POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Transkrypt

1 POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Customeritum Centrum Obsługi Klienta i Logistyki Sp. z o.o.

2 1 WSTĘP Zarząd Customeritum Centrum Obsługi Klienta i Logistyki Sp. z o.o. ma świadomość, że aktualna pozycja przedsiębiorstwa i jego przyszłość zależą od niezakłóconego funkcjonowania procesów przetwarzania danych osobowych. Zapewnienie ciągłości działalności Spółki i jej rozwoju zależy przede wszystkim od bezpieczeństwa danych osobowych oraz systemów, w których są one przetwarzane. Zarząd Customeritum Centrum Obsługi Klienta i Logistyki Sp. z o.o. jest także świadomy obowiązku ochrony tajemnic przedsiębiorstwa oraz przestrzegania przepisów prawa dotyczących ochrony danych osobowych, które są przetwarzane w bieżącej działalności Spółki, jak i potrzeby ponoszenia kosztów związanych z realizacją tego obowiązku. Gwarancją sprawnej i skutecznej ochrony danych osobowych jest zapewnienie wysokiego poziomu kultury ochrony danych osobowych. W związku z powyższym wprowadza się Politykę Bezpieczeństwa Danych Osobowych, której podstawowe założenia określa niniejszy dokument. Polityka Bezpieczeństwa Danych Osobowych jest zbiorem powiązanych ze sobą dokumentów określających sposób, w jaki informacje są zarządzane, zabezpieczane i przetwarzane. Polityka Bezpieczeństwa Danych Osobowych określa, które informacje podlegają ochronie ze względu na dobro przedsiębiorstwa i wymogi prawa oraz wprowadza zasady ich ochrony. Do tworzenia i rozwijania zasad Polityki Bezpieczeństwa Danych Osobowych wykorzystywane są obowiązujące w tym zakresie normy i standardy oraz doświadczenia płynące ze sprawdzonych rozwiązań praktycznych. Zasady te są zgodne z obowiązującymi przepisami prawa nakładającymi obowiązek ochrony danych osobowych. W Customeritum Centrum Obsługi Klienta i Logistyki Sp. z o.o. dane osobowe są chronione zgodnie z wymogami prawa w zakresie ochrony danych osobowych, a w szczególności z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926, ze zm.) oraz Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

3 2 CELE Celem wszystkich działań w zakresie zapewnienia bezpieczeństwa danych osobowych jest osiągnięcie takiego poziomu organizacyjnego i technicznego, który: zapewni zachowanie: poufności, integralności, rozliczalności i dostępności danych osobowych, zagwarantuje odpowiedni poziom bezpieczeństwa przetwarzanych danych osobowych zarówno w systemach informatycznych, jak i papierowych, maksymalnie ograniczy występowanie zagrożeń, które wynikają z celowej bądź niezamierzonej działalności człowieka, zapewni bezpieczne funkcjonowanie systemów informatycznych w zakresie ochrony przetwarzanych w nich danych osobowych, zapewni podjęcie właściwych działań w sytuacjach kryzysowych dot. bezpieczeństwa danych osobowych, umożliwi efektywne zarządzanie bezpieczeństwem danych osobowych poprzez ujednolicenie stosowanych zasad i procedur.

4 3 ZASADY BEZPIECZEŃSTWA DANYCH OSOBOWYCH 3.1 Postanowienia ogólne W systemach informatycznych przetwarzane są informacje stanowiące dane osobowe w rozumieniu art. 6 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Z 2002 r. Nr 101, poz. 926 ze zm.) Przetwarzanie danych osobowych w systemach informatycznych Spółki odbywa się na wysokim poziomie bezpieczeństwa Zastosowanie wysokiego poziomu bezpieczeństwa przetwarzanych danych w Systemach informatycznych wynika z podłączenia poprzez urządzenie zabezpieczające urządzeń przetwarzających danych osobowe do sieci publicznej. 3.2 Gromadzenie oraz cel przetwarzania danych osobowych Dane osobowe przetwarzane w Spółce mogą pochodzić: bezpośrednio od osób, których dane dotyczą, od partnerów handlowych, którzy na podstawie umów przekazują Spółce dane do przetwarzania Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane Po wykorzystaniu dane osobowe powinny być usuwane lub przechowywane w postaci uniemożliwiającej identyfikację osób, których dotyczą, o ile inne przepisy nie stanową inaczej Spółka zbiera i przetwarza dane osobowe w celu realizacji zadań i celów biznesowych, w szczególności świadczenia usług obsługi klienta, wysyłki materiałów reklamowych, telemarketingu, pakowania i wysyłki produktów oraz obsługi posprzedażowej.

5 4 Środki fizycznej ochrony w zakresie bezpieczeństwa danych osobowych 4.1 Nadzór obszarów przetwarzania danych osobowych Dostęp do budynków, w których zlokalizowane są obszary przetwarzania danych osobowych jest nadzorowany przez całą dobę. W godzinach pracy nadzór prowadzą pracownicy recepcji. Poza godzinami pracy nadzór prowadzą pracownicy ochrony Obszar przetwarzania danych osobowych objęty jest automatycznym systemem sygnalizacji włamań Obszar przetwarzania danych osobowych objęty jest automatycznym systemem sygnalizacji pożarowej. 4.2 Dostęp do obszarów przetwarzania danych osobowych Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych drzwiami z zamkiem elektromagnetycznym Dostęp do pomieszczeń, w których przetwarzane są dane osobowe, kontrolowany jest przy pomocy systemu kontroli dostępu wykorzystującego karty zbliżeniowe Karty zbliżeniowe wydawane są pracownikom oraz osobom współpracującym ze Spółką Karty zbliżeniowe odbierane lub dezaktywowane są pracownikom w momencie ustania stosunku pracy Każda karta zbliżeniowa przypisana jest do jednego pracownika i każdy pracownik posiada tylko jedną kartę Zabronione jest posługiwanie się kartą, która należy do innego pracownika Administrator Bezpieczeństwa Informacji prowadzi ewidencję kart wydanych pracownikom Spółki.

6 4.2.3 Dostęp fizyczny do pomieszczeń, w których zlokalizowane są systemy informatyczne i elementy sieci telekomunikacyjnej, jest dodatkowo ograniczony i wymaga dodatkowych upoważnień, wydawanych przez Administratora Bezpieczeństwa Informacji Przebywanie osób postronnych, nie będących pracownikami Spółki, w pomieszczeniach obszaru przetwarzania danych osobowych jest możliwy wyłącznie w towarzystwie pracowników Spółki Pracownicy Spółki zobowiązani są do informowania przełożonych w przypadku zauważenia faktu przebywania osób postronnych, którym nie towarzyszą pracownicy Spółki.

7 5 Organizacyjne środki ochrony niezbędne do zapewnienia bezpieczeństwa danych osobowych Osoby upoważnione do przetwarzania danych osobowych przed dopuszczeniem ich do tych danych są szkolone w zakresie obowiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowane o podstawowych zagrożeniach związanych z przetwarzaniem danych w systemach informatycznych Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych Dla każdego systemu informatycznego stworzono Instrukcję Zarządzania Systemem Informatycznym Pracownicy zobowiązani są do przestrzegania zasady czystego biurka, tzn. do chowania wszelkich nośników informacji (papierowych lub informatycznych) w zamykanych pojemnikach (np. szafy lub szuflady) po zakończeniu pracy. 6 Podsumowanie Polityka Bezpieczeństwa Danych osobowych musi być na bieżąco aktualizowane, tak aby uwzględniała zmiany prawne oraz szybko postępujący rozwój technologii i usług informatycznych. Aktualizacja ta z reguły pociąga za sobą konieczność wprowadzenia nowych zabezpieczeń oraz wymaga poniesienia dodatkowych nakładów inwestycyjnych, np.: w infrastrukturę sieci, systemy informatyczne, oprogramowanie, zabezpieczenia fizyczne obszarów związanych z ochroną danych osobowych czy kształcenie specjalistycznej kadry.

8 Załącznik 1. Obszar przetwarzania danych osobowych Obszar przetwarzania danych osobowych w Spółce stanowią: Budynek w Warszawie przy ul. Łotewskiej 9A Budynek w Sulejówku przy ul. Paderewskiego 167 Budynek C6 w Warszawie przy ul. Matuszewskiej 14