Finansujemy małe i średnie przedsiębiorstwa

POLITYKA BEZPIECZEŃSTWA (PRYWATNOŚCI)

W ZAKRESIE PRZETWARZANIA DANYCH

OSOBOWYCH


  1. POSTANOWIENIA OGÓLNE


  1. Celem Polityki Bezpieczeństwa danych osobowych, zwanej dalej Polityką Bezpieczeństwa, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania w CAPITALES.PL spółka z ograniczoną odpowiedzialnością z siedzibą w Białymstoku, numer KRS: 0000461627 (dalej: Capitales), informacji zawierających dane osobowe, w sposób zapewniający ich poufność, integralność i dostępność, niezaprzeczalność odbioru, niezaprzeczalność nadania i rozliczalność działań.

  2. Obszarem przetwarzania danych osobowych w Capitales są wydzielone pomieszczenia w budynku przy ul. Piękna 1 w Białymstoku.

  3. Określenia użyte w Polityce Bezpieczeństwa oznaczają:

    1. Komórka organizacyjna – odpowiednio komórki organizacyjne, o których mowa w strukturze organizacyjnej Capitales;

    2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

    3. Przetwarzanie danych osobowych - gromadzenie, utrwalanie przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, w postaci dokumentacji tradycyjnej jak i elektronicznej, zwłaszcza w systemach informatycznych;

    4. Użytkownik - osoba upoważniona do przetwarzania danych osobowych.

    5. Administrator systemu – osoba upoważniona do zarządzania systemem informatycznym.

    6. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

    7. Zabezpieczenie systemu informatycznego – wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych a także ich utratą;

    8. Poufność informacji – ograniczenie dostępu do informacji wyłącznie dla uprawnionych pracowników;

    9. Integralność informacji – dokładność i kompletność informacji oraz metod jej przetwarzania;

    10. Dostępność informacji – ograniczenie dostępu do informacji wyłącznie dla uprawnionych pracowników wtedy, gdy jest to potrzebne;

    11. zarządzanie ryzykiem – proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych.

    12. niezaprzeczalność odbioru – zdolność systemu do udowodnienia, że adresat informacji otrzymał ją w określonym miejscu i czasie;

    13. niezaprzeczalności nadania – zdolność systemu do udowodnienia, że nadawca informacji faktycznie ją nadał lub wprowadził do systemu w określonym miejscu i czasie;

    14. rozliczalność działań – zapewnienie, że wszystkie działania istotne dla przetwarzania informacji zostały zarejestrowane w systemie i możliwym jest zidentyfikowanie użytkownika, który działania dokonał.

  4. Politykę Bezpieczeństwa stosuje się do:

    1. Danych osobowych przetwarzanych w systemie: Platforma Capitales, finansowo – księgowym. Szczegółowe instrukcje dotyczące obsługi systemów baz danych znajdują się we właściwych komórkach organizacyjnych.

    2. Wszystkich informacji dotyczących pracowników Capitales, w tym danych osobowych personelu i treści zawieranych umów o pracę.

    3. Wszystkich danych kandydatów do pracy zbieranych na etapie rekrutacji.

    4. Informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych.

    5. Rejestru osób dopuszczonych do przetwarzania danych osobowych.

    6. Innych dokumentów zawierających dane osobowe.

  5. Zakresy ochrony danych osobowych określone w dokumentacji Polityki Bezpieczeństwa mają zastosowanie do systemów informatycznych Capitales, w których są przetwarzane dane osobowe, a w szczególności do:

    1. wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie;

    2. informacji będących własnością Capitales lub klientów Capitales, przekazanych na podstawie umów;

    3. wszystkich budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie;

    4. wszystkich pracowników w rozumieniu przepisów prawa pracy, stażystów, wolontariuszy, doradców i innych osób mających dostęp do informacji podlegających ochronie.

  6. Do stosowania zasad określonych w dokumentacji Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu przepisów prawa pracy, stażyści oraz inne osoby mające dostęp do informacji podlegających ochronie; w razie potrzeby osoby uzyskujące dostęp do informacji podlegających ochronie zostaną na piśmie zobowiązani do stosowania wymienionych zasad.

