokovania, zoznamy, IT logy atď.), ktoré preukazujú trvalú starostlivosť a úsilie venované ochrane osobných údajov pri ich spracúvaní. 

1.3 Spoločnosť Ferrero určila zodpovednú osobu pre bezpečnosť a taktiež i zodpovednú osobu na ochranu osobných údajov (DPO), ktorí zodpovedajú za koordináciu a sledovanie bezpečnostných pravidiel a postupov, ako aj za dodržovanie predpisov o ochrane osobných údajov. 

2. PRÁVA DOTKNUTÝCH OSÔB NA PRÍSTUP K ÚDAJOM (čl. 15 a nasl. GDPR)

2.1 Zamestnanci spoločnosti Ferrero sú zoznámení s postupmi, na základe ktorých môžu dotknuté osoby uplatňovať svoje právo na prístup k osobným údajom a odovzdať prevádzkovateľovi osobných údajov žiadosti o výkon svojich práv. 

2.2 Spoločnosť Ferrero vedie všeobecný register, do ktorého sú tieto žiadosti, napr. o výkone práva na prístup k osobným údajom zaznamenávané. 

2.3 Spoločnosť Ferrero určila zodpovednú osobu na ochranu osobných údajov, ktorá zodpovedá za poskytovanie písomných vysvetlení prevádzkovateľovi osobných údajov ohľadom žiadosti dotknutých osôb. 

2.4 Spoločnosť Ferrerostanovila lehotu prepodávanie žiadostiprevádzkovateľovi osobných údajov. 

2.5 Spoločnosť Ferrero zaviedla postup pre písomné zdokumentovanie prípadného odmietnutia žiadosti dotknutej osoby o výkon práva na vymazanie, obmedzenie spracúvania či prenosnosti údajov a pre zdieľanie tejto dokumentácie s prevádzkovateľom osobných údajov. 

3. INFORMÁCIE A ZÁSADY OCHRANY OSOBNÝCH ÚDAJOV (čl. 13 GDPR) 

3.1 Zamestnanci spoločnosti Ferrero a ďalšie osoby zodpovedné za predkladanie zásad ochrany súkromia/oznámenia o ochrane osobných údajov dotknutým osobám alebo za zhromažďovanie súhlasov dotknutých osôb, a to aj pre prevádzkovateľa osobných údajov, boli konkrétne preškolení ohľadne pravidiel ochrany osobných údajov. 

3.2 SpoločnosťFerrero pravidelne preveruje chovanie týchto zamestnancov a ďalších osôb pri jednaní s dotknutými osobami. 

3.3 Pri predkladaní zásad ochrany súkromia/oznámení o ochrane osobných údajov dotknutým osobám majú zamestnanci spoločnosti Ferrero a ďalšie zodpovedné osoby možnosť tieto dotknuté osoby jednoznačne informovať o ich právach. 

3.4 Spoločnosť Ferrero vedie záznamy o všetkých zdrojoch, z ktorých osobné údaje získava.

4. POVERENÉ OSOBY(čl. 29 a nasl. GDPR)

4.1 Spoločnosť Ferrero formálne určila všetkypoverené osoby, a to jednotlivo alebo prípadne v rámci ucelených kategórií.

4.2 Všetkým taktourčeným povereným osobám boli vydané konkrétne pokyny ohľadne spôsobu spracúvania a ochrany osobných údajov. 

4.3 Spoločnosť Ferrero vedie zoznam poverených osôb, ktorý priebežne aktualizuje, a všetkým povereným osobám poskytuje odpovedajúce školenie a vzdelávanie v oblasti ochrany osobných údajov. Tieto školenia sú riadne zdokumentované. 

4.4 Prístupové oprávnenia poskytnuté povereným osobám sú primerané a sú priebežne aktualizované. Pokyny udelené povereným osobám sú priebežne aktualizované. Tieto skutočnosti sú pravidelne potvrdzované. 

5. ŠKOLENIE

5.1 Novo prijatí zamestnanci sú pred zahájením spracúvania osobných údajov riadne poučení. 

5.2 Predtým, než sú zamestnancom zverené činnosti zahrňujúce nakladanie s osobnými údajmi, posudzuje sa ich bezúhonnosť a spoľahlivosť.

5.3 Všetkým povereným osobám sú operatívne poskytované aktuálne informácie týkajúce sa zabezpečenia. 

5.4 Spoločnosť Ferrero distribuuje bezpečnostné pokyny všetkým povereným osobám.

5.5 Spoločnosť Ferrero vedie dokumentáciu slúžiacu k podpore a doloženiu realizovaných školiacich aktivít.

6. ZÁSADY ZABEZPEČENIA ÚDAJOV

6.1 Spoločnosť Ferrero vymedzila súbor kritérií a zásad jednoznačne vyjadrujúcich ich podporu bezpečnosti osobných údajov, ako i bezpečnostné kontrolné mechanizmy týkajúce sa mobilných zariadení a práce na diaľku (napr. práca z domu prostredníctvom elektronického pripojenia, vzdialený prístup a virtuálne pracovisko). 

