Polityka Bezpieczeństwa Golden Rose Sp. z o.o.
- Zasady bezpieczeństwa opisane w niniejszym dokumencie (zwanym dalej „Polityką bezpieczeństwa”) należy traktować jako element porządku pracy ustalonego w spółce GOLDEN ROSE Sp. z o.o. z siedzibą w Łodzi przy ulicy Lodowej 126A (93-232 Łódź). W związku z tym, w przypadku nieprzestrzegania poniższych zasad, zastosowanie mają odpowiednie przepisy Kodeksu Pracy.
Ilekroć w Polityce jest mowa o:
- Administratorze Danych – rozumie się przez to Golden Rose Sp. z o.o. z siedzibą w Łodzi zwaną również Spółką;
- danych osobowych (zwane w dalej „Dane”) oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
- informacjach poufnych – rozumie się przez to wszelkie informacje stanowiące tajemnicę przedsiębiorstwa lub tajemnicę handlową, własność intelektualną lub inne informacje, których ujawnienie może spowodować bezpośrednio lub pośrednio powstanie szkody w majątku lub dobrym imieniu Spółki; na informacje poufne składają się Informacje elektroniczne i Informacje papierowe;
- informacjach elektronicznych – rozumie się przez to wszelkie służbowe pliki danych elektronicznych (w szczególności pliki binarne, tekstowe, elektroniczne dokumenty) składowane na elektronicznych nośnikach danych bądź przesyłane w sieciach teleinformatycznych;
- informacjach papierowych – rozumie się przez to wszelkie służbowe dokumenty papierowe, w tym wydruki Informacji elektronicznych;
- stanowiskach komputerowych – rozumie się przez to komputery oraz inne urządzenia elektroniczne udostępnione pracownikowi przez Spółkę, na których przetwarzane są Informacje elektroniczne;
- zbiorze danych osobowych– rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
- osobie upoważnionej – członek personelu, – rozumie się przez to każdą osobę działająca na podstawie wyłącznego polecenia wydanego przez Administratora Danych w formie upoważnienia i mającą dostęp do danych osobowych. Osoba upoważniona może być osobą zatrudnioną na podstawie umowy o pracę, umowy zlecenia lub innej umowy, a także osobą odbywającą u Administratora Danych staż, praktykę, wolontariat;
- RODO (GDPR) – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
- przetwarzaniu danych osobowych– rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
- upoważnieniu – rozumianym również jako wyłączne polecenie Administratora potwierdzające nadanie uprawnień do przetwarzania danych osobowych w określonym zakresie, wykonywania operacji i dostępu do określonych danych;
- pomieszczeniach – rozumie się przez to budynki, pomieszczenia lub części pomieszczeń określone przez Administratora Danych, tworzące obszar, w którym przetwarzane są dane osobowe w systemie informatycznym oraz kartotekach;
§ 3 Cele polityki bezpieczeństwa
- Celem wdrożenia polityki bezpieczeństwa w Spółce jest uregulowanie dostępu do Informacji poufnych oraz do danych osobowych oraz zapewnienie ich ochrony.
- Polityka bezpieczeństwa dotyczy zapewnienia ochrony przetwarzania danych w następujących obszarach:
- przetwarzania danych za pośrednictwem zasobów komputerowych,
- przetwarzania danych w formie papierowej,
- składowania informacji elektronicznej i papierowej.
- Polityka bezpieczeństwa jest częścią dokumentacji dotyczącej przetwarzania danych osobowych zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
- Co najmniej raz do roku przeprowadza się przegląd Polityki bezpieczeństwa.
- Polityka bezpieczeństwa jest również elementem edukacji pracowników dotyczącej odpowiedniego zabezpieczenia stanowiska pracy i przetwarzanych danych na nośnikach papierowych oraz odpowiedzialności za udostępnione zasoby komputerowe.
- Znajomość oraz przestrzeganie obowiązujących w Spółce zasad i procedur bezpieczeństwa jest koniecznym elementem codziennej pracy.
- W przypadku, kiedy pracownik Spółki ma jakiekolwiek wątpliwości dotyczące treści niniejszego dokumentu lub inne związane z zachowaniem bezpieczeństwa danych osobowych w Spółce jest on zobowiązany do kontaktu poprzez pocztę elektroniczną z odpowiednią osobą wyznaczoną do wykonywania zadań związanych z ochroną danych osobowych, a osoba ta udzieli mu wiążącej odpowiedzi na zadane pytania w terminie nie dłuższym niż 7 dni liczonym od daty wysłania wiadomości.
