Procedura ochrony danych osobowych i bezpieczeństwa informacji przy pracy zdalnej

Procedura ochrony danych osobowych i bezpieczeństwa informacji przy pracy zdalnej

§1Postanowienia ogólne

1. Niniejsza procedura określa zasady ochrony danych osobowych oraz bezpieczeństwa informacji w trakcie wykonywania pracy zdalnej w Cyber Solutions Sp. z o.o..

2. Ilekroć w niniejszej procedurze jest mowa o:

1) Pracodawcy – należy przez to rozumieć Cyber Solutions Sp. z o.o.;

2) Procedurze – należy przez to rozumieć niniejszą procedurę ochrony danych osobowych i bezpieczeństwa informacji przy pracy zdalnej w Cyber Solutions Sp. z o.o.;

3) k.p. – należy przez to rozumieć ustawę z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz.U. 1974 nr 24 poz. 141);

4) Pracowniku – należy przez to rozumieć osobę zatrudnioną przez Cyber Solutions Sp. z o.o. na podstawie umowy o pracę.

3. Niniejsza procedura ma zastosowanie do wszystkich osób zatrudnionych przez Cyber Solutions Sp. z o.o. na podstawie umowy o pracę, z którymi wraz z zawarciem umowy o pracę lub w trakcie trwania stosunku pracy ustalono, że praca może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod ul. Kwiatowa 12, 00-001 Warszawa, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość (praca zdalna).

4. Niniejsza procedura została wydana na podstawie art. 100 § 2(1) k.p.

5. Przed rozpoczęciem wykonywania pracy zdalnej pracownik zobowiązany jest do zapoznania się z niniejszą procedurą oraz złożyć stosowne oświadczenie o zapoznaniu się i zobowiązaniu do jej przestrzegania w trakcie wykonywania pracy zdalnej.

6. Niniejsza procedura została opracowana przy udziale Inspektora Ochrony Danych Osobowych.

§2Szkolenie i instruktaż

1. Przed rozpoczęciem wykonywania pracy zdalnej Pracodawca przeprowadza szkolenie z zakresu ochrony danych osobowych w trakcie pracy zdalnej.

2. Szkolenie przeprowadzone może być w formie stacjonarnej lub online, a jego ukończenie potwierdzane jest właściwym certyfikatem.

3. Pracodawca może podjąć decyzję, jeśli stwierdzi, że jest to niezbędne ze względu na bezpieczeństwo danych osobowych, o przeprowadzeniu szkolenia przypominającego.

4. Każdy pracownik przed rozpoczęciem wykonywania pracy zdalnej zobowiązany jest do ukończenia szkolenia umieszczonego na wewnętrznej stronie intranetowej pracodawcy zatytułowanego „Bezpieczeństwo i ochrona informacji podczas wykonywania pracy zdalnej”.

5. Po ukończeniu szkolenia, o którym mowa w ust. 4, pracownik otrzymuje certyfikat w formacie PDF, który zobowiązany jest niezwłocznie, lecz nie później niż przed rozpoczęciem wykonywania pracy zdalnej przesłać na następujący adres: [email protected].

6. Rozpoczęcie pracy zdalnej bez ukończenia szkolenia, o którym mowa w ust. 4, stanowi ciężkie naruszenie podstawowych obowiązków pracowniczych.

§3Korzystanie z narzędzi pracy zdalnej

1. Każdy z Pracowników wykonujący pracę zdalną zostaje wyposażony przez Pracodawcę w:

1) laptop z ładowarką;

2) telefon komórkowy z ładowarką;

3) tablet z ładowarką.

2. Każde z urządzeń, o których mowa w ust. 1, posiada zainstalowane oprogramowanie, które zapewnia bezpieczeństwo ochrony danych oraz informacji stanowiących tajemnicę przedsiębiorstwa.

