POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

  1. Postanowienia ogólne
  2. Polityka bezpieczeństwarozumiana jest jako wykaz praw, reguł i praktycznych doświadczeń regulujących zasady przetwarzania, sposób zarządzania, ochrony i dystrybucji danych osobowych których administratorem w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwana „RODO”) jest: 

RATIO 89 spółka z ograniczoną odpowiedzialnością z siedzibą w Poznaniu (61-404), ul. Opolska 75A/2

Polityka Bezpieczeństwa Danych Osobowych obejmuje całokształt zagadnień związanych z problemem zabezpieczenia danych osobowych przetwarzanych zarówno tradycyjnie jak i w systemach informatycznych. Wskazuje działania przewidziane do wykonania oraz sposób ustanowienia zasad i reguł postępowania koniecznych do zapewnienia właściwej ochrony przetwarzanych danych osobowych.

  1. W celu zabezpieczenia danych osobowych przed nieuprawnionym udostępnieniem Administrator danych wprowadza określone niniejszym dokumentem zasady przetwarzania danych. Zasady te określa w szczególności Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumenty te są uzupełniane załącznikami do dokumentacji, na które składają się m.in.: wykazy zbiorów, miejsc ich przetwarzania oraz osób upoważnionych do przetwarzania danych.
  2. W celu zapewnienia prawidłowego monitorowania przetwarzania danych wprowadza się ewidencje, które szczegółowo charakteryzują obszary objęte monitoringiem, umożliwiając pełną kontrolę nad tym, jakie dane i przez kogo są przetwarzane oraz komu udostępniane.
  3. Mając świadomość, iż żadne zabezpieczenie techniczne nie gwarantuje pełnej szczelności systemu, konieczne jest, aby każdy pracownik upoważniony do przetwarzania danych był świadomy odpowiedzialności, postępował zgodnie z przyjętymi zasadami i minimalizował zagrożenia wynikające z błędów ludzkich.
  4. W związku z powyższym wprowadza się stosowne środki organizacyjne i techniczne zapewniające właściwą ochronę danych oraz nakazuje ich bezwzględne stosowanie, zwłaszcza przez osoby dopuszczone do przetwarzania danych.
  5. Polityka Bezpieczeństwa Danych Osobowych, zwana dalej Polityką Bezpieczeństwa :
  1. obowiązuje wszystkich pracowników Administratora Danych Osobowych,
  2. reguluje zasady współpracy z osobami i podmiotami współpracującymi z Administratorem danych osobowych, mającymi dostęp do przetwarzanych danych.
  1. Definicje

W niniejszym dokumencie użyto następujących pojęć, które oznaczają:

  1. Ustawa – ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2014 r., poz. 1182 z późn. zm.), w tym także ustawa nowelizująca oraz ustawa z 2018 roku, która zastąpi dotychczasową ustawę z dnia 29 sierpnia 1997 roku.
  2. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich informacji
  3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art.6 ust. 1 Ustawy)
  4. Administrator Danych Osobowych lub Administrator danych lub ADO – osoba decydująca o celach i środkach przetwarzania danych osobowych, którą jest Spółka  RATIO 89 spółka z ograniczoną odpowiedzialnością z siedzibą w Poznaniu (61-404), ul. Opolska 75A/2;
  5. Personel, Pracownicy – osoby zatrudnione na podstawie stosunku pracy, umów cywilnoprawnych (umowa o dzieło, umowa zlecenia), przedsiębiorcy wykonujący działalność osobiście i jednoosobowo, osoby odbywające praktyki, stażyści, osoby skierowane do pracy w ramach umów z agencjami pracy tymczasowej wykonujące prace związane z przetwarzaniem danych osobowych u ADO.
  6. Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
  7. Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
  8. Dane wrażliwe –  dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazania, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
  9. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
  10. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w Systemie informatycznym;
  11. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
  12. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi  programowych zastosowanych w celu przetwarzania danych;
  13. Integralność danych – rozumie się przez to właściwość zapewniającą, że  dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  14. Rozliczalność  – właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
  15. Poufność danych – właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
  16. Państwo trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego;
  17. UODO –  Prezes Urzędu Ochrony Danych Osobowych jako organ nadzorczy;
  18. Procesor – podmiot, któremu ADO powierza przetwarzanie danych osobowych w drodze umowy 
  19. Publiczna sieć telekomunikacyjna – sieć telekomunikacyjna wykorzystywana głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych;
  20. Upoważnienie do przetwarzania danych osobowych –  dokument wydany przez ADO lub Procesora, upoważniający wskazaną w nim osobę do przetwarzania danych osobowych administrowanych przez ADO;  umowa powierzenia przetwarzania danych osobowych;
  1. Przetwarzanie danych.  Odpowiedzialność
  1. Do przetwarzania danych są dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO. Wzór upoważnienia stanowi załącznik nr 1 do niniejszej Polityki bezpieczeństwa.
  2. Osoby upoważnione do przetwarzania danych osobowych mają obowiązek:

1/ przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami wewnętrznymi,

2/ zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia,

3/ ochrony danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją zniszczeniem lub zniekształceniem, tak aby zapewnić ochronę praw i wolności osób, których dane osobowe są przekształcane,

4/ informowania ADO o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach.

  1. Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z obowiązkami służbowymi oraz rolą sprawowaną w procesie przetwarzania danych.
  2. Ochronie podlegają dane osobowe ( czyli informacje) przetwarzane:

1/ w kartotekach, skorowidzach, księgach i w innych zbiorach ewidencyjnych;

2/ w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.

  1. Do przetwarzania danych są dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO.
  2. Ewidencja upoważnień do przetwarzania danych osobowych stanowi załącznik nr 2 do niniejszej Polityki bezpieczeństwa.
  3. Ewidencja zawiera: imię i nazwisko osoby upoważnionej, datę nadania i ustania uprawnień oraz zakres, a w przypadku kiedy dane są przetwarzane za pomocą programu komputerowego również identyfikator dostępowy do tego programu.
  4. Osoby upoważnione zobowiązane są do przestrzegania przepisów prawa oraz wewnętrznych regulacji ADO o ochronie danych osobowych oraz zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobu ich zabezpieczenia. Zobowiązanie takie jest uwzględnione w ramach upoważnienia do przetwarzania danych osobowych.

Przekazywanie danych osobowych do państwa trzeciego

ADO nie przewiduje przekazywania danych osobowych do państw trzecich.

Udostępnienie danych osobowych

ADO nie przewiduje udostępnienia danych osobowych, poza przypadkami wymaganymi przepisami prawa bądź w celu wykonania umów zawartych z podmiotami trzecimi. W szczególności ADO przewiduje udostępnienia uzyskanych danych osobowych w związku z umowami współpracy zawartymi z TVN SA.

Powierzenie przetwarzania danych innym podmiotom

ADO dokonuje powierzenia przetwarzania danych osobowych innym podmiotom na podstawie odrębnych umów.

  1. Obowiązki ADO i Personelu

Obowiązki ADO

  1. Zapewnienie środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych, odpowiednio do zagrożeń oraz kategorii danych objętych ochroną,  w szczególności zabezpieczeniem danych przed:
    • udostępnieniem osobom nieupoważnionym,
    • zabraniem przez osobę nieuprawnioną,
    • zmianą, utratą, uszkodzeniem lub zniszczeniem.
  2. Zapewnienie legalności przetwarzania danych osobowych, a w szczególności zadbanie, by:
  1. została spełniona przesłanka dopuszczająca przetwarzanie danych osobowych,
  2. został spełniony obowiązek informacyjny wobec osoby, której dane dotyczą,
  3. dane były przetwarzane zgodnie z obowiązującymi przepisami prawa, dobrymi praktykami oraz normami społecznymi,
  4. dane zbierane były dla oznaczonych,  zgodnych z prawem celów, 
  5. dane były merytorycznie poprawne oraz adekwatne do celu przetwarzania,
  6. dane były przetwarzane nie dłużej niż jest to konieczne do osiągnięcia celu przetwarzania i wypełnienia wymogów prawnych.
  7. Prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych, w szczególności:
  1. Polityki bezpieczeństwa danych osobowych,
  2. Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
  1. Nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w punkcie 3 powyżej, oraz przestrzegania zasad w niej określonych,
  2. Dopuszczanie do przetwarzania danych osobowych wyłącznie osób upoważnionych.
  3. Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
  4. Wydawanie i ewidencjonowanie upoważnień.
  5. Zapewnienie i nadzorowanie zgodnego z prawem przekazywanie danych osobowych (udostępnianie i powierzanie).
  6. Respektowanie prawa osób do kontroli przetwarzania danych, które jej dotyczą, a w szczególności prawa do:
  1. uzyskania informacji o  administratorze danych,
  2. uzyskania informacji o celu, zakresie i sposobie przetwarzania danych,
  3. uzyskania informacji o terminie od kiedy i jakie dane są przetwarzane,
  4. uzyskania informacji o źródle, z którego dane pochodzą,
  5. uzyskania informacji o sposobie udostępniania danych oraz ich odbiorcach,
  6. żądania uzupełnienia, uaktualnienia, sprostowania danych,
  7. wniesienia umotywowanego wniosku do zaprzestania przetwarzania danych,
  8. wycofania zgody na przetwarzanie danych osobowych,
  9. żądania przeniesienia danych.
  1. Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
  2. Nadzorowanie fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe, w tym nadzorowanie dostępu do tych pomieszczeń oraz kontrolę przebywających w nich osób.
  3. Zapewnienie przeglądów, konserwacji oraz uaktualniania systemów służących do przetwarzania danych.
  4. Nadawanie, zmiany lub pozbawianie uprawnień dostępu do systemu informatycznego.
  5. Zapewnienie ochrony antywirusowej.
  6. Zapewnienie wykonywania kopii zapasowych.

Obowiązki Personelu (i innych osób upoważnionych przez ADO)

  1. Przestrzeganie zasad ochrony danych osobowych ustanowionych przez ADO i wynikających z aktualnie obowiązujących przepisów prawa.
  2. Przetwarzanie danych osobowych wyłącznie w zakresie uprawnień przyznanym przez ADO.
  3. Zgłaszanie do ADO wszelkich incydentów związanych z naruszeniem ochrony danych osobowych w szczególności:
  • usterek komputerów i oprogramowania,
  • wykrycia wirusów i innego potencjalnie niebezpiecznego oprogramowania,
  • uzyskania dostępu do zasobów, który przekracza uprawnienia,
  1. Zgłaszanie do ADO wszelkich nieprawidłowości i potencjalnych przyczyn wystąpienia incydentów związanych z naruszeniem ochrony danych osobowych.
  2. Niszczenie wszelkich zawierających dane osobowe dokumentów  i nośników, których okres przydatności minął.
  3. Zapisywanie haseł tylko i wyłącznie w specjalnym oprogramowaniu przeznaczonym do ich przechowywania.
  4. Przechowywanie dokumentów zawierających dane osobowe w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym. 
  1. Wykaz zbiorów osobowych 

W celu zapewnienie kontroli nad zakresem przetwarzanych danych osobowych przez Spółkę, w wyniku inwentaryzacji zbiorów danych utworzonyzostał wykaz zbiorów danych osobowych wraz ze wskazaniem programów komputerowych służących do ich przetwarzania, obejmujący także wykaz miejsc, w których dane zawarte w zbiorach są  przetwarzane oraz zakres informacji gromadzonych w poszczególnych zbiorach danych osobowych. Wykaz stanowi załącznik nr 3do niniejszej dokumentacji.

  1. Rejestr czynności przetwarzania

W związku z wprowadzenie przez przepisy RODO rejestru czynności przetwarzania przez ADO oraz rejestru kategorii przetwarzania przez podmiot przetwarzający, w celu zapewnienia stosowania przez spółkę jako administratora i jako podmiot przetwarzający zgodności z RODO, a także w celu umożliwienia organowi nadzorczemu monitorowania prowadzonego przetwarzania,  Spółka prowadzi rejestr czynności przetwarzania według wzoru w załączniku nr 4 oraz rejestr kategorii czynności przetwarzania według wzoru – w załączniku nr 5.

  1. Miejsca przetwarzania danych osobowych
  1. Dane osobowe mogą być przetwarzane wyłącznie w obszarach przetwarzania danych osobowych, zamieszczonych w załączniku nr 6 do niniejszej polityki.
  2. Dane osobowe przetwarzane są także poza obszarem przetwarzania wskazanym w Polityce. Przewidziane są procedury bezpieczeństwa danych dla takiego sposobu przetwarzania, opisane poniżej.
  3. Osoby przetwarzające dane poza obszarem przetwarzania, w szczególności osoby użytkujące komputer przenośny zachowują szczególną ostrożność podczas jego transportu, przechowania i użytkowania, w tym:
  • stosują środki ochrony kryptograficznej wobec danych osobowych przetwarzanych na tym komputerze,
  • nie pozostawiają komputera w miejscach publicznych bez opieki,
  • zabezpieczają dostęp do komputera na poziomie systemu operacyjnego – identyfikator i hasło,
  • nie udostępniają komputera osobom nieupoważnionym do dostępu do danych osobowych,
  • nie wykorzystują komputera do przetwarzania danych osobowych w obszarach użyteczności publicznej, ewentualnie uniemożliwiają wgląd osobom postronnym poprzez odpowiednie ustawienie i stosowanie wygaszaczy ekranu,
  • zachowują szczególną ostrożność przy podłączaniu do sieci publicznych, poza obszarem  przetwarzania danych osobowych i zachowują ostrożność podczas korzystania z zasobów sieci publicznej,
  • w przypadku podłączania komputera przenośnego do sieci publicznej poza siecią ADO stosują firewall zainstalowany bezpośrednio na tym komputerze oraz system antywirusowy,
  • przechowują komputer w miejscu nieodstępnym dla osób postronnych i poza zasięgiem wzroku osób trzecich.
  1. Lokalizacja danych osobowych została dobrana z uwzględnieniem wymaganych aspektów bezpieczeństwa przetwarzania danych osobowych, takich jak:
  1. zasilanie energią elektryczną,
  2. klimatyzacja oraz wentylacja,
  3. wykrywanie oraz ochrona przed pożarem i powodzią,
  4. fizyczna kontrola dostępu.
  5. Kopie zapasowe zawierające dane osobowe  przechowywane są w drugiej fizycznej lokalizacji w bezpiecznej odległości od lokalizacji podstawowej.
  1. VIII.Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

Sposób przepływu danych pomiędzy systemami.

W wykazie zbiorów danych osobowych stanowiącym załącznik nr 3 wskazano zakres przetwarzania danych dla każdego zbioru danych osobowych jak również sposób przepływu danych między poszczególnymi systemami.

  1. Ocena skutków ochrony danych

Wymóg przeprowadzenia oceny skutków dla ochrony danych dotyczy istniejących operacji przetwarzania, które ze względu na użycie nowych technologii, zakres i kategorie przetwarzania mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych oraz w przypadku których nastąpiła zmiana rodzaju ryzyka, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania. 

W Spółce nie występują operacje przetwarzania, które ze względu na podane w przepisach RODO kryteria mogły powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.

  1. Środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia Spółka wdrożyła opisane poniżej środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiadającego zidentyfikowanemu ryzyku.

Raport z analizy ryzyka stanowi załącznik nr 7

  1. Ochrona pomieszczeń wykorzystanych do przetwarzania danych osobowych.
  1. Budynek i wszystkie pomieszczenia, w których zlokalizowano przetwarzanie danych osobowych zabezpieczone są przed dostępem osób nieuprawnionych. Budynek i pomieszczenia zamykane są na klucz, nadto w budynku funkcjonuje ochrona oraz monitoring.
  2. Pomieszczenia, w których przetwarzane są dane osobowe są bezwzględnie zamykane podczas nieobecności osób upoważnionych do przetwarzania danych osobowych (nawet w przypadku krótkotrwałego opuszczenia pomieszczenia), w sposób ograniczający możliwość dostępu do nich osobom nieupoważnionym. Klucze nie mogą być pozostawione w zamku drzwi. Nie można wynosić ww. kluczy po zakończeniu pracy poza miejsca przeznaczonego do ich przechowywania. 
  3. Dokumenty gromadzone są w szafie zamykanej na klucz.
  4. Do serwerowni mają wstęp wyłącznie upoważnione do tego osoby.
  5. Wydruki i nośniki elektroniczne zawierające dane osobowe są przechowywane w zamykanych pomieszczeniach, które znajdują się w obszarach przetwarzania danych osobowych. Niepotrzebne wydruki lub inne dokumenty są niszczone za pomocą niszczarki niezwłocznie po ustaniu celu, dla którego dane osobowe zostały objęte wydrukiem.
  6. Przebywanie wewnątrz obszarów przetwarzania danych osobowych osób nieuprawnionych jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania tych danych lub za zgodą ADO.
  7. Dane osobowe będą przetwarzane wyłącznie w pomieszczeniach, do których będą miały dostęp wyłącznie osoby upoważnione. Osoby trzecie (np. goście, klienci, interesanci), będą przyjmowani wyłącznie w obecności osoby upoważnionej.  
  1. Zabezpieczenie sprzętu komputerowego.
  1. Dla zapewnienia ciągłości działania systemów informatycznych służących do przetwarzania danych osobowych zabezpiecza się sprzęt przed awarią zasilania lub zakłóceniami w sieci zasilającej. Stosowane są listwy z filtrami przeciwprzepięciowymi oraz zakłóceń nieliniowych sieci napięcia przemiennego.
  2. Zbiory danych osobowych oraz programy służące do przetwarzania danych osobowych są zabezpieczane przed przypadkową utratą albo celowym zniszczeniem poprzez wykonywanie kopii zapasowych na nośniku zewnętrznym, do którego dostęp ma wyłącznie administrator, a kopie zapasowe są usuwane niezwłocznie po ustaniu ich użyteczności.
  1. Środki ochrony przy teletransmisji danych.

W celu ochrony systemów informatycznych służących do przetwarzania danych osobowych przed zagrożeniami pochodzącymi z Internetu stosuje się zabezpieczenia chroniące przed nieuprawnionym dostępem. Komputery połączone są z siecią publiczną, ale dostęp może być inicjowany tylko z wewnątrz sieci lub wyłącznie przez tunel VPN i odpowiednią autentykację do serwera centralnego. Stosuje się oprogramowanie antywirusowe oraz „bramę ogniową”.

