Podstawowe zasady polityki bezpieczeństwa

W celu zapewnienia ochrony danych osobowych przetwarzanych przez Administratora stosuje się następujące zasady:

  • „minimum przywilejów” - przydzielanie prawa dostępu tylko w zakresie niezbędnym do wykonywania czynności służbowych,

  • „separacja obowiązków”- zadania krytyczne z punktu widzenia bezpieczeństwa informacji nie mogą być realizowane przez jedną osobę.

Realizacja Polityki Bezpieczeństwa przebiega według wymienionych poniżej zasad:

  1. Każda osoba biorąca udział w przetwarzaniu danych osobowych posiada pisemne, imienne upoważnienie do ich przetwarzania nadane przez Administratora stanowiące polecenie Administratora w rozumieniu art. 29 RODO oraz art. 32 ust. 4 RODO. Upoważnienie do jest połączone z deklaracją pracownika oraz każda osoba współpracująca z Administratorem o zachowaniu w tajemnicy danych osobowych, sposobów ich zabezpieczania jak również zapoznania się z treścią Polityki Bezpieczeństwa.
  2. Administrator wdrożył stosowne środki organizacyjne i techniczne mające na celu należyte zabezpieczenie danych osobowych.
  3. Administrator zabezpiecza zdolność do ciągłego zapewnienia integralności, poufności, dostępności i odporności systemów i usług przetwarzania poprzez stosowanie następujących zasad:
  • system informatyczny Administratora jest zabezpieczony przed nieupoważnionym dostępem z zewnątrz. Serwer jest zabezpieczony zaufanym certyfikatem SSL, pozwalającym na efektywne zabezpieczenie danych wedle obowiązujących standardów, które zabezpieczają przed nieupoważnionym dostępem, utratą, modyfikacją lub zniszczeniem danych poprzez stosowanie mechanizmu logowania i utworzeniu kont użytkowników, które są zabezpieczone poprzez indywidualny dostęp i unikalne hasło. Sieć indywidualna bezprzewodowa jest zabezpieczona hasłem
  • każdy pracownik Administratora dysponuje indywidualnym identyfikatorem, za pośrednictwem którego może korzystać z udostępnianych zasobów i usług. Włączone w systemie informatycznym mechanizmy oraz procedury zapewniają rozliczalność użytkowników zarejestrowanych w systemie.
  • wszyscy pracownicy Administratora są uświadomieni w zakresie przyjętej Polityki.
  • pracownicy Administratora mają obowiązek informowania o wystąpieniu incydentu związanego z bezpieczeństwem informacji.
  1. W przypadku naruszenia ochrony danych osobowych, zgłoszenie go organowi nadzorczemu powinno:
  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorię i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosowanych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  1. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
  2. Administrator nie przeprowadził oceny skutków przetwarzania danych osobowych , gdyż charakter, zakres, kontekst i cele przetwarzania danych osobowych nie wskazują na duże prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
  3. Administrator raz w roku podejmuje działania mające na celu testowanie, mierzenie ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych w postaci aktualizacji certyfikatów bezpieczeństwa
  4. Administrator wdrożył środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego w postaci tworzenia kopii danych osobowych przetwarzanych w systemie informatycznym oraz programów i narzędzi służących do przetwarzania danych osobowych. Kopie tworzone są raz w tygodniu na dysk zewnętrzny i przechowywane w innej lokalizacji niż siedziba Administratora.
  5. Administrator prowadzi rejestr czynności przetwarzania.

Realizacja polityki bezpieczeństwa

Szczególną uwagę Administrator zwraca na elementy zarządzania, które mają istotny wpływ na bezpieczeństwo danych rozumiane jako ochrona przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Dotyczy to nie tylko danych osobowych przechowywanych w bazach danych, dokumentacji papierowej, ale również tych danych, które przesyłane są w sieciach komputerowych.

W tym ostatnim przypadku chodzi głównie o zabezpieczenie danych podczas ich elektronicznego transportu, który występuje, gdy dane są przesyłane:

  • w wiadomościach e-mail: zbiorcze dane osobowe inne niż kontaktowe lub inne mogące negatywnie wpłynąć na podmiot danych muszą być przesyłane w zabezpieczonych załącznikach oraz nie mogą stanowić treści wiadomości- przez dane kontaktowe należy rozumieć dane (imię, nazwisko, stanowisko, telefon, adres poczty elektronicznej, miejsce pracy) wykorzystywane wyłącznie w celu skontaktowania się z daną osobą,

  • z baz danych do użytkowników.

W takim przypadku cały sprzęt komputerowy jest chroniony kryptograficznie, poprzez zastosowanie haseł i loginów i ich cykliczną zmianę zgodnie z przyjętymi zasadami w szczególności komputery przenośne i inne nośniki danych.

Zasady bezpieczeństwa należy traktować w sposób kompleksowy. Przy realizacji Polityki Bezpieczeństwa ważne jest zaangażowanie wszystkich osób biorących udział w przetwarzaniu danych. Szczególnie ważna jest znajomość problematyki bezpieczeństwa oraz świadomość jej znaczenia.

Wszyscy pracownicy oraz osoby współpracujące deklarują wolę ochrony przetwarzanych danych osobowych, której celem jest zapewnienie bezpieczeństwa tych danych, a w szczególności dbanie o ich poufność, integralność,dostępność, rozliczalność.

Wykaz budynków i pomieszczeń przetwarzania danych osobowych

Administrator przetwarza dane osobowe w swojej siedzibie w Bytomiu, ul. Północna 18. Dostęp do danych osobowych przetwarzanych w systemach informatycznych poprzez sieć telekomunikacyjna mogą mieć wybrane osoby wyłącznie za zgodą Administratora.

Wykaz zbiorów danych osobowych

Administrator przetwarza dane osobowe osób fizycznych w systemach informatycznych oraz w postaci papierowej. Wszystkie dane osobowe przetwarzane przez Administratora są przetwarzane zgodnie z obowiązującymi przepisami prawa.

Przeprowadzono szczegółową inwentaryzację danych osobowych przetwarzanych w formie papierowej i elektronicznej.

Administrator wdrożył środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego wp ostaci tworzenia kopii danych osobowych przetwarzanych w systemie informatycznym oraz programów i narzędzi służących do przetwarzania danych osobowych. Kopie tworzone są cyklicznie przez podmiot współpracujący na dysk zewnętrzny lub serwer zapasowy i przechowywane w siedzibie firmy obsługującej proces rekrutacji.

Określenie środków niezbędnych do zachowania bezpieczeństwa danych

Administratora stosuje zróżnicowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Stosowane środki organizacyjne i techniczne są wynikiem przeprowadzonego postępowania z ryzykiem obejmującego jego analizę oraz wybór sposobu postępowania.

Bezpieczeństwo fizyczne

1 Kontrola wejścia.

Osobom odwiedzającym Administratora powinno się umożliwić wyłącznie w konkretnych, zatwierdzonych celach. Bez specjalnego pozwolenia udzielonego przez Administratora nie wolno używać w jego siedzibie sprzętu fotograficznego, video sprzętu nagrywającego.

2. Dostęp do pomieszczeń.

Dostęp do pomieszczeń Administratora, w których odbywa się przetwarzanie danych osobowych jest ograniczony jedynie do pracowników oraz innych osób upoważnionych przez Administratora. Osoby upoważnione do przebywania w obszarze przetwarzania danych osobowych mogła przebywać w nim wyłącznie w zakresie niezbędnym do wykonania czynności opisanych w upoważnieniu.

Pomieszczenia na czas nieobecności pracownika należy zamykać na klucz, a klucze po otwarciu drzwi nie pozostają w zamkach. W przypadku dostępu do pomieszczenia dla osób postronnych (współpracowników lub przedstawicieli wykonawców) powinny one przebywać w pomieszczeniach wyłącznie w obecności upoważnionego pracownika lub za zgodą Administratora Danych. Każdorazowo wyznacza się pracownika do nadzoru personelu zewnętrznego.

3. Izolowane obszary przyjmowania gości.

Unika się przyjmowania gości przez pracowników Administratora w swoich biurach przy stanowiskach pracy. Może to prowadzić do przypadkowego wycieku informacji poprzez zapoznanie się z treścią otwartego dokumentu papierowego lub elektronicznego bądź przez podsłuchanie rozmowy pracowników.

4. Urządzenia systemu informatycznego.

Administrator nie posiada własnej serwerowni i w tym zakresie korzysta z usług podmiotów zewnętrznych w oparciu o stosowne zapisy umowne. W działalności Administratora wykorzystywane są urządzenia przenośne: komputery przenośne, nośniki zewnętrzne, smartfony. Są one użytkowane ze szczególną ostrożnością poza obszarem przetwarzania danych, w szczególności:

  • stosowane są zabezpieczenia kryptograficzne,

  • stosowane są loginy i hasła do systemu informatycznego,

  • zabronione jest pozostawianie urządzeń bez nadzoru,

  • zabronione jest przekazywanie urządzeń do korzystania nieupoważnionych osobom,

  • zabronione jest korzystanie z sieci typu Hotspot,

  • wykonuje się kopie zapasowe danych,

  • hasła administracyjne dostępu do urządzeń aktywnych, systemów serwerowych, stacji roboczych oraz innych urządzeń wymagających logowania są przechowywane w bezpiecznym miejscu,

  • kopie zapasowe danych znajdują się w innym pomieszczeniu niż sam system przetwarzania tych informacji.