6.2 Spoločnosť Ferrero vymedzila samostatné pozície a s nimi spojené povinnosti v oblasti informačnej bezpečnosti a do týchto pozícií určila vhodné osoby s cieľom predísť stretu záujmu a zabrániť akýmkoľvek prípadným nežiadúcim činnostiam. 

6.3 Spoločnosť Ferrero uzavrela odpovedajúcu zmluvu s čiastkovými sprostredkovateľmi, ukladajúc im povinnosť zavedenia vhodných technicko-organizačných bezpečnostných opatrení týkajúcich sa ochrany osobných údajov. 

7. BEZPEČNOSŤ VO VZŤAHU K ĽUDSKÝM ZDROJOM

7.1 Povinnosti v oblasti informačnej bezpečnosti sú brané v úvahu ešte pred zahájením pracovného pomeru behom procesu prijímania či výberu zamestnancov, iných spolupracovníkov a agentúrnych zamestnancov (napr. prostredníctvom zodpovedajúceho popisu voľnej pracovnej pozície alebo hodnotením uchádzačov) a sú zahrnuté v pracovnej alebo inej podobnej zmluve (napr. v rámci podmienok pracovného pomeru alebo v akejkoľvek inej podpísanej dohode vymedzujúcej úlohy a povinnosti vo vzťahu k bezpečnosti, napr. formou povinností týkajúcich sa dodržovania právnych predpisov apod.). 

7.2 Vedúci zamestnanci spoločnosti Ferrero zaisťujú, aby zamestnanci, iní spolupracovníci a agentúrni zamestnanci boli behom trvania pracovnoprávneho vzťahu priebežne poučovaní a inštruovaní ohľadne nutnosti dodržiavať povinnosti v oblasti informačnej bezpečnosti, a ďalej aby boli informovaní o možnosti formálneho disciplinárneho postihu v prípade nimi zavineného narušenia informačnej bezpečnosti. 

7.3 Spoločnosť Ferrero uplatňuje formálne disciplinárne konanie, ktoré bude zahájené v prípade narušenia informačnej bezpečnosti zavineného zamestnancami, ďalšími spolupracovníkmi a agentúrnymi zamestnancami. 

7.4 V prípade odchodu zamestnanca zo spoločnosti Ferrero alebo v prípade významných zmien úloh a povinností sú všetky aspekty súvisiace s bezpečnosťou riešené, napr. povinnosťou vrátiť všetky informácie a predmety, ktoré sú majetkom spoločnosti, ďalej aktualizáciou prístupových práv/oprávnení a pripomenutím dotknutým osobám, že sa na nich i naďalej vzťahujú povinnosti ohľadne ochrany osobných údajov, duševného vlastníctva, povinnosti vyplývajúce zo zmluvných ustanovení, ktoré zostávajú platné a účinné i po ukončení pracovného pomeru a ďalšie povinnosti, vrátane na nich kladených etických očakávaní.

7.5 Povereným osobám budú udelené konkrétne pokyny ohľadne spôsobu vymazania alebo likvidácie údajov z nosičov.

8. SPRÁVA PROSTRIEDKOV 

8.1 Spoločnosť Ferrero má úplný výpis všetkých svojichinformačných prostriedkov, s uvedením totožnosti osôb, ktoré majú tieto prostriedky v držbe, za účelom zaistenia zodpovednosti za bezpečnosť týchto postriedkov. Spoločnosť Ferrero vo vzťahu k týmto prostriedkom vymedzila zásady „prijateľného užívania“. 

8.2 Nosiče informácií sú spravované, kontrolované, prepravované a likvidované spôsobom vylučujúcim vyzradenie obsahu informácií na nich uložených. 

8.3 Spoločnosť Ferrero má zodpovedajúci počet bezpečnostných schránok, vhodne rozmiestnených a daných k dispozícií osobám zodpovedajúcim (hoci i len dočasne) za uchovanie osobných údajov v akejkoľvek podobe (papierovej, elektronickej či inej). 

8.4 Spoločnosť Ferrero zaviedla kontrolné mechanizmy, ktorých cieľom je zabrániť situáciám, kedy by dokumenty obsahujúce zvláštne kategórie osobných údajov boli ponechané voľne bez dozoru v prípadoch, keď sú zverené povereným osobám a vyňaté z ich zabezpečených archívoch. 

