POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
English Direct - Rafał Szypulski
Z A T W I E R D Z A M
Rafał Szypulski
15 maja 2018
Spis treści
Postanowienia ogólne 3
Deklaracja i zastosowanie 3
Definicje 4
Zasady ochrony danych osobowych 6
Zakres zastosowania 8
Opis zdarzeń naruszających ochronę danych 9
Przedsięwzięcia zabezpieczające przed naruszeniem ochrony danych osobowych 11
Dostęp do informacji i danych osobowych 13
Prawo tajemnicy przedsiębiorstwa 15
Postępowanie w przypadku zgłoszenia wniosku od osoby, której dane są przetwarzane 17
Postępowanie w przypadku naruszenia ochrony danych 19
Grupy informacji podlegające ochronie 21
Bezpieczeństwo osobowe 22
Bezpieczeństwo teleinformatyczne 25
Postanowienia końcowe 27
Postanowienia ogólne
Deklaracja i zastosowanie
1. Pan Rafał Szypulski, prowadzący działalność pod firmą English Direct Rafał Szypulski (dalej „Administrator”) – jako Administrator danych - ma świadomość znaczenia przetwarzanych informacji dla realizacji swoich celów gospodarczych i potrzeby ochrony informacji, ze szczególnym uwzględnieniem ochrony danych osobowych, poprzez budowę systemu zarządzania bezpieczeństwem informacji.
2. Niniejszy dokument (dalej „Polityka”) określa zasady bezpieczeństwa przetwarzania danych osobowych jakie powinny być przestrzegane i stosowane u Administratora, przez pracowników i współpracowników, którzy przetwarzają dane osobowe.
3. Procedury i dokumenty związane z Polityką będą weryfikowane i dostosowywane w celu zapewnienia odpowiedniego poziomu bezpieczeństwa. Przeglądy dokumentacji odbywają się nie rzadziej niż raz w roku.
4. Polityka określa środki techniczne i organizacyjne zastosowane przez Administratora dla zapewnienia ochrony danych oraz tryb postępowania w przypadku stwierdzenia naruszenia zabezpieczenia danych albo w sytuacji podejrzenia o takim naruszeniu.
5. Polityka została opracowana z uwzględnieniem metod i środków ochrony danych, których skuteczność w czasie ich zastosowania jest powszechnie uznawana. Za priorytet uznano zagwarantowanie zgromadzonym danym osobowym, przez cały okres ich przetwarzania charakteru poufnego wraz z zachowaniem ich integralności i rozliczalności, ze szczególnym uwzględnieniem obowiązujących przepisów prawa dotyczących ochrony danych osobowych.
6. Zakres obowiązywania dokumentu.
6.1. Niniejsza Polityka obowiązuje wszystkich pracowników, współpracowników, a także partnerów handlowych Administratora.
6.2. Każdy z pracowników ma obowiązek zapoznania si¬ę z treścią Polityki.
6.3. Polityka dotyczy wyposażenia, systemów, urządzeń przetwarzających informacje w formie elektronicznej, papierowej lub jakiejkolwiek innej.
6.4. Nieprzestrzeganie postanowień zawartych w dokumentacji bezpieczeństwa informacji może skutkować sankcjami w pełnym zakresie dopuszczonym przez stosunek pracy pomiędzy Administratorem a pracownikiem oraz obowiązujące przepisy prawa.
6.5. W celu skutecznego zapoznania pracowników i współpracowników z zasadami zawartymi w niniejszej Polityce wprowadza się zestaw reguł stanowiący wyciąg najistotniejszych zapisów zawartych w Polityce.
Definicje
Ilekroć w Polityce jest mowa o:
1. Administratorze danych - rozumie się przez to Pana Rafała Szypulskiego, prowadzącego działalność pod firmą English Direct Rafał Szypulski.
2. Specjaliście ds. ochrony danych osobowych (dalej „Specjalista”) – o ile został powołany, rozumie się przez to osobę nadzorującą przestrzeganie zasad ochrony przetwarzanych danych osobowych i innych informacji prawem chronionych. Nadzoruje on stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów oraz zmianą, utratą, uszkodzeniem, lub zniszczeniem, a także przeprowadzi kontrole w zakresie określonym regulacjami wewnętrznymi Administratora danych.
3. Administratorze Systemu Informatycznego – o ile został powołany, rozumie się przez to osobę nadzorującą prawidłowe funkcjonowanie sprzętu, oprogramowania i jego konserwację, odpowiadającą za koordynowanie techniczno-organizacyjnej obsługi systemów teleinformatycznych, zwanego dalej „Informatykiem” lub „ASI”.
4. Aktywach – wszystko co ma wartość dla organizacji (wartość materialna: np. pracownicy. komputery. bazy danych itp.; wartość niematerialna: dobre imię¬, rozpoznawalność i wizerunek organizacji itp.).
5. Zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
6. Kartotece – rozumie się przez to zewidencjonowany, usystematyzowany zbiór wykazów, skoroszytów, wydruków komputerowych i innej dokumentacji gromadzonej w formie papierowej, zawierającej dane osobowe.
7. Przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
8. Systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
9. Bezpieczeństwie danych - zachowanie poufności, integralności i dost¬ępności informacji; dodatkowo, mogą być brane pod uwagę¬ inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
10. Usuwanie danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
11. Użytkowniku – rozumie się przez to osobę upoważnioną przez Administratora danych do przetwarzania informacji i danych osobowych.
12. Komórce organizacyjnej – rozumie się przez to każdą wydzieloną organizacyjnie i funkcjonalnie komórkę wewnętrzną, zgodnie z podziałem organizacyjnym przeprowadzonym przez Administratora danych.
