RODO – regulamin ochrony danych

SPIS TREŚCI

Wstęp

  1. Nadawanie uprawnień do przetwarzania danych osobowych
  2. Zasady bezpiecznego użytkowania sprzętu IT
  3. Zasady korzystania z oprogramowania
  4. Zasady korzystania z Internetu
  5. Zasady korzystania z poczty elektronicznej
  6. Zasady korzystania z służbowych telefonów komórkowych
  7. Ochrona antywirusowa
  8. Polityka haseł 
  9. Hasła użytkowników uprzywilejowanych
  10. Uwierzytelnianie z wykorzystaniem innych narzędzi 
  11. Procedura rozpoczęcia, zawieszenia i zakończenia pracy
  12. Postępowanie z zewnętrznymi nośnikami zawierającymi dane osobowe
  13. Postępowanie z dokumentacją papierową zawierającą dane osobowe
  14. Zapewnienie poufności danych osobowych
  15. Skrócona instrukcja postępowania w przypadku naruszenia ochrony danych osobowych 
  16. Odpowiedzialność

Wstęp

Niniejszy Regulamin Ochrony Danych Osobowych (zwany dalej Regulamin ODO) obowiązuje:

a. pracowników,

b. praktykantów, stażystów posiadających dostęp do danych osobowych przetwarzanych przez Anneberg,

c. Administrator Systemu Informatycznego.

Regulamin ODO stanowi wyciąg najistotniejszych reguł dot. przetwarzania danych osobowych zgodnie z przepisami RODO.

 

1.      Nadawanie uprawnień do przetwarzania danych osobowych

  1. Każdy użytkownik mający dostęp do DO musi:
    a. zapoznać się z niniejszym regulaminem,
    b. podpisać oświadczenie o poufności.
  2. Każdy użytkownik systemu informatycznego, w którym następuje przetwarzanie DO, musi pracować na indywidualnym koncie, do którego logowanie następuje z wykorzystaniem indywidualnego identyfikatora oraz hasła.
  3. ASI/administrator systemu na podstawie polecenia osoby upoważnionej nadaje/odbiera użytkownikowi uprawnienia do sytemu informatycznego bądź wydzielonego zasobu.
  4. W przypadku anulowania dostępu, identyfikator użytkownika jest blokowany w systemie.

2.      Zasady bezpiecznego użytkowania sprzętu IT

  1. Przez sprzęt IT służący do przetwarzania danych osobowych należy rozumieć służbowe: komputery stacjonarne, laptopy, tablety, smartfony, drukarki, rejestratory, infrastruktura serwerowa (serwery, macierze, biblioteki taśmowe).
  2. Użytkownik zobowiązany jest korzystać ze sprzętu IT w sposób zgodny z jego przeznaczeniem i chronić go przed jakimkolwiek zniszczeniem lub uszkodzeniem.
  3. Użytkownik zobowiązany jest do zabezpieczenia sprzętu IT przed dostępem osób nieupoważnionych a w szczególności zawartości ekranów monitorów.
  4. Użytkownik ma obowiązek natychmiast zgłosić zagubienie, utratę lub zniszczenie powierzonego mu sprzętu IT.
  5. Samowolne otwieranie (demontaż) sprzętu IT, instalowanie dodatkowych urządzeń (np. twardych dysków, pamięci) do lub podłączanie jakichkolwiek niezatwierdzonych urządzeń do systemu informatycznego jest zabronione.

 

3.      Zasady korzystania z oprogramowania

  1. Użytkownik zobowiązuje się do korzystania wyłącznie z legalnego oprogramowania objętego prawami autorskimi.
  2. Użytkownik nie ma prawa kopiować oprogramowania zainstalowanego na sprzęcie IT na swoje własne potrzeby ani na potrzeby osób trzecich.
  3. Instalowanie jakiegokolwiek oprogramowania na sprzęcie IT może być dokonane wyłącznie przez osobę upoważnioną.
  4. Użytkownicy nie mają prawa do instalowania ani używania oprogramowania innego, niż przekazane lub udostępnione im przez pracodawcę. Zakaz dotyczy między innymi instalacji oprogramowania z dyskietek, kart pamięci, pamięci USB, płyt CD, programów ściąganych ze stron internetowych, a także odpowiadania na samoczynnie pojawiające się reklamy internetowe.
  5. Powyższe nie zwalnia z obowiązku zastosowania wszelkich wymaganych środków bezpieczeństwa w celu zabezpieczenia systemu informatycznego przez nieuprawnionym dostępem, naruszeniem bądź zniszczeniem DO.
  6. Użytkownicy nie mają prawa do wprowadzania zmian w parametrach systemu/konfiguracji systemu bez zgody Zarządu/ASI, jeśli zmiany te mogłyby w jakikolwiek sposób wpływać negatywnie na działanie i bezpieczeństwo systemu informatycznego.

4.      Zasady korzystania z Internetu

  1. Użytkownicy mają prawo korzystać z internetu wyłącznie w celu wykonywania obowiązków służbowych.
  2. Przy korzystaniu z internetu, użytkownicy mają obowiązek przestrzegać prawa własności przemysłowej i prawa autorskiego.
  3. W szczególności zabrania się używania oprogramowania mającego na celu m.in. podglądnięcie, podsłuchanie, przechwycenie informacji znajdującej się w sieci Anneberg bądź adresowanej do innego użytkownika.
  4. Zabrania się korzystania z programów, które mogą utworzyć połączenia tunelowe (szyfrowane lub nie) z siecią informatyczną lub telekomunikacyjną Anneberg, bez zgody Administratora Danych Osobowych.
  5. Użytkownik ponosi odpowiedzialność za szkody spowodowane przez oprogramowanie ściągnięte z Internetu i przez niego zainstalowane.
  6. Zabrania się wchodzenia na strony, na których prezentowane są informacje o charakterze przestępczym, hakerskim, pornograficznym, lub innym zakazanym przez prawo, ze względu na bardzo duże ryzyko zainfekowania systemu operacyjnego komputera szkodliwym oprogramowaniem.
  7. Zabrania się w opcjach przeglądarki internetowej włączać opcji autouzupełniania formularzy i zapamiętywania haseł.
  8. W przypadku korzystania z szyfrowanego połączenia przez przeglądarkę, należy zwracać uwagę na pojawienie się odpowiedniej ikonki (kłódka, protokół https).
  9. W zakresie dozwolonym przepisami prawa, Anneberg zastrzega sobie prawo kontrolowania sposobu korzystania przez użytkownika z internetu pod kątem wyżej opisanych zasad. Ponadto, w uzasadnionym zakresie, Anneberg zastrzega sobie prawo kontroli czasu spędzanego przez użytkownika w internecie. Anneberg może również blokować dostęp do niektórych treści dostępnych przez internet.

5.      Zasady korzystania z poczty elektronicznej

  1. System poczty elektronicznej jest przeznaczony do wykonywania obowiązków służbowych.
  2. Anneberg zastrzega sobie możliwość prowadzenie kontroli/przeglądania korespondencji służbowej użytkownika.
  3. W przypadku przesyłania danych osobowych ujawniających: pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, przekonania światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dot. zdrowia, seksualności, wyroków skazujących i naruszeń prawa) wewnątrz Anneberg bądź wszelkich danych osobowych poza jednostkę należy wykorzystywać mechanizmy kryptograficzne (pakowanie i hasłowanie wysyłanych plików). Hasło powinno spełniać wymagania zawarte w pkt 7 Polityka haseł. Hasło należy przesłać inną drogą.
  4. Użytkownicy powinni zwracać szczególną uwagę na poprawność adresu odbiorcy dokumentu.
  5. Zaleca się, aby użytkownik podczas przesyłania danych osobowych wiadomością e-mail, zawarł w treści prośbę, o potwierdzenie otrzymania i zapoznania się z informacją przez adresata.
  6. Wysyłając wiadomość e-mail do wielu odbiorców, należy ukryć dane innych adresatów, poprzez wpisanie adresów do wiersza UDW. Wyjątek stanowi przesyłanie wiadomości e-mail do wielu odbiorców wewnątrz jednostki.
  7. Nie należy otwierać załączników (plików) w korespondencji elektronicznej nadesłanej przez nieznanego nadawcę lub podejrzanych załączników nadanych przez znanego nadawcę.
  8. W szczególności nie należy otwierać załączników, które posiadają rozszerzenia plików wykonywalnych m. in.: „exe”, „com”, „bat”, „cmd”, „pif’, „lnk”, „386”, „adt”, „dll”, „vxd”, „bin”, „cpl”, „cbt”, „cla”, „csc”, „drv”, „ovr”, „ovl”, „ocx”, „scr”, „shs”, „sys”, „js”, „jr”, „jre”, „vbe”, „vbs”, „htm”, „html”,”url”, „php”, „cgi”.
  9. W przypadku wątpliwości dotyczących oceny bezpieczeństwa załącznika, przed jego otworzeniem należy skontaktować się z ASI.
  10. Zabrania się rozsyłania za pośrednictwem poczty elektronicznej informacji stanowiących zagrożenie dla systemu informatycznego t.j. „łańcuszków szczęścia” itp..
  11. Użytkownicy powinni kasować niepotrzebne wiadomości pocztowe.
  12. W stopce każdej wiadomości powinna znajdować się następująca informacja ,,Uwaga! Niniejsza korespondencja przeznaczona jest wyłącznie dla osoby lub podmiotu, do którego jest zaadresowana i może zawierać treści chronione przepisami prawa. Wgląd w treść wiadomości otrzymanej omyłkowo, dalsze jej przekazywanie, rozpowszechnianie lub innego rodzaju wykorzystanie, bądź podjęcie jakichkolwiek działań w oparciu o zawarte w niej informacje przez osobę lub podmiot niebędący adresatem, jest niedozwolone. Odbiorca korespondencji, który otrzymał ją omyłkowo, proszony jest o zawiadomienie nadawcy i usunięcie tego materiału z komputera.’’.

6.      Zasady korzystania z służbowych telefonów komórkowych

  1. Telefony komórkowe, służą do wykonywania powierzonych obowiązków służbowych.
  2. Pracownicy zobowiązani są do zabezpieczenia powierzonych im telefonów służbowych przed zagubieniem oraz nieuprawnionym dostępem osób trzecich.
  3. Pracownicy posiadający telefony komórkowe firmowe, są zobowiązani do zabezpieczenia dostępu do urządzenia poprzez hasło.
  4. Pracownicy posiadający telefony komórkowe firmowe, są zobowiązani do stosowania automatycznej blokady ekranu po 60s od braku aktywności (jeśli istnieje taka możliwość).

7.      Ochrona antywirusowa

  1. Użytkownicy zobowiązani są do skanowania plików wprowadzanych z zewnętrznych nośników programem antywirusowym.
  2. Zakazane jest wyłączanie systemu antywirusowego.
  3. W przypadku stwierdzenia zainfekowania systemu, użytkownik obowiązany jest poinformować niezwłocznie o tym fakcie ASI oraz bezpośredniego przełożonego.

8.      Polityka haseł

  1. Użytkownik zobowiązany jest do niezwłocznej zmiany hasła tymczasowego.
  2. Hasło powinno składać się co najmniej z 8 znaków (dużych i małych liter oraz z cyfr lub znaków specjalnych).
  3. Zmiana hasła do systemu operacyjnego następuje nie rzadziej, niż co 90 dni oraz niezwłocznie w przypadku podejrzenia, że hasło mogło zostać ujawnione.
  4. Zmianę hasła wymusza użytkownik jeśli zmiana nie jest wymuszana przez oprogramowanie.
  5. Użytkownik systemu w trakcie pracy w aplikacji może zmienić swoje hasło.
  6. Hasła nie mogą być powszechnie używanymi słowami. W szczególności nie należy jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów.
  7. Użytkownik zobowiązuje się do zachowania hasła w poufności, nawet po utracie przez nie ważności.
  8. Zabronione jest zapisywanie haseł w sposób jawny oraz przekazywanie ich innym osobom.

9.      Hasła użytkowników uprzywilejowanych

  1. Administrator Systemu Informatycznego zobowiązany jest do zabezpieczenia haseł administratora w bezpiecznej kopercie przechowywanej w bezpiecznym miejscu, do którego dostęp posiada wyłącznie Prezes Anneberg lub wyznaczona przez niego osoba.
  2. Administratorzy innych programów (na prawach administratora w zakresie określonego programu) zobowiązani są do umieszczenia haseł administratora w zamkniętych kopertach w bezpiecznym miejscu.
  3. W jednej kopercie może znajdować się hasło wyłącznie do jednego programu.

10.   Uwierzytelnianie z wykorzystaniem innych narzędzi

  1. W przypadku stosowania do identyfikacji kart magnetycznych, chipowych lub innych narzędzi uwierzytelniających przechowuje się je w miejscach niedostępnych dla osób nieupoważnionych, np.: sejfach, szafach metalowych, pod kluczem.
  2. Zabronione jest wynoszenie określonych powyżej kart/narzędzi uwierzytelniających na zewnątrz Anneberg bez zgody ADO, a także udostępnianie osobom nieupoważnionym oraz kopiowanie ich zawartości.

11.   Procedura rozpoczęcia, zawieszenia i zakończenia pracy

  1. Użytkownik rozpoczyna pracę w systemie informatycznym przetwarzającym dane osobowe po zalogowaniu z użyciem identyfikatora i hasła.
  2. Użytkownik jest zobowiązany do uniemożliwienia osobom niepowołanym (np. klientom, pracownikom innych działów) wgląd do danych wyświetlanych na monitorach komputerowych – tzw. polityka czystego ekranu.
  3. Przed czasowym opuszczeniem stanowiska pracy, użytkownik zobowiązany jest wywołać blokowany hasłem wygaszacz ekranu (kombinacja klawiszy [WIN]+[L]) lub wylogować się z systemu.
  4. Po zakończeniu pracy, użytkownik zobowiązany jest:
    a. do poprawnego zamknięcia programów i aplikacji,
    b. wylogować się z systemu informatycznego, a następnie wyłączyć sprzęt komputerowy,
    c. zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację oraz nośniki magnetyczne, elektryczne (tzw. pamięci flash) i optyczne, na których znajdują się dane osobowe.

12.   Postępowanie z zewnętrznymi nośnikami zawierającymi dane osobowe

  1. Zabrania się korzystania z prywatnych zewnętrznych nośników danych (dyskietek, płyt CD, płyt DVD, pamięci USB, wymiennych twardych dysków itp.).
  2. W przypadku używania służbowych zewnętrznych nośników danych, użytkownik zobowiązany jest przed skorzystaniem z nich, skontrolować nośnik programem antywirusowym.
  3. W przypadku gdy zachodzi konieczność korzystania/skorzystania z innego nośnika zewnętrznego niż służbowy, należy zgłosić to ASI.
  4. Nośniki danych zawierające dane osobowe należy przechowywać w bezpiecznym miejscu, w sposób zapewniający zabezpieczenie przed dostępem osób nieuprawnionych.
  5. W przypadku konieczności wyniesienia zewnętrznego nośnika danych, na którym znajdują się dane osobowe poza obszar jednostki, należy zabezpieczyć nośnik poprzez dokonanie szyfrowania.
  6. Za zgłoszenie do ASI, konieczności zaszyfrowania zewnętrznego nośnika danych odpowiada użytkownik.
  7. Zabrania się bez zgody ADO sporządzania kopii danych zawierających dane osobowe oraz innych danych będących własnością Anneberg, oraz wynoszenie ich poza obszar ośrodka.
  8. W sytuacji przesyłania/przekazywania nośników z danymi osobowymi poza obszar Anneberg należy stosować następujące zasady bezpieczeństwa:
    a. adresat powinien zostać powiadomiony o przesyłce,
    b. nadawca powinien sporządzić kopię przesyłanych danych,
    c. dane przed wysłaniem powinny zostać zaszyfrowane a hasło podane adresatowi inną drogą,
    d. stosować bezpieczne koperty depozytowe,
    e. przesyłkę należy przesyłać przez kuriera,
    f. adresat powinien powiadomić nadawcę o otrzymaniu przesyłki.
  9. Użytkownicy są zobowiązani do niezwłocznego i trwałego usuwania/kasowania danych osobowych z nośników informacji po ustaniu powodu ich przechowywania (chyba, że z powodu odrębnych przepisów należy je zachować na dłużej).

