RODO

Bezpieczeństwo i ochrona danych osobowych w Webankiecie

Poniższy dokument powstał jako zbiór odpowiedzi na najczęściej zadawane pytania w sprawie Rozporządzenia o Ochronie Danych Osobowych oraz bezpieczeństwa danych, jakie otrzymujemy od naszych klientów oraz ich działów compliance.

Z racji, iż współpracujemy z organizacjami, których procedury dotyczące bezpieczeństwa są restrykcyjne i często dodatkowo regulowane przez inne podmioty (takie jak Komisja Nadzoru Finansowego lub Urząd Komunikacji Elektronicznej) bardzo możliwe jest, że nie wszystkie opisane zagadnienia będą odnosić się do Państwa działalności.

icon

Czy Webankieta jest dostosowana do RODO?

Tak. Bardziej szczegółowe informacje znajdą się w kolejnych pytaniach i odpowiedziach. Aby legalnie przetwarzać dane osobowe za pomocą Webankiety zalecamy podpisanie przygotowanej przez nas umowy o powierzeniu przetwarzania danych osobowych. Szczegóły oraz wzór umowy dostępne są na: https://giodo.webankieta.pl/

Jakie działania podjęliście celem dostosowania się do obowiązków przewidywanych w RODO?

Większość zmian aplikacji została dokonana już wcześniej, w związku z dostosowaniem Webankiety pod wymogi poprzedniej ustawy - GIODO. W związku z wejściem w życie RODO zaktualizowaliśmy klauzule informacyjne oraz dokumenty: Polityka Bezpieczeństwa Danych Osobowych, Umowa Powierzenia Przetwarzania Danych osobowych, Regulamin serwisu, Polityka prywatności. Na nowo przejrzeliśmy również checklistę zabezpieczeń platformy Webankieta.

Skąd mogę wiedzieć, że Webankieta jest bezpieczna?

Aplikacja jest co miesiąc testowana przez zewnętrzny zespół Testarmy.com na podatności opisane w metodologii OWASP ASVS wersja 3.0.1. Oprócz tego regularnie testujemy nasze narzędzie wewnętrznie, za pomocą testów manualnych i automatycznych.

icon

Jakie środki ochrony fizycznej stosuje Webankieta celem zabezpieczenia danych osobowych?

W biurze stosujemy następujące środki:

  • W budynku znajduje się ochrona fizyczna (w godz. 08:00-18:00) i monitoring wizyjny.
  • Klucze do biura Spółki posiadają wybrani pracownicy Spółki, co jest odnotowane w odpowiednim rejestrze.
  • Dokumentacja papierowa przechowywana jest pod zamknięciem, w szafach wyposażonych w kody bezpieczeństwa lub sprawne zamki.
  • Użytkownikom udostępniono niszczarki służące mechanicznemu usunięciu danych osobowych.

W serwerowni zapewniony został:

  • Dostęp do serwerowni posiadają wyłącznie osoby autoryzowane.
  • Dostęp do serwerowni zabezpieczony jest drzwiami o wzmocnionej odporności.
  • Wyposażenie w system antywłamaniowy i klimatyzację.
  • Całodobowa ochrona fizyczna i monitoring wizyjny w budynku.

Całe pomieszczenie serwerowni stanowi wydzieloną strefę pożarową, wyposażoną w stałe urządzenie gaśnicze wykorzystujące gaz FM200.

icon

Jakie środki ochrony technicznej i logicznej stosuje Webankieta celem zabezpieczenia danych osobowych?

  • Wykonywane są kopie zapasowe.
  • Nośniki z kopiami zapasowymi znajdują się w pomieszczeniu innym, niż serwerownia.
  • Serwery zostały zabezpieczone poprzez firewall, urządzenia typu UPS, generator prądu i wydzieloną sieć elektroenergetyczną, redundantne przyłącza energetyczne z dwóch różnych obwodów chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania.
  • Dostęp do danych przetwarzanych w Spółce, w systemach informatycznych i na serwerach, jest możliwy tylko po uwierzytelnieniu (podaniu identyfikatora i hasła).
  • Logi z działania aplikacji i systemów operacyjnych są cyklicznie monitorowane.
  • Zasoby przetwarzane na serwerach dostępne są w zależności od posiadanych uprawnień - tylko upoważnionym pracownikom.
  • Aplikacje składające się na system informatyczny wymagają uwierzytelnienia poprzez podanie loginu i hasła (składającego się z minimum 8 znaków, zawierającego co najmniej jedną małą i wielką literę oraz cyfrę lub znak specjalny).
  • Hasło zmieniane jest nie rzadziej niż co 30 dni.
  • Wszystkie komputery zostały wyposażone w program antywirusowy, antyspamowy i firewall.
  • Na wszystkich komputerach przenośnych zastosowano środki kryptograficznej ochrony danych.
  • Przekazywanie danych Spółce za pośrednictwem serwisów internetowych Spółki odbywa się w sposób zaszyfrowany (logowanie do serwisu odbywa się przy wykorzystaniu bezpiecznego protokołu https).
  • Dostęp do sieci zabezpieczony jest systemem Firewall.
  • Na stanowiskach, na których przetwarzane są dane osobowe zainstalowano wygaszacze ekranów.
  • Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy Użytkownika.
  • Monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd w ich treść osobom postronnym.
  • Hasła służące do uwierzytelniania zabezpieczone są dedykowanym programem szyfrującym.
  • Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.
icon

Jakie środki organizacyjne podjmuje Webankieta celem zabezpieczenia danych osobowych?

  • W Spółce powołano Administratora Bezpieczeństwa Informacji.
  • Każda osoba mająca dostęp do danych została zapoznana z zasadami bezpiecznego przetwarzania danych wynikającymi z niniejszej Polityki oraz Instrukcji Zarządzania.
  • Prowadzone są wstępne oraz okresowe szkolenia dla osób upoważnionych do przetwarzania danych osobowych.
  • Dostęp do komputerów, na których są przetwarzane dane osobowe, posiadają tylko osoby upoważnione.
  • Dostęp do danych osobowych przetwarzanych w Spółce posiadają wyłącznie osoby, którym wydano imienne upoważnienia do ich przetwarzania we właściwym zakresie.
  • Osoby mające dostęp do danych osobowych zobowiązane są, na mocy niniejszej Polityki, do zachowania danych osobowych oraz informacji o sposobach ich zabezpieczenia w tajemnicy.
  • Zobowiązanie do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia odbywa się także za pośrednictwem odbieranych pisemnych oświadczeń, pochodzących od osób dopuszczonych do przetwarzania danych osobowych.
  • Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.
  • Prowadzona jest dokumentacja obejmująca Politykę Bezpieczeństwa oraz Instrukcję Zarządzania.
  • Przeprowadzane są okresowe audyty stanu faktycznego Spółki w obszarze ochrony danych osobowych.
  • Przeprowadzana jest okresowa aktualizacja Polityki Bezpieczeństwa oraz Instrukcji Zarządzania.

Gdzie przechowywane są dane osobowe?

Serwery naszego dostawcy zlokalizowane są w Polsce (konkretnie w Szczecinie). Spełniamy wymogi dotyczące przetwarzania danych w Europejskim Obszarze Gospodarczym.

Czy prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych?

Tak. Ewidencja osób upoważnionych do przetwarzania danych osobowych prowadzona jest zarówno przez Webankietę, jak i naszych dostawców.

Komu i w jakim zakresie Webankieta powierza przetwarzanie danych osobowych?

Asseco Data Systems SA
ul. Podolska 21 81-321 Gdynia

Data powierzenia – 23.12.2016r.

Przedmiot – "Zbiór „Respondenci”, Zbiór „Dane z kwestionariuszy”"

Cel przetwarzania – Asseco dostarcza serwery na który zainstalowana jest platforma Webankieta – Asseco świadczy usługi Hostingowe.


Hostersi sp. z o.o.
ul. PCK 26A 44-200 Rybnik

Data powierzenia – 23.12.2016r.

Cel przetwarzania – Hostersi świadczą usługę opieki administracyjnej. Firma instaluje i monitoruje systemy operacyjne, niezbędne oprogramowanie i bazy danych. Tym samym przetwarzają dane osobowe klientów Get Feedback.

icon

Jak często szkolicie swoich pracowników z zasad bezpiecznego korzystania ze sprzętu i systemów informatycznych oraz ochrony danych osobwych?

Dwa razy w roku:

  • Szkolenie prowadzone przez Inspektora Ochrony Danych.
  • Szkolenie wewnętrzne prowadzone przez CEO.
Dokumentem potwierdzającym uczestnictwo jest lista obecności ze szkolenia.



Kto w Webankiecie jest Inspektorem Ochrony Danych?

Współpracujemy z Katarzyną Ułasiuk oraz firmą iSecure. W sprawach dotyczących ochrony danych można się kontaktować pisząc na maila: iod@webankieta.pl