Stosowane organizacyjne środki bezpieczeństwa
- Opracowano i wdrożono politykę ochrony danych osobowych i określono reguły przetwarzania danych osobowych w firmie;
- Nadawanie upoważnień osobom dopuszczonym do przetwarzania danych osobowych i prowadzenie ewidencji takich upoważnień;
- Pouczenie osób dopuszczonych do przetwarzania danych osobowych o obowiązku zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia;
- Wprowadzono wymóg zapoznania się z przepisami o ochronie danych osobowych dla osób upoważnionych do ich przetwarzania w firmie;
- Wprowadzono zasadę, że osoby nieuprawnione przebywały w obszarze przetwarzania wyłącznie za zgodą lub w obecności osoby upoważnionej do przetwarzania danych osobowych;
- Ustawienie monitorów komputerów w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane osobowe;
- Określono odpowiedzialność dyscyplinarną za działania związane z naruszeniem bezpieczeństwa danych osobowych;
- Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie stosowanych zabezpieczeń;
- Kopie zapasowe zbiorów danych osobowych przechowywane są w innym pomieszczeniu niż same zbiory danych.
- Powierzanie przetwarzania danych osobowych innym podmiotom tylko, gdy zapewniają one odpowiedni poziom zabezpieczenia danych osobowych.
- Wprowadzono zasadę „czystych biurek” – dane osobowe w formie papierowej po przetwarzaniu są przenoszone niezwłocznie do miejsca ich przechowywania;
- Kartki papieru, na których są dane osobowe, są niezwłocznie niszczone po przetwarzaniu danych.
- Stosuje się politykę czystego ekranu- na pulpicie nie zostawia się plików, dokumentów z danymi osobowymi
- Wprowadzono politykę kluczy.
Stosowane techniczne środki bezpieczeństwa
- Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zamykanymi na klucz.
- Dane są przechowywane w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.
- Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych przez całą dobę jest nadzorowany przez służbę ochrony.
- Dostęp do pomieszczeń jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony.
- Pomieszczenia, w których przetwarzane są dane wyposażone są w system alarmowy przeciwwłamaniowy.
- Dostęp do pomieszczeń kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.
- Dane w formie papierowej przechowywane są w zamkniętej, niemetalowej/metalowej szafie lub sejfie, kopie zapasowe/archiwalne danych osobowych przechowywane są w zamkniętej niemetalowej/metalowej szafie lub sejfie.
- Pomieszczenia, w których przetwarzane są dane są zabezpieczone przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.
- Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
- Stosuje się urządzenia podtrzymujące napięcie elektryczne w razie awarii prądu (UPS, generatory prądu, baterie w laptopie).
- Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
- Dostęp do programów komputerowych, na których przetwarzane są dane osobowe zabezpieczone są hasłami.
- Wprowadzono zasadę, że hasła powinny być „trudne” (8 znaków w tym litery, cyfry, znaki dodatkowe).
- Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do systemu służącego do przetwarzania danych.
- Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych w systemie informatycznym.
- Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego w systemie informatycznym zbioru danych osobowych.
- Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
- Ustawiono na poczcie mailowej powiadomienia o nierozpoznanych logowaniach.
- Wprowadzono zasadę tworzenie kopii zapasowych raz na miesiąc.
- Sieć wewnętrzna zabezpieczona jest poprzez firewall.
- Sieć wewnętrzna zabezpieczona jest poprzez program antywirusowy z zaktualizowaną bazą.
- Przesyłanie danych osobowych w wiadomościach mailowych dokonywane jest w zaszyfrowanych plikach.