POLITYKA OCHRONY DANYCH OSOBOWYCH
w ABM TOURISTIC SP. Z O.O.
( HOTEL USTKA)
Niniejsza Polityka została wdrożona Zarządzeniem Zarządu nr 5/2018 z dnia 25.05.2018 r.
CEL I ZAKRES OCHRONY DANYCH OSOBOWYCH
1. Aby zapewnić prawo do ochrony danych osobowych, które są przetwarzane przez ABM Touristic sp. z o.o. działającą na bazie Hotelu Ustka zwaną dalej „Administratorem”, ustanawia się niniejszą Politykę ochrony danych osobowych.
2. Polityka określa normy postępowania osób zatrudnionych i osób współpracujących w zakresie ochrony danych osobowych.
3. Polityka uwzględnia przepisy powszechnie obowiązującego prawa w zakresie ochrony danych osobowych, w szczególności przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /dalej „RODO”/.
4. Przy tworzeniu systemu ochrony danych osobowych Administrator przeprowadził analizę ryzyka dotyczącą ochrony danych osobowych i w oparciu o nią wdraża środki techniczne i organizacyjne zapewniające odpowiednie bezpieczeństwo danych osobowych.
DEFINICJE
Ilekroć w Polityce użyte zostaną niżej wymienione określenia, należy przypisać im definicje niżej wymienione.
1. Administrator ochrony danych osobowych/ Administrator – oznacza w niniejszej polityce spółkę ABM Touristic sp. z o.o. działającą na bazie Hotelu Ustka, z siedzibą w Ustce przy ul. Wczasowej 25.
2. Dane osobowe – informacje o osobie, której dane dotyczą, którą można dzięki nim bezpośrednio lub pośrednio zidentyfikować.
3. Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
4. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
5. Polityka ochrony danych – niniejszy dokument Polityki ochrony danych osobowych.
SYSTEM OCHRONY DANYCH OSOBOWYCH
W Spółce występują następujące zbiory danych osobowych:
– dane osób rekrutujących : CV, listy motywacyjne – Dział Kadr
– dane pracowników – Dział Kadr, Informatyk
– zakupy od osób fizycznych – Księgowość, Kierownik Żywienia, Kierownik
Marketingu, recepcja, Informatyk
– sprzedaż usług i towarów osobom fizycznym – Księgowość, Kierownik Żywienia,
Kierownik Marketingu, recepcja, Informatyk.
Miejsce przechowywania zbiorów danych osobowych – Hotel Ustka, ul. Wczasowa 25, a także odpowiednio – Dział Kadr, księgowość, recepcja, Kierownik Marketingu, Kierownik Żywienia.
ANALIZA RYZYKA
Aby zapewnić wdrożenie odpowiednich środków technicznych i organizacyjnych, administrator identyfikuje zagrożenia w procesach przetwarzania danych osobowych. Zagrożeniem będzie każdy czynnik, który może spowodować niedostępność danych osobowych, ich utratę, nieuprawniony dostęp lub nieautoryzowaną modyfikację. Za ryzyko uznaje się prawdopodobieństwo wystąpienia określonego zdarzenia w kontekście oczekiwanych następstw. Administrator okresowo, dokonuje przeglądu zidentyfikowanych ryzyk pod kątem ich aktualności i kompletności.
Każdy kierownik działu jest zobowiązany na bieżąco zgłaszać zidentyfikowane ryzyka do działu kadr.
ZABEZPIECZENIA DANYCH OSOBOWYCH
ZABEZPIECZENIA TECHNICZNE
W celu zapewnienia bezpieczeństwa danych osobowych wprowadzono następujące zabezpieczenia techniczne: monitoring wizyjny obiektu, system sygnalizacji włamania i napadu, system kontroli dostępu z użyciem haseł dostępu, klucze do drzwi, klucze do szaf, sejfy, szafy metalowe, szafy drewniane, czujniki ruchu, czujniki dymu, czujniki detekcji gazu, całodobowa recepcja, system pożarowy, niszczarki do dokumentów, procedura działania na wypadek naruszeń zabezpieczeń fizycznych.