13. Pomieszczeniach – rozumie się przez to budynki i pomieszczenia określone przez Administratora danych, tworzące obszar, w którym przetwarzane są dane osobowe i inne informacje prawem chronione.
14. Incydencie – pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji.
Zasady ochrony danych osobowych
Bezpieczeństwo przetwarzania danych osobowych opiera się¬ na nast¬ępujących niezaprzeczalnych zasadach ochrony informacji oraz danych:
1. Zasada zgodności z prawem, rzetelności i przejrzystości. Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
2. Zasada ograniczenia celu. Dane osobowe muszą być zbierane w konkretnych, wyraźnie i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
3. Zasada minimalizacji danych. Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
4. Zasada prawidłowości. Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
5. Zasada ograniczenia przechowywania. Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
6. Zasada integralności i poufności. Dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i poufność, w tym ochronę przed:
6.1. niedozwolonym lub niezgodnym z prawem przetwarzaniem – czyli nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu,
6.2. przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
7. Zasada znajomości wymagań Polityki Bezpieczeństwa. Każdy pracownik powinien zostać zapoznany z regułami oraz z kompletnymi i aktualnymi procedurami ochrony informacji i podpisać stosowne oświadczenie o zapoznaniu si¬ę z zasadami obowiązującej polityki.
8. Zasada uprawnionego dostępu. Każdy pracownik stosuje się¬ do obowiązujących zasad ochrony informacji, spełnia kryteria dopuszczenia do informacji.
9. Zasada przywilejów koniecznych. Każdy pracownik posiada prawa dost¬ępu do informacji, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu zadań.
10. Zasada wiedzy koniecznej. Każdy pracownik posiada wiedzę¬ o systemie, do którego ma dostęp, ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych mu zadań.
11. Zasada usług koniecznych. Systemy informacyjne świadczą tylko te usługi, które są konieczne do realizacji zadań biznesowych i operacyjnych.
12. Zasada asekuracji. Każdy mechanizm zabezpieczający musi być ubezpieczony drugim, (podobnym). Jako mechanizmy zabezpieczeń dopuszczalne jest stosowanie zarówno zabezpieczeń technicznych, jak i organizacyjnych.
13. Zasada świadomości zbiorowej. Wszyscy pracownicy są świadomi konieczności ochrony zasobów informacyjnych i aktywnie uczestniczą w tym procesie.
14. Zasada indywidualnej odpowiedzialności. Za bezpieczeństwo poszczególnych elementów odpowiadają konkretne osoby.
15. Zasada obecności koniecznej. Prawo przebywania w określonych miejscach mają tylko osoby do tego upoważnione.
16. Zasada stałej gotowości. System jest przygotowany na wszelkie zagrożenia. Niedopuszczalne jest tymczasowe wyłączanie mechanizmów zabezpieczających.
17. Zasada najsłabszego ogniwa. Poziom bezpieczeństwa wyznacza najsłabszy (najmniej zabezpieczony) element. Elementy takie są wyznaczane na podstawie analizy ryzyka.
18. Zasada kompletności. Skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje si¬ę podejście kompleksowe, uwzgl¬ędniające wszystkie stopnie i ogniwa ogólnie poj¬ętego procesu przetwarzania informacji.
19. Zasada ewolucji. Każdy system musi ciągle dostosowywać mechanizmy wewn¬ętrzne do zmieniających się¬ warunków zewn¬ętrznych.
20. Zasada odpowiedniości. Używane mechanizmy muszą być adekwatne do sytuacji.
21. Zasada świadomej konwersacji. Nie zawsze i wsz¬ędzie trzeba mówić, co się¬ wie, ale zawsze i wsz¬ędzie trzeba wiedzieć, co, gdzie i do kogo się¬ mówi.
22. Zasada rozliczalności. Administrator jest odpowiedzialny za przestrzeganie powyższych zasad. Musi on być także w stanie wykazać ich przestrzeganie.
Zakres zastosowania
1. Zasady określone w niniejszej Polityce mają zastosowanie do całego systemu przetwarzania danych, a w szczególności do:
1.1. wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz będących w formie papierowej w których przetwarzane są lub będą dane osobowe,
1.2. informacji będących własnością Administratora lub jednostek obsługiwanych, o ile zostały przekazane na podstawie umów lub porozumień,
1.3. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach zabezpieczenia danych osobowych oraz innych dokumentów zawierających dane osobowe,
1.4. wszystkich nośników papierowych, magnetycznych lub optycznych, na których są lub będą znajdować się dane osobowe podlegające ochronie,
1.5. wszystkich lokalizacjach – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
1.6. wszystkich pracowników w rozumieniu przepisów kodeksu pracy, konsultantów, stażystów i innych osób mających odstęp do informacji podlegających ochronie.
2. We wszystkich umowach, które mogą dotyczyć przetwarzania danych w jednostce, należy uwzględnić zapisy zobowiązujące drugą stronę do przestrzegania odpowiednich zapisów niniejszej Polityki.
3. Administrator prowadzi wykaz podmiotów zewnętrznych, z którymi realizacja umów/porozumień/zamówień lub aneksów do nich zobowiązuje lub umożliwia zleceniobiorcy/wykonawcy dostęp do informacji zawierających dane osobowe.
Opis zdarzeń naruszających ochronę danych
1. Podział zagrożeń:
1.1. zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu), ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych;
1.2. zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania), może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych;
1.3. zagrożenia zamierzone, świadome i celowe - najpoważniejsze zagrożenia, naruszenia poufności danych (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy), zagrożenia te możemy podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu.
2. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są informacje, to głównie:
2.1. sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, jak np.: wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp.,
2.2. niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy,
2.3. awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych lub wręcz sabotaż, a także niewłaściwe działanie serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru,
2.4. pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu,
2.5. jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie,
2.6. nastąpiło naruszenie lub próba naruszenia integralności systemu lub bazy danych,
2.7. stwierdzono próbę lub modyfikację danych lub zmianę w strukturze danych bez odpowiedniego upoważnienia (autoryzacji),
2.8. nastąpiła niedopuszczalna manipulacja danymi osobowymi w systemie,
2.9. ujawniono osobom nieupoważnionym dane osobowe lub objęte tajemnicą procedury ochrony przetwarzania albo inne strzeżone elementy systemu zabezpieczeń,
2.10. praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony informacji - np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu itp.,
2.11. ujawniono istnienie nieautoryzowanych kont dostępu do danych lub tzw. bocznej furtki itp.,
2.12. podmieniono lub zniszczono nośniki z danymi bez odpowiedniego upoważnienia lub w sposób niedozwolony skasowano lub skopiowano dane,
2.13. rażąco naruszono dyscyplinę pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (niewylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych w drukarce, na ksero, niezamknięcie pomieszczenia z komputerem, niewykonanie w określonym terminie kopii bezpieczeństwa, prace na informacjach służbowych w celach prywatnych itp.).
3. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania informacji (otwarte szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych, tj. na papierze (wydrukach), kliszy, folii, zdjęciach, płytach CD w formie niezabezpieczonej itp.
Przedsięwzięcia zabezpieczające przed naruszeniem ochrony danych osobowych
1. Każdy użytkownik – przed dopuszczeniem do przetwarzania informacji podlega przeszkoleniu z przepisów w zakresie ochrony informacji oraz wynikających z nich zadań i obowiązków.
2. Wszyscy użytkownicy podlegają okresowym szkoleniom.
3. Za organizację szkoleń odpowiedzialny jest IOD, jeżeli został powołany albo Specjalista ds. odo.
4. Do zapewnienia bezpieczeństwa danych i informacji zastosowano następujące środki organizacyjne:
4.1. Dostęp do danych osobowych mogą mieć tylko i wyłącznie pracownicy posiadający pisemne, imienne upoważnienia nadane przez Administratora danych.
4.2. Każdy z pracowników powinien zachować szczególną ostrożność przy przenoszeniu wszelkich nośników z danymi.
4.3. Należy chronić dane przed wszelkim dostępem do nich osób nieupoważnionych.
4.4. Pomieszczenia, w których są przetwarzane dane osobowe, powinny być zamykane na klucz.
4.5. Dostęp do kluczy posiadają tylko upoważnieni pracownicy.
4.6. Dostęp do pomieszczeń możliwy jest tylko i wyłącznie w godzinach pracy. W wypadku gdy jest wymagany poza godzinami pracy – możliwy jest tylko na podstawie zezwolenia Administratora danych lub Administratora bezpieczeństwa informacji.
4.7. Dostęp do pomieszczeń, w których są przetwarzane dane osobowe, mogą mieć tylko upoważnieni pracownicy.
4.8. W przypadku pomieszczeń, do których dostęp mają również osoby nieupoważnione, mogą przebywać w tych pomieszczeniach tylko w obecności osób upoważnionych i tylko w czasie wymaganym na wykonanie niezbędnych czynności.
4.9. Szafy, w których przechowywane są dane, powinny być zamykane na klucz.
4.10. Klucze do tych szaf posiadają tylko upoważnieni pracownicy.
4.11. Szafy z danymi powinny być otwarte tylko na czas potrzebny na dostęp do danych, a następnie powinny być zamykane.
4.12. Dane w formie papierowej mogą znajdować się na biurkach tylko na czas niezbędny na dokonanie czynności służbowych, a następnie muszą być chowane do szaf.
5. Do zapewnienia bezpieczeństwa danych i informacji zastosowano następujące środki techniczne:
5.1. Dostęp do komputerów, na których są przetwarzane dane, mają tylko upoważnieni pracownicy.
5.2. Monitory komputerów, na których przetwarzane są dane, są tak ustawione, aby osoby nieupoważnione nie miały wglądu w dane.
5.3. Po zakończeniu pracy komputery przenośne (np. typu notebook) zawierające dane osobowe powinny być zabezpieczone w zamykanych na klucz szafach.
5.4. W wypadku potrzeby wyniesienia komputera przenośnego (np. typu notebook) zawierającego dane osobowe lub inne informacje chronione, komputer taki musi być odpowiednio dodatkowo zabezpieczony, a dane zaszyfrowane.
5.5. Nie należy udostępniać osobom nieupoważnionym tych komputerów.
5.6. W przypadku potrzeby przeniesienia danych osobowych pomiędzy komputerami należy dokonać tego z zachowaniem szczególnej ostrożności.
5.7. Nośniki użyte do tego należy wyczyścić (skasować nieodwracalnie), aby nie zostały na nich dane osobowe.
5.8. W wypadku niemożliwości skasowania danych z nośnika (płyta CD-ROM) należy taką płytę zniszczyć fizycznie.
5.9. W przypadku wykorzystania do przenoszenia dysków dane należy kasować z tych dysków.
5.10. Niezabezpieczonych danych osobowych nie należy przesyłać drogą elektroniczną.
5.11. Sieć komputerowa powinna być zabezpieczona przed wszelkim dostępem z zewnątrz.
5.12. Błędne lub nieaktualne wydruki i wersje papierowe zawierające dane osobowe lub inne informacje chronione niszczone są za pomocą niszczarki lub w inny mechaniczny sposób uniemożliwiający powtórne ich odtworzenie.
Dostęp do informacji i danych osobowych
1. Przetwarzanie, w tym udostępnianie danych osobowych, jest prawnie dopuszczalne, jeżeli jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
2. W przypadku udostępnienia informacji w celach innych niż włączenie do zbioru Administrator danych udostępnia posiadane informacje osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
3. Dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
4. Podmiot występujący o udostępnienie informacji powinien wskazać podstawę prawną upoważniającą go do otrzymania tych danych albo uzasadnioną potrzebę żądania ich udostępnienia. Tylko w takiej sytuacji można dokonać oceny, czy w określonym przypadku udostępnienie danych jest prawnie dopuszczalne i czy nie będzie ono stanowić naruszenia zasad ochrony informacji.
5. Przetwarzanie, w tym udostępnianie informacji w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje w celu badań naukowych, dydaktycznych, historycznych oraz statystycznych, z zachowaniem praw i wolności osób, których dane dotyczą i po zanonimizowaniu danych osobowych.
6. Udostępnienie informacji może nastąpić jedynie za zgodą Administratora danych, IOD (jeżeli został powołany) lub Specjalisty ds. odo i powinno być odpowiednio udokumentowane.
7. W przypadku zawierania umów z podmiotami zewn¬ętrznymi mającymi wpływ na funkcjonowanie kluczowych elementów systemu zarządzania bezpieczeństwem informacji zalecane jest zawarcie umowy powierzenia i określenie w niej nast-ępujących wymagań bezpieczeństwa:
7.1. Zakres i cel czynności oraz danych mających być przedmiotem współpracy z firmą zewnętrzną.
7.2. Zakresy odpowiedzialności w przypadku utraty lub ujawnienia danych.
7.3. Własność informacji i oprogramowania oraz obowiązki w zakresie ochrony danych osobowych.
7.4. Specjalne zabezpieczenia, które mogą być wymagane do ochrony informacji szczególnie chronionych, takich jak dane finansowe czy też identyfikatory i hasła dost¬ępu.
7.5. Warunki dost¬ępu do informacji, zobowiązanie do zachowania w tajemnicy czynnika uwierzytelniającego.
7.6. Definicji informacji, które mają być chronione (np. informacji poufnych).
7.7. Spodziewanego czasu trwania umowy, łącznie z przypadkami, w których obowiązek zachowania poufności może być bezterminowy.
7.8. Wymaganych działań w momencie zakończenia umowy.
7.9. Zasad zwrotu lub niszczenia informacji przy zakończeniu umowy.
7.10. Działań podejmowanych w przypadku naruszenia warunków umowy.
7.11. Ustaleń dotyczących licencji, własności kodu i prawa do własności intelektualnej.
7.12. Zasad testowania przed instalacją w celu wykrycia kodu złośliwego i koni trojańskich.
8. IOD (jeżeli został powołany) lub Specjalista ds. odo prowadzi wykaz podmiotów zewnętrznych.
Prawo tajemnicy przedsiębiorstwa
Informacje stanowiące tajemnicę przedsiębiorstwa
1. Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności.
2. Informacje objęte prawem tajemnicy przedsiębiorstwa:
2.1. Sprzedaż:
2.1.1. Lista klientów
2.1.2. Informacje o klientach
2.1.3. Ceny transakcyjne, poufne cenniki
2.1.4. Terminy obowiązywania lub odnawiania umów
2.1.5. Fakt prowadzenia negocjacji i ich przebieg
2.2. Marketing:
2.2.1. Informacje uzyskane podczas badania klientów
2.2.2. Plany kampanii marketingowych
2.3. Dostawcy, podwykonawcy, pracownicy:
2.3.1. Informacje o dostawcach i stosowanych cenach
2.3.2. Informacja stosowanych zakazach konkurencji
2.3.3. Informacje o wynagrodzeniach pracowników
2.4. Badania i rozwój:
2.4.1. Plany rozwoju, kierunki rozwoju
2.4.2. Wyniki badań
2.4.3. Pozytywne know-how w zakresie badań i rozwoju
2.4.4. Negatywne know-how, czyli informacje o niepowodzeniach
2.5. Informacje finansowe:
2.5.1. Wewnętrzne dokumenty finansowe
2.5.2. Budżety, prognozy, raporty
2.5.3. Nieujawniane rachunki zysków i strat
2.5.4. Obowiązkowe sprawozdania finansowe przed ujawnieniem
2.6. Wewnętrzne informacje o firmie:
2.6.1. Sposób organizacji pracy
2.6.2. Biznesplany
2.6.3. Oprogramowanie stosowane przez firmę
2.6.4. Dokumenty wydawane przez Administratora
2.6.5. Dokumentacja techniczna i dokumenty pochodzenia zewnętrznego
3. Wszyscy pracownicy, współpracownicy, partnerzy Administratora danych są zobowiązani do zachowania w tajemnicy wszelkich informacji stanowiących tajemnicę przedsiębiorstwa.
4. Za umyślne bądź nieumyślne ujawnienie informacji objętych prawem tajemnicy przedsiębiorstwa grozi odpowiedzialność dyscyplinarna, odszkodowawcza, karna, nałożona zgodnie z obowiązującymi przepisami prawa w tym zakresie.
5. Wzory umów o zachowaniu poufności przechowuje Administrator, IOD (jeżeli został powołany) lub Specjalista ds. odo.
Postępowanie w przypadku zgłoszenia wniosku od osoby, której dane są przetwarzane
1. Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich wymaganych prawem informacji, o Administratorze oraz prowadzić z nią wszelką komunikację w sprawie przetwarzania jej danych osobowych.
2. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
3. Administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy obowiązujących przepisów.
4. Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem tej osoby na podstawie obowiązujących przepisów, a w szczególności na podstawie art. 15–22 RODO.
5. W razie potrzeby termin, o którym mowa w ust. 4 powyżej, można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
6. Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
7. Informacje podawane w związku z wypełnieniem obowiązku informacyjnego oraz komunikacja i działania podejmowane w związku z uzasadnionymi wnioskami osób, których dane dotyczą, są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:
7.1. pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
7.2. odmówić podjęcia działań w związku z żądaniem.
Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.
8. Jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej korzystającej ze swoich uprawnień (składającej żądanie, o którym mowa w art. 15–21 RODO), może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.
9. W przypadkach, w których administrator nie przetwarza danych umożliwiających zidentyfikowanie przez niego osoby, której te dane dotyczą, w sytuacji, w której osoba dostarczy dodatkowych informacji pozwalających ją zidentyfikować, administrator nie odmawia podjęcia działań na żądanie osoby której dane dotyczą pragnącej wykonać prawa przysługujące jej na mocy przepisów (w szczególności art. 15–22 RODO), chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.
Postępowanie w przypadku naruszenia ochrony danych
1. Incydentem naruszającym bezpieczeństwo przetwarzania danych osobowych jest każde pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem przetwarzanych danych osobowych, które stwarzają znaczne prawdopodobieństwo zakłócenia prawidłowego przetwarzania danych.
2. Incydenty przetwarzania danych osobowych mogą dotyczyć następujących obszarów:
2.1. Zabezpieczenia systemu informatycznego.
2.2. Technicznego stanu urządzeń.
2.3. Zawartości zbioru danych osobowych.
2.4. Ujawnienia metody pracy lub sposobu działania programu.
2.5. Jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych.
2.6. Innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, itp.).
3. W przypadku podejrzenia lub stwierdzenia incydentu ochrony danych osobowych ma zastosowanie następująca procedura:
3.1. Każda osoba zatrudniona przy przetwarzaniu danych osobowych jest obowiązana niezwłocznie powiadomić o tym fakcie Inspektora Ochrony Danych Osobowych (dalej „IOD”) lub inną osobę odpowiedzialną za ochronę danych osobowych w Spółce (dalej „Osoba Odpowiedzialna”).
3.2. W razie niemożliwości zawiadomienia IOD lub Osoby Odpowiedzialnej, należy powiadomić bezpośredniego przełożonego.
3.3. Do czasu przybycia na miejsce naruszenia ochrony danych osobowych IOD lub Osoby Odpowiedzialnej, należy:
3.3.1. Niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia, o ile istnieje taka możliwość, a następnie uwzględnić w działaniu również ustalenie przyczyny lub sprawców.
3.3.2. Rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia.
3.3.3. Zaniechać – o ile to możliwe – dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę.
3.3.4. Podjąć odpowiednie działania, jeśli zaistniały przypadek jest określony w dokumentacji systemu operacyjnego, dokumentacji bazy danych lub aplikacji użytkowej.
3.3.5. Nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia IOD lub Osoby Odpowiedzialnej.
3.4. Po przybyciu na miejsce naruszenia IOD lub Osoba Odpowiedzialna:
3.4.1. Zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania mając na uwadze ewentualne zagrożenia dla prawidłowości pracy Administratora.
3.4.2. Może żądać dokładnej relacji z zaistniałego incydentu od osoby powiadamiającej.
3.4.3. Może żądać dokładnej relacji od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem.
3.4.4. Rozważa celowość i potrzebę powiadomienia o zaistniałym naruszeniu Administratora.
3.4.5. Jeżeli zachodzi taka potrzeba, nawiązuje bezpośredni kontakt ze specjalistami spoza przedsiębiorstwa.
3.5. IOD lub Osoba Odpowiedzialna dokumentuje zaistniały przypadek naruszenia oraz sporządza raport (wg wzoru załączonego do niniejszej Polityki), który powinien zawierać w szczególności:
3.5.1. Wskazanie osoby powiadamiającej o naruszeniu oraz innych osób zaangażowanych lub odpytanych w związku z naruszeniem.
3.5.2. Określenie czasu i miejsca naruszenia i powiadomienia.
3.5.3. Określenie okoliczności towarzyszących i rodzaju naruszenia.
3.5.4. Opis podjętego działania.
3.5.5. Wstępną ocenę przyczyn wystąpienia naruszenia.
3.5.6. Opis przeprowadzonego postępowania wyjaśniającego i naprawczego.
3.6. Raport, o którym mowa w ust. 3.5. powyżej, IOD lub Osoba Odpowiedzialna niezwłocznie przekazuje Administratorowi.
3.7. W przypadku naruszenia skutkującym ryzykiem naruszenia praw lub wolności osób fizycznych IOD lub Osoba Odpowiedzialna bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
3.8. Poinformowanie osób pokrzywdzonych ……………………………………..
3.9. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu IOD lub Osoba Odpowiedzialna zasięga niezbędnych opinii i proponuje postępowanie naprawcze, a w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych.
4. Najczęstsze przypadki incydentów związanych z przetwarzaniem danych osobowych:
4.1. Naruszenie zabezpieczeń systemu informatycznego, bądź oprogramowania przetwarzającego dane osobowe.
4.2. Naruszenie technicznego stanu urządzeń służących do przetwarzania danych osobowych.
4.3. Naruszenie zawartości zbioru danych osobowych.
4.4. Ujawnienie metody pracy lub sposobu działania programu osobie nieupoważnionej do przetwarzania danych osobowych.
4.5. Kradzież danych osobowych (zapisanych na nośniku, komputerze, dokumentach papierowych).
4.6. Zagubienie bądź wyrzucenie danych osobowych, które pracownik przetwarzał.
4.7. Omyłkowe ujawnienie danych osobowych osobie nieupoważnionej (np. poprzez wysyłkę pocztą elektroniczną danych osobowych do niewłaściwego adresata).
4.8. Inne zdarzenia mogące mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar itp.).
Grupy informacji podlegające ochronie
1. Grupa informacji dotycząca działalności:
1.1. dane osobowe klientów
1.2. dane osobowe kontrahentów
1.3. informacje dotyczące współpracy i rozliczeń z podmiotami współpracującymi
1.4. skargi, zażalenia, reklamacje
2. Grupa informacji dotycząca pracowników:
2.1. dane osobowe pracowników
2.2. dane osobowe rodzin pracowników
2.3. dane osoby - kandydata do zatrudniania
2.4. informacje dot. obsługi kadrowo-płacowej pracownika (wynagrodzenia, ewidencja czasu pracy, informacja a urlopach)
3. Grupa informacji dotycząca infrastruktury fizycznej i teleinformatycznej:
3.1. informacje dotyczące zarządzania zasobami (plany i rozmieszczenia i ilość zasobów – środki trwałe, informacja o nieruchomościach)
3.2. dane na temat postępowania w sytuacji krytycznej (ewakuacja)
3.3. informacje dotyczące stanu infrastruktury
3.4. dane o zabezpieczeniach systemu informatycznego
3.5. dane o zabezpieczeniach infrastruktury fizycznej
3.6. informacje dotyczące systemów zarz¬ądzania
3.7. dokumentacja techniczna infrastruktury
4. Grupa informacji dotycząca finansów organizacji:
4.1. informacje finansowe
4.2. dane z kontroli i audytów
4.3. informacje dotyczące kontrahentów
5. Specjalista ds. odo prowadzi wykaz zbiorów danych.
6. W Wykazie zbiorów zawarty jest opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między oraz wykaz programów i systemów komputerowych wykorzystywanych do przetwarzania danych w tych zbiorach.
7. Opis struktury baz danych oraz sposób przepływu danych pomiędzy poszczególnymi systemami jest w posiadaniu Administratora Systemu Informatycznego (ASI),a także u dostawców i autorów oprogramowania służącego do przetwarzania danych.
Bezpieczeństwo osobowe
Etap naboru pracownika/współpracownika
1. Do przetwarzania danych osobowych i do dostępu do innych informacji chronionych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora danych. Administrator danych może wydać pełnomocnictwo do nadawania upoważnień. Podczas przetwarzania danych osobowych kandydatów do pracy oraz pracowników jest brana pod uwagę w szczególności zasada minimalizacji danych oraz ograniczenia przechowywania.
2. Zakres upoważnienia może również być określony w umowie o pracę lub współpracę.
3. Osoba upoważniona zobowiązana jest podpisać oświadczenie lub umowę, która dokładnie określa odpowiedzialność w zakresie bezpieczeństwa informacji. Role i zakresy odpowiedzialności powinny uwzględniać:
3.1. działania zgodne z Polityką Bezpieczeństwa Informacji;
3.2. ochronę aktywów przed nieuprawnionym dostępem, ujawnieniem, modyfikacją lub zniszczeniem;
3.3. wykonywanie działań związanych z bezpieczeństwem informacji;
3.4. odpowiedzialność pracownika za jego działania lub niepodejmowanie działań;
3.5. raportowanie zdarzeń związanych z bezpieczeństwem informacji;
3.6. zapisy o zachowaniu poufności i nieujawnianiu informacji;
3.7. prawa i obowiązki w odniesieniu do praw autorskich i ochrony danych osobowych;
3.8. obowiązek klasyfikacji informacji i zarządzania aktywami organizacji związanymi z systemami informacyjnymi i usługami;
3.9. odpowiedzialność w zakresie przetwarzania informacji otrzymywanej z zewnątrz;
3.10. odpowiedzialność organizacji w zakresie przetwarzania danych osobowych;
3.11. odpowiedzialność rozszerzoną, np. praca w domu, po godzinach pracy;
3.12. konsekwencje nieprzestrzegania procedur bezpieczeństwa;
4. Wszyscy kandydaci do pracy, wykonawcy oraz podwykonawcy powinni podlegać weryfikacji, zgodnie z przepisami prawnymi i regulacjami wewnętrznymi, adekwatnie do wymagań biznesowych, klasyfikacji udostępnionych informacji oraz zidentyfikowanego ryzyka. Weryfikacja nie może naruszać prywatności, ochrony danych osobowych ani regulacji prawnych dotyczących zatrudnienia i może obejmować:
4.1. dostępność referencji osobistych i świadectw pracy;
4.2. sprawdzenie przedstawionego życiorysu;
4.3. potwierdzenie deklarowanego wykształcenia i kwalifikacji zawodowych;
4.4. niezależne potwierdzenie tożsamości, np. paszport.
Zatrudnienie / współpraca
1. Pracownicy, wykonawcy i podwykonawcy powinni być świadomi swoich obowiązków i odpowiedzialności prawnej oraz zagrożeń związanych z bezpieczeństwem informacji. W tym celu należy zapewnić wszystkim zatrudnionym właściwy poziom świadomości poprzez kształcenie i szkolenie z zakresu bezpieczeństwa informacji, ze szczególnym uwzględnieniem procedur bezpieczeństwa. Dokumentują to: lista obecności ze szkoleń, oświadczenia pracowników, umowy o poufności, posiadane zaświadczenia, dyplomy lub certyfikaty.