8.5 Poverené osoby majú prístup ku skartovačom papierových dokumentov, ktoré môžu bez obmedzenia používať.  

8.6 Spoločnosť Ferrero zaviedla zodpovedajúce zásady používania, uchovávania a skartácie dokumentov v papierovej podobe. 

9. RIADENIE PRÍSTUPU

9.1 Organizačné požiadavky zavedené spoločnosťou Ferrero vo vzťahu k riadeniu prístupu k informačným prostriedkom sú transparentne zdokumentované v zásadách/poriadku riadenia prístupu. Prístup k sieti a pripojeniam spoločnosti Ferrero je obmedzený. 

9.2 Užívatelia sú poučenío svojich povinnostiach týkajúcich sa udržovania účinného riadenia prístupu, zahrňujúcich napr. nastavenie silných hesiel a zachovanie ich dôvernej povahy. 

9.3 Prístup k údajom je obmedzený v súlade so zásadami/poriadkom riadenia prístupu spoločnosti Ferrero, napr. prostredníctvom systému bezpečného prihlasovania, správy prístupových hesiel, správy prístupových oprávnení a obmedzení prístupu k zdrojovým kódom. 

9.4 Spoločnosť Ferrero kontroluje prístup k citlivým oblastiam.Osoby majú k týmto citlivým oblastiam prístup na základe predchádzajúceho oprávnenia. 

9.5Citlivé oblasti sú vybavené elektronickými nástrojmi pre riadenie prístupu alebo podliehajú iným formám odpovedajúcej kontroly. 

9.6 Spoločnosť Ferrero častými kontrolami prístupových logov citlivých oblastí, napr. serverových miestností, zisťuje, či nedošlo k neoprávnenému prístupu. 

10. ŠIFROVANIE

11. FYZICKÉ A PRIESTOROVÉ ZABEZPEČENIE

11.1 Spoločnosť Ferrero má zreteľne vymedzené fyzické perimetre a bariéry a používa fyzické prostriedky kontroly prístupu a interné postupy k ochrane priestorov, kancelárií, miestností, miest nakládok/vykládok atď. pred neoprávneným vstupom (protipožiarna a protipovodňová ochrana, ochrana proti zemetraseniu apod.).

11.2 Spoločnosť Ferrero môže potvrdiť, žebez predchádzajúceho dovolenia nedochádza k vynášaniu zariadení alebo informácií mimo priestory, a že je zaistená odpovedajúca úroveň ich ochrany tak ako v priestoroch spoločnosti, tak aj mimo nich. 

11.3 Informácie uložené na nosičoch informácií sú pred likvidáciou alebo opätovným použitím týchto nosičov zničené. 

11.4 Každé zariadenie, u ktorého v danom okamžiku nie je prítomný užívateľ, je chránené a existujú vo vzťahu k nemu konkrétne a transparentné pravidlá riadenia prístupu. 

12. PREVÁDZKOVÁ BEZPEČNOSŤ

12.1 Boli zavedené a sú udržované opatrenia pre kontrolu malwaru.

12.2 Priebežne sú vykonávané a ukladané príslušné zálohy v súlade so zásadami spoločnosti Ferrero pre zálohovanie. 

12.3 Zálohy sú testované. Výsledky sú zdokumentované a zaznamenané.

13. AUTENTIZÁCIA A MONITORING

13.1 Systémy pre sledovanie využitia pracovnej doby sú synchronizované tak, aby bola zaistená časová konzistentnosť sledovaných údajov. 

13.2 Spoločnosť Ferrero sa riadi zásadou minimálneho oprávnenia (principle of least privilege), umožňujúci oprávnený prístup užívateľom na základe ich pracovnej náplne. 

14. RIADENIE TECHNICKEJ ZRANITEĽNOSTI

14.1 Spoločnosť Ferrero môže potvrdiť, že vyvinula postup pre riadenie zraniteľnosti, ktorého cieľom je identifikácia slabých miest v zabezpečení s využitím dôveryhodných externých zdrojov pre získavanie informácií o zraniteľnosti, a ďalej priraďovaní klasifikácie rizík jednotlivým bezpečnostným zraniteľnostiam.  

14.2 Systémové komponenty a softwarové aktualizácie vzťahujúce sa k náprave známych zraniteľností sú posudzované s cieľom zistiť ich použiteľnosť, pred inštaláciou sú vykonávané skúšky ich kompatibility, a následne prebieha ich včasná implementácia. 

14.3 Boli zavedené pravidlá pre užívateľské inštalácie softwaru s cieľom zabrániť vzniku nových zraniteľností. 

14.4 Spoločnosť Ferrero definovala a implementovala proces penetračného testovania na úrovni aplikácií a na úrovni infraštruktúry.

15. KOMUNIKAČNÁ BEZPEČNOSŤ

15.1 Bezpečnosť siete a sieťových služieb spoločnosti Ferrero je chránená okrem iného oddelenými sieťami. 

15.2 Spoločnosť Ferrero zaviedla ochranné opatrenia, ktorých cieľom je kontrola komunikácie na vnútornej i vonkajšej hranici infraštruktúry.

15.3 Spoločnosť Ferrero uplatňuje zásady, postupy a zmluvné vzťahy (napr. dohody o mlčanlivosti, zmluvy o spracúvaní osobných údajov) týkajúce sa odovzdávania informácií medzi ňou a tretími osobami, okrem iného elektronickými prostriedkami. 

15.4 Spoločnosť Ferrero používa zabezpečené komunikačné kanály (napr. šifrované protokoly pre pripojenie k sieti spoločnosti a/alebo VPN v prípade vzdialených prístupov) pre komunikáciu medzi informačnými systémami a sieťami spoločnosti. 

16. AKVIZÍCIA, ROZVOJ A ÚDRŽBA SYSTÉMU

16.1 Spoločnosť Ferrero analyzuje a špecifikuje požiadavky týkajúce sa kontroly bezpečnostných prvkov, a to i vo vzťahu k internetovým aplikáciám a aktivitám. 

16.2 Pravidlá týkajúce sa bezpečnostisoftwaru/vývoja systému sú stanovené v súlade s internými predpismi spoločnosti Ferrero. 

16.3 Zmeny sú pred realizáciou migrácie do výroby riadené, vykonávané, posudzované a schvaľované (optimálne prostredníctvom nástroja) v dedikovanom prostredí. 

16.4 Zmeny konfigurácie parametrov aplikácií sú pred prevedením schvaľované a po prevedení potvrdzované. 

16.5 Softwarové balíky nie sú upravované s tým, že sú rešpektované technické zásady bezpečnosti systému.

16.6 Prostredia určené pre vývoj, skúšky a výrobu sú vzájomne oddelené, aby sa zabránilo neoprávnenému prístupu k výrobným systémom a úložiskám kódov alebo ich zmenám. 

16.7 Všetky testovacie dáta sú starostlivo vyberané, generované, kontrolované a vymazávané. 

17. VZŤAHY S DODÁVATEĽMI

17.1 Spoločnosť Ferrero uplatňuje zásady, postupy, činnosti pre zvýšeniepovedomia apod. s cieľomchrániťsvoje informácie, ku ktorým majú prístup outsorceri IT činnosti a ďalší externí dodávatelia (či už sú títo čiastkovými sprostredkovateľmi osobných údajov alebo nie) naprieč celým dodávateľským reťazcom. Tie sú premietnuté do písomných zmlúv uzatváraných s týmito subjektmi.  

18. RIEŠENIE NARUŠENIA INFORMAČNEJ BEZPEČNOSTI

18.1 Spoločnosť Ferrero stanovila povinnosti a postupy týkajúce sa riešenia (ohlásenia, posúdenia, reakcií a vyvodenia dôsledkov) prípadov narušenia informačnej bezpečnosti, bezpečnostných incidentov a zistených zraniteľností, vrátane prípadov porušenia zabezpečenia osobných údajov, a to dôsledným a účinným spôsobom, aby bolo možné tieto skutočnosti poverenými osobami prevádzkovateľovi osobných údajov včas oznámiť, a ďalej postupy pre zhromažďovanie vhodných forenzných dôkazov, pokiaľ je to nutné. 

19. ASPEKTY INFORMAČNEJ BEZPEČNOSTI SÚVISIACE S RIADENÍM KONTINUITY ČINNOSTÍ

19.1Spoločnosť Ferrero má naplánovanú kontinuitu informačnej bezpečnosti, ktorú implementuje, testuje a preskúmava ako neoddeliteľnú súčasť svojich systémov riadení kontinuity činností.  

19.2 Spoločnosť Ferrero má natoľko dostatočné kapacity, aby bola schopná vyhovieť požiadavkám na dostupnosť.

20. DODRŽIAVANIE PRÁVNYCH PREDPISOV

20.1 Spoločnosť Ferrero identifikovala a zdokumentovala svoje povinnosti ohľadne zabezpečenia osobných údajov, ktoré má voči úradom (vrátane dozorných úradov) a ďalším tretím osobám, hlavne v oblasti duševného vlastníctva, korporačných a iných záznamoch, ochrany osobných údajov a šifrovania.

Naposledy aktualizované: jún 2018