13.   Postępowanie z dokumentacją papierową zawierającą dane osobowe

  1. Za bezpieczeństwo dokumentów i wydruków zawierających dane osobowe odpowiedzialne są wszystkie osoby mające dostęp do danych.
  2. Dokumenty i wydruki zawierające dane osobowe przechowuje się w pomieszczeniach zabezpieczonych fizycznie przed dostępem osób nieupoważnionych.
  3. Użytkownicy są zobowiązani do stosowania „polityki czystego biurka”. Polega ona na zabezpieczaniu dokumentów np. w szafach, biurkach, pomieszczeniach przed kradzieżą lub wglądem osób nieupoważnionych.
  4. Użytkownicy zobowiązani są do przewożenia dokumentów w sposób zapobiegający ich kradzieży, zagubieniu lub utracie.
  5. Użytkownicy zobowiązani są do niszczenia dokumentów i tymczasowych wydruków w niszczarkach niezwłocznie po ustaniu celu ich przetwarzania.

14.   Zapewnienie poufności danych osobowych

  1. Użytkownik zobowiązany jest do zachowania w tajemnicy danych osobowych, do których ma lub będzie miał dostęp w związku z wykonywaniem zadań służbowych lub obowiązków pracowniczych lub zadań zleconych przez Anneberg.
  2. Użytkownik zobowiązany jest do niewykorzystywania danych osobowych w celach pozasłużbowych bądź niezgodnych ze zleceniem o ile nie są one jawne.
  3. Użytkownik zobowiązany jest do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych o ile nie są one jawne.
  4. Zabrania się przekazywania bezpośrednio lub przez telefon danych osobowych osobom nieupoważnionym.

15.   Skrócona instrukcja postępowania w przypadku naruszenia ochrony danych osobowych

  1. Wszystkie przypadki podejrzenia naruszenia ochrony danych osobowych powinny być zgłaszane  Pełnomocnikowi ds. Ochrony Danych Osobowych/Inspektorowi Ochrony Danych Osobowych oraz bezpośredniemu przełożonemu.
  2. W przypadkach dot. naruszenia/podejrzenia naruszenia bezpieczeństwa danych osobowych w systemach informatycznych Pełnomocnik ds. Ochrony Danych Osobowych/Inspektor Ochrony Danych Osobowych informuje o zdarzeniu ASI.
  3. Typowe sytuacje, gdy użytkownik powinien powiadomić Pełnomocnika ds. Ochrony Danych Osobowych/Inspektora Ochrony Danych Osobowych:
    a.     ślady na drzwiach, oknach i szafach wskazują na próbę włamania,
    b. dokumentacja jest niszczona bez użycia niszczarki,
    c. fizyczna obecność w budynku lub pomieszczeniach osób zachowujących się podejrzanie,
    d. wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz firmy bez upoważnienia ADO,
    e. udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej i ustnej,
    f. telefoniczne próby wyłudzenia danych osobowych,
    g.kradzież komputerów lub CD, twardych dysków, pamięci USB z danymi osobowymi,
    h. maile zachęcające do ujawnienia identyfikatora i/lub hasła.
    i. pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów,
    j. hasła do systemów przyklejone są w pobliżu komputera,
    k. włamanie do systemu informatycznego lub pomieszczeń,
    l. awarie sprzętu komputerowego.

16.   Odpowiedzialność

  1. Nieuzasadnione zaniechanie obowiązków wynikających z niniejszego dokumentu potraktowane będzie jako ciężkie naruszenie obowiązków pracowniczych lub zasad współpracy.
  2. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.
  3. Kara dyscyplinarna, orzeczona wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000), RODO oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat.