Firma: GOLIAT FILM Piotr Goliat
Adres: ul. Starokrakowska 133, 26-600 Radom
NIP: 7962277530 | REGON: 140259293 | Kontakt: biuro@goliat-film.pl
Data wprowadzenia: 11.08.2025
Wersja dokumentu: 1.0
Odpowiedzialny: Administrator Bezpieczeństwa Informacji (ABI) – Piotr Goliat
1. Cel dokumentu
Celem dokumentu jest określenie zasad oraz technicznych wymogów dotyczących zabezpieczenia danych osobowych i innych informacji poufnych przetwarzanych przez GOLIAT FILM w ramach realizacji usług rozwojowych, zgodnie z wymogami RODO, SUS 3.0 oraz BUR.
2. Zakres stosowania
Dokument obejmuje wszystkie systemy informatyczne, nośniki danych oraz procedury związane z przetwarzaniem danych osobowych i danych poufnych w firmie GOLIAT FILM, w tym dane uczestników szkoleń, klientów, podwykonawców oraz pracowników.
3. Podstawy prawne i normatywne
-
Rozporządzenie (UE) 2016/679 (RODO)
-
Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r.
-
Wytyczne SUS 3.0 dotyczące audytu i bezpieczeństwa danych w BUR
-
Polityka bezpieczeństwa informacji GOLIAT FILM (jeśli istnieje)
4. Role i odpowiedzialności
-
Administrator Bezpieczeństwa Informacji (ABI): odpowiedzialny za nadzór nad bezpieczeństwem danych i wdrożenie procedur.
-
Administrator Danych Osobowych (ADO): zarządza danymi osobowymi zgodnie z RODO.
-
Pracownicy i współpracownicy: zobowiązani do przestrzegania zasad bezpieczeństwa oraz zgłaszania incydentów.
5. Procedury techniczne zabezpieczeń danych
5.1. Kontrola dostępu
-
Dostęp do danych i systemów jest ograniczony wyłącznie do osób upoważnionych, na podstawie nadanych uprawnień.
-
Hasła dostępu muszą być silne (minimum 8 znaków, w tym litery, cyfry, znaki specjalne) i regularnie zmieniane (co 90 dni).
-
Logowanie do systemów zabezpieczone dwustopniową weryfikacją (2FA) tam, gdzie to możliwe.
5.2. Szyfrowanie danych
-
Wszystkie dane osobowe przechowywane w formie elektronicznej muszą być zabezpieczone szyfrowaniem (np. AES-256).
-
Komunikacja e-mail z danymi osobowymi odbywa się za pomocą szyfrowanych kanałów (TLS).
-
Nośniki przenośne (pendrive, dyski zewnętrzne) z danymi muszą być szyfrowane.
5.3. Backup i archiwizacja
-
Regularne tworzenie kopii zapasowych (minimum raz w tygodniu) wszystkich danych kluczowych dla realizacji usług.
-
Kopie zapasowe przechowywane w bezpiecznym, oddzielnym miejscu.
-
Testowanie przywracania danych z kopii zapasowych co najmniej raz na pół roku.
5.4. Ochrona przed złośliwym oprogramowaniem
-
Instalacja i regularna aktualizacja oprogramowania antywirusowego na wszystkich urządzeniach.
-
Wykonywanie regularnych skanów systemów pod kątem zagrożeń.
5.5. Monitoring i audyt
-
Monitorowanie systemów informatycznych pod kątem nieautoryzowanego dostępu i działań podejrzanych.
-
Prowadzenie rejestru zdarzeń związanych z bezpieczeństwem danych.
-
Regularne audyty wewnętrzne zabezpieczeń (min. raz w roku).
5.6. Aktualizacje i zarządzanie systemami
-
Systemy operacyjne, oprogramowanie oraz aplikacje wykorzystywane do przetwarzania danych muszą być na bieżąco aktualizowane.
-
Stosowanie poprawek bezpieczeństwa zaraz po ich udostępnieniu przez dostawców.
6. Procedury postępowania w przypadku naruszenia bezpieczeństwa danych
-
Natychmiastowe zgłoszenie incydentu do Administratora Bezpieczeństwa Informacji.
-
Zabezpieczenie miejsca naruszenia i dokumentacja zdarzenia.
-
Powiadomienie organu nadzorczego (UODO) w ciągu 72 godzin, jeśli naruszenie może powodować ryzyko dla praw i wolności osób.
-
Informowanie osób, których dane zostały naruszone, jeśli zaistnieje takie wymogi prawne.
-
Podjęcie działań naprawczych i wprowadzenie środków zapobiegawczych.
7. Szkolenia i podnoszenie świadomości
-
Regularne szkolenia pracowników w zakresie bezpieczeństwa informacji i ochrony danych osobowych.
-
Udostępnianie aktualnych wytycznych i procedur w formie pisemnej lub elektronicznej.
8. Dokumentacja i rejestry
-
Prowadzenie dokumentacji dotyczącej nadanych uprawnień do systemów.
-
Rejestr incydentów związanych z bezpieczeństwem danych.
-
Dokumentacja polityk bezpieczeństwa i procedur.