Polityka prywatności

POLITYKA PRYWATNOŚCI

§1. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

W celu zapewnienia poufności, integralności, rozliczalności i bezpieczeństwa przetwarzanych danych Administrator Danych Osobowych wprowadza polityki i procedury w zakresie stosowanych środków technicznych i organizacyjnych.

§2. Środki organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

1. Administrator Danych Osobowych wdraża Politykę Bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym, które będą regularnie przeglądane i aktualizowane zgodnie z sekcją pt. „Przeglądy i aktualizacje dokumentacji ochrony danych osobowych”.

2. Administrator Danych Osobowych powołuje Administratora Bezpieczeństwa Informacji.

3. Do przetwarzania danych osobowych są dopuszczone wyłącznie osoby, które posiadają odpowiednie upoważnienie.

4. Procedura nadawania upoważnień została określona w Instrukcji zarządzania systemem informatycznym w rozdziale pt. „Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności”

5. Każda osoba, która otrzymała upoważnienie do przetwarzania danych osobowych zostaje wpisana do ewidencji osób upoważnionych przez osobę uprawnioną do nadawania upoważnień.

6. Osoby upoważnione do przetwarzania danych osobowych zostały pisemnie zobowiązane do zachowania w tajemnicy:

  • wszelkich danych osobowych i informacji o danych osobowych,
  • sposobów zabezpieczenia danych osobowych.

7. Osoby upoważnione do przetwarzania danych osobowych zostały zapoznane z:

  • przepisami o ochronie danych osobowych, np. w formie szkolenia, które jest merytorycznie adekwatne do kategorii zagrożeń oraz katalogu przetwarzanych danych osobowych na danym stanowisku,
  • zasadami zabezpieczeń, które obowiązują w firmie,
  • zasadami zgłaszania incydentów oraz podejrzeń naruszeń ochrony danych osobowych,
  • zasadami korzystania z urządzeń i systemów informatycznych do przetwarzania danych osobowych.

8. Przetwarzanie danych osobowych odbywa się warunkach adekwatnych do skali oraz rodzaju przetwarzanych danych.

9. Przebywanie osób nieuprawnionych w obszarze przetwarzania danych osobowych jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

10. Administrator Danych Osobowych zawiera umowy powierzenia danych osobowych zgodnie, gdy powstaje taki wymóg prawny.

11. Wdrożono zasady korzystania z urządzeń mobilnych w sekcją pt. „Polityka stosowania środków ochrony kryptograficznej oraz bezpieczeństwa urządzeń mobilnych”.

12. Monitory osób upoważnionych do przetwarzania są ustawione w taki sposób, aby niemożliwy był wgląd dla osób postronnych.

13. Administrator Danych Osobowych wdraża również dodatkowe polityki, procedury i instrukcje, które mają na celu podniesienie poziomu ochrony danych osobowych.

§3. Środki ochrony fizycznej niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

1. Budynek i pomieszczenia posiadają właściwe zabezpieczenia fizyczne chroniące przed dostępem osób trzecich.

2. W czasie nieobecności pracowników w biurze wszelkie informacje poufne oraz wewnętrzne muszą być zamknięte w szafach zamykanych na klucz.

§4. Środki ochrony informatycznej niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

1. Serwery baz danych korzystają z urządzeń typu UPS w celu ochrony przed skutkami awarii zasilania.

2. Zastosowano środki kryptograficznej ochrony danych dla:

  • danych osobowych przekazywanych drogą teletransmisji,
  • wszelkich urządzeń, które przetwarzają dane osobowe.

3. Wykonywane są automatyczne kopie zapasowe zbiorów danych.

4. Dostęp do systemów informatycznych jest możliwy po wprowadzeniu prawidłowego identyfikatora i hasła.

5. Wdrożono mechanizmy, które automatycznie wymuszają zmianę hasła co 30 dni.

6. Zastosowano środki ochrony przed szkodliwym oprogramowaniem.

7. Użyto programowy lub sprzętowy firewall do ochrony dostępu do sieci komputerowej.

§5. Polityka czystego biurka.

1. Upoważnieni do przetwarzania danych osobowych po opuszczeniu swojego stanowiska pracy są zobowiązani do tego, aby:

  • zablokować dostęp do komputera zgodnie z zasadami zawartymi w Instrukcji w rozdziale pt. „Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu”,
  • schować w szafce zamykanej na klucz wszelkie:
  • elektroniczne nośniki informacji (np. dyski przenośne, pendrive),
  • dokumenty w formie papierowej (np. CV kandydatów).

2. Dokumenty papierowe, które nie są potrzebne do dalszej pracy należy trwale zniszczyć przy pomocy niszczarki.

§6. Polityka stosowania środków ochrony kryptograficznej oraz bezpieczeństwa urządzeń mobilnych.

1. Osoba użytkująca służbowe urządzenie mobilne takie jak komputer przenośny, telefon komórkowy, tablet, zawierające dane osobowe lub informacje sklasyfikowane jako wewnętrzne lub tajne jest zobowiązana do zachowania szczególnej ostrożności w trakcie jego transportu, przechowywania i użytkowania poza obszarem ochrony danych osobowych.

2. Komputery przenośne na czas transportu chowane są w bagażniku samochodu.

3. Komputery przenośne w pomieszczeniu powinny być mocowane za pomocą metalowej linki.

4. Wszystkie urządzenia mobilne oraz pamięci przenośne korzystają środków ochrony kryptograficznej.

5. Administrator danych w zakresie środków ochrony kryptograficznej:

  • powierza instalację środków ochrony kryptograficznej właściwej osobie lub
  • wydaje instrukcję włączenia środków ochrony kryptograficznej

6. Serwisy internetowe Administratora danych osobowych wykorzystują środki ochrony kryptograficznej wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

§7. Zasady postępowania w przypadku naruszeń ochrony danych osobowych – postępowanie z incydentami.

1. Incydent jest to pojedyncze zdarzenie lub seria zdarzeń, którego bezpośrednim skutkiem może być naruszenie poufności, dostępności lub integralności danych osobowych lub aktywów informacyjnych.

2. Każdy pracownik jest zobowiązany do poinformowania o incydencie lub o podejrzeniu zajścia incydentu.

3. Incydenty ochrony danych osobowych są zgłaszane do:

  • Administratora Danych Osobowych oraz Administratora Bezpieczeństwa Informacji lub
  • Bezpośredniego przełożonego, który przekazuje dalsze informacje o incydencie Administratorowi Danych Osobowych oraz Administratorowi Bezpieczeństwa Informacji

4. Incydenty są odnotowywane w rejestrze incydentów, gdzie Administrator danych lub Administrator Bezpieczeństwa Informacji określa:

  • nazwę incydentu,
  • opis stanu faktycznego,
  • przyczyny i skutki incydentu,
  • ustala osoby odpowiedzialne za naruszenie,
  • priorytet zajęcia się incydentem i ciężar incydentu,
  • opis działań korygujących i prewencyjnych.

5. Administrator Bezpieczeństwa Informacji po przeprowadzeniu sprawdzenia w trybie doraźnym (sprawdzeniu po incydencie) opracowuje sprawozdanie dla Administratora Danych Osobowych, które zawiera elementy określone w art. 36c ustawy o ochronie danych osobowych.

§8. Przeglądy i aktualizacje dokumentacji ochrony danych osobowych.

1. Dokumentacja w obszarze ochrony danych osobowych, która w szczególności obejmuje Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym podlega regularnym przeglądom.

2. Przeglądy dokumentacji ochrony danych osobowych są wykonywane co 6 miesięcy.

3. Dokumentacja ochrony danych osobowych podlega przeglądowi i aktualizacji każdorazowo w przypadku:

  • zmiany przepisów prawa w obszarze ochrony danych osobowych,
  • powstania innych czynników mających wpływ na zasady i funkcjonowanie ochrony danych osobowych w spółce.

4. Projekt aktualizacji dokumentacji ochrony danych jest opracowany przez Administratora danych lub Administratora Bezpieczeństwa Informacji.

§9. Konsekwencje naruszeń ochrony danych osobowych i bezpieczeństwa informacyjnego.

1. Naruszanie przez osoby upoważnione do dostępu lub przetwarzania danych osobowych, zasad bezpiecznego i zgodnego z prawem ich przetwarzania może zostać potraktowane jako:

  • ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającymi stąd konsekwencjami, z rozwiązaniem stosunku pracy włącznie,
  • podstawa do rozwiązania umowy o dzieło, umowy zlecenie lub umowy o praktyki - zapis o podstawie rozwiązania musi znajdować się w tych umowach,

2. Opuszczenie bez zabezpieczenia obszaru przetwarzania oraz znajdujących się w nim danych przez osobę upoważnioną do przetwarzania danych osobowych jest niedopuszczalne i może zostać potraktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych lub jako podstawę do rozwiązania umowy o dzieło, umowy zlecenie lub umowy o praktyki.

3. Wszelkie działania polegające w szczególności na usuwaniu, modyfikowaniu zabezpieczeń służących do zapewnienia odpowiedniego poziomu ochrony danych osobowych są niedopuszczalne i mogą być traktowane jako ciężkie naruszenie obowiązków pracowniczych lub jako podstawę do rozwiązania umowy o dzieło, umowy zlecenie lub umowy o praktyki.

§10. Prowadzenie dokumentacji ochrony danych osobowych

1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe będzie prowadzony przez administratora danych lub administratora bezpieczeństwa informacji w formie elektronicznej.

2. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych będzie prowadzony przez administratora danych lub administratora bezpieczeństwa informacji w formie elektronicznej.

3. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi będzie prowadzony przez administratora danych lub administratora bezpieczeństwa informacji w formie elektronicznej.

4. Sposób przepływu danych pomiędzy poszczególnymi systemami będzie prowadzona przez administratora danych lub administratora bezpieczeństwa informacji w formie elektronicznej.