USOS Y RECOMENDACIONES
Todas las personas que tengan acceso a los datos personales, a través del sistema informático o a través de cualquier otro medio automatizado de acceso, están obligadas a cumplir lo establecido en el Documento de Seguridad que dispone la entidad, y por lo tanto, sujetas a las consecuencias que puedan derivar en caso de incumplimiento. El incumplimiento de las políticas, prácticas y procedimientos de seguridad estará sujeto a una acción disciplinaria, pudiendo conllevar una acción civil y/o penal.
Esta normativa debe difundirse a todos los empleados para que todos los usuarios sepan a qué medidas de seguridad están sujetos en materia de Protección de Datos, asimismo, se recomienda hacer la entrega de algún modo que permita registrar el acuse de recibo por parte de los usuarios.
FUNCIONES ASIGNADAS AL RESPONSABLE DEL TRATAMIENTO
Elaborar e implantar la normativa de seguridad que deben adoptar los tratamientos detallados en el correspondiente ANEXO A del documento de seguridad así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
Crear y mantener el Registro de Actividades de Tratamiento.
Comprobar el cumplimiento del deber de información, con anterioridad a la recogida de datos de acuerdo con los medios que se utilicen para ello.
Recabar el consentimiento de los interesados, siempre que éste sea necesario para el tratamiento de sus datos.
Aprobar la designación y autorización de usuarios que emplean la aplicación en su labor cotidiana, asignando los accesos permitidos a cada usuario.
Aprobar una política que tenga por objetivo la formación adecuada del personal con los siguientes fines:
conocimiento de las medidas de seguridad que afecten a las funciones de cada usuario.
conocimiento de los procedimientos a seguir por el afectado para el ejercicio de sus derechos.
Autorizar la puesta en marcha de la explotación de los datos de carácter personal mediante una nueva aplicación informática, o la realización de mejoras sustanciales sobre la existente.
Autorizar la aprobación de una política para la salida de soportes informáticos que contengan datos de carácter personal fuera de los locales en los que esté ubicado el tratamiento.
Aprobar la corrección de los procedimientos establecidos para la asignación de contraseñas a fin de garantizar la confidencialidad de las mismas.
Aprobar los procedimientos de realización de copias de seguridad y de recuperación de los datos.
Aprobar las medidas correctoras que se deriven de la correspondiente auditoría.
Y, en general, cualquier obligación que se derive de la normativa que resulte de aplicación.
FUNCIONES ASIGNADAS A LOS USUARIOS
Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la organización.
Guardar todos los soportes físicos y/o documentos que contengan información con datos de carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera de la jornada laboral.
Queda prohibido el traslado de cualquier soporte, listado o documento con datos de carácter personal en los que se almacene información titularidad de la organización fuera de los locales de la misma, sin autorización previa del Responsable de Tratamiento. En el supuesto de existir traslado o distribución de soportes y documentos se realizará cifrando dichos datos, o mediante otro mecanismo que imposibilite el acceso o manipulación de la información por terceros.
Ficheros de carácter temporal o copias de documentos son aquellos en los que se almacenan datos de carácter personal, generados para el cumplimiento de una necesidad determinada o trabajos temporales y auxiliares, siempre y cuando su existencia no sea superior a un mes. Estos ficheros de carácter temporal o copias de documentos deben ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación y, mientras estén vigentes, deberán cumplir con las medidas de seguridad asignadas. Si, transcurrido el mes, el usuario necesita continuar utilizando la información almacenada en el fichero, deberá comunicarlo al Responsable, para adoptar las medidas oportunas sobre el mismo.
Únicamente las personas autorizadas en un listado de accesos podrán introducir, modificar o anular los datos contenidos en los ficheros o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por el Responsable. En el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a datos personales o documentos a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del Responsable correspondiente.
Comunicar al Responsable, conforme al procedimiento de notificación, las violaciones o incidencias de seguridad de las que tenga conocimiento.
Cambiar las contraseñas a petición del sistema.
Cerrar o bloquear todas las sesiones al término de la jornada laboral o en el supuesto de ausentarse temporalmente de su puesto de trabajo, a fin de evitar accesos no autorizados.
No copiar la información contenida en los ficheros en los que se almacenen datos de carácter personal al ordenador personal, portátil o a cualquier otro soporte sin autorización expresa del Responsable correspondiente.
Guardar todos los ficheros con datos de carácter personal en la carpeta indicada por el Responsable de Seguridad correspondiente, a fin de facilitar la aplicación de las medidas de seguridad que les correspondan.
Los usuarios tiene prohibido el envío de información de carácter personal sensible, salvo autorización expresa del Responsable que tenga asignada esta tarea. En todo caso, este envío únicamente podrá realizarse si se adoptan los mecanismos necesarios para evitar que la información no sea inteligible ni manipulada por terceros.
Los usuarios no podrán, salvo autorización expresa del Responsable que tenga asignada esta tarea, instalar cualquier tipo de programas informáticos o dispositivos ni en los servidores centrales ni en el ordenador empleado en el puesto de trabajo.
Queda prohibido:
Emplear identificadores y contraseñas de otros usuarios para acceder al sistema.
Intentar modificar o acceder al registro de accesos habilitado por el Responsable competente.
Burlar las medidas de seguridad establecidas en el sistema informático, intentando acceder a datos o programas cuyo acceso no le haya sido permitido.
Enviar correos masivos (spam) empleando la dirección de correo electrónico corporativa.
Y en general, el empleo de la red corporativa, sistemas informáticos y cualquier medio puesto al alcance del usuario vulnerando el derecho de terceros, los propios de la organización, o bien para la realización de actos que pudieran ser considerados ilícitos.
Mantener debidamente custodiadas las llaves de acceso a la organización, a sus despachos y a los armarios, archivadores u otros elementos que contengan datos de carácter personal no automatizados, debiendo poner en conocimiento del Responsable competente cualquier hecho que pueda haber comprometido esa custodia.
Cerrar con llave las puertas de los despachos al término de la jornada laboral o cuando deba ausentarse temporalmente de esta ubicación, a fin de evitar accesos no autorizados.
Asegurarse de que no quedan documentos impresos que contengan datos de carácter personal impresos en la bandeja de salida de la impresora.
Establecerse procedimientos en el copiado o reproducción de documentos, a fin que solo puedan acceder a las copias las personas habilitadas por el Responsable correspondiente.
FUNCIONES ASIGNADAS A LOS USUARIOS DE DATOS NO AUTOMATIZADOS
Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la entidad.
Mantener debidamente custodiadas las llaves de acceso a la residencia, a sus despachos y a los armarios, archivadores u otros elementos que contengan datos no automatizados de carácter personal, debiendo poner en conocimiento del Responsable cualquier hecho que pueda haber comprometido esa custodia.
Cerrar con llave las puertas de los despachos al término de la jornada laboral o cuando deba ausentarse temporalmente de esta ubicación, a fin de evitar accesos no autorizados.
Comunicar al Responsable, conforme al procedimiento de notificación, las violaciones o incidencias de seguridad de las que tenga conocimiento.
Queda prohibido el traslado de cualquier listado o documento análogo con datos de carácter personal en los que se almacene información titularidad de la entidad fuera de los locales de la misma.
Guardar todos los soportes físicos o documentos que contengan información con datos de carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera de la jornada laboral.
Asegurarse de que no quedan documentos impresos que contengan datos protegidos impresos en la bandeja de salida de la impresora.
Únicamente las personas autorizadas para ello en el listado de accesos podrán introducir, modificar o anular los datos contenidos en los ficheros objeto de protección. Los permisos de acceso de los usuarios a los diferentes ficheros son concedidos por el Responsable. En el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a ficheros a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del Responsable.
Ficheros de carácter temporal son aquellos en los que se almacenan datos de carácter personal, generados para el cumplimiento de una necesidad determinada, siempre y cuando su existencia no sea superior a un mes. Los ficheros de carácter temporal deben ser destruidos una vez hayan dejado de ser necesarios para los fines que motivaron su creación y, mientras estén vigentes, deberán contemplarse las medidas de seguridad contenidas en este documento.
FUNCIONES ASIGNADAS A LOS USUARIOS ADMINISTRADORES INFORMÁTICOS
El usuario que tiene privilegios para la administración de equipos informáticos, debe conocer las obligaciones que le corresponden como personal informático. Debido al especial acceso que tiene el personal informático se le atribuyen unas responsabilidades complementarias:
Guardar secreto de toda la información de carácter personal, o que afecte a ésta, de la que tenga conocimiento en el desarrollo de su de trabajo, aún después de acabada la relación con la organización.
Aunque debido a sus funciones disponga de un acceso privilegiado a ciertos recursos, se compromete a acceder únicamente a los datos necesarios para desarrollar sus funciones.
En el caso que detecten, deficiencias de seguridad en el sistema de información, lo deberán comunicar al Responsable correspondiente.
Colaborar con el Responsable/s en la resolución de las incidencias que se le encarguen.
Desempeñar sus funciones con estricta observancia de las obligaciones dispuestas por el RGPD.
FUNCIONES ASIGNADAS A LOS USUARIOS DE ATENCIÓN AL PÚBLICO
Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la organización.
Mantener en secreto sus claves de acceso al sistema, debiendo poner en conocimiento del Responsable cualquier hecho que pueda haber comprometido el secreto.
Las contraseñas de acceso al sistema son personales e intransferibles, siendo el usuario el único responsable de las consecuencias que pudieran derivarse de su mal uso, divulgación o pérdida.
Cambiar las contraseñas a petición del sistema.
Cerrar o bloquear todas las sesiones al término de la jornada laboral.
Bloquear las sesiones en el supuesto de ausentarse temporalmente de su puesto de trabajo, a fin de evitar accesos no autorizados.
Comunicar al Responsable, conforme al procedimiento de notificación, las violaciones o incidencias de seguridad de las que tenga conocimiento.
No copiar la información contenida en los ficheros en los que se almacenen datos de carácter personal al propio ordenador, o a cualquier otro soporte sin autorización expresa del Responsable. Queda igualmente prohibido el traslado de cualquier soporte en los que se almacene información titularidad de la compañía fuera de los locales de la misma.
Guardar todos los ficheros con datos de carácter personal en la carpeta indicada por el Responsable a fin de facilitar la aplicación de las medidas de seguridad que les correspondan.
Guardar todos los soportes físicos que contengan información con datos de carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera de la jornada laboral.
Asegurarse de que no quedan documentos impresos que contengan datos protegidos impresos en la bandeja de salida de la impresora.
Únicamente las personas autorizadas para ello en el listado de accesos podrán introducir, modificar o anular los datos contenidos en los tratamientos objeto de protección. Los permisos de acceso de los usuarios a los diferentes ficheros son concedidos por el Responsable competente. En el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a ficheros a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del Responsable.
Ficheros de carácter temporal son aquellos en los que se almacenan datos de carácter personal, generados para el cumplimiento de una necesidad determinada, siempre y cuando su existencia no sea superior a un mes. Los ficheros de carácter temporal deben ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación y, mientras estén vigentes, deberán ser almacenados en la carpeta designada por el Responsable. Si, transcurrido el mes, el usuario necesita continuar utilizando la información almacenada en el fichero, deberá comunicarlo al Responsable, para adoptar las medidas oportunas sobre el mismo.
El correo electrónico es considerado por la entidad como elemento fundamental para las comunicaciones entre la organización y el resto de agentes, públicos o privados, que intervienen en las relaciones propias de la actividad desarrollada. Por ello, el correo electrónico sea cual sea la dirección asignada, se configura como una herramienta de trabajo no exclusiva, colectiva y de libre acceso, asignadas a áreas o puestos de trabajo y no a personas. Queda prohibido el uso del mismo para fines no relacionados con las funciones laborales encomendadas. El empleo del nombre o apellidos de los trabajadores o funcionarios junto al dominio de la organización en las direcciones de correo no significa la asignación por la organización de un correo personal, esto se realiza únicamente por motivos organizativos internos de asignación de áreas y puestos de trabajo. Los usuarios tienen prohibido el envío de Información de carácter personal sensible, salvo autorización expresa del Responsable. En todo caso, este envío únicamente podrá realizarse si se adoptan los mecanismos necesarios para evitar que la información no sea inteligible ni manipulada por terceros.
Los usuarios no podrán, salvo autorización expresa del Responsable, instalar cualquier tipo de programas informáticos o dispositivos ni en los servidores centrales ni en el ordenador personal empleado para el desarrollo de su trabajo.
Conocer la existencia de derechos de los interesados (acceso, rectificación, cancelación, oposición, portabilidad, supresión y limitación), así como su procedimiento de respuesta ante el ejercicio de uno de ellos.
Queda prohibido:
Emplear identificadores y contraseñas de otros usuarios para acceder al sistema.
Intentar modificar o acceder al registro de accesos habilitado por el Responsable.
Burlar las medidas de seguridad establecidas en el sistema informático, intentando acceder a datos o programas cuyo acceso no le haya sido permitido.
Utilizar Internet para tareas que no estén relacionadas directamente con las funciones asignadas al usuario. La organización regulará las modalidades de acceso y las restricciones o limitaciones del mismo. Queda prohibida la descarga de software o ficheros de cualquier tipo desde Internet, sin consentimiento expreso de la organización, y ello aunque resulte de un acceso consentido por motivos de trabajo.
Introducir contenidos en la red corporativa y/o ordenador personal que no guarden relación con la actividad y objetivos de la entidad.
Enviar correos masivos (spam) empleando la dirección de correo electrónico corporativa.
Y en general, el empleo de la red corporativa, sistemas informáticos y cualquier medio puesto al alcance del usuario vulnerando el derecho de terceros, los propios de la organización, o bien para la realización de actos que pudieran ser considerados ilícitos.