Polityka Bezpieczeństwa Golden Rose Sp. z o.o.

§ 1. Wstęp

  1. Zasady bezpieczeństwa opisane w niniejszym dokumencie (zwanym dalej „Polityką bezpieczeństwa) należy traktować jako element porządku pracy ustalonego w spółce GOLDEN ROSE Sp. z o.o. z siedzibą w Łodzi przy ulicy Lodowej 126A (93-232 Łódź). W związku z tym, w przypadku nieprzestrzegania poniższych zasad, zastosowanie mają odpowiednie przepisy Kodeksu Pracy.

§ 2 Definicje

Ilekroć w Polityce jest mowa o:

  1. Administratorze Danych – rozumie się przez to Golden Rose Sp. z o.o. z siedzibą w Łodzi zwaną również Spółką;
  2. danych osobowych (zwane w dalej „Dane”) oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  3. informacjach poufnych – rozumie się przez to wszelkie informacje stanowiące tajemnicę przedsiębiorstwa lub tajemnicę handlową, własność intelektualną lub inne informacje, których ujawnienie może spowodować bezpośrednio lub pośrednio powstanie szkody w majątku lub dobrym imieniu Spółki; na informacje poufne składają się Informacje elektroniczne i Informacje papierowe;
  4. informacjach elektronicznych – rozumie się przez to wszelkie służbowe pliki danych elektronicznych (w szczególności pliki binarne, tekstowe, elektroniczne dokumenty) składowane na elektronicznych nośnikach danych bądź przesyłane w sieciach teleinformatycznych;
  5. informacjach papierowych – rozumie się przez to wszelkie służbowe dokumenty papierowe, w tym wydruki Informacji elektronicznych;
  6. stanowiskach komputerowych – rozumie się przez to komputery oraz inne urządzenia elektroniczne udostępnione pracownikowi przez Spółkę, na których przetwarzane są Informacje elektroniczne;
  7. zbiorze danych osobowych– rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
  8. osobie upoważnionej – członek personelu, – rozumie się przez to każdą osobę działająca na podstawie wyłącznego polecenia wydanego przez Administratora Danych w formie upoważnienia i mającą dostęp do danych osobowych. Osoba upoważniona może być osobą zatrudnioną na podstawie umowy o pracę, umowy zlecenia lub innej umowy, a także osobą odbywającą u Administratora Danych staż, praktykę, wolontariat;
  9. RODO (GDPR)  – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  10. przetwarzaniu danych osobowych– rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
  11. upoważnieniu – rozumianym również jako wyłączne polecenie Administratora potwierdzające nadanie uprawnień do przetwarzania danych osobowych w określonym zakresie, wykonywania operacji i dostępu do określonych danych;
  12. pomieszczeniach – rozumie się przez to budynki, pomieszczenia lub części pomieszczeń określone przez Administratora Danych, tworzące obszar, w którym przetwarzane są dane osobowe w systemie informatycznym oraz kartotekach;

 

 

 

§ 3 Cele polityki bezpieczeństwa

  1. Celem wdrożenia polityki bezpieczeństwa w Spółce jest uregulowanie dostępu do Informacji poufnych oraz do danych osobowych oraz zapewnienie ich ochrony.
  2. Polityka bezpieczeństwa dotyczy zapewnienia ochrony przetwarzania danych w następujących obszarach:
  1. przetwarzania danych za pośrednictwem zasobów komputerowych,
  2. przetwarzania danych w formie papierowej,
  3. składowania informacji elektronicznej i papierowej.
    1. Polityka bezpieczeństwa jest częścią dokumentacji dotyczącej przetwarzania danych osobowych zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w  sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
    2. Co najmniej raz do roku przeprowadza się przegląd Polityki bezpieczeństwa.
    3. Polityka bezpieczeństwa jest również elementem edukacji pracowników dotyczącej odpowiedniego zabezpieczenia stanowiska pracy i przetwarzanych danych na nośnikach papierowych oraz odpowiedzialności za udostępnione zasoby komputerowe.
    4. Znajomość oraz przestrzeganie obowiązujących w Spółce zasad i procedur bezpieczeństwa jest koniecznym elementem codziennej pracy.
    5. W przypadku, kiedy pracownik Spółki ma jakiekolwiek wątpliwości dotyczące treści niniejszego dokumentu  lub inne związane z zachowaniem bezpieczeństwa danych osobowych w Spółce jest on zobowiązany do kontaktu poprzez pocztę elektroniczną z odpowiednią osobą wyznaczoną do wykonywania zadań związanych z ochroną danych osobowych, a  osoba ta udzieli mu wiążącej odpowiedzi na zadane pytania w terminie nie dłuższym niż 7 dni liczonym od daty wysłania wiadomości.
    6. W przypadku, kiedy pracownik Spółki zauważy naruszenie zasad bezpieczeństwa obowiązujących w Spółce jest on zobowiązany:
  1. wysłać informacje do Prezesa Zarządu Spółki lub innego członka Zarządu Spółki drogą mailową na adres: iod@goldenrose.pl
  2. bez względu na komunikację mailową należy również telefonicznie lub bezpośrednio zawiadomić osobę wyznaczoną do wykonywania zadań związanych z ochroną danych osobowych albo członka zarządu o zaistniałej sytuacji.

§ 4 Obszar przetwarzania danych osobowych

  1. Dane osobowe przetwarzane są w przeznaczonych dla tego celu pomieszczeniach mieszczących się w siedzibie Spółki w Łodzi pod adresem ul. Lodowa 123 (93-232 Łódź) oraz zgodnie z załącznikiem nr 1, a także zgodnie z „Rejestrem podmiotów przetwarzających” Załącznik nr 4.
  2. „Rejestr podmiotów przetwarzających” prowadzi osoba wyznaczona do wykonywania zadań związanych z ochroną danych osobowych. Aktualizacja rejestru nie wymaga zmiany Polityki bezpieczeństwa.
  3. Serwisowane stacje robocze oraz nieużywane dyski zawierające dane osobowe przechowywane są w pomieszczeniu zajmowanym przez Prezesa Zarządu Spółki lub innego członka Zarządu Spółki. Pomieszczenie jest zamykane na czas nieobecności Prezesa Zarządu Spółki lub innego członka Zarządu Spółki.
  4. Dopuszcza się możliwość przetwarzania danych osobowych poza wymienionymi pomieszczeniami jedynie za zgodą Administratora Danych oraz przy zapewnieniu odpowiednich środków zabezpieczeń albo na podstawie odpowiednich procedur.

§ 5  Rejestry przetwarzania

  1. Spółka prowadzi zbiory danych osobowych opisane w Załączniku nr 2 oraz  dodatkowo w Załączniku nr 3 opisana jest „Struktura Zbiorów Danych Osobowych”.
  2. Zgodnie z wymaganiami RODO Spółka dodatkowo prowadzi „Rejestr czynności  przetwarzania”, który jest opisany w Załączniku nr 5 do Polityki bezpieczeństwa.
  3. W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kliku warstw ochronnych. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.

3.  Zastosowane zabezpieczenia gwarantują:

  1. poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,
  2. integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
  3. rozliczalność – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
  4. integralność systemu – rozumie się przez to nienaruszalność systemu, niemożność jakiejkolwiek ingerencji,
  5. uwierzytelnianie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
  1. Administrator Danych jest odpowiedzialny za przestrzeganie przepisów  pkt 3. i musi być w stanie wykazać ich przestrzeganie. W związku z tym wszelkie działania potwierdzające wykonywanie powyższych środków są odpowiednio dokumentowane.

§ 6  Obowiązki w zakresie ochrony danych osobowych

Obowiązki Administratora Danych obejmują:

  1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, Administrator Danych wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i będą uaktualniane.
  2. Zapewnienie środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zabezpieczeniem danych przed:
    1. udostępnieniem osobom nieupoważnionym,
    2. zabraniem przez osobę nieuprawnioną,
    3. zmianą, utratą, uszkodzeniem lub zniszczeniem.
  3. Zapewnienie legalności przetwarzania danych osobowych, a w szczególności zadbanie, by:
    1. przetwarzanie danych osobowych odbywało się w związku z zawartymi umowami, na podstawie przepisów prawa albo za zgodą osoby, której dane dotyczą lub została spełniona inna przesłanka dopuszczająca przetwarzanie danych osobowych, o której mowa w art. 6 lub 9 RODO,
    2. został spełniony obowiązek informacyjny wobec osoby, której dane dotyczą w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, w szczególności jasnym i prostym językiem,
    3. przetwarzane odbywało się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,
    4. dane zbierane były wyłącznie w konkretnym, wyraźnym i prawnie uzasadnionym celu,
    5. dane były prawidłowe i w razie potrzeby uaktualniane oraz zakres danych był adekwatny oraz ograniczony do tego, co niezbędne do  celu przetwarzania,
    6. dane były przechowywane formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
    7. zachowana była integralność i poufność danych za pomocą odpowiednich środków technicznych i organizacyjnych,
    8. możliwe było wykazanie przestrzegania zasad dotyczących przetwarzania danych osobowych – zasada rozliczalności.
  4. Zatwierdzanie dokumentacji opisującej sposób przetwarzania danych osobowych, w szczególności:
    1. Polityki bezpieczeństwa danych osobowych,
    2. albo szczegółowych instrukcji i procedur.
  5. Prowadzenie dla poszczególnych zbiorów „Rejestru czynności przetwarzania”, o ile spełniona jest przynajmniej jedna przesłanka wynikająca z przepisów prawa.
  6. Prowadzenie rejestru incydentów.
  7. Określenie kategorii danych oraz operacji wykonywanych na danych, które są niezbędne do realizacji zadań i obowiązków ADO.
  8. Dopuszczanie do przetwarzania danych wyłącznie osób upoważnionych do przetwarzania danych posiadających wyraźne polecenie do przetwarzania danych.
  9. Nadzorowanie i dbanie o zgodne z prawem przekazywanie danych osobowych (udostępnianie
    i powierzanie).
  10. Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych.
  11. Respektowanie praw osób, których dane dotyczą, a w szczególności prawa do uzyskania informacji o:
    1. Administratorze Danych wraz z danymi kontaktowymi, w tym dane Inspektora Ochrony Danych jeśli zostanie powołany,
    2. celu, zakresie i sposobie przetwarzania danych,
    3. okresie przez, który dane będą  przetwarzane,
    4. zakresie oraz podstawie prawnej  do przetwarzania danych,
    5. źródle, z którego dane pochodzą, (o ile dane pozyskiwane są nie od osoby, której dane dotyczą)
    6. sposobie udostępniania danych oraz ich odbiorcach,
    7. przysługujących uprawnieniach, w tym prawie do wniesienia skargi do organu nadzorczego,
    8. zautomatyzowanym podejmowaniu decyzji w tym profilowaniu jeśli taki proces ma miejsce.
  12. Respektowanie praw osób, których dane dotyczą w zakresie:
    1. żądania uzupełnienia, uaktualnienia, sprostowania danych, usunięcia lub ograniczenia przetwarzania,
    2. prawa do przenoszenia danych,
    3. wniesienia umotywowanego wniosku o zaprzestanie przetwarzania danych,
    4. wycofania zgody na przetwarzanie danych osobowych,
  13. Zawiadamiania o naruszeniach dotyczących danych osobowych.
  14. Powołanie Inspektora Ochrony Danych o ile taki obowiązek wynika z przepisów prawa albo Administrator Danych postanowi powołać taką osobę bez wyraźnego obowiązku wynikającego z  przepisów lub też wyznaczy do wykonywania zadań związanych z ochroną danych osobowych inną osobę nie wykonującą funkcji Inspektora.
  15. Współpracę z organem nadzorczym zarówno w przypadku kontroli jak i wystąpienia naruszania w zakresie ochrony danych osobowych.
  16. Wprowadzenie procedur oceniających skutki dla ochrony danych osobowych uwzgledniających uprzednie konsultacje z organem nadzorczym.

Obowiązki osoby pełniącej funkcje Inspektora Ochrony Danych (IOD) obejmują:

  1. Informowanie Administratora Danych, podmioty przetwarzające oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich, z mocy RODO oraz przepisów krajowych o ochronie danych.
  2. Monitorowanie przestrzegania prawa i regulacji wewnętrznych przez pracowników, współpracowników oraz pomioty przetwarzające RODO.
  3.  Udzielanie na żądanie zaleceń dla skutecznej ochrony danych, w tym metodologii przeprowadzenia oceny skutków dla ochrony danych, wskazywanie zabezpieczeń (środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą oraz monitorowanie wykonania tych zaleceń.
  4. Współpraca z organem nadzorczym.
  5. Pełnienie funkcji punktu kontaktowego dla organu nadzorczego oraz osób, których dane dotyczą w kwestiach związanych z przetwarzaniem danych osobowych.

Obowiązki personelu obejmują:

  1. Zapoznanie się i stosowanie obowiązujących przepisów prawa w zakresie ochrony danych osobowych.
  2. Zapewnienie bezpieczeństwa przetwarzania danych osobowych poprzez ich ochronę przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem.
  3. Informowanie przełożonych o wszelkich zauważonych nieprawidłowościach skutkujących obniżeniem poziomu ochrony danych osobowych, a w szczególności niezwłoczne zgłaszanie wszystkich potencjalnych incydentów zgodnie z obowiązującą instrukcją.
  4. Przestrzeganie tzw. „zasady czystego biurka” – na biurku powinny znajdować się jedynie dokumenty potrzebne do wykonania bieżącej pracy.
  5. Niszczenie zbędnych dokumentów papierowych oraz nośników zawierających dane osobowe.
  6. Dbanie o to, aby dokumenty zawierające dane osobowe były przechowywane w zamkniętych szafach lub szufladach, lub w inny sposób zabezpieczone.
  7. Osoba upoważniona mająca dostęp do danych osobowych zobowiązana jest dołożyć najwyższej staranności podczas składowania i przetwarzania danych tak, aby uniemożliwić lub, jak jest to możliwe, zminimalizować ryzyko dostępu do tych informacji i danych przez osoby niepowołane.
  8. W przypadku, gdy osoba upoważniona ma jakiekolwiek wątpliwości dotyczące procesu składowania i przetwarzania tych informacji i danych w Spółce (np. czy konkretna informacja jest Informacją poufną – tajemnicą Spółki, czy określone dane to dane osobowe), wówczas jest ona zobowiązana do kontaktu poprzez pocztę elektroniczną z Prezesem Zarządu Spółki lub innym członkiem Zarządu Spółki,  który zobowiązany jest udzielić wiążącej odpowiedzi na zadane pytania.
  9. W przypadku informacji szczególnie istotnych dla Spółki Zarząd Spółki będzie ustalał szczegółowe instrukcje składowani dla osób przetwarzających takie informacje lub dane dodatkowe.

§ 7  Ogólne zasady bezpieczeństwa i wdrożone środki ochrony obowiązujące wszystkich pracowników

  1. Fizyczne ograniczenia dostępu do informacji poufnych i danych osobowych:
  1. wejście na teren Spółki chronione jest za pomocą elektronicznego systemu kontroli dostępu,
  2. pomieszczenia, w których przetwarzane są dane osobowe zabezpieczone są przed dostępem osób nieupoważnionych poprzez ograniczenie dostępu za pomocą ewidencjonowanych kluczy.

 

  1. Warunki szczególne w zakresie organizacyjnych ograniczeń dostępu dotyczące danych osobowych:
  2. do przetwarzania danych osobowych upoważnione są osoby, dla których przetwarzanie danych osobowych jest niezbędne do realizacji powierzonych obowiązków,
  3. każda osoba upoważniona do przetwarzania danych osobowych posługuje się indywidualnym loginem i hasłem. Do uzyskania dostępu do bazy danych osobowych oraz narzędzi przeznaczonych do obsługi bazy danych osobowych niezbędne jest podanie loginu i hasła,
  4. należy stosować środki zapewniające ochronę danych osobowych
    przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, zmianą, utratą, uszkodzeniem lub zniszczeniem. W tym celu należy przestrzegać przepisy dotyczące bezpieczeństwa wynikające również z innych regulacji prawnych oraz zawartych umów. W szczególności należy przestrzegać przepisów przeciwpożarowych oraz warunków wynikających z umów ubezpieczenia,
  5. obszar przetwarzania danych osobowych należy zabezpieczyć przed dostępem osób nieuprawnionych na czas nieobecności osób upoważnionych do przetwarzania danych w szczególności: zamykać okna po zakończeniu pracy oraz drzwi wejściowe na klucz,
  6. przebywanie osób nieuprawnionych w obszarze przetwarzania danych dopuszczalne jest wyłącznie w obecności osoby upoważnionej. Wszelkie odstępstwa od tej zasady możliwe są wyłącznie za uprzednią zgodą Administratora Danych, który może w takim przypadku zarządzić wprowadzenie dodatkowych środków bezpieczeństwa,
  7. dokumenty papierowe należy przechowywać w zamykanych szafach i szufladach, a po ustaniu ich przydatności należy je zniszczyć przy użyciu niszczarki lub przekazując firmie świadczącej usługi  profesjonalnego niszczenia dokumentów,
  8. w Spółce bezwzględnie obowiązuje zasada czystego biurka oraz zasada poufności zbierania danych osobowych od klientów. Zabronione jest w szczególności pozostawianie wypełnionych formularzy z danymi osobowymi bez opieki albo w miejscu niezabezpieczonym przynajmniej zamkiem, a także ujawnianie jakichkolwiek danych osobowych klienta w obecności osób trzecich,
  9. każda osoba upoważniona ma obowiązek ochrony dostępu do informacji uwierzytelniających dostęp do bazy i programów współpracujących z bazą oraz informacji przetwarzanych na udostępnionym mu stanowisku komputerowym,
  10. warunki ogólne organizacyjnych ograniczeń dostępu do informacji poufnych stosuje się do danych osobowych, jeżeli nie są sprzeczne z warunkami szczególnymi dotyczącymi danych osobowych.
  11. Inspektor Ochrony Danych okresowo sprawdza przestrzeganie wszystkich zasad bezpieczeństwa.
    1. Warunki szczególne w zakresie operacji wykonywanych na danych osobowych:          
  12. upoważnienie do przetwarzania danych osobowych nadawane jest z określonym zakresem uprawnień określonym osobno dla każdego zbioru danych osobowych,
  13. wysyłanie danych osobowych na zewnętrzne adresy e-mail może odbywać się wyłącznie w przypadku gdy stosuje się odpowiednie metody bezpieczeństwa w tym szyfrowanie lub pseudonimizacje,
  14. zbiory danych osobowych mogą być nagrywane na zewnętrzne nośniki jedynie w uzasadnionym przypadku wskazanym w dokumentacji zbioru danych osobowych oraz na przeznaczonej do tego celu stacji roboczej przez osobę upoważnioną,
  15. proces nagrywania danych osobowych na nośniki zewnętrzne jest każdorazowo rejestrowany,
  16. dane osobowe nagrywane na zewnętrzne nośniki powinny być zabezpieczone hasłem z adnotacją celu nagrania danych osobowych oraz zaszyfrowane w celu wyeliminowania możliwości dostępu osób nieupoważnionych,
  17. monitory komputerów powinny być ustawione w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane,
  18. dyski komputerów przenośnych lub nośniki zewnętrzne z danymi osobowymi powinny być przechowywane w zamkniętej szafie, do której dostęp mają osoby upoważnione,
  19. na życzenie osoby zainteresowanej dane osobowe mogą być udostępniane, zmieniane lub usuwane przez osoby upoważnione,
  20. dane osobowe usuwa się niezwłocznie po ustaniu ich użyteczności albo ogranicza się ich przetwarzanie na wniosek osoby, której dane dotyczą,
  21. przetwarzanie danych osobowych na nośnikach przenośnych odbywa się wyłącznie z użyciem oprogramowania szyfrującego,
  22. okresowo wykonywane są kopie bezpieczeństwa. Zasady wykonywania kopii bezpieczeństwa ustala się indywidualnie dla każdego systemu w taki sposób aby zapewnić ciągłość działania i jak najszybsze przywrócenie systemu po awarii.

 

  1. Środki organizacyjne zastosowane w celu ochrony danych osobowych:
  1. dane osobowe przetwarzane poza systemem informatycznym to Informacje papierowe zawierające dane osobowe,
  2. wszelkie Informacje papierowe, które osoba upoważniona składuje i przetwarza mają być składowane na jego stanowisku pracy (biurko, szafa), a w przypadku, gdy
    w pomieszczeniu osoby upoważnionej są dostępne zamykane szafy lub sejfy – w tych szafach lub sejfach. Każdorazowo podczas nieobecności osoby upoważnionej na stanowisku pracy informacje papierowe powinny być przechowywane w miejscu niedostępnym dla osób nieupoważnionych i innych osób (zamykane szafki, szuflady),
  3. wynoszenie jakichkolwiek Informacji papierowych z siedziby Spółki w innych celach niż konieczność wykonania pracy poza biurem lub konieczność użycia ich w kontaktach z klientem jest zabronione. W przypadkach, o których mowa w zdaniu poprzednim po przetworzeniu informacji papierowych dokumenty te muszą niezwłocznie być przyniesione z powrotem do siedziby Spółki bądź zniszczone,
  4. nośniki papierowe zawierające Informacje poufne lub dane osobowe powinny być tworzone tylko, jeśli jest to niezbędne i wskazane w dokumentacji zbioru danych osobowych. W innym przypadku drukowanie Informacji poufnych i danych osobowych powinno być zaakceptowane przez przełożonego na wniosek osoby upoważnionej,
  5. dokumentacja (zbiór wydruków przechowywanych w celu archiwizacji) zawierająca Informacje poufne i dane osobowe powinna być przechowywana w miejscu dostępnym tylko dla osób upoważnionych,
  6. wydruki, które zostały już wykorzystane lub okazały się zbędne powinny być niszczone
    w dostępnej dla pracowników upoważnionych niszczarce do dokumentów.

 

  1. Elementy technicznej ochrony Informacji poufnych w systemie informatycznym:
  1. zarówno stacje robocze pracowników Spółki powinny być chronione przed działaniem złośliwego oprogramowania (wirusy, trojany),
  2. stacje robocze pracowników Spółki powinny być chronione przed nieupoważnionym dostępem przez system haseł,
  3. ruch przychodzący/wychodzący z sieci Spółki kontrolowany jest przez firewall uruchomiony na routerze. Publiczne usługi (jak np. poczta, www) są dostępne dla połączeń zewnętrznych bez żadnych ograniczeń. Dostęp do usług wewnętrznych z zewnętrznych lokalizacji jest limitowany do określonych adresów IP (kod sesji).
  4. pracownik Spółki zobowiązany jest używać indywidualnego hasła dostępu do udostępnionych mu stanowisk komputerowych i zasobów komputerowych. Hasło należy zmieniać co najmniej co trzydzieści dni. Login i hasło jest przypisane indywidualnie każdemu pracownikowi Spółki (nawet w przypadku, gdy z jednego zasobu komputerowego korzysta jeden pracownik), który jest odpowiedzialny za przedsięwzięcie wszystkich możliwych kroków, aby indywidualnie przydzielone hasło nie zostało ujawnione innym osobom,
  5. Spółka konfiguruje ustawienia komputerów w taki sposób aby na stanowiskach komputerowych udostępnionych pracownikowi Spółki był aktywny wygaszasz ekranu z blokadą dostępu chronioną indywidualnym hasłem do komputera. Przed każdorazowym opuszczeniem stanowiska pracy pracownik Spółki zobowiązany zablokować komputer, a przed wyjściem z biura całkowicie wyłączyć udostępnione stanowiska komputerowe i wylogować się z udostępnionych zasobów komputerowych (chyba, że przeszkadzałoby to w prawidłowym działaniu innych systemów informatycznych lub kontynuowaniu niezbędnych procesów obliczeniowych),
  6. pracownik Spółki może korzystać z poczty Spółki łącząc się do serwera spoza lokalnej sieci komputerowej (np. z domu), o ile korzysta z szyfrowanego połączenia https lub ssh, ssl i wykorzystuje swój indywidualny login i hasło dostępu do konta pocztowego lub korzysta z kluczy ssh lub haseł jednorazowych,
  7. w celach związanych z wykonywaniem obowiązków służbowych pracownik Spółki może wynosić z pomieszczeń Spółki przenośne zasoby komputerowe (przenośne komputery, dyskietki, dyski CD i DVD, pamięci flash, itp.), o ile uzyskał na to zgodę oraz dostęp do przechowywanych na nich informacji jest zabezpieczony indywidualnym loginem i hasłem (lub samym hasłem o ile nie można zabezpieczyć loginem i hasłem).

 

  1. Warunki szczególne w zakresie elementów technicznej ochrony danych osobowych w systemie informatycznym:
  1. w zależności od zbioru danych osobowych, do którego uzyskiwany jest dostęp, taki dostęp może następować za pomocą aplikacji obsługującej te zbiory jedynie z wyznaczonych stacji roboczych (z określonego adresu IP) lub z dowolnej stacji roboczej należącej do Spółki (szczegóły w dokumentacji poszczególnych zbiorów),
  2. informacje uwierzytelniające (nazwa użytkownika i hasło) dostęp do bazy i aplikacji przesyłane są protokołem https (szyfrowanie ssl),
  3. osoba upoważniona jest zobowiązana do zmiany haseł dostępu do bazy i narzędzi co 30 dni. Zmiana hasła jest wymuszana przez system tzn. po upływie 30 dni ważność hasła wygasa i nie ma możliwości zalogowania się w systemie bez podania nowego hasła,
  4. dane osobowe  przesyłane z sieci publicznej przesyłane są protokołem  https  (szyfrowanie ssl),
  5. dane osobowe mogą być przechowywane na komputerach przenośnych jedynie w formie zaszyfrowanej i zabezpieczonej hasłem.