Regulamin Ochrony
Danych Osobowych
w firmie
TOTAL KLIMA
Danych Osobowych
w firmie
TOTAL KLIMA
Niniejszy regulamin stanowi wykaz podstawowych obowiązków z zakresu
przestrzegania zasad ochrony danych osobowych zgodnie z przepisami RODO
dla:
Każda z w/w osób powinna zapoznać się z poniższym regulaminem oraz zobowiązać się do stosowania zasad w nim zawartych.
SPIS TREŚCI
1 Zasady bezpiecznego użytkowania sprzętu IT, dysków, programów.
2 Zarządzanie uprawnieniami - procedura rozpoczęcia, zawieszenia i zakończenia pracy.
3 Polityka haseł
4 Zabezpieczenie dokumentacji papierowej z danymi osobowymi
5 Zasady wynoszenia nośników z danymi poza firmę/organizację.
6 Zasady korzystania z internetu.
7 Zasady korzystania z poczty elektronicznej
8 Skrócona instrukcja postępowania w przypadku naruszenia ochrony danych osobowych.
9 Obowiązek zachowania poufności i ochrony danych osobowych.
10 Postępowanie dyscyplinarne.
- Pracowników
- Współpracowników
- Pracowników podmiotów trzecich, posiadających dostęp do danych osobowych przetwarzanych przez Administratora / Podmiot przetwarzający
- Użytkowników systemów informatycznych z dostępem do danych osobowych przetwarzanych przez Administratora / Podmiot przetwarzający
Każda z w/w osób powinna zapoznać się z poniższym regulaminem oraz zobowiązać się do stosowania zasad w nim zawartych.
SPIS TREŚCI
1 Zasady bezpiecznego użytkowania sprzętu IT, dysków, programów.
2 Zarządzanie uprawnieniami - procedura rozpoczęcia, zawieszenia i zakończenia pracy.
3 Polityka haseł
4 Zabezpieczenie dokumentacji papierowej z danymi osobowymi
5 Zasady wynoszenia nośników z danymi poza firmę/organizację.
6 Zasady korzystania z internetu.
7 Zasady korzystania z poczty elektronicznej
8 Skrócona instrukcja postępowania w przypadku naruszenia ochrony danych osobowych.
9 Obowiązek zachowania poufności i ochrony danych osobowych.
10 Postępowanie dyscyplinarne.
1. Zasady bezpiecznego użytkowania sprzętu IT, dysków, programów
- Użytkownik odpowiada za zabezpieczenie przed zniszczeniem, uszkodzeniem oraz utratą sprzętu IT (komputerów, urządzeń biurowych, tabletów i smartfonów)
- Demontaż, instalowanie lub podłączanie dodatkowych urządzeń jest zabronione
- Użytkownik jest zobowiązany do usuwania tymczasowych plików z nośników/dysków z miejsc, gdzie dostęp do nich miałyby osoby nieupoważnione
- Użytkownik jest zobowiązany do przekazania informatykowi nośników przeznaczonych do zniszczenia
2. Zarządzanie uprawnieniami - procedura rozpoczęcia, zawieszenia i zakończenia pracy
- Każdy użytkownik komputerów, programów i systemu operacyjnego zobowiązany jest do pracy na własnym koncie. Zabronione jest udostępnianie konta innemu użytkownikowi
- Użytkownik nie może zmieniać swoich uprawnień, np. zostać Administratorem na swoim komputerze
- Użytkownik komputera oraz programów rozpoczyna i kończy pracę logowaniem i wylogowaniem się
- Użytkownik jest zobowiązany do uniemożliwienia osobom niepowołanym (np. klientom, pracownikom innych działów) wglądu do danych wyświetlanych na monitorach – tzw. Polityka czystego ekranu
- Użytkownik przed tymczasowym odejściem od komputera musi włączyć wygaszacz ekranu (WINDOWS + L) lub wylogować się z systemu bądź z programu.
