Procedura ochrony danych osobowych w pracy zdalnej

Procedura ochrony danych osobowych w pracy zdalnej

1. Niniejsza Procedura określa zasady bezpieczeństwa informacji i danych osobowych w trakcie pracy zdalnej.

2. Cybernetics Sp. z o.o., przeprowadza, w miarę potrzeb, instruktaż i szkolenie w tym zakresie dla pracowników wykonujących pracę zdalną.

3. Pracownicy podczas pracy zdalnej mogą przetwarzać dane osobowe tylko w celach związanych z wykonywaniem swoich obowiązków służbowych.

4. Pracownik w trakcie pracy zdalnej zobowiązany jest dbać o bezpieczeństwo danych, ich poufność oraz integralność. Na pracowniku ciąży obowiązek dbałości o dobro Cybernetics Sp. z o.o. w przypadku postępowania z danymi osobowymi w trakcie pracy zdalnej.

5. Pracownik zobowiązany jest natychmiastowo powiadomić Cybernetics Sp. z o.o. oraz Inspektora Ochrony Danych o jakimkolwiek incydencie związanym z wyciekiem danych, zarówno w formie elektronicznej, jak i papierowej, jak również o kradzieży lub zaginięciu powierzonego mu sprzętu.

Praca z danymi w obiegu elektronicznym

6. Instalowanie jakiegokolwiek oprogramowania na laptopie służbowym jest możliwe tylko przez pracowników Działu IT lub za ich zgodą i zgodnie z ich wytycznymi.

7. Na laptopie służbowym ani na telefonie służbowym nie może być instalowane żadne nielegalne oprogramowanie.

8. Pracownik odpowiada za zabezpieczenie sprzętu służbowego przed dostępem osób nieupoważnionych, a w szczególności dzieci i osób postronnych.

9. Pracownik nie może przechowywać żadnych danych ani informacji na innych nośnikach niż udostępnione mu przez Cybernetics Sp. z o.o..

10. Zabronione jest używanie prywatnego sprzętu lub prywatnych kont e-mail do przetwarzania danych osobowych. Sprawy służbowe mogą być załatwiane tylko i wyłącznie przy użyciu laptopa służbowego oraz telefonu służbowego.

11. Pracownik nie może przechowywać na laptopie ani telefonie służbowym plików niezwiązanych z wykonywaną pracą lub jakichkolwiek innych plików lub programów, które nie posiadają stosownej licencji.

12. Pracownik nie może bez uzgodnienia z Działem IT instalować na telefonie służbowym ani na laptopie służbowym prywatnych aplikacji lub oprogramowania.

13. Pracownik odpowiada za ochronę powierzonego mu sprzętu służbowego, nie może korzystać z laptopa służbowego w miejscach publicznych z dostępem do sieci Wi-Fi.

14. Laptop służbowy oraz telefon służbowy chronione są hasłem, a laptopy dodatkowo są szyfrowane.

15. Pracownik nie może łączyć się z firmowymi systemami i dyskami sieciowymi z innego sprzętu niż sprzęt służbowy. Łącząc się z zasobami sieciowymi Cybernetics Sp. z o.o. Pracownik jest zobowiązany korzystać z bezpiecznego połączenia za pomocą sieci VPN.

16. Hasła do kont firmowych nie powinny być zapisywane przez przeglądarkę internetową.

17. Przy wysyłaniu wiadomości e-mail Pracownik zobowiązany jest każdorazowo upewnić się co do poprawności wpisanych adresów e-mail jej adresatów.

18. Pracownik nie może przesyłać treści pornograficznych, obraźliwych lub dyskryminujących, naruszających prawa własności intelektualnej, zabronionych prawnie.

19. W przypadku wiadomości zawierających informacje poufne lub o charakterze wrażliwym konieczne jest szyfrowanie wiadomości z podwójną weryfikacją hasłem.

20. W przypadku identyfikacji błędów lub nieaktualności oprogramowania antywirusowego konieczne jest natychmiastowe skontaktowanie się z Działem IT.

21. Zasady bezpiecznego odbywania wideokonferencji określa Załącznik nr 1.

Praca z dokumentami papierowymi

22. Wynoszenie dokumentacji papierowej z siedziby Cybernetics Sp. z o.o. powinno być ograniczone do niezbędnego minimum. Cybernetics Sp. z o.o. może zezwolić pracownikom na korzystanie z dokumentacji papierowej zawierającej dane osobowe w trakcie pracy zdalnej tylko w uzasadnionych przypadkach. Generalną zasadą jest praca w obiegu elektronicznym.

23. W przypadku konieczności korzystania z dokumentacji papierowej poza siedzibą Cybernetics Sp. z o.o. w pierwszej kolejności należy rozważyć wykonanie kopii dokumentacji, na której Pracownik będzie pracował. Kopie dokumentów z danymi osobowymi podlegają takiej samej ochronie jak oryginały.

24. Drukowanie dokumentów na potrzeby pracy należy ograniczyć do niezbędnego minimum. W przypadku dokumentów zawierających dane osobowe należy w miarę możliwości dokonać anonimizacji danych.

25. Wydawane oryginały dokumentów na potrzeby pracy zdalnej podlegają ewidencji przez Inspektora Ochrony Danych.

26. Wynoszenie dokumentów lub ich kopii powinno mieć miejsce w zamykanej teczce i w taki sposób, aby były niedostępne dla osób nieupoważnionych.

27. Pracownik zobowiązany jest do odpowiedniego zabezpieczenia danych w miejscu wykonywania pracy zdalnej - dokumenty i ich kopie powinny być przechowywane w zamykanych na klucz szafce lub szufladzie, należy zabezpieczyć dostęp do nich osób trzecich, w tym dzieci i gości.

28. Po wykorzystaniu oryginałów dokumentów powinny one zostać niezwłocznie zwrócone. Zwrot dokumentów podlega odnotowaniu w prowadzonej ewidencji.

29. Po wykorzystaniu kopii dokumentacji powinny one zostać w całości zniszczone przez Pracownika. W przypadku nieposiadania niszczarki w miejscu pracy Pracownika powinien on wykonane kopie zniszczyć niezwłocznie w siedzibie Cybernetics Sp. z o.o..

30. Po zakończeniu pracy Pracownik powinien bezwzględnie przestrzegać zasady "czystego biurka".

Załącznik nr 1

Zasady bezpiecznego prowadzenia wideokonferencji

Zasady bezpiecznego prowadzenia wideokonferencji

Etapy wideokonferencji                                 Wytyczne

            1. Zapoznaj się z ogólnymi warunkami użytkowania lub polityką prywatności Microsoft Teams, z którego chcesz skorzystać.

            2. Sprawdź, czy Twoje rozmowy będą nagrywane i przechowywane.

            3. Zweryfikuj, do jakich celów będą wykorzystywane Twoje dane osobowe.

            4. Sprawdź, o jakie uprawnienia do danych jesteś proszony - lista dostępu do kamery, mikrofonu, lokalizacji, dostępu do plików itp.

Przed rozpoczęciem

wideokonferencji        5. Do zainstalowania aplikacji na komputerze użyj oficjalnej strony aplikacji, z której chcesz korzystać; w przypadku telefonu komórkowego wybierz sklep Google Play - App Store lub Huawei AppGallery.

            6. Upewnij się, że osoby niepowołane nie mają dostępu do Twojego ekranu.

            7. Sprawdź, czy aplikacja dysponuje niezbędnymi środkami bezpieczeństwa, takimi jak szyfrowanie.

            8. Korzystaj z aplikacji dedykowanych do wideokonferencji, nie komunikatorów.

            9. Zabezpiecz sieć Wi-Fi silnym hasłem.

           10. Przed udostępnieniem swojego ekranu podczas rozmowy zamknij wszystkie okna i aplikacje, tak aby inni uczestnicy konferencji ich nie zobaczyli.

           11. Przy podłączeniu się do telekonferencji korzystaj z unikalnego identyfikatora/kodu dostępu.

           12. Przeskanuj program do telekonferencji programem antywirusowym.

            1. Ogranicz ilość podawania danych osobowych - użyj pseudonimu i awataru.

            2. Użyj innego hasła, niż używane przez Ciebie w innych usługach.

            3. Nie udostępniaj linku do konferencji w mediach społecznościowych.

            4. Włącz, jeśli to możliwe, domyślną ochronę hasłem.

W trakcie korzystania

z wideokonferencji      5. Zarządzaj opcjami udostępniania ekranu.

            6. W celu wykonywania rozmów służbowych wykorzystuj dostęp do sieci za pomocą szyfrowanego połączenia VPN.

            7. Nie udostępniaj dokumentów służbowych za pomocą czatu, który może być nieszyfrowany.

            8. Jeżeli to możliwe, korzystaj z opcji rozmycia tła (tak żeby rozmówcy nie widzieli Twojego otoczenia).

            9. Korzystaj z opcji "poczekalnia", tak abyś mógł kontrolować osoby uczestniczące w telekonferencji; unikniesz nieproszonych gości lub podsłuchiwania.

          10. Logując się do telekonferencji, wyłącz kamerę i mikrofon (włączysz je, jak będzie to potrzebne).

Po skorzystaniu

z wideokonferencji      1. Wyłącz kamerę i mikrofon.

            2. Upewnij się, że zakończyłeś spotkanie i zamknąłeś aplikację.

            3. Sprawdź, czy program do telekonferencji nie działa w tle.

Opracowano na podstawie: https://www.gov.pl/web/gov/bezpieczne-wideokonferencje (2023-10-26).