Ochrona danych osobowych
CD PROJEKT dokłada wszelkich starań, aby chronić dane osobowe przed możliwymi zagrożeniami, w szczególności poprzez stosowanie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, w tym procedur i technologii służących zabezpieczeniu danych osobowych.
Działania z zakresu ochrony danych osobowych prowadzimy w oparciu o:
- Politykę ochrony danych osobowych Grupy Kapitałowej CD PROJEKT, w tym m.in. procedurę reagowania na naruszenia ochrony danych osobowych, dokument wewnętrzny określający ramy organizacyjne ochrony danych osobowych w Grupie CD PROJEKT, oraz
- Politykę Prywatności CD PROJEKT RED, dokument publiczny, informujący o warunkach przetwarzania danych osobowych w kontekście większości usług skierowanych do konsumentów.
Zasady ochrony danych osobowych w CD PROJEKT:
- zgodnie z obowiązującymi regulacjami, przetwarzamy dane osobowe tylko w niezbędnym zakresie, uzasadnionym jasno komunikowanymi celami,
- zawsze informujemy osoby, których dane dotyczą o tym jak, dlaczego i na jakiej podstawie przetwarzamy ich dane oraz o tym, jakie prawa przysługują im w tym kontekście,
- wybierając podwykonawców, którzy mają mieć dostęp do danych osobowych, upewniamy się, że dbają o bezpieczeństwo powierzonych im danych,
- na bieżąco monitorujemy bezpieczeństwo przetwarzanych danych osobowych i reagujemy na sygnały o możliwych naruszeniach; gdy wymaga tego sytuacja, zgłaszamy naruszenie do właściwych organów lub informujemy o nim osoby, które mogą być nim dotknięte.
Cyberbezpieczeństwo
W Grupie CD PROJEKT podejmujemy działania mające na celu ochronę informacji, systemów i infrastruktury IT oraz ograniczanie ryzyk związanych z cyberbezpieczeństwem. Obowiązująca w Grupie Polityka Bezpieczeństwa Informacji określa zasady ochrony informacji oraz ramy zarządzania cyberbezpieczeństwem.
W obszarze cyberbezpieczeństwa w szczególności:
- identyfikujemy, oceniamy i monitorujemy ryzyka związane z cyberbezpieczeństwem, w tym poprzez okresowe przeglądy ryzyk oraz monitorowanie wskaźników ryzyka wspierających identyfikację zagrożeń i ograniczanie ich potencjalnego wpływu na działalność organizacji,
- monitorujemy bezpieczeństwo infrastruktury i systemów IT oraz rozwijamy zdolności wykrywania, analizy i reagowania na zagrożenia cyberbezpieczeństwa,
- identyfikujemy i ograniczamy podatności w wykorzystywanych systemach, m.in. poprzez monitorowanie podatności oraz okresowe testy bezpieczeństwa systemów i usług,
- zgłaszamy, analizujemy i obsługujemy incydenty bezpieczeństwa informacji,
- utrzymujemy gotowość do reagowania na sytuacje kryzysowe mogące wpływać na działalność organizacji,
- oceniamy partnerów zewnętrznych pod kątem cyberbezpieczeństwa i bezpieczeństwa danych; w zależności od charakteru współpracy proces ten może obejmować również dodatkowe wymagania i mechanizmy oceny bezpieczeństwa. Wymagania bezpieczeństwa dla podmiotów zewnętrznych, uwzględniające poziom wrażliwości danych, publikowane są na stronie internetowej Spółki.
Cyberbezpieczeństwo obejmuje również budowanie świadomości osób zatrudnionych. W tym celu corocznie przeprowadzane są obowiązkowe szkolenia z zakresu cyberbezpieczeństwa, wspierające rozwój wiedzy i dobrych praktyk w obszarze bezpieczeństwa informacji.