3. Pracownik podczas korzystania ze sprzętów, o których mowa w ust. 1, ma obowiązek po włączeniu zalogować się za pośrednictwem swojego numeru ID: 12345, hasła oraz kodu jednorazowego generowanego poprzez aplikację CyberAuth zainstalowaną na telefonie komórkowym, o którym mowa w ust. 1 pkt 2.

4. Pracownik podczas pracy zdalnej przy przetwarzaniu jakichkolwiek danych osobowych oraz informacji dotyczących spraw służbowych zobowiązany jest do wykorzystywania wyłącznie sprzętu, o którym mowa w ust. 1, i zainstalowanego na nim oprogramowania po zalogowaniu się do niego.

5. Zabronione jest instalowanie jakiegokolwiek oprogramowania na sprzęcie, o którym mowa w ust. 1.

6. Zabronione jest wykorzystywanie sprzętu, o którym mowa w ust. 1, do załatwiania jakichkolwiek spraw prywatnych niezwiązanych z obowiązkami wynikającymi z umowy o pracę.

7. W przypadku konieczności zainstalowania oprogramowania niezbędnego do wykonywania obowiązków służbowych podczas pracy zdalnej pracownik niezwłocznie kontaktuje się z odpowiednim pracownikiem Działu Wsparcia Informatycznego pod +48 123 456 789 lub [email protected].

8. Kategorycznie zabronione jest udostępnianie sprzętu, o którym mowa w ust. 1, osobom trzecim, domownikom oraz wszelkim innym osobom – nawet innym pracownikom Pracodawcy podczas pracy zdalnej.

9. Zabronione jest udostępnianie osobom trzecim loginu i hasła, o którym mowa w ust. 3, które służą do pracy w bezpiecznym oprogramowaniu.

§4Bezpieczeństwo dokumentów elektronicznych

1. Pracownik podczas pracy zdalnej ma obowiązek zapisywać wszelkie pliki na specjalnie dedykowanym dysku do pracy zdalnej.

2. Pracownik nie powinien zapisywać plików na pulpicie.

3. Nie jest dopuszczalne wysyłanie plików zawierających dane osobowe oraz informacje dotyczące działalności Pracodawcy, a także wszelkich innych plików, które Pracownik stworzył lub otrzymał w związku z wykonywaniem pracy zdalnej na adresy e-mail spoza Pracodawcy.

4. Nie jest dopuszczalne używanie dysków zewnętrznych, w szczególności: -pendrive’ów i dysków pamięci masowej i zgrywanie na nich jakichkolwiek plików, o których mowa w ust. 3.

5. Niedopuszczalne jest podłączanie do urządzeń, o których mowa w § 3 ust. 1, Procedury zarówno złączem przewodowym, jak i bezprzewodowym jakichkolwiek innych sprzętów niż pochodzących od Pracodawcy, w szczególności: drukarek, skanerów oraz innych urządzeń wielofunkcyjnych.

6. Co do zasady podczas pracy zdalnej Pracodawca nie przewiduje konieczności pracy przy użyciu dokumentacji papierowej. Jeżeli w nadzwyczajnych okolicznościach pojawi się konieczność wydrukowania jakichkolwiek dokumentów, należy to niezwłocznie zgłosić bezpośredniemu przełożonemu.

7. Nie jest dozwolone zapisywanie jakichkolwiek haseł związanych z dostępem do serwerów i dysków Pracodawcy w przeglądarkach internetowych.

8. Nie jest dopuszczalne otwieranie jakichkolwiek plików przesłanych z adresów e-mail niewiadomego pochodzenia, które mogą stanowić phishing lub fishing.

9. W przypadku otrzymania podejrzanych wiadomości, należy niezwłocznie zgłosić taki przypadek bezpośredniemu przełożonemu oraz przekazać podejrzaną wiadomość na [email protected].