Ogólne środki bezpieczeństwa

1. Upoważnienia do przetwarzania danych osobowych.

Każdy pracowników oraz osoba współpracująca z Administratorem, przetwarzający dane osobowe musi posiadać upoważnienie do przetwarzania danych osobowych. Upoważnienie zawiera wszystkie wymagane prawem informacje oraz poziom dostępu do systemu informatycznego Administratora. Nadanie upoważnień do przetwarzania danych osobowych odbywa się na podstawie stosownego dokumentu. 

Najpóźniej w ostatnim dniu pracy anuluje się upoważnienie poprzez odnotowanie tego faktu w Ewidencji osób upoważnionych oraz dokonanie odpowiedniej adnotacji w dokumencie upoważnienia. Upoważnienia przechowuje się w miejscu, w którym przechowywana jest dokumentacja kadrowa.

2. Zasada czystego biurka i czystego ekranu.

Informacje pozostawione na biurkach mogą ulec zniszczeniu lub uszkodzeniu lub też mogą zostać ujawnione poprzez wgląd osób postronnych, dlatego też wprowadzone następujące zasady:

  • dokumenty papierowe oraz inne nośniki informacji powinny być przechowywane w zamykanych na klucz szafach i/lub w innych bezpiecznych miejscach, zwłaszcza poza godzinami pracy,
  • wszystkie dokumenty papierowe muszą być niszczone za pomocą niszczarki,
  • dokumenty zawierające wrażliwe lub krytyczne informacje powinny być zamykane w szafkach z zamkiem, pieczątki powinny być zamykane w szufladach z zamkiem,
  • nie wolno pozostawiać zalogowanych komputerów bez nadzoru,
  • monitory powinny być tak ustawione by uniemożliwić wgląd informacji an ekranie osobom postronnym,
  • poza godzinami pracy urządzenia kopiujące powinny być chronione przed użyciem przez nieuprawione osoby,
  • informacje poufne/ wrażliwe należy natychmiast po wydrukowaniu wyjąć drukarki.

Powierzenie przetwarzania danych

Administrator przekazuje dane osobowe innym podmiotom. Dochodzi wówczas do powierzenia przetwarzania danych osobowych. W taki przypadku Administrator podejmuje następujące działania:

  • uwzględnia powierzenie przetwarzania danych osobowych w wykazie zbiorów danych,
  • umieszcza w umowach zapisy dotyczące powierzenia przetwarzania danych osobowych.

Zapisy umowne dotyczące powierzenia przetwarzania danych muszą zawierać zapisy o tym, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie w celu i w zakresie określonym w umowie, a także wyłącznie na udokumentowane polecenie Administratora,
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania w tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
  • w miarę potrzeb podejmuje wszelkie środki wymagane w celu zabezpieczenia danych osobowych, w szczególności pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, interesowności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
  • przekazuje powierzone dane osobowe innym podmiotom do przetwarzania tylko po uzyskaniu wyraźnej zgody Administratora,
  • pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądanie osoby, której dane dotyczą, w zakresie wykonywania jej praw,
  • pomaga Administratorowi wywiązać się z obowiązków dotyczących zgłaszania naruszeń ochrony danych osobowych oraz w zakresie oceny skutków przetwarzania dla danych osobowych,
  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora usuwa lub zwraca Administratorowi wszelkie dane osobowe oraz trwale usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych,
  • udostępnia Administratorowi wszelkie niezbędne informacje do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia Administratorowi.

Postępowanie z informacją

POSTĘPOWANIE Z INFORMACJĄ

1. Kontrola dostępu do informacji

Pracownicy oraz osoby współpracujące z Administratorem nie mogą, bez upoważnienia Administratora, udzielać następujących informacji:

  • o danych osobowych oraz innych informacji o charakterze poufnym,

  • o zabezpieczeniach, w tym o zabezpieczeniach systemu informatycznego.

2. Formy wymiany informacji

Ochronie podlega także informacja głosowa, faksowa oraz wizualna. Dla zabezpieczenia przekazywanej informacji wprowadza się następujące wymogi:

  • zachowanie szczególnej ostrożności podczas prowadzenia rozmów telefonicznych, a w szczególności zakaz przekazywania informacji poufnych i danych osobowych droga telefoniczną.

  • zakaz prowadzenia poufnych rozmów w miejscach publicznych.

3. Bezpieczeństwo teleinformatyczne

Stosuje się oprogramowanie antywirusowe oraz inne urządzenia oraz programy kontrolujące przepływ informacji pomiędzy siecią publiczną a systemem informatycznym ADO.

Podgląd koszyka

Ilość produktów:
Wartość: