POLITYKA BEZPIECZEŃSTWA OCHRONY I PRZETWARZANIA DANYCH OSOBOWYCH WRAZ Z INSTRUKCJĄ ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W SPÓŁCE GJC INTERNATIONAL SP. Z O.O. SP. K Z SIEDZIBĄ W POZNANIU wydana w dniu 25.05.2018 Spis treści: 1. Słwnik pjęć użytych w dkumencie 2. Wykaz zbirów danych sbwych w placówce. 3. Zakres danych sbwych przetwarzanych w placówce. 4. Wykaz budynków, pmieszczeń lub części pmieszczeń, w których przetwarzane są dane sbwe. 5. Prcedury nadawania i zmiany uprawnień d przetwarzania danych sbwych. 6. Odpwiedzialnść 7. Rejestr użytkwników 8. Instrukcja dtycząca spsbu zarządzania systemem infrmatycznym. a) b) c) d) Zasady zabezpieczania sprzętu infrmatyczneg, danych i prgramwania. Prcedura rzpczęcia i zakńczenia pracy. Zabezpieczenie systemu przed nieuprawninym dstępem. Prcedury wyknywania przeglądów i knserwacji systemów raz nśników infrmacji służących d przetwarzania danych sbwych 9. Zasady udstępniania danych. 10. Prcedura pstępwania w sytuacji naruszenia plityki bezpieczeństwa. Celem niniejszej Plityki Bezpieczeństwa jest zapewnienie chrny DANYCH OSOBOWYCH przetwarzanych w celach kreślnych w ROZPORZĄDZENIU PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie chrny sób fizycznych w związku z przetwarzaniem danych sbwych i w sprawie swbdneg przepływu takich danych raz uchylenia dyrektywy 95/46/WE (gólne rzprządzenie chrnie danych), przetwarzanych przez Spółkę GJC Internatinal Sp. z.. sp. k, przed wszelkieg rdzaju zagrżeniami, tak wewnętrznymi jak i zewnętrznymi, świadmymi lub nieświadmymi. Plityka bwiązuje wszystkich pracwników Spółki GJC Internatinal Sp. z.. sp. k raz dstawców, pdmitów współpracujących na pdstawie umów cywilnprawnych, mających jakiklwiek kntakt z danymi sbwymi bjętymi chrną. Przetwarzanie danych sbwych w Spółce GJC Internatinal Sp. z.. sp. k dbywa się za pmcą systemów infrmatycznych. Administratrem danych w Spółce GJC Internatinal jest sba wyznaczna przez kierwnika jednstki.
1. Słwnik pjęć użytych w dkumencie: a) GJC Internatinal Spółka GJC Internatinal Sp. z.. sp. k z siedzibą w Pznaniu, ul. Pdbiałwa 11, zarejestrwana w Krajwym Rejestrze Sądwym pd numerem 0000636300, NIP: 9721266537, REGON: 365373592; b) dane sbwe - znaczają infrmacje zidentyfikwanej lub mżliwej d zidentyfikwania sbie fizycznej ( sbie, której dane dtyczą ); mżliwa d zidentyfikwania sba fizyczna t sba, którą mżna bezpśredni lub pśredni zidentyfikwać, w szczególnści na pdstawie identyfikatra takieg jak imię i nazwisk, numer identyfikacyjny, dane lkalizacji, identyfikatr internetwy lub jeden bądź kilka szczególnych czynników kreślających fizyczną, fizjlgiczną, genetyczną, psychiczną, eknmiczną, kulturwą lub spłeczną tżsamść sby fizycznej; c) Administratr GJC Internatinal Sp. z.. sp. K d) ASI - administratr systemu infrmatyczneg- sba dpwiedzialna za funkcjnwanie systemu infrmatyczneg, którą jest wyznaczny pracwnik GJC Internatinal. e) Identyfikatr - należy przez t rzumieć elektrniczne, indywidualne znaczenie pracwników w systemie infrmatycznym tzw. lgin. f) Pracwnik - należy przez t rzumieć sbę zatrudniną w frmie umwy pracę lub umwy