§5Zapewnienie bezpieczeństwa na stanowisku pracy

Pracownik w celu zapewnienia bezpieczeństwa ochrony danych osobowych oraz informacji powinien stosować następujące zasady:

1) nie przechowywać sprzętu oraz jakichkolwiek innych danych osobowych oraz informacji dotyczących wykonywania obowiązków służbowych w miejscu dostępnym dla innych osób, w tym domowników;

2) podczas opuszczenia stanowiska pracy nie pozostawiać uruchomionego sprzętu, o którym mowa w § 3 ust. 1 Procedury, w taki sposób, aby mogły z niego korzystać osoby postronne;

3) Pracownik zobowiązany jest w każdym przypadku opuszczenia stanowiska pracy zablokować dostęp do systemu, w taki sposób, aby osoba postronna nie miała dostępu do systemów Pracodawcy;

4) nie zapisywać ani nie pozostawiać na stanowisku pracy zdalnej żadnych danych w postaci papierowej, w szczególności haseł, danych osobowych, informacji stanowiących tajemnicę przedsiębiorstwa;

5) podczas wideokonferencji oraz rozmów telefonicznych dotyczących danych osobowych oraz informacji dotyczących spraw służbowych pomieszczenie, w którym wykonywana jest praca zdalna, powinno być zamknięte w taki sposób, aby osoby postronne nie miały możliwości zapoznania się z tymi informacjami.

§6Postępowanie ze sprzętem po zakończeniu pracy zdalnej

1. Po zakończeniu pracy zdalnej pracownik jest zobowiązany wylogować się z systemów Pracodawcy, a następnie wyłączyć wszystkie urządzenia wykorzystywane do wykonywania pracy zdalnej.

2. Sprzęt, o którym mowa w § 3 ust. 1 Procedury, powinien być przechowywany w miejscu niedostępnym dla osób postronnych.

3. Miejsce przechowywania sprzętu powinno być zorganizowane w taki sposób, aby sprzęt nie uległ zalaniu, zawilgnięciu lub innym mechanicznym zniszczeniom.

4. Pracownik powinien dołożyć wszelkich starań, aby zabezpieczyć sprzęt przed ewentualną kradzieżą.

§7Zgłaszanie nieprawidłowości i incydentów

1. W przypadku incydentu ujawnienia danych osobowych Pracownik niezwłocznie przekazuje tę informację bezpośredniemu przełożonemu oraz na [email protected].

2. Działanie, o którym mowa w ust. 1, Pracownik podejmuje nawet w przypadku podejrzenia możliwości ujawnienia danych osobowych.

3. W przypadku podejrzenia pojawienia się złośliwego oprogramowania lub innego rodzaju wirusów Pracownik niezwłocznie przekazuje informację o tym bezpośredniemu przełożonemu oraz na [email protected].

4. W przypadku kiedy ze względu na złośliwe oprogramowanie lub innego rodzaju wirus nie jest możliwe użycie któregokolwiek sprzętu, o którym mowa w § 3 ust. 1 Procedury, Pracownik jest zobowiązany niezwłocznie zgłosić tę informację bezpośredniemu przełożonemu oraz do Działu Bezpieczeństwa za pośrednictwem tego sprzętu, który pozwala na zgłoszenie informacji.

5. W przypadku jeżeli ze względu na złośliwe oprogramowanie, żaden ze sprzętów, o których mowa w § 3 ust. 1 Procedury, nie może być wykorzystany do zgłoszenia właściwym podmiotom, o których mowa w ust. 4, Pracownik jest wyjątkowo uprawniony do wykorzystania prywatnego sprzętu w celu notyfikacji albo pod +48 987 654 321 albo na [email protected].

6. W przypadku kradzieży któregokolwiek ze sprzętów, o których mowa w § 3 ust. 1 Procedury, Pracownik niezwłocznie informuje o tym bezpośredniego przełożonego oraz zgłasza kradzież organom ścigania.

§8Kontrola

1. Pracodawca ma prawo przeprowadzić kontrolę pracy zdalnej w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych.

2. Zasady kontroli określa szczegółowo Regulamin Pracy Zdalnej z dnia 1 stycznia 2023 r., obowiązujący u Pracodawcy.

Powyższa Procedura wchodzi w życie w dniu 15 lutego 2023 r..