ZABEZPIECZENIA ORGANIZACYJNE
1. Administrator wyznaczył osobę odpowiedzialną za system ochrony danych osobowych.
2. Administrator opracował i wdrożył dokumentację ochrony danych osobowych, w tym niniejszą Politykę.
3. Administrator zapewnia, że dane osobowe są przetwarzane wyłącznie przez osoby, które zostały zapoznane z zasadami ochrony danych osobowych i posiadają odpowiednie upoważnienie do przetwarzania danych osobowych, a także zostały zobowiązane do zachowania poufności w zakresie ochrony danych osobowych.
4. Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych,
5. Administrator poprzez wdrożenie procedury, kontroluje dostęp do obszarów przetwarzania danych osobowych.
6. Osoby zatrudnione są zobowiązane stosować politykę czystego biurka, przy wykonywaniu zadań wynikających z zatrudnienia są zobowiązane stosować obowiązujące u Administratora podstawowe zasady ochrony danych osobowych,
7. Administrator, w przypadku powierzania danych osobowych innym podmiotom, zawiera wymagane prawem umowy powierzenia przetwarzania danych osobowych.
ZABEZPIECZENIA FIZYCZNE
1. Administrator zabezpiecza budynki i pozostałe zasoby, aby zapewnić ochronę danych osobowych, w szczególności przed utratą i nieuprawnionym dostępem.
2. Administrator prowadzi monitoring wizyjny wyznaczonych obszarów przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa i porządku oraz ochrony osób i mienia. Monitorowanie nie narusza praw i podstawowych wolności osób i uwzględnia prawo do prywatności.
ZABEZPIECZENIA INFRASTRUKTURY TELEINFORMATYCZNEJ
ZASADY BEZPIECZNEGO UŻYTKOWANIA SPRZĘTU IT
1. Użytkownik zobowiązany jest korzystać ze Sprzętu IT w sposób zgodny z jego przeznaczeniem i chronić go przed jakimkolwiek zniszczeniem lub uszkodzeniem.
2. Użytkownik zobowiązany jest do zabezpieczenia Sprzętu IT przed dostępem osób nieupoważnionych, a w szczególności zawartości ekranów monitorów.
3. Użytkownik ma obowiązek natychmiast zgłosić zagubienie, utratę lub zniszczenie powierzonego mu Sprzętu IT
4. Samowolne otwieranie (demontaż) Sprzętu IT, instalowanie dodatkowych urządzeń (np. twardych dysków, pamięci) do lub podłączanie jakichkolwiek niezatwierdzonych urządzeń do systemu informatycznego jest zabronione.
5. Użytkownik rozpoczyna pracę z systemem informatycznym przetwarzającym dane osobowe z użyciem identyfikatora i hasła
6. Użytkownik jest zobowiązany do uniemożliwienia osobom niepowołanym (np. Gościom hotelu, pracownikom innych działów) wgląd do danych wyświetlanych na monitorach komputerowych – tzw. Polityka czystego ekranu
7. Przed czasowym opuszczeniem stanowiska pracy, użytkownik zobowiązany jest wywołać blokowany hasłem wygaszacz ekranu lub wylogować się z systemu.
8. Po zakończeniu pracy, użytkownik zobowiązany jest:
a. wylogować się z systemu informatycznego, a następnie wyłączyć sprzęt komputerowy
b. zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację oraz nośniki magnetyczne i optyczne, na których znajdują się dane osobowe
ZASADY KORZYSTANIA Z OPROGRAMOWANIA
1. Użytkownik zobowiązuje się do korzystania wyłącznie z oprogramowania objętego prawami autorskimi
2. Użytkownik nie ma prawa kopiować oprogramowania zainstalowanego na Sprzęcie IT przez Pracodawcę na swoje własne potrzeby ani na potrzeby osób trzecich
3. Instalowanie jakiegokolwiek oprogramowania na Sprzęcie IT może być dokonane wyłącznie przez osobę upoważnioną
4. Użytkownicy nie mają prawa do instalowania ani używania oprogramowania innego, niż przekazane lub udostępnione im przez Pracodawcę. Zakaz dotyczy między innymi instalacji oprogramowania z zakupionych dyskietek, płyt CD, programów ściąganych ze stron internetowych, a także odpowiadania na samoczynnie pojawiające się reklamy internetowe.
5. Użytkownicy nie mają prawa do zmiany parametrów systemu, które mogą być zmienione tylko przez osobę upoważnioną.
ZASADY KORZYSTANIA Z INTERNETU
1. Użytkownicy mają prawo korzystać z Internetu w celu wykonywania obowiązków służbowych
2. Przy korzystaniu z Internetu, użytkownicy mają obowiązek przestrzegać prawa własności przemysłowej i prawa autorskiego
ZASADY KORZYSTANIA Z POCZTY ELEKTRONICZNEJ
1. System Poczty Elektronicznej jest przeznaczony wyłącznie do wykonywania obowiązków służbowych
2. Przy korzystaniu z Systemu Poczty Elektronicznej, Użytkownicy mają obowiązek przestrzegać prawa własności przemysłowej i prawa autorskiego
3. Użytkownik nie ma prawa wysyłać wiadomości zawierających informacje poufne dotyczące Pracodawcy / Zleceniodawcy, jego pracowników, klientów, dostawców lub kontrahentów za pośrednictwem Internetu, w tym przy użyciu prywatnej elektronicznej skrzynki pocztowej
4. Użytkownicy nie powinni otwierać przesyłek od nieznanych sobie osób, których tytuł nie sugeruje związku z wypełnianymi przez nich obowiązkami służbowymi.
5. Użytkownicy nie powinni uruchamiać wykonywalnych załączników dołączonych do wiadomości przesyłanych pocztą elektroniczną.
6. W przypadku przesyłania plików danych osobowych do podmiotów zewnętrznych, Użytkownik zobowiązany jest do ich spakowania i zahasłowania (8 znaków: duże i małe litery i cyfry lub znaki specjalne). Hasło należy przesłać odrębnym mailem.
ZABEZPIECZENIA INFRASTRUKTURY INFORMATYCZNEJ
W celu zabezpieczenia infrastruktury informatycznej zastosowano następujące środki bezpieczeństwa.
1. UPS podtrzymujący zasilanie serwera
2. Listwy przepięciowe
3. Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej na serwerze
4. Programy zainstalowane na komputerach obsługujących przetwarzanie danych osobowych są użytkowane z zachowaniem praw autorskich i posiadają licencje
5. Lokalizacja komputerów typu PC, terminali, drukarek uniemożliwia osobom niepowołanym dostęp do nich
6. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła
7. Zastosowano środki ochrony przed szkodliwym oprogramowaniem
8. Użyto system Firewall do ochrony dostępu do sieci komputerowej
9. Zastosowano automat do tworzenia regularnej kopii bezpieczeństwa.
ZABEZPIECZENIA BAZ DANYCH I OPROGRAMOWANIA
Zastosowano następujące zabezpieczenia:
Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych. Dostęp do zbioru baz danych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. Zastosowano mechanizm umożliwiający automatyczną rejestrację identyfikatora użytkownika i datę pierwszego wprowadzenia danych. Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych. Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych dla poszczególnych użytkowników systemu informatycznego. Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych w przypadku dłuższej nieaktywności pracy użytkownika. Zastosowano system antywirusowy na stanowiskach, na których przetwarzane są dane (zabezpieczenie obligatoryjne)
METODY I ŚRODKI UWIERZYTELNIENIA
Do systemów informatycznych przetwarzających dane mają dostęp jedynie osoby do tego upoważnione. Użytkownik zobowiązuje się do zachowania hasła w poufności, nawet po utracie przez nie ważności. Zabronione jest zapisywanie haseł w sposób jawny oraz przekazywanie ich innym osobom. Użytkownik systemu zobowiązany jest do niezwłocznej zmiany tego hasła, gdy zostało ono ujawnione.
Hasła do sieci i serwera oraz do systemów przetwarzających dane osobowe – składają się co najmniej z 6 znaków, z dużych i małych liter oraz z cyfr lub znaków.
PROCEDURA TWORZENIA KOPII ZAPASOWYCH
Kopie zapasowe danych kadrowo-płacowych tworzone są przez system automatycznie na kolejny serwerze, oraz w chmurze. Kopie całościowe sporządzane są raz dziennie na kolejnym serwerze oraz chmurze. Każda kopia jest opisana datą jej sporządzenia. Kopie całościowe przechowywane są przez 30 dni. Dostęp do kopii ma wyłącznie Informatyk Hotelu. Niszczenie kopii bezpieczeństwa odbywa się poprzez trwałe skasowanie.
Kopie zapasowe dokumentacji serwera tworzone są w sposób zautomatyzowany w oparciu o wykorzystanie programowej funkcji serwera. Kopie bezpieczeństwa sporządzane są także dla dokumentacji gromadzonej na dyskach serwera przechowywania dokumentacji Kopie całościowe sporządzane są raz dziennie. Dostęp do kopii ma wyłacznie Informatyk Hotelu. Niszczenie kopi odbywa się przez skasowanie danych na dysku twardym.
OCHRONA PRZED NIEAUTORYZOWANYM DOSTĘPEM DO SIECI
Stosowane zabezpieczenia mają na celu zabezpieczenie systemów informatycznych przed nieautoryzowanym dostępem do sieci lokalnej
1. Za zaplanowanie, konfigurowanie, aktywowanie specjalistycznego oprogramowania monitorującego wymianę danych na styku sieci lokalnej i sieci rozległej odpowiada Informatyk Hotelu.
2. Stosowany jest Firewall sprzętowy i programowy na serwerze
3. Zastosowano mechanizmy kontroli dostępu do sieci.
4. Sieć bezprzewodową zabezpieczono protokołem.
5. Zastosowano mechanizmy monitorujące przeglądanie Internetu przez użytkowników.
PROCEDURA WYKONYWANIA PRZEGLĄDÓW I KONSERWACJI
Celem procedury jest zapewnienie ciągłości działania systemów informatycznych przetwarzających dane osobowe oraz zabezpieczenie danych osobowych przed ich nieuprawnionym udostępnieniem. Informatyk Hotelu odpowiada za bezawaryjną pracę systemu IT, w tym: stacji roboczych, aplikacji serwerowych, baz danych, poczty email. Przegląd i konserwacja systemu informatycznego powinny być wykonywane w terminach określonych przez producentów systemu lub zgodnie z harmonogramem, jednak nie rzadziej, niż raz w roku. Za terminowość przeprowadzenia przeglądów i konserwacji oraz ich prawidłowy przebieg odpowiada Informatyk Hotelu. Informatyk Hotelu odpowiada za optymalizację zasobów serwerowych, wielkości pamięci i dysków. Informatyk Hotelu odpowiada także za sprawdzanie poprawności działania systemu IT, w tym: stacji roboczych, serwerów, drukarek, baz danych, poczty email.
PROCEDURA DOSTĘPU DO POMIESZCZEŃ
1. Administrator nadzoruje proces przekazania kluczy do pomieszczeń.
2. Administrator lub osoba przez niego upoważniona, w przypadku konieczności nadania danemu użytkownikowi dostępu do danego pomieszczenia – wydaje użytkownikowi klucz odnotowując fakt przekazania w rejestrze kluczy.
3. Użytkownicy są zobowiązani do nadzoru nad otrzymanymi kluczami, są odpowiedzialni, aby klucze nie były przekazywane innym osobom inaczej, niż za pośrednictwem Administratora. Użytkownik jest zobowiązany niezwłocznie zgłosić zgubienie lub zniszczenie klucza.
4. Wszystkie osoby przebywające w obszarach przetwarzania danych są zobowiązane reagować i zgłaszać Administratorowi wszelkie incydenty w zakresie dostępu do pomieszczeń.
5. Wszystkie osoby przebywające w obszarach przetwarzania danych są zobowiązane zapewnić w zakresie własnych możliwości, że osoby trzecie nie będą przebywały w obszarach przetwarzania danych osobowych inaczej, niż w obecności upoważnionego pracownika.
OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH
1. Do przetwarzania danych osobowych mogą być dopuszczone osoby, które zostały zapoznane z zasadami ochrony danych osobowych i posiadają nadane upoważnienie do przetwarzania danych osobowych.
2. Upoważnienie nadawane jest przez Administratora lub osobę przez niego upoważnioną.
3. W momencie zatrudnienia, nie później niż przed dopuszczeniem do przetwarzania danych osobowych, Kierownik Administracji w porozumieniu z bezpośrednim przełożonym osoby, dla której składany jest wniosek, sprawdza czy ta osoba została zapoznana z zasadami ochrony danych osobowych i po pozytywnej weryfikacji niezwłocznie udziela upoważnienia.
4. Udzielone upoważnienia są przechowywane w miejscu zapewniającym ochronę przed nieuprawnionym dostępem.
5. Kierownik Administracji jest zobowiązany prowadzić ewidencję udzielonych upoważnień.
PODMIOTY PRZETWARZAJĄCE DANE OSOBOWE
Administrator w ramach prowadzonej działalności gospodarczej, realizując niektóre z zadań, korzysta z usług innych podmiotów. W przypadkach, gdy współpraca z tymi podmiotami wiąże się z koniecznością powierzenia im danych osobowych do przetwarzania, Administrator już na etapie zawierania umów z tymi podmiotami identyfikuje czy dochodzi do przepływów danych osobowych i zawiera wymagane w tym zakresie umowy powierzenia danych osobowych z uwzględnieniem warunków nadzoru nad powierzonymi procesami.
INCYDENTY NARUSZENIA OCHRONY DANYCH OSOBOWYCH
1. Zarządzanie incydentami w zakresie naruszeń ochrony danych osobowych jest traktowane przez Administratora jako jeden z istotniejszych elementów systemu bezpieczeństwa.
2. Incydent to każde działanie niezgodne z procedurą bezpieczeństwa, które może stanowić potencjalne niebezpieczeństwo wystąpienia zagrożenia w obszarze ochrony danych osobowych i bezpieczeństwa informacji.
3. W szczególności incydentami będą: ujawnienie danych osobowych osobom nieuprawnionym, nieautoryzowana zmiana, zniszczenie, uszkodzenie danych osobowych, błędy systemu informatycznego (np. w zakresie dostępu do danych osobowych), kradzież lub zniszczenie urządzeń przetwarzających/ przechowujących informacje oraz nośników danych, ataki na system informatyczny, naruszenie zapisów polityk/ procedur bezpieczeństwa, naruszenie zapisów umów z kontrahentami, pożar, zalanie, awaria systemu kontroli dostępu.
4. Postępowanie z incydentem obejmuje: identyfikację incydentu, zgłoszenie incydentu, opis incydentu i przygotowanie dokumentacji i/ lub materiałów dowodowych, analizę i ocenę incydentu, zabezpieczenie incydentu do czasu wdrożenia środków korygujących i naprawczych, postępowanie naprawcze, raport i dokumentacja.
5. Każda osoba, która zidentyfikuje incydent lub potencjalny incydent jest zobowiązana to zgłosić w formie mailowej (a w braku możliwości wysłania wiadomości e-mail – w formie telefonicznej lub bezpośrednio) do Kierownika Administracji. Każda osoba, która zidentyfikuje incydent jest zobowiązana do jego niezwłocznego zgłoszenia, nie później niż 4 godz. od powzięcia informacji o incydencie. Kierownik Administracji odpowiada za przyjęcie zgłoszenia incydentu, zabezpieczenie incydentu, przeprowadzenie oceny czy doszło do incydentu, analizę incydentu, podjęcie działań korygujących i naprawczych, sporządzenie raportu, ocenę skuteczności podjętych działań korygujących i naprawczych, prowadzenie rejestru incydentów.
6. W ramach procesu zarządzania incydentami Administrator realizuje zobowiązania RODO w tym zakresie, wskazane w art. 33 i 34 RODO; za zgłoszenia naruszeń i zawiadomienie o naruszeniu odpowiada Kierownik Administracji.
REALIZACJA PRAW OSÓB, KTÓRYCH DANE OSOBOWE SĄ PRZETWARZANE
1. Administrator realizuje prawa osób, których dane przetwarza i w trybie art. 12 RODO udziela osobie, której dane dotyczą, na jej wezwanie, informacji o przetwarzanych danych osobowych oraz o działaniach podjętych w związku z żądaniami na podstawie przepisów art. 15-22 RODO, a także realizuje obowiązek informacyjny zgodnie z art. 13-14 RODO.
2. Administrator realizuje obowiązek informacyjny w przypadku zbierania danych osobowych od osoby, której dane dotyczą,
3. Administrator realizuje obowiązek informacyjny w przypadku pozyskania danych osobowych w sposób inny niż od osoby, której dane dotyczą, w trybie art. 14 RODO Administrator umożliwia prawo dostępu do danych osobom, których dane dotyczą, w trybie art. 15 RODO.
4. Administrator realizuje prawo do sprostowania danych
5. Administrator realizuje prawo do usunięcia danych („prawo do bycia zapomnianym”)
6. Administrator realizuje prawo do ograniczenia przetwarzania, w trybie art. 18 RODO, z uwzględnieniem art. 19 RODO.
7. Administrator realizuje prawo do przenoszenia danych, w trybie art. 20 RODO.
8. Administrator realizuje prawo do sprzeciwu i prawo, aby nie podlegać zautomatyzowanemu podejmowaniu decyzji, w trybie art. 21 i 22 RODO.
9. Za realizację wszelkich wniosków w zakresie w/w uprawnień odpowiada Kierownik Administracji.
UDOSTĘPNIANIE DANYCH OSOBOWYCH
1. Administrator udostępnia dane osobowe podmiotom uprawnionym na mocy przepisów prawa lub innym podmiotom, w wypadku działania w oparciu o inną niż w/w podstawę prawną, w szczególności w oparciu o zgodę osoby, której dane dotyczą.
2. Wszystkie udostępnienia danych, inne niż podmiotom uprawnionym na mocy przepisów prawa, są odnotowane w rejestrze udostępnień, za który odpowiada Kierownik Administracji.
POUFNOŚĆ DANYCH I TAJEMNICA PRZEDSIĘBIORSTWA
3. Ilekroć jest mowa o danych poufnych objętych tajemnicą przedsiębiorstwa należy przez to rozumieć informacje szczególnie istotne dla Administratora, których ujawnienie bądź utrata mogłyby spowodować negatywny skutek. W szczególności do danych poufnych objętych tajemnicą przedsiębiorstwa należą: dane osobowe, w rozumieniu definicji wskazanej w RODO, informacje finansowe, handlowe, techniczne i technologiczne, wszelkie informacje o wdrożonych środkach technicznych i organizacyjnych w obszarze bezpieczeństwa informacji, informacje o kontrahentach, wdrożone polityki i procedury.
4. Każda osoba zatrudniona u Administratora jest zobowiązana do zapoznania się dokumentacją z zakresu bezpieczeństwa informacji i podpisaniu oświadczenia o zachowaniu poufności. Podczas szkolenia osoby zatrudnione są zapoznawane z podstawowymi zasadami bezpieczeństwa i są informowane o obiegu dokumentacji i formie zapoznania się z procedurami bezpieczeństwa.
5. Każda osoba zatrudniona, której zadania wynikające z zatrudnienia wiążą się z przetwarzaniem danych osobowych, może przystąpić do tych zadań po zapoznaniu się z dokumentacją, podpisaniu oświadczenia o zachowaniu poufności oraz po nadaniu jej upoważnienia do przetwarzania danych osobowych.
6. Do podstawowych obowiązków osób zatrudnionych, w obszarze bezpieczeństwa informacji, należą:
a) stosowanie przepisów prawa, szczególnie przepisów RODO i wewnętrznych polityk dotyczących przetwarzania danych osobowych
b) ochrona danych poufnych przed dostępem osób trzecich, osób nieuprawnionych, także w zakresie dostępu fizycznego
c) ochrona danych poufnych przed utratą, zniszczeniem, nieautoryzowaną zmianą, ujawnieniem osobom nieuprawnionym
d) przestrzeganie niniejszej Polityki, a także pozostałych procedur
e) przestrzeganie szczegółowych zasad bezpieczeństwa w zakresie dostępu do systemu informatycznego
f) nieujawnianie osobom nieuprawnionym wdrożonych zasad bezpieczeństwa, polityki haseł i innych rozwiązań organizacyjnych
g) niezwłoczne zgłaszanie Kierownikowi Administracji wszelkich incydentów w obszarze bezpieczeństwa informacji
h) niewykorzystywanie narzędzi służbowych do celów prywatnych
i) niewykorzystywanie do celów służbowych nieautoryzowanych środków przetwarzania informacji
7. Pracownicy posiadający dostęp do danych poufnych ponoszą odpowiedzialność porządkową i odszkodowawczą wynikającą z naruszenia zasad poufności, w oparciu o powszechnie obowiązujące przepisy prawa, w szczególności kodeksu pracy. Zawinione naruszenie obowiązku ochrony danych poufnych może stanowić podstawę do dyscyplinarnego rozwiązania z pracownikiem umowy o pracę.
8. Osoby współpracujące na innej podstawie niż umowa o pracę odpowiadają za naruszenie zasad niniejszej procedury na zasadach ogólnych.
POSTANOWIENIA KOŃCOWE
1. Niniejsza Polityka zastępuje wszystkie wcześniejsze wersje i wydania dokumentu w tej samej sprawie.
2. Nadzór nad bieżącym stosowaniem Polityki pełnią wszyscy kierownicy poszczególnych działów.
3. Nadzór kompleksowy nad realizacją zadań wynikających z niniejszej Polityki i dokumentów związanych pełni Kierownik Administracji.
4. Niniejsza Polityka jest dokumentem poufnym, a o jej dystrybucji każdorazowo decyduje Administrator lub dział kadr.
5. Dział kadr jest odpowiedzialny za zapewnienie, że wszystkie osoby zatrudnione przez Administratora zostaną zapoznane z systemem ochrony danych osobowych.
6. Dział kadr jest odpowiedzialny za zapewnienie aktualności niniejszej Polityki i przeprowadzanie jej cyklicznych przeglądów, nie rzadziej niż 1 raz na 2 lata.
7. Zmiana niniejszej Polityki wymaga zgody zarządu firmy.
OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH
1. Każda osoba przetwarzająca dane osobowe jest zobowiązana posiadać odpowiednie upoważnienie do przetwarzania danych osobowych.
2. Każda osoba przetwarzająca dane osobowe jest zobowiązana przestrzegać zasad poufności danych osobowych i chronić dane osobowe przed przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
3. Każda osoba zatrudniona jest zobowiązana przestrzegać zasad dostępu do pomieszczeń, w szczególności jest zobowiązana, aby nie umożliwić osobie nieuprawnionej wejścia do obszarów przetwarzania danych osobowych.
4. Każda osoba zatrudniona jest zobowiązana do niezwłocznego – w terminie 4 godzin – zgłaszania incydentów, zgodnie z obowiązującą w ABM Touristic sp. z o.o. procedurą.
5. Każda osoba zatrudniona jest zobowiązana do zgłaszania zauważonych luk w systemie ochrony danych osobowych i potencjalnych incydentów.
6. Wszystkie narzędzia pracy (m.in. poczta elektroniczna, internet, komputer, drukarki, wymienne nośniki informacji) powinny być wykorzystywane wyłącznie do celów wynikających z zatrudnienia w ABM Touristic sp. z o.o.
7. ABM Touristic sp. z o.o. zastrzega sobie prawo do przeglądu służbowej poczty elektronicznej i korespondencji, a także monitorowania wykorzystania narzędzi pracy, m.in. w zakresie rodzaju i legalności oprogramowania, odwiedzanych stron internetowych, weryfikacji połączeń telefonów komórkowych.
8. Zabronione jest powielanie, przekazywanie jakichkolwiek informacji poufnych inaczej niż w bezpośrednim związku z wykonywaniem zadań wynikających z zatrudnienia,w szcególności zabronione jest wysyłanie na adresy prywatne lub adresy osób nieuprawnionych informacji objetych klauzulą poufności.
9. Zabronione jest samodzielne instalowanie sprzętu lub oprogramowania na komputerach ABM Touristic sp. z o.o.
10. Należy przestrzegać zasady «czystego biurka», co oznacza, że po zakończeniu pracy na biurku nie powinna znajdować się dokumentacja zawierająca dane poufne. Także w trakcie pracy, w momencie odejścia od biurka, należy zabezpieczyć dokumenty poufne przed dostępem osób nieuprawnionych. Po zakończeniu pracy dokumentacja powinna być przechowywana w szafach zamykanych na klucz.
11. Należy przestrzegać zasady «czystego ekranu», co oznacza, że każde odejście od komputera powoduje obowiązek zablokowania widoku ekranu komputera.
12. Osoby zatrudnione korzystające ze sprzętu poza obszarem przetwarzania danych osobowych są zobowiązane dochować szczególnej staranności i zapewnić ochronę sprzętu przed kradzieżą, uszkodzeniem, zniszczeniem.
13. Zabronione jest wyrzucanie dokumentacji zawierającej dane poufne, w tym dane osobowe do koszy na śmieci. Dokumentacja taka powinna być niszczona w specjalnych niszczarkach lub przekazana do podmiotu profesjonalnie zajmującego sie niszczeniem dokumentacji.
14. Zabronione jest ujawnianie w jakimkolwiek zakresie tajemnicy haseł dostępu do systemu informatycznego.