  1. Środki ochrony w ramach oprogramowania systemów:
  1. W celu zapewnienia rozliczalności operacji dokonywanych przez użytkowników systemu informatycznego, w systemie tym dla każdego użytkownika rejestrowany jest odrębny identyfikator i hasło.
  2. W przypadku, gdy do uwierzytelnienia użytkowników używa się identyfikatora i hasła, składa się ono z co najmniej 8 znaków i zawiera małe i duże litery, cyfry oraz znaki specjalne.
  3. Hasła służące do uwierzytelniania w systemach informatycznych służących do przetwarzania danych osobowych są zmieniane co najmniej raz na 90 dni.
  4. W przypadku, gdy system informatyczny służący do przetwarzania danych osobowych nie wymusza zmiany haseł, użytkownik jest zobowiązany do samodzielnej zmiany hasła po upływie 90 dni.
  5. Zastosowano środki zabezpieczające przed wykonywaniem nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.
  1. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych:
  1. W celu ochrony zbiorów danych osobowych prowadzonych w systemach informatycznych przed nieuprawnionym dostępem stosuje się mechanizmy kontroli dostępu do tych danych.
  2. System zapewnia automatyczne odnotowywanie w systemie informacji o identyfikatorze użytkownika, który wprowadził dane osobowe oraz dacie pierwszego wprowadzenia danych do systemu.
  3. Stosuje się oprogramowanie umożliwiające trwałe usunięcie danych osobowych z urządzeń, dysków lub innych elektronicznych nośników informacji, które przeznaczone są do naprawy, przekazania lub likwidacji przez osobę nieuprawnioną.
  1. Środki ochrony w ramach systemu użytkowego:
  1. W celu ochrony danych osobowych przetwarzanych na stacjach roboczych na czas krótkotrwałego opuszczenia stanowiska pracy przez użytkownika systemu, stosuje się mechanizm blokady stacji roboczej zabezpieczony hasłem.
  2. Stosuje się mechanizmy kontroli dostępu użytkowników do systemów – ogranicza się dostęp do katalogów.
  3. Na stacjach roboczych użytkownikom zabrania się instalowania nieautoryzowanego oprogramowania.
  4. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
  5. Stosuje się oprogramowanie antywirusowe z automatyczną aktualizacją w celu ochrony systemu przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.
  6. Kontrola antywirusowa jest przeprowadzana na wszystkich nośnikach magnetycznych i optycznych, służących zarówno do przetwarzania danych osobowych w systemie jak i do celów instalacyjnych.
  1. Środki organizacyjne:
  1. Wszelkie zbiory danych osobowych o charakterze roboczym, tworzone w ramach przetwarzania danej bazy danych osobowych muszą być usuwane/ niszczone niezwłocznie po wykorzystaniu.
  2. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie.
  3. Upoważnienia, przechowywane są w aktach i obowiązują do czasu ustania stosunku pracy/współpracy ze Spółką, chyba że wcześniej nastąpi ustanie obowiązków związanych z przetwarzaniem danych osobowych lub upoważnienie zostanie odwołane.
  4. Unieważnienie upoważnienia następuje na piśmie, wg wzoru stanowiącego załącznik do niniejszej dokumentacji.
  5. Każdy pracownik co najmniej raz na 2 lata zobowiązany jest odbyć szkolenie z zakresu ochrony danych osobowych. Za organizację szkoleń odpowiedzialny jest ADO. 
  6. Nowo przyjęty pracownik odbywa szkolenie przed przystąpieniem do przetwarzania danych, przed udzieleniem mu upoważnienia.
  7. Ponadto każdy upoważniony do przetwarzania danych potwierdza pisemnie na dokumencie upoważnienia do przetwarzania danych fakt zapoznania się z niniejszym dokumentem i potwierdza iż rozumienie wszystkie zasady bezpieczeństwa dotyczące przetwarzania danych osobowych. 
  8. Upoważnienie do przetwarzania danych ustaje najpóźniej wraz z wygaśnięciem stosunku pracy lub innego stosunku będącego podstawą dla przetwarzania danych (np. umowy zlecenia, umowy o dzieło), chyba, że zostanie wcześniej odwołane. Osoby upoważnione do przetwarzania danych zobowiązane są bezterminowo do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobu ich zabezpieczenia. 
  9. Dostęp do danych osobowych jest przyznawany tylko w takim zakresie, w jakim wymaga tego zakres powierzonych obowiązków służbowych.
  10. Z uwagi na obowiązek zapewnienia zgodności przetwarzania danych osobowych w Spółce z Ustawą, ADO lub osoba przez niego upoważniona ma prawo zobowiązać każdą osobę dopuszczoną do przetwarzania danych osobowych w Spółce  do stosowania się do przyjętych zasad oraz wstrzymać procesy w zakresie w jakim godziłyby w bezpieczeństwo danych osobowych. O każdym takim przypadku osoba upoważniona przez ADO zobowiązana jest niezwłocznie powiadomić ADO, który wskaże działania konieczne do spełnienia wymagań bezpieczeństwa.
  11. Przypadki naruszenia lub podejrzenia naruszenia bezpieczeństwa przetwarzania danych, np. w przypadku niedostępności, awarii, uszkodzeń, ostrzeżeń i alarmów bezpieczeństwa systemów informatycznych, urządzeń teleinformatycznych oraz danych powinny być niezwłocznie zgłaszane do ADO.

Szczegółowe informacje dotyczące środków ochrony technicznej systemu informatycznego, zawarte są w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.