2. W przypadku naruszenia zasad bezpieczeństwa jest uruchomiana odpowiednia procedura postępowania dyscyplinarnego, która powinna być poprzedzona potwierdzeniem naruszenia zasad bezpieczeństwa i zgromadzeniem materiału dowodowego.
3. Postępowanie dyscyplinarne powinno uwzględniać: rodzaj i wagę naruszenia zasad bezpieczeństwa, wpływ na procesy biznesowe, przypadek incydentalny, czy jest to kolejne naruszenie oraz jakość odbytego przeszkolenia.
4. W przypadku pracy mobilnej i na odległość z wykorzystaniem urządzeń przenośnych zastosowano odpowiednie, dodatkowe środki bezpieczeństwa.
5. Przekazywanie sprzętu i urządzeń służących do przetwarzania danych odbywa się na podstawie protokołów przekazania sprzętu.
Zakończenie zatrudnienia / współpracy
1. Odchodzenie lub zmiana stanowiska pracy wewnątrz organizacji powinny odbywać się w sposób zorganizowany.
2. Odchodzenie z organizacji lub zmiana stanowiska pracy wiąże się ze zwrotem posiadanego przez pracownika sprzętu i odebraniem lub zmianą praw dostępu.
3. Odebranie lub ograniczenie praw dostępu jest poprzedzone analizą ryzyka uwzględniającą następujące uwarunkowania:
3.1. ustalenie inicjatora (pracownik, wykonawca czy administrator) i przyczyn zakończenia lub zmiany zatrudnienia;
3.2. aktualny zakres czynności pracownika, wykonawcy lub podwykonawcy;
3.3. wartość aktualnie dostępnych aktywów.
Ogólne zasady bezpieczeństwa osobowego
1. Każdy pracownik przy wykonywaniu swoich obowiązków służbowych jest zobowiązany do przestrzegania postanowień niniejszej Polityki oraz postanowień innych części dokumentacji bezpieczeństwa informacji, a także poleceń dotyczących bezpieczeństwa otrzymywanych od Administratora, IOD (jeżeli został powołany), Specjalisty ds. odo oraz ASI.
2. IOD (jeżeli został powołany), Specjalista ds. odo i przełożeni zobowiązani są do nadzoru nad przestrzeganiem postanowień niniejszej Polityki.
3. Każdy z pracowników jest zobowiązany do uczestniczenia w organizowanych okresowych szkoleniach z zakresu bezpieczeństwa informacji. IOD (jeżeli został powołany), Specjalista ds. odo oraz ASI są zobowiązani do utrzymywania i podnoszenia poziomu wiedzy dotyczącej bezpieczeństwa informacji.
4. Każdy pracownik jest zobowiązany do podjęcia bezpośrednich działań dla zapobiegania incydentom lub minimalizowania skutków incydentów w miarę swoich możliwości i kompetencji, w razie potrzeby zawiadamiając IOD (jeżeli został powołany), Specjalistę ds. odo lub przełożonych. W razie potrzeby o zgłoszeniu incydentu Policji decyduje Administrator danych.
Zasady przyznawania dostępu
1. Przyznawanie zakresu uprawnień powinno być w ścisłym związku z zakresem obowiązków danego pracownika.
2. Zarządzanie dostępem na etapie nadawania, zmiany i cofania praw dostępu pracowników w obszarze przetwarzania danych oraz do systemów teleinformatycznych powinno się odbywać na wniosek bezpośredniego przełożonego Użytkownika.
3. Na wniosek przełożonego lub specjalisty ds. kadrowych upoważnionemu użytkownikowi Administrator Systemu Informatycznego zakłada konto w systemie z adekwatnym poziomem uprawnień.
4. W zarządzaniu dostępem obowiązuje zasada, że dostęp użytkownika powinien opierać się na spełnieniu zasady rozliczalności oraz zasady niezaprzeczalności. W przypadku systemów informatycznych obowiązują następujące wymagania:
4.1. wymóg jednoznacznej identyfikacji pracownika - tj. w systemach informatycznych każdy użytkownik pracuje wyłącznie na swoim indywidualnym koncie, nie są stosowane konta anonimowe lub współdzielone poza wyjątkami, gdzie z przyczyn technicznych nie ma innej możliwości,
4.2. wymóg uwierzytelnienia pracownika przy korzystaniu z systemu informatycznego,
4.3. autoryzacji przyznania praw dostępu do systemów informatycznych.
4.4. zasady przywilejów, wiedzy i usług koniecznych.
Bezpieczeństwo teleinformatyczne
Autoryzacja i dopuszczalne wykorzystanie zasobów
1. Przy ochronie zasobów kluczowe jest stosowanie podstawowej zasady bezpieczeństwa, że nie jest dozwolone wykorzystywanie zasobów w sposób inny niż jawnie dozwolony.
2. Do wykonywania obowiązków służbowych związanych z przetwarzaniem informacji dozwolone jest używanie systemów, urządzeń i oprogramowania dopuszczonych do użytku zgodnie z wymogami Polityki oraz Instrukcji zarządzania systemem informatycznym.
3. Pracownicy są uprawnieni do korzystania z zasobów teleinformatycznych niezbędnych do wykonywania ich obowiązków. Za określenie takich zasobów dla każdego pracownika i wnioskowanie o przyznanie dostępu odpowiedzialny jest bezpośredni przełożony pracownika.
4. Zakazane jest użytkowanie na terenie obszaru przetwarzania danych lub przy wykonywaniu obowiązków służbowych poza obszarem przetwarzania danych innych niż dopuszczone urządzeń, systemów i oprogramowania bez zgody Administratora lub Administratora systemu informatycznego (ASI).
5. Zakazane jest bez zgody Administratora lub ASI:
5.1. użytkowanie urządzeń skutkujących połączeniem systemów Administratora danych z sieciami teleinformatycznymi innych podmiotów, w tym publicznymi sieciami teleinformatycznymi,
5.2. użytkowanie urządzeń lub oprogramowania mających na celu zakłócenie działania innych systemów, urządzeń lub oprogramowania,
5.3. użytkowanie urządzeń lub oprogramowania do testowania bezpieczeństwa lub wykrywania podatności,
5.4. użytkowanie urządzeń lub oprogramowania mogących naruszyć bezpieczeństwo innych systemów lub urządzeń,
5.5. wprowadzanie zmian konfiguracji urządzeń, systemów lub oprogramowania.
6. Zakazane jest bez zgody IOD (jeżeli został powołany) lub Specjalisty ds. odo wykorzystywanie urządzeń do niejawnego przekazywania lub rejestracji danych dotyczących informacji chronionych, w tym głosu i obrazu, tj.: magnetofonów, dyktafonów, aparatów fotograficznych, kamer, telefonów komórkowych z opcją rejestrowania dźwięku i obrazu, rejestratorów ruchu sieciowego, rejestratorów pracy klawiatur itp.
7. Powyższy zakaz nie dotyczy sytuacji, gdy rejestrowane są dane pochodzące z systemu testowego, a działania pracownika nie prowadzą, i w sposób oczywisty nie mogą prowadzić, do odczytywania jakichkolwiek poufnych informacji, do których pracownik nie ma dostępu.
8. Wykorzystanie należących do Administratora danych urządzeń, systemów i oprogramowania oraz innych zasobów do prywatnych celów pracowników jest dozwolone jedynie na uzasadniony wniosek pracownika i za zgodą Specjalisty ds. odo i ASI (jeżeli został powołany).
9. Zasoby Administratora danych powinny być przechowywane w taki sposób, aby zapobiec możliwości ich kradzieży lub uszkodzenia przez osoby postronne oraz przypadkowe uszkodzenia przez osoby lub czynniki środowiskowe.
10. Wynoszenie aktywów (zasobów i informacji) poza obszar przetwarzania danych możliwe jest za zgodą Specjalisty ds. odo lub bezpośredniego przełożonego użytkownika poza przypadkami, gdy jest to ujęte w planie praw dostępu.
11. Zakazane jest przesyłanie informacji podlegających ochronie na prywatne adresy poczty elektronicznej oraz prowadzenie korespondencji służbowej z wykorzystaniem prywatnego adresu e-mail użytkownika.
12. Zakazane jest używanie prywatnych nośników zewnętrznych (np. typu pendrive) i tworzenie nieautoryzowanych kopii z baz danych.
13. Pracownicy zobowiązani są stosować zasadę czystego biurka - wszystkie dokumenty i materiały powinny być po zakończeniu pracy chowane w przeznaczonych do tego szafkach, szufladach itp. W przypadku braku dostatecznej ilości dostępnego miejsca dokumenty i materiały powinny być pozostawiane na biurku uporządkowane.
14. Pracownicy są zobowiązani do ochrony zasobów będących własnością innych podmiotów, a powierzonych lub oddanych do dyspozycji Administratorowi danych lub udostępnionych pracownikom na czas wykonywania przez nich czynności służbowych w takim samym stopniu jak w przypadku zasobów będących własnością Administratora danych.
Postanowienia końcowe
1. Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa Informacji zobowiązani są wszyscy pracownicy w rozumieniu przepisów Kodeksu pracy, konsultanci, stażyści i inne osoby mające dostęp do informacji podlegającej ochronie.
2. Z treścią niniejszego dokumentu powinni zapoznać się wszyscy pracownicy i inne osoby mające dostęp do informacji przetwarzanej w jednostce, przed przystąpieniem do przetwarzania danych.
3. Niniejszy dokument może być przedstawiany podmiotom i jednostkom współpracującym, z którymi współpraca może skutkować możliwością dostępu do informacji chronionych.
4. Wobec osoby, która w przypadku naruszenia bezpieczeństwa informacji lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, wszczyna się postępowanie dyscyplinarne lub porządkowe.
5. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, w szczególności przez osobę, która wobec naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o tym Specjalisty ds. odo.
6. W przypadku naruszenia postanowień Polityki Bezpieczeństwa Informacji pracownik, który dopuścił się takiego naruszenia lub przyczynił do niego (umyślnie lub nieumyślnie), może zostać ukarany zgodnie z obowiązującym regulaminem pracy, obowiązującymi przepisami prawa z zakresu ochrony informacji, a w skrajnych przypadkach pociągnięty do odpowiedzialności karnej.
7. Umyślne lub nieumyślne naruszenie postanowień Polityki Bezpieczeństwa Informacji lub niestosowanie się do poleceń służbowych w tym zakresie może być potraktowane jako naruszenie obowiązków pracowniczych.
8. Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie.
9. Użytkownicy są zobowiązani zapoznać się z treścią Polityki.
10. Użytkownik zobowiązany jest złożyć oświadczenie o tym, iż został zaznajomiony z zasadami i przepisami o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych, z niniejszą Polityką, a także zobowiązać się do ich przestrzegania.
11. Oświadczenia przechowywane są w aktach osobowych.
12. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie aktualnie obowiązujące przepisy prawa w zakresie ochrony informacji.
13. Użytkownicy zobowiązani są do bezwzględnego stosowania postanowień zawartych w niniejszej Polityce. W wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących u Administratora danych użytkownicy mają obowiązek stosowania unormowań dalej idących, których stosowanie zapewni wyższy poziom ochrony informacji.