ZASADY PRZETWARZANIA DANYCH OSOBOWYCH W SL-NET SP. Z O.O.
Niniejsze zasady stanowią wyciąg z najistotniejszych wytycznych w zakresie ochrony danych osobowych. Obowiązują pracowników etatowych, osoby świadczące pracę na podstawie umowy cywilnoprawnej (współpracowników), kontrahentów i usługodawców wykonujących usługi wymagające dostępu do danych osobowych Administratora Danych Osobowych, którym jest SL-NET SP. Z O.O.
- Użytkowanie sieci komputerowej i systemów informatycznych
1.1. Zasady korzystania ze sprzętu komputerowego
Pracownik zobowiązany jest chronić powierzony mu sprzęt komputerowy przed zagrożeniami ze strony otoczenia (kurz, ogień, woda itp.), w szczególności należy unikać działań mogących być przyczyną uszkodzenia lub zniszczenia tego sprzętu.
Działania te obejmują m.in. spożywanie posiłków przy komputerze, picie napojów nad klawiaturą, podłączanie dowolnych urządzeń elektrycznych (np. czajniki, dmuchawy itd.) do wydzielonej sieci zasilającej wyłącznie sprzęt komputerowy.
Jeżeli dojdzie do uszkodzenia lub zniszczenia sprzętu należy w pierwszej kolejności poinformować o zaistniałym fakcie ASI
i postępować według przekazanych zaleceń.
Pracownicy lub współpracownicy są odpowiedzialni za powierzony sprzęt komputerowy i jego komponenty
w miejscu pracy i mogą zostać obciążeni kosztami, zwłaszcza gdy utrata, uszkodzenie lub zniszczenie tego sprzętu było wynikiem ich zamierzonego działania lub rażącego zaniedbania.
Konfiguracji systemów mogą dokonywać wyłącznie pracownicy jednostki świadczącej usługi informatyczne lub upoważnione przez ADO (np. wskazani pracownicy Spółki lub zewnętrzni konsultanci).
Użytkownikom zabrania się dokonywania jakichkolwiek zmian w konfiguracji oprogramowania komponentów sprzętu komputerowego, instalowania oprogramowania i przyłączania własnych urządzeń zewnętrznych (modemów, skanerów, drukarek, telefonów komórkowych, kart rozszerzeń, stacji dysków, stacji dokujących, pendrivów itd.). Instalacja takich urządzeń i oprogramowania wymaga zgody ADO.
Wszelkie zapotrzebowanie na dodatkowe komponenty takie jak: RAM, dysk twardy, karta sieciowa, napęd CD-ROM, oprogramowanie i inne, muszą być zgłaszane w formie pisemnej do ADO (w formie e-mail).
Na terenie pomieszczeń biurowych Spółki oraz poza nimi zabrania się wykorzystywania prywatnych urządzeń w celu przetwarzania, przechowywania lub przekazywania informacji służbowych bez uzyskania zgody ADO. W szczególności dotyczy to komputerów przenośnych, wszelkiego rodzaju nośników danych (przenośne dyski twarde, karty pamięci, urządzenia pendrive, płyty CD/DVD itd.) oraz urządzeń pozwalających na przesył informacji (modemy, telefony komórkowe). Prywatne urządzenia o których mowa, wniesione na teren Spółki, podlegają takim samym restrykcjom jak urządzenia
i systemy Spółki, w szczególności ADO lub upoważniony przez niego pracownik, ma prawo kontroli zawartości ich zasobów. Pracownik, którego sprzęt prywatny podlega takiej kontroli jest zobowiązany udzielić wszelkiej pomocy osobom dokonującym tej kontroli (w szczególności udzielić dostępu do wszystkich zasobów). W przypadku braku udzielenia pomocy i w uzasadnionych przypadkach sprzęt taki może zostać zatrzymany przez Spółkę w celu dalszych działań włączając w to usunięcie wszystkich danych z nośnika informacji lub jego zniszczenie.
Utrata lub kradzież sprzętu powinny być niezwłocznie zgłaszane do IOD wraz z opisem całego zdarzenia.
1.2. Zasady korzystania z urządzeń mobilnych
1.2.1. Obowiązki użytkownika
Osoba użytkująca komputer przenośny lub inne urządzenie mobilne (np. telefon komórkowy) zobowiązana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem i kradzieżą.
Użytkownik komputera przenośnego zobowiązany jest do: - Transportu komputera w sposób minimalizujący ryzyko kradzieży lub zniszczenia, a w szczególności:
• transportowania komputera w bagażu podręcznym,
• niepozostawiania komputera w samochodzie, przechowalni bagażu itp.,
• przenoszenia komputera w torbie przeznaczonej do transportu komputerów przenośnych. - Korzystania z komputera w sposób minimalizujący ryzyko podejrzenia przetwarzania danych przez osoby nieupoważnione, w szczególności zabrania się korzystania z komputera w miejscach publicznych i środkach transportu publicznego.
- Niezezwalania osobom nieupoważnionym (w tym również członkom rodziny i znajomym) do korzystania
z komputera przenośnego, na którym przetwarzane są dane. Użytkownik powinien zachować w tajemnicy wobec domowników identyfikator i hasło, których podanie jest konieczne do rozpoczęcia pracy na komputerze przenośnym. - Zabezpieczenia komputera przenośnego hasłem zgodnie z ogólnymi zasadami zarządzania hasłami przy dostępie do systemów informatycznych.
- Blokowania komputera przenośnego w przypadku, gdy nie jest on wykorzystywany przez użytkownika.
- Kopiowania danych przetwarzanych na komputerze przenośnym do systemu informatycznego w celu umożliwienia wykonania kopii zapasowych tych danych. Kopiowanie danych winno odbywać się w zależności od częstotliwości zmian w tych danych, jednakże nie rzadziej niż raz na tydzień, z wyłączeniem okresów, gdy komputer przenośny nie jest użytkowany.
- Umożliwienia, poprzez podłączenie komputera przenośnego do sieci aktualizacji baz sygnatur wirusów
w oprogramowaniu antywirusowym. Podłączenie do sieci informatycznej powinno odbywać się przynajmniej raz
w tygodniu. Jeżeli komputer przenośny nie jest użytkowany przez dłuższy czas (ponad jeden tydzień) to rozpoczynając pracę użytkownik jest zobowiązany podłączyć komputer przenośny w celu aktualizacji baz sygnatur wirusów oraz systemu operacyjnego. - Ustawiania hasła dostępowego na telefonach komórkowych (np. w formie wzoru wprowadzanego w celu odblokowania urządzenia).
Zabronione jest samodzielne instalowanie jakiegokolwiek oprogramowania, takie uprawnienia posiada wyłącznie ASI.
W razie zagubienia lub kradzieży urządzenia mobilnego pracownik zobowiązany jest do natychmiastowego powiadomienia IOD.
9.1. Zasady korzystania z zasobów sieci informatycznej Spółki
Pracownicy Spółki uzyskują dostęp do sieci informatycznej Spółki, systemów komputerowych i udostępnianych przez nie zasobów po zaakceptowaniu przez ADO lub ASI.
Pracownicy mogą korzystać wyłącznie z tych systemów informatycznych, programów i zasobów, do korzystania
z których zostali uprawnieni. Zabrania się podejmowania jakichkolwiek prób testowania, omijania, przełamywania istniejących środków bezpieczeństwa.
Pracownikom nie wolno podejmować działań w celu uszkodzenia, zniszczenia lub obniżenia efektywności działania systemów informatycznych Spółki. W szczególności zabronione jest modyfikowanie zainstalowanego oprogramowania monitorującego i zarządzającego systemem itp.
Jako nadużycie i naruszenie bezpieczeństwa będzie również traktowane wykorzystanie niezgodne z intencjami Spółki przyznanych pracownikowi uprawnień (np. do celów pozasłużbowych, osiągnięcia własnych korzyści, sprzeczne z prawem działanie na szkodę Spółki lub innych podmiotów i osób fizycznych).
Każdy pracownik jest odpowiedzialny za właściwe zabezpieczenie przed utratą tworzonych przez siebie danych. Tworzone przez pracowników dokumenty w tym również wiadomości poczty elektronicznej, pliki i programy zawierające informacje szczególnie istotne dla Spółki lub innych pracowników muszą być zapisywane w przeznaczonych do tego celu katalogach serwerów sieciowych. Wykaz takich informacji przedstawia pracownikowi jego przełożony. Katalogi, w których zapisywane mają być dokumenty, pliki programy wskazują pracownicy jednostki organizacyjnej świadczącej usługi informatyczne.
Utrata danych pozostawionych na stacji roboczej lub innym urządzeniu pracownika w przypadku nie zapisania ich na serwerze sieciowym, będzie traktowana jako działanie na szkodę Spółki.
Wszystkie pochodzące z zewnątrz urządzenia z danymi (dyski, karty pamięci, pendrivy) nie mogą być użyte bez wcześniejszego sprawdzenia ich przy pomocy odpowiedniego oprogramowania antywirusowego i akceptacji ASI lub ADO.
Oprogramowanie wykorzystywane w Spółce musi być używane zgodnie z prawami licencji i jest ono przeznaczone wyłącznie do użytku wewnętrznego. Bez względu na rodzaj oprogramowania użytkownicy nie mogą kopiować go ani modyfikować bez zgody ASI lub ADO.
9.2. Hasła
Hasła użytkowników, służące do logowania do systemu operacyjnego oraz poszczególnych aplikacji są tajne. Nie wolno ich przekazywać osobom trzecim (w tym innym współpracownikom), zapisywać lub pozostawiać w miejscu, w którym mogłoby być odkryte przez kogoś innego (krawędź biurka, spód klawiatury itp.) W przypadku podejrzenia, że hasło zostało ujawnione, musi ono zostać natychmiast zmienione.
Hasła trzeba zmieniać okresowo stosując się do komunikatów systemu informatycznego. Hasło powinno się składać się z co najmniej 10 znaków, przy czym należy użyć minimum jednej dużej litery, minimum jednej małej litery, minimum jednej cyfry lub minimum jednego znaku specjalnego. Nie należy tworzyć hasła z odnośników, które bez trudu można powiązać z osobą upoważnioną (np. imię, data urodzenia, imiona bliskich itp.) lub wyrazu z dowolnego języka.
Nie wolno zmieniać standardowo ustawionego czasu uruchomienia wygaszacza ekranu stacji roboczej oraz żadnego innego standardowo ustawionego czasu uruchomienia blokady lub automatycznego wyrejestrowywania. Opuszczając stanowisko należy zawsze blokować dostęp do stacji lub wyrejestrowywać się z niej po wcześniejszym zamknięciu wszystkich aplikacji. Jeżeli w pobliżu stacji roboczej często przechodzą goście Spółki, należy ustawić monitor tak, by nie mogli odczytać zawartości ekranu (także w szybie lub lustrze).
Pracownik ponosi pełną odpowiedzialność za szkody powstałe w wyniku wykorzystania jego identyfikatora i hasła. Dotyczy to zwłaszcza sytuacji, gdy zostały one ujawnione lub wykorzystane z powodu rażącego zaniedbania (np. opuszczenie stacji roboczej bez jej zablokowania).
Pracownik zobowiązany jest zgłaszać IOD oraz ASI wszelkie nieprawidłowości i podejrzaną aktywność w pracy systemu, np.:
• Brak lub niedostępność spodziewanych danych;
• Niezgodność danych w systemie komputerowym z danymi w postaci papierowej lub innymi kopiami elektronicznymi;
• Pozostawione ślady włamania komputerowego np. zmiany konfiguracji;
• Zmiany sum kontrolnych plików;
• Wszelkie zapisy w logach systemów świadczące o naruszeniu bezpieczeństwa, wykonywaniu niedozwolonych operacji itp.;
• Samodzielne akcje podejmowane przez system (nawiązywanie połączeń, wysyłanie maili itp.;
• Intensywna praca dysku w czasie, gdy z komputera nikt nie korzysta;
• Powtarzające się „zawieszenia” na ogół stabilnego systemu;
• Spowolnienie pracy systemu lub sieci;
• Inne niż zwykle lub dodatkowe okna powitalne i proszące o podanie hasła;
• Odmowa przyjęcia hasła użytkownika;
• Pojawianie się niestandardowych okien, napisów i innych elementów ekranu;
• Znaczące zmiany w zajętości dysku;
• Nienaturalne rozmiary zapisywanych na dysku plików;
• Nietypowe nazwy plików lub katalogów;
• Powtarzające się nagłe zrywanie połączeń sieciowych;
• Otrzymywanie niespodziewanego listu z załącznikiem (najczęściej typu .doc, .exe, .com);
• Zmiany w danych świadczące o naruszeniu ich integralności;
• Pojawienie się danych bez innych śladów (w dziennikach systemu lub dokumentacji papierowej) ich wprowadzenia do systemu komputerowego.
9.3. Zasady korzystania z Internetu i poczty elektronicznej
W godzinach pracy pracownicy mogą korzystać z Internetu wyłącznie w celach służbowych.
Użytkownikom nie wolno pobierać ani instalować oprogramowania pobranego z Internetu. Takie uprawnienia ma wyłącznie ASI.
Zabrania się użytkownikom otwierania załączników do poczty elektronicznej, jeżeli pochodzi ona z niewiadomego źródła.
Załączniki wiadomości poczty przychodzącej i wychodzącej zawierające pliki z potencjalnie niebezpiecznymi rozszerzeniami (.exe, .com, .vbs, .js, .bat, .pif) będą usuwane. W przypadku otrzymania wiadomości pocztowej z wymienionymi typami plików zabrania się ich otwierania nawet w przypadku, gdy pochodzą ze znanego źródła. Należy wtedy powiadomić o tym fakcie ASI lub IOD.
Pracownikom zabrania się uczestniczenia w listach dyskusyjnych oraz internetowych kanałach komunikacyjnych
z wykorzystaniem konta firmowego (należącego do Spółki).
Dla firmowego konta pocztowego przewidziane są następujące restrykcje:
• Pojemność skrzynki pocztowej jest ograniczona;
• W przypadku przekroczenia rozmiaru skrzynki należy usunąć zbędną korespondencję oraz przeprowadzić archiwizację wiadomości lub zwrócić się do administratora systemu informatycznego o utworzenie skrzynki archiwum;
• W celu zmniejszenia wielkości wysyłanego załącznika należy spakować go programem pakującym (np. ZIP)
Pracownikom zabrania się pobierania, przetwarzania, gromadzenia oraz rozpowszechniania treści niezgodnych
z prawem polskim, a także nawołujących do przemocy, nietolerancji religijnej, rasowej i seksualnej, ogólnie przyjętych za nieprzyzwoite i obraźliwe oraz prowadzenia agitacji politycznej i religijnej z wykorzystaniem systemów informatycznych Spółki.
Szczegółowe zasady użytkowania sieci komputerowej i systemów informatycznych zostały zawarte w Instrukcji Zarządzania Systemem Informatycznym. Dokument ten obejmuje następujące zagadnienia i obszary:
• ogólne informacje o systemie informatycznym,
• metody i środki uwierzytelniania,
• zasady dotyczące rozpoczęcia, zawieszenia oraz zakończenia pracy w systemie informatycznym,
• zarządzanie kopiami zapasowymi,
• zabezpieczenie systemu informatycznego,
• przeglądy i konserwacja systemów oraz nośników informacji,
• testowanie przed nieuprawnionym dostępem.
9.4. Zasady przetwarzania danych w formie papierowej
Przetwarzanie i przechowywanie danych osobowych odbywa się w pomieszczeniach biurowych o ograniczonym
i kontrolowanym dostępie.
Pracownik zobowiązany jest do przestrzegania zasad gospodarki kluczami do pomieszczeń, szaf i regałów biurowych,
w ramach obowiązującej w Spółce Polityki Zarządzania Kluczami.
Każdy pracownik Spółki, zobowiązany jest do zabezpieczenia materiałów zawierających dane w sposób uniemożliwiający dostęp do nich osobom nieuprawnionym. Dane osobowe przetwarzane w formie papierowej muszą być przechowywane, co najmniej w meblach biurowych zamykanych na klucz. Klucze należy przechowywać w sposób bezpieczny, bez możliwości dostępu do nich osób nieuprawnionych.
Wszelkie zbędne dokumenty papierowe, zawierające dane osobowe, należy niszczyć w sposób bezpieczny, uniemożliwiający odczytanie zawartej w nich treści, w szczególności z wykorzystaniem niszczarek.
Kopiowanie danych osobowych w ramach komórki organizacyjnej może odbywać się wyłącznie przez osobę
w ramach posiadanego upoważnienia wynikającego z zakresu czynności pracownika i może być dokonywane wyłącznie na potrzeby związane z realizacją zadań komórki organizacyjnej, wynikających z regulacji wewnętrznych lub w celu realizacji umów w zakresie udostępnienia danych i powierzenia przetwarzania danych, w których realizację są zaangażowane komórki organizacyjne Spółki.
Kopia danych osobowych podlega zniszczeniu niezwłocznie po realizacji celu, dla którego została wykonana, chyba że co innego wynika z postanowień umów, regulacji wewnętrznych Spółki lub powszechnie obowiązujących przepisów prawa. - Postępowanie dyscyplinarne
10.1. W przypadku naruszeń zasad bezpieczeństwa w procesie przetwarzania danych osobowych pracownik ponosi odpowiedzialność porządkową, dyscyplinarną lub karną w zależności od wagi naruszenia, z zastosowaniem właściwych przepisów prawa.
10.2. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub domniemania takiego naruszenia, nie podjęła działania określonego w niniejszym opracowaniu zasad, a w szczególności nie powiadomiła ASI i IOD, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, mogą mieć zastosowanie przepisy odpowiedzialności porządkowej i materialnej.