  7. Dokumentacja Polityki Bezpieczeństwa obejmuje:

    1. niniejszą Politykę Bezpieczeństwa;

    2. Instrukcję zarządzania systemem informatycznym Platforma Capitales,

    3. Instrukcję zarządzania systemem finansowo – księgowym,



  1. WYKAZ ZBIORÓW DANYCH, OPIS STRUKTURY ZBIORÓW DANYCH


  1. Capitales przetwarza dane w ramach następujących zbiorów danych:

    1. zbór danych pożyczkobiorców – przetwarzanie danych odbywa się w tradycyjnej formie papierowej w systemie informatycznym Platforma Capitales i systemie finansowo – księgowym,

    2. zbiór danych obligatariuszy (emisja prywatna) – przetwarzanie danych odbywa się w tradycyjnej formie papierowej oraz w systemie informatycznym Platforma Capitales,

    3. zbiór danych inwestorów (akcjonariuszy emisji prywatnych, udziałowców, wspólników) – przetwarzanie danych odbywa się w tradycyjnej formie papierowej oraz w systemie informatycznym Platforma Capitales,

    4. zbór danych pracowników, stażystów, wolontariuszy, osób zatrudnionych na podstawie umów cywilnoprawnych i kandydatów do pracy – przetwarzanie danych odbywa się w tradycyjnej formie papierowej oraz w systemie Finansowo – Księgowym,

    5. zbór danych kontrahentów – przetwarzanie danych odbywa się w tradycyjnej formie papierowej oraz w systemie Finansowo – Księgowym,

  2. Zbiór danych pożyczkobiorców obejmuje następujące informacje:

    1. mię i nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia, adres zamieszkania, numer ewidencyjny Pesel, numer identyfikacji podatkowej, zawód, seria i numer dowodu osobistego, numer telefonu, adres e-mail, numer faksu, stan cywilny, dane o stanie majątkowym,

    2. o wszystkich udzielonych klientowi pożyczkach, numer umowy pożyczki, data zawarcia umowy pożyczki, kwota udzielonej pożyczki, data przekazania kwoty pożyczki, terminy spłat pożyczki, sposób zabezpieczenia pożyczki,

    3. dane adresowe i kontaktowe osób udzielających zabezpieczenia pożyczki, w zakresie: imię i nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia, adres zamieszkania, numer ewidencyjny Pesel, numer identyfikacji podatkowej, zawód, seria i numer dowodu osobistego, numer telefonu, adres e-mail, numer faksu, stan cywilny, dane o stanie majątkowym,

    4. dane adresowe i kontaktowe współmałżonków osób wymienionych w pkt 1 i 3, w zakresie: imię i nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia, adres zamieszkania, numer ewidencyjny Pesel, numer identyfikacji podatkowej, zawód, seria i numer dowodu osobistego, numer telefonu, adres e-mail, numer faksu, stan cywilny, dane o stanie majątkowym,

  3. Zbiór danych obligatariuszy obejmuje następujące informacje:

    1. mię i nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia, adres zamieszkania, numer ewidencyjny Pesel, numer identyfikacji podatkowej, seria i numer dowodu osobistego, numer telefonu, adres e-mail, numer faksu, stan cywilny,

    2. o emisjach obligacji rodzaj obligacji, oznaczenie emitentów, w tym nazwę (firmę) i siedzibę, a w przypadku emitenta podlegającego obowiązkowi wpisu do rejestru dodatkowo numer wpisu do rejestru; wskazanie adresu strony internetowej emitenta, wskazanie decyzji emitenta o emisji, a w przypadku emitenta mającego siedzibę poza terytorium Rzeczypospolitej Polskiej dodatkowo oświadczenie o posiadaniu uprawnień do emitowania obligacji zgodnie z właściwym dla niego prawem; wartość nominalną i liczbę objętych obligacji;

  4. Zbiór danych inwestorów obejmuje następujące informacje:

    1. mię i nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia, adres zamieszkania, numer ewidencyjny Pesel, numer identyfikacji podatkowej, seria i numer dowodu osobistego, numer telefonu, adres e-mail, numer faksu, stan cywilny,

