Polityka prywatności

Zasady bezpieczeństwa informacji:

Postępowanie z materiałami klienta

Dostęp do materiałów klienta posiadają dedykowani kierownicy projektów oraz zaangażowani do tłumaczenia tłumacze, którzy są zobowiązani do przestrzegania zasad określonych w umowach o poufności. Każdy projekt podlega standardowym procedurom bezpieczeństwa.

Kategorie danych

Grupa	Źródło	Podstawa przetwarzania	Rodzaje danych	Przechowywanie	Format	Dostęp	Transfer
Klienci
Przedsiębiorstwa, instytucje (osoby kontaktowe)	E-mail od klienta	wykonanie umowy art. 6 ust. 1 lit. b) oraz interes prawny art. 6 ust. 1 lit. f) – w celu informowania klienta lub złożenia zapytania dotyczącego realizowanego projektu, płatności, zadowolenia z usługi	Imię i nazwisko, e-mail, numer telefonu, Skype ID	Mail – Google, BMS – SpaceTMS	baza danych	pracownicy	SpaceTMS, Google
Klienci indywidualni	E-mail od klienta, rozmowa telefoniczna, osobista wizyta w biurze	wykonanie umowy art. 6 ust. 1 lit. b) oraz interes prawny art. 6 ust. 1 lit. f) – w celu informowania klienta lub złożenia zapytania dotyczącego realizowanego projektu, płatności, satysfakcji	Imię i nazwisko, adres, numer telefonu, e-mail, Skype ID, nazwa firmy, NIP, Regon	Poczta – Google, BMS – SpaceTMS, Fakturowanie – Saldeo, System finansowy, lokalny serwer plików	baza danych i dokumenty elektroniczne (faktury)	pracownicy	SpaceTMS, Google, Saldeo
Potencjalni klienci	formularz kontaktowy na stronie www.diuna.biz	zgoda	Imię i nazwisko, e-mail, numer telefonu	WordPress, Google mail, CRM-Bitrix24	baza danych	pracownicy	Google
Dostawcy
Dostawcy	proces rekrutacji – aplikacja	wykonanie umowy art.  6 ust. 1 lit. b)	Imię i nazwisko, adres, nazwa i adres firmy, numery telefonów, adres e-mail, NIP, REGON, dane rachunku bankowego, inne dane dotyczące płatności	Google mail, SpaceTMS (konto należące do dostawcy), Autenti, Saldeo, lokalny serwer plików	baza danych, dokumenty (umowy)	pracownicy	Google, SpaceTMS, Autenti, Saldeo
Pracownicy
Pracownicy	podanie o pracę	wykonanie umowy art. 6 ust. 1 lit. b) i obowiązek ustawowy art. 6 ust. 1 lit. c)	Imię i nazwisko, adres zamieszkania, adres do korespondencji, imiona rodziców, data urodzenia, urząd skarbowy, NIP, Pesel, konto bankowe	Poczta Google, system płacowy – Asseco, Bitrix24 (tylko imię i nazwisko oraz dane kontaktowe)	dokumenty, umowy	Dyrektor generalny, kierownik biura, kierownik działu kadr	poczta, serwer plików
Praktykanci i stażyści	podanie o praktyki	wykonanie umowy art. 6 ust. 1 lit. b) i obowiązek ustawowy art. 6 ust. 1 lit. c)	Imię i nazwisko, adres zamieszkania, adres do korespondencji, imiona rodziców, data urodzenia, urząd skarbowy, NIP, Pesel, konto bankowe	Google mail, Bitrix24 (tylko imię i nazwisko oraz dane kontaktowe)	dokumenty	Kierownik Biura, Kierownik Sprzedaży	poczta
Treść przetłumaczona
dane osobowe w tłumaczonych treściach	udostępnianie przez klientów za pomocą poczty elektronicznej lub w inny sposób (np. ftp)	umowa o przetwarzaniu danych	zgodnie z dostarczoną treścią	Poczta Google, SpaceTMS, pamięci tłumaczeniowe	baza danych, plik	pracownicy, współdzielony z dostawcami zatrudnionymi do wykonania określonych zadań	Google mail, SpaceTMS

Przetwarzanie danych

Typ	Dostawca	Tylko EOG	Kopia zapasowa	Dostęp	Zakres danych
Poczta	Google – chmura	Nie	Dostawca 30 dni	Indywidualny, uwierzytelnianie dwuskładnikowe	Dane klienta (w tym osobowe), treści klienta, dane sprzedawcy (w tym osobowe)
Poczta 2	Home.pl – chmura	Tak	Dostawca – 3 dni	Indywidualny, uwierzytelnianie dwuskładnikowe	Dane klienta (w tym osobowe), treści klienta, dane sprzedawcy (w tym osobowe)
Serwer plików	Lokalnie na miejscu	Tak	DIUNA	Zgodnie z uprawnieniami użytkownika	Treści klientów w TM, dane dostawców (umowy i faktury)
PC	Lokalnie na miejscu / z użytkownikiem	Tak	NIE	Indywidualny/ hasło	Brak stałego przechowywania, tylko na czas przetwarzania, rodzaj danych zależy od roli w DIUNA
System zarządzania projektami	SpaceTMS.com – chmura	Tak	Dostawca, cotygodniowe kopie zapasowe	Indywidualny/ hasło	Dane klientów (w tym dane osobowe), treści klientów, sprzedawców (na kontach należących do sprzedawców)
System zarządzania tłumaczeniami ™	Trados – lokalny serwer plików Memsource – chmura	Tak	DIUNA, Dostawca	Zgodnie z uprawnieniami użytkownika	Treści klienta
Tłumaczenie maszynowe TM	Tilde – chmura	Tak		Poprzez system zarządzania tłumaczeniami	Treści klienta
Fakturowanie	Saldeo – chmura, zewnętrzna księgowość	Tak	Dostawca	Upoważnieni użytkownicy	Dane osobowe sprzedawców
CRM, komunikacja wewnętrzna	Bitrix24 – chmura	Tak	Dostawca	Upoważnieni użytkownicy	Pracownicy, stażyści, praktykanci – nazwiska, maile, numery telefonów
Programy do edycji plików	Microsoft – Onedrive	Tak	Dostawca	Użytkownicy indywidualni	Treści klienta (tylko na wyraźne życzenie klienta)

Oprogramowanie antywirusowe

Nasze zasoby informatyczne są zabezpieczone oprogramowaniem antywirusowym o następujących funkcjach:

a) zabezpieczenie zasobów informatycznych przed złośliwym oprogramowaniem za pomocą modułu rezydencyjnego, który skanuje cały system komputerowy; 

b) bieżąca aktualizacja bazy sygnatur wirusów; 

c) automatyczna reakcja w przypadku wykrycia nowego i nieznanego złośliwego oprogramowania, np. blokowanie wszelkiej komunikacji z zainfekowanym komputerem.

Oprogramowanie, z którego obecnie korzystamy to ESET i Windows Defender.

Postępowanie z informacjami poufnymi

Stacje robocze typu desktop są zabezpieczone hasłem, które jest zmieniane co kilka miesięcy. Hasła składają się z 9 lub więcej znaków, w tym co najmniej jednego znaku specjalnego, i nie mogą być prostymi słowami/frazami. Odblokowane stacje robocze nigdy nie są pozostawione bez nadzoru. Codzienna praca wykonywana jest na koncie bez uprawnień administratora.

Dostęp do dysku sieciowego zabezpieczony jest hasłem i jest chroniony przez VPN z dodatkowym hasłem i certyfikatami.

Stacje robocze typu desktop są chronione firewallem i oprogramowaniem antywirusowym.

• Polityka czystego biurka
• Każdy pracownik jest odpowiedzialny za zachowanie poufności danych, do których ma dostęp.
• Firma prowadzi regularne szkolenia z zakresu bezpieczeństwa informacji dla personelu.
• Każdy pracownik jest zobowiązany do ochrony swoich danych dostępowych do systemów informatycznych.
• Niezabezpieczone informacje poufne nie mogą być wynoszone poza teren firmy.
  Stanowczo zabrania się wynoszenia poza teren firmy informacji poufnych na nośnikach cyfrowych (pendrive’ach, płytach CD itp.).
• Każdy nowy pracownik i usługodawca jest zobowiązany do wyrażenia zgody na umowę o zachowaniu poufności.

Ochrona pomieszczeń

• Bezpieczny zamek elektroniczny z możliwością użycia tylko przez osoby upoważnione
• Zakratowane okna
• Ogrodzenie z bramą zamykaną na kłódkę

 Procedura na wypadek incydentów

1. Zbieranie dowodów – identyfikacja i rejestracja informacji o incydencie bezpieczeństwo
2. Badanie i analiza wyżej wymienionych informacji
3. Dokumentacja powyższych działań

Protokół naruszenia

• Każdy pracownik, który zauważy lub podejrzewa naruszenie bezpieczeństwa danych osobowych, jest zobowiązany do niezwłocznego zgłoszenia tego faktu swojemu bezpośredniemu przełożonemu. Następnie przełożony powiadamia o tym fakcie administratora danych.
• W przypadku potwierdzenia naruszenia ochrony danych osobowych nie można podejmować żadnych działań, które mogą utrudnić analizę okoliczności i udokumentowanie naruszenia. Nie wolno również bez uzasadnienia pozostawiać miejsca zdarzenia bez nadzoru do czasu przybycia inspektora ochrony danych lub innej osoby upoważnionej przez administratora danych.
• Administrator danych analizuje sytuację i decyduje o dalszych krokach, biorąc pod uwagę zagrożenia dla prawidłowego i dalszego funkcjonowania firmy. 
• Administrator danych otrzymuje szczegółowe zgłoszenie dotyczące naruszenia danych osobowych od osoby zgłaszającej incydent oraz od każdej innej osoby, która może wiedzieć coś z nim związanego. 
• Administrator danych kontaktuje się w razie potrzeby z zewnętrznymi specjalistami.
• Zgodnie z RODO każde naruszenie danych osobowych musi być zgłoszone do organu ochrony danych w ciągu 72 godzin od naruszenia.
• Gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko dla praw podmiotów danych, administrator bez zbędnej zwłoki informuje podmiot danych o naruszeniu bezpieczeństwa danych osobowych.

Ostatnia aktualizacja lipiec 2022 r.