Polityka Bezpieczeństwa Danych
Niniejsza Polityka Bezpieczeństwa Danych (dalej: Polityka) ma na celu zapewnienie zgodności procesów przetwarzania danych osobowych oraz danych Klientów i Uczestników z wymogami Standardu Usług Szkoleniowo-Rozwojowych SUS 3.0 oraz obowiązującymi przepisami prawa, w szczególności RODO. Polityka została zaprojektowana w celu minimalizacji ryzyka i zapewnienia łatwości wdrożenia w bieżącej działalności Spółki.
§ 1. Cel i zakres Polityki
Celem Polityki jest określenie jednolitych i mierzalnych standardów bezpieczeństwa przechowywania danych przez Organizatora.
Polityka obejmuje wszystkie dane pozyskiwane w ramach świadczenia Usług Szkoleniowo-Rozwojowych, w tym dane Klientów, Podmiotów Zgłaszających, Uczestników oraz dane finansowe i operacyjne Spółki.
§ 2. Podstawowe standardy bezpieczeństwa
Organizator przyjmuje następujące kluczowe rozwiązania zapewniające bezpieczeństwo danych:
Przechowywanie Danych Cyfrowych (Zasada Chmury Zaufanej):
Wszystkie dane Uczestników, Podmiotów Zgłaszających oraz dokumentacja szkoleniowa (ankiety, testy, protokoły) są przechowywane w profesjonalnych usługach chmurowych (np. Google Workspace / Microsoft 365 / dedykowany system BUR).
Dostawcy usług chmurowych (procesorzy) gwarantują spełnienie międzynarodowych standardów bezpieczeństwa danych (m.in. ISO 27001, certyfikacja SOC), co jest weryfikowane przez Organizatora w umowach powierzenia przetwarzania danych.
Bezpieczeństwo Systemów Online (Strona WWW i E-mail):
Strona internetowa i systemy online Organizatora są zabezpieczone aktualnymi certyfikatami SSL/TLS (szyfrowanie komunikacji).
Wszelkie skrzynki e-mail służące do kontaktu z Klientami są chronione uwierzytelnianiem dwuskładnikowym (2FA).
Tworzenie Kopii Zapasowych (Backup):
Kopie zapasowe kluczowych danych są wykonywane automatycznie przez dostawców usług chmurowych, a w przypadku danych lokalnych – co najmniej raz w miesiącu na zabezpieczonym nośniku.
Bezpieczeństwo Fizyczne:
Dokumentacja papierowa (umowy, listy obecności) jest przechowywana w zamkniętych, zamykanych na klucz szafach/pomieszczeniach w siedzibie Organizatora.
§ 3. Walidacja i Doskonalenie Zabezpieczeń
Organizator wprowadza mechanizmy okresowej ewaluacji i doskonalenia zabezpieczeń danych:
Audyt Wewnętrzny Bezpieczeństwa: Co najmniej raz w roku kalendarzowym (lub w przypadku istotnej zmiany w systemach IT) Organizator przeprowadza wewnętrzną ewaluację zabezpieczeń w formie Listy Kontrolnej Bezpieczeństwa Danych.
Zakres Ewaluacji: Ewaluacja obejmuje weryfikację:
Aktualności posiadanych przez Organizatora umów powierzenia przetwarzania danych z zewnętrznymi dostawcami usług (np. platformy e-learningowe, dostawcy IT).
Stan techniczny haseł i mechanizmów uwierzytelniania dostępu do systemów.
Aktualność oprogramowania antywirusowego/antymalware na urządzeniach firmowych.
Proces Doskonalenia: Wszelkie zidentyfikowane uchybienia lub ryzyka są odnotowywane w Raporcie z Ewaluacji Bezpieczeństwa i muszą zostać usunięte w terminie nie dłuższym niż 30 dni od ich wykrycia. Dowody działań naprawczych są archiwizowane i stanowią podstawę do ciągłego doskonalenia zabezpieczeń.
§ 4. Obowiązki Kadry i Przekazywanie Informacji Klientom
Obowiązki Kadry: Każda osoba upoważniona przez Organizatora do przetwarzania danych (w tym wspólnicy i trenerzy) jest zobowiązana do zachowania całkowitej poufności danych i stosowania się do niniejszej Polityki.
Organizator zamieszcza na swojej stronie internetowej w Polityce Prywatności skróconą informację o stosowanych standardach bezpieczeństwa.
Na żądanie Klienta lub Podmiotu Zgłaszającego, Organizator przekazuje aktualne informacje na temat stosowanych rozwiązań, w tym nazwy dostawców usług chmurowych i certyfikatów bezpieczeństwa, które spełniają.
§ 5. Postanowienia końcowe
Niniejsza Polityka obowiązuje od dnia 06.05.2025.
Polityka jest weryfikowana i aktualizowana co najmniej raz na rok.