- Zabrania się uruchamiania jakiejkolwiek aplikacji lub programu na prośbę innej osoby, o ile nie została ona zweryfikowana jako pracownik działu informatyki. Dotyczy to zwłaszcza programów przesłanych za pomocą poczty elektronicznej lub wskazanych w formie odnośnika internetowego.
- Po zakończeniu pracy, użytkownik zobowiązany jest wylogować się z systemu informatycznego oraz zabezpieczyć nośniki elektroniczne, magnetyczne i optyczne na których znajdują się dane osobowe
3. Polityka haseł
- Hasła powinny składać się z np. 12 znaków
- Hasła powinny zawierać duże litery + małe litery + cyfry (lub znaki specjalne)
- Hasła nie mogą być łatwe do odgadnięcia. Nie powinny być powszechnie używanymi słowami.
- Hasła nie powinny być ujawnianie innym osobom. Nie należy zapisywać haseł na kartkach i w notesach, nie naklejać na monitorze komputera, nie trzymać pod klawiaturą lub w szufladzie
- W przypadku ujawnienia hasła – należy natychmiast go zmienić
- Hasła muszą być zmieniane co 60 / 90 dni
- Jeżeli system nie wymusza zmiany haseł, użytkownik zobowiązany jest do samodzielnej zmiany hasła
4. Zabezpieczenie dokumentacji papierowej z danymi osobowymi
- Pracownicy są zobowiązani do stosowania tzw. „Polityki czystego biurka”. Polega ona na zabezpieczaniu (zamykaniu na klucz) dokumentów oraz nośników np. w szafach, biurkach, pomieszczeniach przed kradzieżą lub wglądem osób postronnych
- Pracownicy zobowiązani są do niszczenia dokumentów i wydruków w niszczarkach
- Zabrania się pozostawiania dokumentów w miejscach dostępnych dla osób postronnych
- Zabrania się wyrzucania niezniszczonych dokumentów na śmietnik
5. Zasady wynoszenia nośników z danymi poza firmę/organizację
- Użytkownicy nie mogą wynosić na zewnątrz niezaszyfrowanych nośników z danymi osobowymi (np. przenośnych dysków twardych, pen-drive, płyt CD, DVD, pamięci typu Flash)
- Dane osobowe wynoszone poza organizację muszą być zaszyfrowane (szyfrowane dyski przenośne, zahasłowane pliki, zabezpieczone smartfony)
- Należy zapewnić bezpieczne przewożenie dokumentacji papierowej w plecakach, teczkach w celu zabezpieczenia ich przed zagubieniem i kradzieżą
6. Zasady korzystania z internetu
- Zabrania się instalowania programów z Internetu bez konsultacji z informatykiem
- Użytkownik ponosi odpowiedzialność za szkody spowodowane przez takie oprogramowanie
- Zabrania się wchodzenia na strony z nielegalnym oprogramowaniem do pobrania oraz na hackerskie
- Nie należy w opcjach przeglądarki internetowej włączać opcji autouzupełniania formularzy i zapamiętywania haseł
7. Zasady korzystania z poczty elektronicznej
- Pliki w danymi osobowymi w Wordzie, Excelu, w Pdf lub spakowane (7zip), przed wysłaniem ich do osób trzecich powinny być zahasłowane a hasło powinno być przesłane do odbiorcy telefonicznie lub SMS
- W przypadku zabezpieczenia plików hasłem, obowiązuje minimum (np. 12) znaków: duże i małe litery i cyfry lub znaki specjalne
- Użytkownicy powinni zwracać szczególną uwagę na poprawność adresu odbiorcy dokumentu
- WAŻNE: Nie otwierać załączników (.zip, .rar, .xlsm, .pdf, .exe) w mailach!!!!! Są to zwykle „wirusy”, które infekują komputer oraz często pozostałe komputery w sieci. WYSOKIE RYZYKO UTRATY BEZPOWROTNEJ UTRATY DANYCH
- WAŻNE: Nie wolno „klikać” na hiperlinki w mailach, gdyż mogą to być hiperlinki do stron z „wirusami”. Użytkownik „klikając” na taki hiperlink infekuje komputer oraz inne komputery w sieci. WYSOKIE RYZYKO UTRATY BEZPOWROTNEJ UTRATY DANYCH
- Należy zgłaszać informatykowi przypadki podejrzanych emaili
- Użytkownicy nie powinni rozsyłać „niezawodowych” emaili w formie „łańcuszków szczęścia"
- Podczas wysyłania maili do wielu adresatów jednocześnie, należy użyć metody „Ukryte do wiadomości – UDW”. Zabronione jest rozsyłanie maili do wielu adresatów z użyciem opcji „Do wiadomości”!
- Użytkownicy powinni okresowo kasować niepotrzebne maile
- Zakazuje się wysyłania korespondencji służbowej na prywatne skrzynki pocztowe pracowników lub innych osób
- Użytkownik bez zgody Pracodawcy / Zleceniodawcy nie ma prawa wysyłać wiadomości zawierających dane osobowe dotyczące Pracodawcy / Zleceniodawcy, jego pracowników, klientów, dostawców lub kontrahentów za pośrednictwem Internetu, w tym przy użyciu prywatnej elektronicznej skrzynki pocztowej
8. Skrócona instrukcja postępowania w przypadku naruszenia ochrony danych osobowych
- Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadomienia Pracodawcy / Zleceniodawcy w przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych
-
Do sytuacji wymagających powiadomienia, należą:
- niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów
- niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych
- nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek)
-
Do incydentów wymagających powiadomienia, należą:
- zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności)
- zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych)
- umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania)
-
Typowe przykłady incydentów wymagające reakcji:
- ślady na drzwiach, oknach i szafach wskazują na próbę włamania
- dokumentacja jest niszczona bez użycia niszczarki
- fizyczna obecność w budynku lub pomieszczeniach osób zachowujących się podejrzanie
- otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe
- ustawienie monitorów pozwala na wgląd osób postronnych w dane osobowe
- wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz organizacji bez upoważnienia Pracodawcy / Zleceniodawcy
- udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej i ustnej
- telefoniczne próby wyłudzenia danych osobowych
- kradzież, zagubienie komputerów lub CD, twardych dysków, Pen-drive z danymi osobowymi
- maile zachęcające do ujawnienia identyfikatora i/lub hasła,
- pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów
- hasła do systemów przyklejone są w pobliżu komputera
9. Obowiązek zachowania poufności i ochrony danych osobowych
-
Każda z osób dopuszczonych do przetwarzania danych osobowych jest zobowiązana do:
- przetwarzania danych osobowych wyłącznie w celu i zakresie powierzonych jej zadań
- zachowania w tajemnicy danych osobowych do których ma
- niewykorzystywania danych osobowych w celach niezgodnych z zakresem i celem powierzonych jej zadań
- zachowania w tajemnicy sposobów zabezpieczenia danych osobowych
- Zabrania się przekazywania bezpośrednio lub przez telefon danych osobowych osobom nieupoważnionym lub osobom których tożsamości nie można zweryfikować lub osobom podszywającym się pod kogoś innego
- Zabrania się przekazywania lub ujawniania danych osobom lub instytucjom, które nie mogą wykazać się jasną podstawą prawną do dostępu do takich danych
- Każda z osób dopuszczonych do przetwarzania danych osobowych jest zobowiązana zabezpieczenia danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem, nieuprawnionym dostępem do danych osobowych oraz przetwarzaniem
10. Postępowanie dyscyplinarne
- Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych lub naruszenie zasad współpracy
- Postępowanie sprzeczne z powyższymi zobowiązaniami, może też być uznane przez Pracodawcę / Zleceniodawcę za naruszenie przepisów karnych zawartych w ogólnym Rozporządzeniu o ochronie danych UE z dnia 27 kwietnia 2016 r.