    2. o emisjach prywatnych akcji, o podwyższeniu kapitału zakładowego, rodzaj akcji/udziałów, oznaczenie spółek, w tym nazwę (firmę) i siedzibę, numer wpisu do rejestru; wskazanie adresu strony internetowej spółki, wskazanie decyzji spółki o emisji/podwyższeniu kapitału, wartość nominalną i liczbę objętych akcjach/udziałach;

  5. Zbiór danych pracowników obejmuje następujące informacje: mię i nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia, adres zamieszkania, numer ewidencyjny Pesel, numer identyfikacji podatkowej, zawód, seria i numer dowodu osobistego, numer telefonu, adres e-mail, numer faksu, wykształcenie, doświadczenie zawodowe, informacje o wcześniejszym zatrudnieniu, inne dane niezbędne do przeprowadzenia rekrutacji, realizacji umów o pracę lub umów cywilnoprawnych, jak też w celu wykonania obowiązków płatnika i innych obowiązków określonych w obowiązujących przepisach.

  6. Zbiór danych kontrahentów obejmuje następujące informacje:

    1. mię i nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia, adres zamieszkania, numer ewidencyjny Pesel, numer identyfikacji podatkowej, zawód, seria i numer dowodu osobistego, numer telefonu, adres e-mail, numer faksu, stan cywilny, dane o stanie majątkowym,

    2. o wszystkich zawartych z kontrahentem umowach, numer umowy, data zawarcia umowy, wartość umowy, terminy wykonania, sposób zabezpieczenia umowy,

    3. dane adresowe i kontaktowe osób udzielających zabezpieczenia umowy, w zakresie: imię i nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia, adres zamieszkania, numer ewidencyjny Pesel, numer identyfikacji podatkowej, zawód, seria i numer dowodu osobistego, numer telefonu, adres e-mail, numer faksu, stan cywilny, dane o stanie majątkowym,

    4. dane adresowe i kontaktowe współmałżonków osób wymienionych w pkt 1 i 3, w zakresie: imię i nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia, adres zamieszkania, numer ewidencyjny Pesel, numer identyfikacji podatkowej, zawód, seria i numer dowodu osobistego, numer telefonu, adres e-mail, numer faksu, stan cywilny, dane o stanie majątkowym,


  1. SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY SYSTEMAMI


  1. Zbiór danych pożyczkobiorców może być dwukierunkowo przenoszony do systemu finansowo – księgowego. Każdy system umożliwia wydruk inforamcji. Skany dokumentów papierowych mogą być zaimplementowane do systemu Platforma Capitales.

  2. Zbiór danych obligatariuszy nie jest przenoszony do systemu finansowo – księgowego. System Platforma Capitales umożliwia wydruk inforamcji.

  3. Zbiór danych inwestorów nie jest przenoszony do systemu finansowo – księgowego. System Platforma Capitales umożliwia wydruk inforamcji.

  4. Zbór danych pracowników, stażystów, wolontariuszy, osób zatrudnionych na podstawie umów cywilnoprawnych i kandydatów do pracy nie jest przenoszony do systemu Platforma Capitales. System finansowo – księgowy umożliwia wydruk inforamcji.

  5. Zbiór danych kontrahentów może być dwukierunkowo przenoszony do systemu finansowo – księgowego. Każdy system umożliwia wydruk inforamcji. Skany dokumentów papierowych mogą być zaimplementowane do systemu Platforma Capitales.


  1. ŚRODKI TECHNICZNE I ORGANIZACYJNE


  1. Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w Capitales zasad ochrony danych osobowych. Osoby te obowiązane są pisemnie potwierdzić fakt zapoznania się regulacjami w zakresie ochrony danych osobowych.

  2. Zakres czynności/obowiązków osoby dopuszczonej do przetwarzania danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych.

  3. Capitales stosuje następujące kategorie środków zabezpieczeń danych osobowych:

    1. zabezpieczenia fizyczne: całodobowy monitoring biura Capitales, pomieszczenia zamykane na klucz; szafy z zamkami,

    2. zabezpieczenia przetwarzania danych w dokumentacji papierowej: przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach, przetwarzanie danych osobowych następuje przez wyznaczone do tego celu osoby, dokumenty zawierające dane osobowe zbędne do prowadzenia dalszych działań i które nie podlegają, archiwizacji są niezwłocznie niszczone w sposób uniemożliwiający ich odczytanie,

    3. zabezpieczenia informatyczne, w tym hasła dostępu do systemu, hasła dostępu do aplikacji, wygaszacze ekranu,

    4. zabezpieczenia organizacyjne: osobami bezpośrednio odpowiedzialnymi za bezpieczeństwo danych są: użytkownicy, administrator systemu, Administrator Bezpieczeństwa Informacji, o ile został powołany.

  4. Administrator Bezpieczeństwa Informacji, o ile został powołany oraz Administrator systemu, na bieżąco kontrolują z należytą starannością, pracę pracowników odpowiedzialnych za przetwarzanie danych osobowych oraz systemy informatyczne. W przypadkach wykrycia zaniedbań lub błędów należy sporządzić raport, niezwłocznie przedstawić go zarządowi Capitales i podjąć odpowiednie czynności mające na celu ich usunięcie.

  5. Ochrona danych osobowych realizowana jest z wykorzystaniem następujących minimalnych zabezpieczeń:

    1. przyznawania indywidualnych identyfikatorów (kart dostępu do pomieszczeń);

    2. zapewnienie stopniowania uprawnień;

    3. zapewnienia wymuszania zmiany haseł;

    4. odnotowania daty pierwszego wprowadzenia danych w systemie;

    5. odnotowania identyfikatora użytkownika wprowadzającego dane;

    6. odnotowania sprzeciwu określonego w art. 32 ust. l pkt 8 ustawy o ochronie danych osobowych;

    7. odnotowania źródła danych, w przypadku zbierania danych nie od osoby, której dane dotyczą;

    8. odnotowania informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia;

    9. zapewnienie możliwości sporządzenia i wydrukowania raportu zawierającego dane osobowe wraz z informacjami o historii przetwarzania danych.

  6. Ochronie podlegają:

    1. sprzęt komputerowy, serwer, komputery osobiste, drukarki i inne urządzenia zewnętrzne, zwłaszcza urządzenia przenośne,

    2. oprogramowanie – kody źródłowe, programy użytkowe, systemy operacyjne, narzędzia wspomagające i programy komunikacyjne;

    3. dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie;

    4. hasła użytkowników;

    5. pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa;

    6. użytkownicy i administratorzy, którzy obsługują i używają system;

    7. dokumentacja - zawierająca dane systemu, opisująca jego zastosowanie, przetwarzane informacje, itp.;

    8. wydruki;

    9. związana z przetwarzaniem danych osobowych dokumentacja papierowa, z której dane są wprowadzane do systemu informatycznego lub też funkcjonują niezależnie od niego.

  7. W systemie informatycznym obowiązują zabezpieczenia na poziomie wysokim, określonym przez Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

  8. Za bezpieczeństwo danych osobowych odpowiadają:

    1. Zarząd Capitales,

    2. Administrator Bezpieczeństwa Informacji, o ile został powołany,

    3. Administrator systemu.

  9. Administrator Bezpieczeństwa Informacji jest uprawniony do wydawania poleceń w kwestiach związanych z ochroną danych osobowych.

  10. W umowach zawieranych przez Capitales w miarę potrzeby winny znajdować się postanowienia zobowiązujące podmioty zewnętrzne do ochrony danych osobowych udostępnionych w związku z umową.

  11. Umowy o pracę powinny zawierać postanowienia:

    1. stanowiące, iż ochrona danych osobowych Capitales jako całości przed ich nieuprawnionym użyciem lub zniszczeniem jest jednym z podstawowych obowiązków pracowników,

    2. o odpowiedzialności za bezpieczeństwo powierzonych pracownikowi danych w zakresie zajmowanego stanowiska i posiadanych informacji,

    3. zobowiązujące pracownika do sprawdzenia przed przystąpieniem do realizacji zadań związanych z przetwarzaniem danych osobowych, czy posiadane przez niego dane były należycie zabezpieczone, oraz czy zabezpieczenia te nie były naruszone,

    4. zobowiązujące pracownika w czasie przetwarzania danych osobowych do należytej dbałości o zabezpieczenie danych przed możliwością wglądu, bądź zmiany przez osoby do tego celu nieupoważnione;

    5. zobowiązujące pracownika po zakończeniu przetwarzania danych do należytego zabezpieczenia danych osobowych (sprzętu, nośników, dokumentów) przed możliwością dostępu do nich osób nieupoważnionych,

  12. Administrator systemu dokonuje odpowiednich zmian oprogramowania, aktualizacji oprogramowania jego zabezpieczenia antywirusowego oraz jego konserwacji.

  13. Administrator Bezpieczeństwa Informacji odpowiada za ochronę danych osobowych w zakresie określonym w ustawie, dokumentacji Polityki Bezpieczeństwa, a szczególności:

    1. określa strategię zabezpieczania systemów informatycznych,

    2. Identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych ,

    3. we współpracy z Administratorem systemu określa potrzeby w zakresie zabezpieczenia systemów informatycznych, w których przetwarzane są dane osobowe,

    4. sprawuje nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe,

    5. we współpracy z Administratorem systemu monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych.

    6. prawuje nadzór nad nadawaniem uprawnień, funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane oraz kontrolą dostępu do danych,

    7. we współpracy z komórką odpowiedzialną za sprawy kadrowe prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych, udziela im upoważnień do przetwarzana danych, zmienia w razie potrzeby treść upoważnień oraz je odwołuje, informując o tym Administratora systemu,

    8. archiwizację dokumentów zawierających dane osobowe.


  1. W przypadku gdy Administrator Bezpieczeństwa Informacji nie zostanie powołany, jego obowiązki pełni Zarząd Capitales.

  2. Administrator systemu odpowiedzialny jest za:

    1. przestrzeganie ustawy o ochronie danych osobowych, rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

    2. bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych,

    3. optymalizację wydajności systemu informatycznego, baz danych, instalacje i konfiguracje sprzętu sieciowego i serwerowego,

    4. instalacje i konfiguracje oprogramowania systemowego, sieciowego i do obsługi baz danych,

    5. nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,

    6. współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych.

    7. zapewnienie kopii awaryjnych konfiguracji oprogramowania i kopii awaryjnych danych osobowych,

    8. kontrolowanie tworzenia przez Użytkowników kopii zapasowych zbiorów danych osobowych, w szczególności pod kątem prawidłowości ich wykonania,

    9. przeciwdziałanie próbom naruszenia bezpieczeństwa informacji, w szczególności poprzez odpowiednią konfigurację i aktualizacje oprogramowania antywirusowego,

    10. zapewnienie przeglądów i konserwacji, a w razie potrzeby zniszczenie nośników informacji, jak też prowadzi dokumentację potwierdzającą wykonanie napraw, przeglądów i konserwacji, zniszczenia (likwidacji) nośników,

    11. nadawanie Użytkownikom identyfikatorów dostępu do systemu informatycznego – Platforma Capitales.

  3. W czasie nieobecności Administratora Bezpieczeństwa Inforamcji jego obowiązki wykonuje zarząd Capitales.

  4. W czasie nieobecności Administratora systemu jego obowiązki wykonuje Administrator Bezpieczeństwa Inforamcji.


  1. POSTĘPOWANIE W PRZYPADKU NARUSZENIA LUB PODEJRZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH


  1. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych gromadzonych w systemach informatycznych, jak i tradycyjnie, użytkownik zobowiązany jest do bezzwłocznego powiadomienia o tym fakcie Administratora Bezpieczeństwa Informacji (Zarząd Capitales) i Administratora systemu.

  2. Do czasu przybycia Administratora Bezpieczeństwa Informacji, użytkownik:

    1. powstrzymuje się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów,

    2. zabezpiecza elementy systemu informatycznego lub dokumenty, przede wszystkim poprzez uniemożliwienie dostępu do nich osób nieupoważnionych,

    3. podejmuje, stosownie do zaistniałej sytuacji, wszelkie niezbędne działania celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych,

  3. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, Administrator Bezpieczeństwa Informacji lub Zarząd Capitales, po przybyciu na miejsce:

    1. ocenia zastałą sytuację, biorąc pod uwagę w szczególności stan pomieszczeń, w których przetwarzane są dane oraz stan urządzeń, a także identyfikuje wielkość negatywnych następstw incydentu,

    2. wysłuchuje relacji osoby, która dokonała powiadomienia,

    3. podejmuje decyzje o toku dalszego postępowania, stosownie do zakresu naruszenia lub zasadności podejrzenia naruszenia ochrony danych osobowych.

  4. Administrator Bezpieczeństwa Informacji lub upoważniona przez niego osoba sporządza z przebiegu zdarzenia raport, obejmujący w szczególności informacje o dacie i godzinie powiadomienia, godzinie pojawienia się w pomieszczeniach, w których przetwarzane są dane, sytuacji, jaką zastał, podjętych działaniach i ich uzasadnieniu. Kopia raportu przekazywana jest bezzwłocznie Zarządowi Capitales.

  5. Administrator Bezpieczeństwa Informacji podejmuje kroki zmierzające do likwidacji naruszeń zabezpieczeń danych osobowych i zapobieżenia wystąpieniu ich w przyszłości. W tym celu:

    1. w miarę możliwości przywraca stan zgodny z zasadami zabezpieczenia systemu,

    2. relacjonuje Zarządowi Capitales przedsięwzięte czynności, o ile taka potrzeba zachodzi, rekomenduje wprowadzenie nowych form zabezpieczenia, a w razie ich wprowadzenia nadzoruje zaznajamianie z nimi osób zatrudnionych przy przetwarzaniu danych osobowych,

    3. w przypadku, gdy naruszenie ochrony danych osobowych jest wynikiem uchybienia obowiązującej dyscypliny pracy, Administrator Bezpieczeństwa Informacji wnioskuje do Zarządowi Administratora Danych o wyjaśnienie wszystkich okoliczności zdarzenia i o podjęcie stosownych działań wobec osób, które dopuściły się tego uchybienia.

  6. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, użytkownik może kontynuować pracę dopiero po otrzymaniu pozwolenia od Administratora Bezpieczeństwa Informacji.

  7. W przypadku zaginięcia komputera lub nośników magnetycznych, na których były zgromadzone dane osobowe, użytkownik posługujący się komputerem niezwłocznie powiadamia Administratora Bezpieczeństwa Informacji, a w przypadku kradzieży powiadamia policję. W takiej sytuacji, Administrator Bezpieczeństwa Informacji podejmuje niezbędne kroki do wyjaśnienia okoliczności zdarzenia, sporządza protokół z zajęcia, który powinna podpisać także osoba, której skradziono lub, której zaginął sprzęt oraz powiadamia Zarząd Administratora Danych. W przypadku kradzieży komputera razem z nośnikiem magnetycznym Administrator Bezpieczeństwa Informacji podejmuje działania zmierzające do odzyskania utraconych danych oraz nadzoruje proces przebiegu wyjaśnienia sprawy.

  8. W przypadku ogłoszenia alarmu ewakuacyjnego użytkownicy, przebywający w pomieszczeniach, w których przetwarzane są dane osobowe, obowiązani są do przerwania pracy, a w miarę możliwości przed opuszczeniem tych pomieszczeń do:

    1. zamknięcia systemu informatycznego,

    2. zabezpieczenia danych osobowych gromadzonych manualnie.

  9. W czasie trwania akcji ratunkowej i po jej zakończeniu Administrator Bezpieczeństwa Informacji oraz obecni użytkownicy powinni, w miarę możliwości, zabezpieczać dane osobowe przed nieuprawnionym do nich dostępem. Obowiązek ten ciąży w równym stopniu na także innych pracownikach, obecnych przy akcji ratunkowej.



Współpracujemy: