Ochrona danych osobowych i cyberbezpieczeństwo

Ochrona danych osobowych 

CD PROJEKT dokłada wszelkich starań, aby chronić dane osobowe przed możliwymi zagrożeniami, w szczególności poprzez stosowanie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, w tym procedur i technologii służących zabezpieczeniu danych osobowych. 

Działania z zakresu ochrony danych osobowych prowadzimy w oparciu o:

  • Politykę ochrony danych osobowych Grupy Kapitałowej CD PROJEKT, w tym m.in. procedurę reagowania na naruszenia ochrony danych osobowych, dokument wewnętrzny określający ramy organizacyjne ochrony danych osobowych w Grupie CD PROJEKT, oraz
  • Politykę Prywatności CD PROJEKT RED, dokument publiczny, informujący o warunkach przetwarzania danych osobowych w kontekście większości usług skierowanych do konsumentów.

Zasady ochrony danych osobowych w CD PROJEKT:

  • zgodnie z obowiązującymi regulacjami, przetwarzamy dane osobowe tylko w niezbędnym zakresie, uzasadnionym jasno komunikowanymi celami,
  • zawsze informujemy osoby, których dane dotyczą o tym jak, dlaczego i na jakiej podstawie przetwarzamy ich dane oraz o tym, jakie prawa przysługują im w tym kontekście,
  • wybierając podwykonawców, którzy mają mieć dostęp do danych osobowych, upewniamy się, że dbają o bezpieczeństwo powierzonych im danych,
  • na bieżąco monitorujemy bezpieczeństwo przetwarzanych danych osobowych i reagujemy na sygnały o możliwych naruszeniach; gdy wymaga tego sytuacja, zgłaszamy naruszenie do właściwych organów lub informujemy o nim osoby, które mogą być nim dotknięte.

Cyberbezpieczeństwo

W Grupie CD PROJEKT podejmujemy działania mające na celu ochronę informacji, systemów i infrastruktury IT oraz ograniczanie ryzyk związanych z cyberbezpieczeństwem. Obowiązująca w Grupie Polityka Bezpieczeństwa Informacji określa zasady ochrony informacji oraz ramy zarządzania cyberbezpieczeństwem. 

W obszarze cyberbezpieczeństwa w szczególności:

  • identyfikujemy, oceniamy i monitorujemy ryzyka związane z cyberbezpieczeństwem, w tym poprzez okresowe przeglądy ryzyk oraz monitorowanie wskaźników ryzyka wspierających identyfikację zagrożeń i ograniczanie ich potencjalnego wpływu na działalność organizacji,
  • monitorujemy bezpieczeństwo infrastruktury i systemów IT oraz rozwijamy zdolności wykrywania, analizy i reagowania na zagrożenia cyberbezpieczeństwa,
  • identyfikujemy i ograniczamy podatności w wykorzystywanych systemach, m.in. poprzez monitorowanie podatności oraz okresowe testy bezpieczeństwa systemów i usług,
  • zgłaszamy, analizujemy i obsługujemy incydenty bezpieczeństwa informacji, 
  • utrzymujemy gotowość do reagowania na sytuacje kryzysowe mogące wpływać na działalność organizacji,
  • oceniamy partnerów zewnętrznych pod kątem cyberbezpieczeństwa i bezpieczeństwa danych; w zależności od charakteru współpracy proces ten może obejmować również dodatkowe wymagania i mechanizmy oceny bezpieczeństwa. Wymagania bezpieczeństwa dla podmiotów zewnętrznych, uwzględniające poziom wrażliwości danych, publikowane są na stronie internetowej Spółki.

Cyberbezpieczeństwo obejmuje również budowanie świadomości osób zatrudnionych. W tym celu corocznie przeprowadzane są obowiązkowe szkolenia z zakresu cyberbezpieczeństwa, wspierające rozwój wiedzy i dobrych praktyk w obszarze bezpieczeństwa informacji.