Stosowane organizacyjne środki bezpieczeństwa

  1. Opracowano i wdrożono politykę ochrony danych osobowych i określono reguły przetwarzania danych osobowych w firmie;
  2. Nadawanie upoważnień osobom dopuszczonym do przetwarzania danych osobowych i prowadzenie ewidencji takich upoważnień;
  3. Pouczenie osób dopuszczonych do przetwarzania danych osobowych o obowiązku zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia;
  4. Wprowadzono wymóg zapoznania się z przepisami o ochronie danych osobowych dla osób upoważnionych do ich przetwarzania w firmie;
  5. Wprowadzono zasadę, że osoby nieuprawnione przebywały w obszarze przetwarzania wyłącznie za zgodą lub w obecności osoby upoważnionej do przetwarzania danych osobowych;
  6. Ustawienie monitorów komputerów w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane osobowe;
  7. Określono odpowiedzialność dyscyplinarną za działania związane z naruszeniem bezpieczeństwa danych osobowych;
  8. Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie stosowanych zabezpieczeń;
  9. Kopie zapasowe zbiorów danych osobowych przechowywane są w innym pomieszczeniu niż same zbiory danych.
  10. Powierzanie przetwarzania danych osobowych innym podmiotom tylko, gdy zapewniają one odpowiedni poziom zabezpieczenia danych osobowych.
  11. Wprowadzono zasadę „czystych biurek” – dane osobowe w formie papierowej po przetwarzaniu są przenoszone niezwłocznie do miejsca ich przechowywania;
  12. Kartki papieru, na których są dane osobowe, są niezwłocznie niszczone po przetwarzaniu danych.
  13. Stosuje się politykę czystego ekranu- na pulpicie nie zostawia się plików, dokumentów z danymi osobowymi
  14. Wprowadzono politykę kluczy.

Stosowane techniczne środki bezpieczeństwa

  1. Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zamykanymi na klucz.
  2. Dane są przechowywane w pomieszczeniu, w którym okna  zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.
  3. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych przez całą dobę jest nadzorowany przez służbę ochrony.
  4. Dostęp do pomieszczeń  jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony.
  5. Pomieszczenia, w których przetwarzane są dane wyposażone są w system alarmowy przeciwwłamaniowy.
  6. Dostęp do pomieszczeń kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.
  7. Dane w formie papierowej przechowywane są w zamkniętej, niemetalowej/metalowej szafie lub sejfie, kopie zapasowe/archiwalne danych osobowych przechowywane są w zamkniętej niemetalowej/metalowej szafie lub sejfie.
  8. Pomieszczenia, w których przetwarzane są dane są zabezpieczone przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.
  9. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
  10. Stosuje się urządzenia podtrzymujące napięcie elektryczne w razie awarii prądu (UPS, generatory prądu, baterie w laptopie).
  11. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
  12. Dostęp do programów komputerowych, na których przetwarzane są dane osobowe zabezpieczone są hasłami.
  13. Wprowadzono zasadę, że hasła powinny być „trudne” (8 znaków w tym litery, cyfry, znaki dodatkowe).
  14. Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do systemu służącego do przetwarzania danych.
  15. Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych w systemie informatycznym.
  16. Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego w systemie informatycznym zbioru danych osobowych.
  17. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
  18. Ustawiono na poczcie mailowej powiadomienia o nierozpoznanych logowaniach.
  19. Wprowadzono zasadę tworzenie kopii zapasowych raz na miesiąc.
  20. Sieć wewnętrzna zabezpieczona jest poprzez firewall.
  21. Sieć wewnętrzna zabezpieczona jest poprzez program antywirusowy z zaktualizowaną bazą.
  22. Przesyłanie danych osobowych w wiadomościach mailowych dokonywane jest w zaszyfrowanych plikach.