- W przypadku, kiedy pracownik Spółki zauważy naruszenie zasad bezpieczeństwa obowiązujących w Spółce jest on zobowiązany:
- wysłać informacje do Prezesa Zarządu Spółki lub innego członka Zarządu Spółki drogą mailową na adres: iod@goldenrose.pl
- bez względu na komunikację mailową należy również telefonicznie lub bezpośrednio zawiadomić osobę wyznaczoną do wykonywania zadań związanych z ochroną danych osobowych albo członka zarządu o zaistniałej sytuacji.
§ 4 Obszar przetwarzania danych osobowych
- Dane osobowe przetwarzane są w przeznaczonych dla tego celu pomieszczeniach mieszczących się w siedzibie Spółki w Łodzi pod adresem ul. Lodowa 123 (93-232 Łódź) oraz zgodnie z załącznikiem nr 1, a także zgodnie z „Rejestrem podmiotów przetwarzających” Załącznik nr 4.
- „Rejestr podmiotów przetwarzających” prowadzi osoba wyznaczona do wykonywania zadań związanych z ochroną danych osobowych. Aktualizacja rejestru nie wymaga zmiany Polityki bezpieczeństwa.
- Serwisowane stacje robocze oraz nieużywane dyski zawierające dane osobowe przechowywane są w pomieszczeniu zajmowanym przez Prezesa Zarządu Spółki lub innego członka Zarządu Spółki. Pomieszczenie jest zamykane na czas nieobecności Prezesa Zarządu Spółki lub innego członka Zarządu Spółki.
- Dopuszcza się możliwość przetwarzania danych osobowych poza wymienionymi pomieszczeniami jedynie za zgodą Administratora Danych oraz przy zapewnieniu odpowiednich środków zabezpieczeń albo na podstawie odpowiednich procedur.
- Spółka prowadzi zbiory danych osobowych opisane w Załączniku nr 2 oraz dodatkowo w Załączniku nr 3 opisana jest „Struktura Zbiorów Danych Osobowych”.
- Zgodnie z wymaganiami RODO Spółka dodatkowo prowadzi „Rejestr czynności przetwarzania”, który jest opisany w Załączniku nr 5 do Polityki bezpieczeństwa.
- W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kliku warstw ochronnych. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.
3. Zastosowane zabezpieczenia gwarantują:
- poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,
- integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
- rozliczalność – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
- integralność systemu – rozumie się przez to nienaruszalność systemu, niemożność jakiejkolwiek ingerencji,
- uwierzytelnianie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
- Administrator Danych jest odpowiedzialny za przestrzeganie przepisów pkt 3. i musi być w stanie wykazać ich przestrzeganie. W związku z tym wszelkie działania potwierdzające wykonywanie powyższych środków są odpowiednio dokumentowane.
§ 6 Obowiązki w zakresie ochrony danych osobowych
Obowiązki Administratora Danych obejmują:
- Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, Administrator Danych wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i będą uaktualniane.
- Zapewnienie środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zabezpieczeniem danych przed:
- udostępnieniem osobom nieupoważnionym,
- zabraniem przez osobę nieuprawnioną,
- zmianą, utratą, uszkodzeniem lub zniszczeniem.
- Zapewnienie legalności przetwarzania danych osobowych, a w szczególności zadbanie, by:
- przetwarzanie danych osobowych odbywało się w związku z zawartymi umowami, na podstawie przepisów prawa albo za zgodą osoby, której dane dotyczą lub została spełniona inna przesłanka dopuszczająca przetwarzanie danych osobowych, o której mowa w art. 6 lub 9 RODO,
- został spełniony obowiązek informacyjny wobec osoby, której dane dotyczą w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, w szczególności jasnym i prostym językiem,
- przetwarzane odbywało się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,
- dane zbierane były wyłącznie w konkretnym, wyraźnym i prawnie uzasadnionym celu,
- dane były prawidłowe i w razie potrzeby uaktualniane oraz zakres danych był adekwatny oraz ograniczony do tego, co niezbędne do celu przetwarzania,
- dane były przechowywane formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
- zachowana była integralność i poufność danych za pomocą odpowiednich środków technicznych i organizacyjnych,
- możliwe było wykazanie przestrzegania zasad dotyczących przetwarzania danych osobowych – zasada rozliczalności.
- Zatwierdzanie dokumentacji opisującej sposób przetwarzania danych osobowych, w szczególności:
- Polityki bezpieczeństwa danych osobowych,
- albo szczegółowych instrukcji i procedur.
- Prowadzenie dla poszczególnych zbiorów „Rejestru czynności przetwarzania”, o ile spełniona jest przynajmniej jedna przesłanka wynikająca z przepisów prawa.
- Prowadzenie rejestru incydentów.
- Określenie kategorii danych oraz operacji wykonywanych na danych, które są niezbędne do realizacji zadań i obowiązków ADO.
- Dopuszczanie do przetwarzania danych wyłącznie osób upoważnionych do przetwarzania danych posiadających wyraźne polecenie do przetwarzania danych.
- Nadzorowanie i dbanie o zgodne z prawem przekazywanie danych osobowych (udostępnianie
i powierzanie). - Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych.
- Respektowanie praw osób, których dane dotyczą, a w szczególności prawa do uzyskania informacji o:
- Administratorze Danych wraz z danymi kontaktowymi, w tym dane Inspektora Ochrony Danych jeśli zostanie powołany,
- celu, zakresie i sposobie przetwarzania danych,
- okresie przez, który dane będą przetwarzane,
- zakresie oraz podstawie prawnej do przetwarzania danych,
- źródle, z którego dane pochodzą, (o ile dane pozyskiwane są nie od osoby, której dane dotyczą)
- sposobie udostępniania danych oraz ich odbiorcach,
- przysługujących uprawnieniach, w tym prawie do wniesienia skargi do organu nadzorczego,
- zautomatyzowanym podejmowaniu decyzji w tym profilowaniu jeśli taki proces ma miejsce.
- Respektowanie praw osób, których dane dotyczą w zakresie:
- żądania uzupełnienia, uaktualnienia, sprostowania danych, usunięcia lub ograniczenia przetwarzania,
- prawa do przenoszenia danych,
- wniesienia umotywowanego wniosku o zaprzestanie przetwarzania danych,
- wycofania zgody na przetwarzanie danych osobowych,
- Zawiadamiania o naruszeniach dotyczących danych osobowych.
- Powołanie Inspektora Ochrony Danych o ile taki obowiązek wynika z przepisów prawa albo Administrator Danych postanowi powołać taką osobę bez wyraźnego obowiązku wynikającego z przepisów lub też wyznaczy do wykonywania zadań związanych z ochroną danych osobowych inną osobę nie wykonującą funkcji Inspektora.
- Współpracę z organem nadzorczym zarówno w przypadku kontroli jak i wystąpienia naruszania w zakresie ochrony danych osobowych.
- Wprowadzenie procedur oceniających skutki dla ochrony danych osobowych uwzgledniających uprzednie konsultacje z organem nadzorczym.
Obowiązki osoby pełniącej funkcje Inspektora Ochrony Danych (IOD) obejmują:
- Informowanie Administratora Danych, podmioty przetwarzające oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich, z mocy RODO oraz przepisów krajowych o ochronie danych.
- Monitorowanie przestrzegania prawa i regulacji wewnętrznych przez pracowników, współpracowników oraz pomioty przetwarzające RODO.
- Udzielanie na żądanie zaleceń dla skutecznej ochrony danych, w tym metodologii przeprowadzenia oceny skutków dla ochrony danych, wskazywanie zabezpieczeń (środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą oraz monitorowanie wykonania tych zaleceń.
- Współpraca z organem nadzorczym.
- Pełnienie funkcji punktu kontaktowego dla organu nadzorczego oraz osób, których dane dotyczą w kwestiach związanych z przetwarzaniem danych osobowych.
Obowiązki personelu obejmują:
- Zapoznanie się i stosowanie obowiązujących przepisów prawa w zakresie ochrony danych osobowych.
- Zapewnienie bezpieczeństwa przetwarzania danych osobowych poprzez ich ochronę przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem.
- Informowanie przełożonych o wszelkich zauważonych nieprawidłowościach skutkujących obniżeniem poziomu ochrony danych osobowych, a w szczególności niezwłoczne zgłaszanie wszystkich potencjalnych incydentów zgodnie z obowiązującą instrukcją.
- Przestrzeganie tzw. „zasady czystego biurka” – na biurku powinny znajdować się jedynie dokumenty potrzebne do wykonania bieżącej pracy.
- Niszczenie zbędnych dokumentów papierowych oraz nośników zawierających dane osobowe.
- Dbanie o to, aby dokumenty zawierające dane osobowe były przechowywane w zamkniętych szafach lub szufladach, lub w inny sposób zabezpieczone.
- Osoba upoważniona mająca dostęp do danych osobowych zobowiązana jest dołożyć najwyższej staranności podczas składowania i przetwarzania danych tak, aby uniemożliwić lub, jak jest to możliwe, zminimalizować ryzyko dostępu do tych informacji i danych przez osoby niepowołane.
- W przypadku, gdy osoba upoważniona ma jakiekolwiek wątpliwości dotyczące procesu składowania i przetwarzania tych informacji i danych w Spółce (np. czy konkretna informacja jest Informacją poufną – tajemnicą Spółki, czy określone dane to dane osobowe), wówczas jest ona zobowiązana do kontaktu poprzez pocztę elektroniczną z Prezesem Zarządu Spółki lub innym członkiem Zarządu Spółki, który zobowiązany jest udzielić wiążącej odpowiedzi na zadane pytania.
- W przypadku informacji szczególnie istotnych dla Spółki Zarząd Spółki będzie ustalał szczegółowe instrukcje składowani dla osób przetwarzających takie informacje lub dane dodatkowe.
§ 7 Ogólne zasady bezpieczeństwa i wdrożone środki ochrony obowiązujące wszystkich pracowników
- Fizyczne ograniczenia dostępu do informacji poufnych i danych osobowych:
- wejście na teren Spółki chronione jest za pomocą elektronicznego systemu kontroli dostępu,
- pomieszczenia, w których przetwarzane są dane osobowe zabezpieczone są przed dostępem osób nieupoważnionych poprzez ograniczenie dostępu za pomocą ewidencjonowanych kluczy.
- Warunki szczególne w zakresie organizacyjnych ograniczeń dostępu dotyczące danych osobowych:
- do przetwarzania danych osobowych upoważnione są osoby, dla których przetwarzanie danych osobowych jest niezbędne do realizacji powierzonych obowiązków,
- każda osoba upoważniona do przetwarzania danych osobowych posługuje się indywidualnym loginem i hasłem. Do uzyskania dostępu do bazy danych osobowych oraz narzędzi przeznaczonych do obsługi bazy danych osobowych niezbędne jest podanie loginu i hasła,
- należy stosować środki zapewniające ochronę danych osobowych
przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, zmianą, utratą, uszkodzeniem lub zniszczeniem. W tym celu należy przestrzegać przepisy dotyczące bezpieczeństwa wynikające również z innych regulacji prawnych oraz zawartych umów. W szczególności należy przestrzegać przepisów przeciwpożarowych oraz warunków wynikających z umów ubezpieczenia, - obszar przetwarzania danych osobowych należy zabezpieczyć przed dostępem osób nieuprawnionych na czas nieobecności osób upoważnionych do przetwarzania danych w szczególności: zamykać okna po zakończeniu pracy oraz drzwi wejściowe na klucz,
- przebywanie osób nieuprawnionych w obszarze przetwarzania danych dopuszczalne jest wyłącznie w obecności osoby upoważnionej. Wszelkie odstępstwa od tej zasady możliwe są wyłącznie za uprzednią zgodą Administratora Danych, który może w takim przypadku zarządzić wprowadzenie dodatkowych środków bezpieczeństwa,
- dokumenty papierowe należy przechowywać w zamykanych szafach i szufladach, a po ustaniu ich przydatności należy je zniszczyć przy użyciu niszczarki lub przekazując firmie świadczącej usługi profesjonalnego niszczenia dokumentów,
- w Spółce bezwzględnie obowiązuje zasada czystego biurka oraz zasada poufności zbierania danych osobowych od klientów. Zabronione jest w szczególności pozostawianie wypełnionych formularzy z danymi osobowymi bez opieki albo w miejscu niezabezpieczonym przynajmniej zamkiem, a także ujawnianie jakichkolwiek danych osobowych klienta w obecności osób trzecich,
- każda osoba upoważniona ma obowiązek ochrony dostępu do informacji uwierzytelniających dostęp do bazy i programów współpracujących z bazą oraz informacji przetwarzanych na udostępnionym mu stanowisku komputerowym,
- warunki ogólne organizacyjnych ograniczeń dostępu do informacji poufnych stosuje się do danych osobowych, jeżeli nie są sprzeczne z warunkami szczególnymi dotyczącymi danych osobowych.
- Inspektor Ochrony Danych okresowo sprawdza przestrzeganie wszystkich zasad bezpieczeństwa.
-
- Warunki szczególne w zakresie operacji wykonywanych na danych osobowych:
- upoważnienie do przetwarzania danych osobowych nadawane jest z określonym zakresem uprawnień określonym osobno dla każdego zbioru danych osobowych,
- wysyłanie danych osobowych na zewnętrzne adresy e-mail może odbywać się wyłącznie w przypadku gdy stosuje się odpowiednie metody bezpieczeństwa w tym szyfrowanie lub pseudonimizacje,
- zbiory danych osobowych mogą być nagrywane na zewnętrzne nośniki jedynie w uzasadnionym przypadku wskazanym w dokumentacji zbioru danych osobowych oraz na przeznaczonej do tego celu stacji roboczej przez osobę upoważnioną,
- proces nagrywania danych osobowych na nośniki zewnętrzne jest każdorazowo rejestrowany,
- dane osobowe nagrywane na zewnętrzne nośniki powinny być zabezpieczone hasłem z adnotacją celu nagrania danych osobowych oraz zaszyfrowane w celu wyeliminowania możliwości dostępu osób nieupoważnionych,
- monitory komputerów powinny być ustawione w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane,
- dyski komputerów przenośnych lub nośniki zewnętrzne z danymi osobowymi powinny być przechowywane w zamkniętej szafie, do której dostęp mają osoby upoważnione,
- na życzenie osoby zainteresowanej dane osobowe mogą być udostępniane, zmieniane lub usuwane przez osoby upoważnione,
- dane osobowe usuwa się niezwłocznie po ustaniu ich użyteczności albo ogranicza się ich przetwarzanie na wniosek osoby, której dane dotyczą,
- przetwarzanie danych osobowych na nośnikach przenośnych odbywa się wyłącznie z użyciem oprogramowania szyfrującego,
- okresowo wykonywane są kopie bezpieczeństwa. Zasady wykonywania kopii bezpieczeństwa ustala się indywidualnie dla każdego systemu w taki sposób aby zapewnić ciągłość działania i jak najszybsze przywrócenie systemu po awarii.
- Środki organizacyjne zastosowane w celu ochrony danych osobowych:
- dane osobowe przetwarzane poza systemem informatycznym to Informacje papierowe zawierające dane osobowe,
- wszelkie Informacje papierowe, które osoba upoważniona składuje i przetwarza mają być składowane na jego stanowisku pracy (biurko, szafa), a w przypadku, gdy
w pomieszczeniu osoby upoważnionej są dostępne zamykane szafy lub sejfy – w tych szafach lub sejfach. Każdorazowo podczas nieobecności osoby upoważnionej na stanowisku pracy informacje papierowe powinny być przechowywane w miejscu niedostępnym dla osób nieupoważnionych i innych osób (zamykane szafki, szuflady), - wynoszenie jakichkolwiek Informacji papierowych z siedziby Spółki w innych celach niż konieczność wykonania pracy poza biurem lub konieczność użycia ich w kontaktach z klientem jest zabronione. W przypadkach, o których mowa w zdaniu poprzednim po przetworzeniu informacji papierowych dokumenty te muszą niezwłocznie być przyniesione z powrotem do siedziby Spółki bądź zniszczone,
- nośniki papierowe zawierające Informacje poufne lub dane osobowe powinny być tworzone tylko, jeśli jest to niezbędne i wskazane w dokumentacji zbioru danych osobowych. W innym przypadku drukowanie Informacji poufnych i danych osobowych powinno być zaakceptowane przez przełożonego na wniosek osoby upoważnionej,
- dokumentacja (zbiór wydruków przechowywanych w celu archiwizacji) zawierająca Informacje poufne i dane osobowe powinna być przechowywana w miejscu dostępnym tylko dla osób upoważnionych,
- wydruki, które zostały już wykorzystane lub okazały się zbędne powinny być niszczone
w dostępnej dla pracowników upoważnionych niszczarce do dokumentów.
- Elementy technicznej ochrony Informacji poufnych w systemie informatycznym:
- zarówno stacje robocze pracowników Spółki powinny być chronione przed działaniem złośliwego oprogramowania (wirusy, trojany),
- stacje robocze pracowników Spółki powinny być chronione przed nieupoważnionym dostępem przez system haseł,
- ruch przychodzący/wychodzący z sieci Spółki kontrolowany jest przez firewall uruchomiony na routerze. Publiczne usługi (jak np. poczta, www) są dostępne dla połączeń zewnętrznych bez żadnych ograniczeń. Dostęp do usług wewnętrznych z zewnętrznych lokalizacji jest limitowany do określonych adresów IP (kod sesji).
- pracownik Spółki zobowiązany jest używać indywidualnego hasła dostępu do udostępnionych mu stanowisk komputerowych i zasobów komputerowych. Hasło należy zmieniać co najmniej co trzydzieści dni. Login i hasło jest przypisane indywidualnie każdemu pracownikowi Spółki (nawet w przypadku, gdy z jednego zasobu komputerowego korzysta jeden pracownik), który jest odpowiedzialny za przedsięwzięcie wszystkich możliwych kroków, aby indywidualnie przydzielone hasło nie zostało ujawnione innym osobom,
- Spółka konfiguruje ustawienia komputerów w taki sposób aby na stanowiskach komputerowych udostępnionych pracownikowi Spółki był aktywny wygaszasz ekranu z blokadą dostępu chronioną indywidualnym hasłem do komputera. Przed każdorazowym opuszczeniem stanowiska pracy pracownik Spółki zobowiązany zablokować komputer, a przed wyjściem z biura całkowicie wyłączyć udostępnione stanowiska komputerowe i wylogować się z udostępnionych zasobów komputerowych (chyba, że przeszkadzałoby to w prawidłowym działaniu innych systemów informatycznych lub kontynuowaniu niezbędnych procesów obliczeniowych),
- pracownik Spółki może korzystać z poczty Spółki łącząc się do serwera spoza lokalnej sieci komputerowej (np. z domu), o ile korzysta z szyfrowanego połączenia https lub ssh, ssl i wykorzystuje swój indywidualny login i hasło dostępu do konta pocztowego lub korzysta z kluczy ssh lub haseł jednorazowych,
- w celach związanych z wykonywaniem obowiązków służbowych pracownik Spółki może wynosić z pomieszczeń Spółki przenośne zasoby komputerowe (przenośne komputery, dyskietki, dyski CD i DVD, pamięci flash, itp.), o ile uzyskał na to zgodę oraz dostęp do przechowywanych na nich informacji jest zabezpieczony indywidualnym loginem i hasłem (lub samym hasłem o ile nie można zabezpieczyć loginem i hasłem).
- Warunki szczególne w zakresie elementów technicznej ochrony danych osobowych w systemie informatycznym:
- w zależności od zbioru danych osobowych, do którego uzyskiwany jest dostęp, taki dostęp może następować za pomocą aplikacji obsługującej te zbiory jedynie z wyznaczonych stacji roboczych (z określonego adresu IP) lub z dowolnej stacji roboczej należącej do Spółki (szczegóły w dokumentacji poszczególnych zbiorów),
- informacje uwierzytelniające (nazwa użytkownika i hasło) dostęp do bazy i aplikacji przesyłane są protokołem https (szyfrowanie ssl),
- osoba upoważniona jest zobowiązana do zmiany haseł dostępu do bazy i narzędzi co 30 dni. Zmiana hasła jest wymuszana przez system tzn. po upływie 30 dni ważność hasła wygasa i nie ma możliwości zalogowania się w systemie bez podania nowego hasła,
- dane osobowe przesyłane z sieci publicznej przesyłane są protokołem https (szyfrowanie ssl),
- dane osobowe mogą być przechowywane na komputerach przenośnych jedynie w formie zaszyfrowanej i zabezpieczonej hasłem.