cywiln-prawnej. g) Użytkwnik systemu - należy przez t rzumieć sbę pisemnie upważniną d przetwarzania danych sbwych w systemie infrmatycznym; h) Rzprządzenie - należy przez t rzumieć ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie chrny sób fizycznych w związku z przetwarzaniem danych sbwych i w sprawie swbdneg przepływu takich danych raz uchylenia dyrektywy 95/46/WE (gólne rzprządzenie chrnie danych) 2. Wykaz zbirów danych przetwarzanych w placówce. Wykaz zbirów danych przetwarzanych w placówce wymieniny jest w załączniku nr 1 d niniejszej plityki bezpieczeństwa, będący jej integralną częścią. 3. Zakres danych sbwych przetwarzanych w placówce. W IQ PL Sp. z.. (peratr serwerów, na których jest zlkalizwana baza danych kntrahentów - frad.pl utwrzn i wydzieln następujące zbiry danych sbwych: Baza kntrahentów - frad.pl, w których przetwarzane są następujące dane: nazwa firmy, adres siedziby, telefn, fax, e-mail, adres strny www, nazwiska i imina pracwników/właścicieli, NIP, rk załżenia firmy. Niniejsza część musi być pwiązana z załącznikiem nr 1 d niniejszej plityki bezpieczeństwa tzn. nazwy zbirów muszą być tżsame z nazwami wymieninymi w załączniku nr 1.
4. Wykaz budynków, pmieszczeń lub części pmieszczeń, w których przetwarzane są dane sbwe. Przetwarzanie danych sbwych w zakresie bazy danych frad.pl w siedzibie Spółki GJC Internatinal Sp. z.. sp. k, ul. Pdbiałwa 11, 61-680 Pznań. 5. Prcedury nadawania i zmiany uprawnień d przetwarzania danych sbwych Każdy użytkwnik systemu przed przystąpieniem d przetwarzania danych sbwych musi zapznać się z następującymi dkumentami: ROZPORZĄDZENIEM PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie chrny sób fizycznych w związku z przetwarzaniem danych sbwych i w sprawie swbdneg przepływu takich danych raz uchylenia dyrektywy 95/46/WE (gólne rzprządzenie chrnie danych); rzprządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dkumentacji przetwarzania danych sbwych raz warunków technicznych i rganizacyjnych jakim pwinny dpwiadać urządzenia i systemy infrmatyczne służące d przetwarzania danych sbwych (Dz. U. z 2004 r. Nr 100 pz. 1024); niniejszą plityką bezpieczeństwa i instrukcją zarządzania systemem infrmatycznym. Zapznanie się z pwyższymi dkumentami użytkwnik systemu ptwierdza własnręcznym pdpisem na świadczeniu, któreg wzór stanwi Załącznik nr 2. Przetwarzania danych sbwych mże dknywać jedynie użytkwnik systemu upważniny przez administratra danych sbwych. Wzór upważnienia stanwi Załącznik nr 3. Przyznanie uprawnień w zakresie dstępu d systemu infrmatyczneg plega na wprwadzeniu d systemu przez ASI dla każdeg użytkwnika systemu unikalneg identyfikatra hasła ze wskazaniem zakresu dstępnych danych i peracji. Hasł pierwszeg lgwania w systemie ustanawia ASI. 6. Odpwiedzialnść Użytkwnik systemu ma praw d wyknywania tylk tych czynnści, d których zstał upważniny. Użytkwnik systemu pnsi wszelką dpwiedzialnść za wszystkie peracje wyknane przy użyciu jeg identyfikatra i hasła dstępu z wyjątkiem sytuacji, kiedy Adnimistratr użyje hasła użytkwnika pdczas jeg niebecnści. Administratr ma bwiązek sprządzić z teg zdarzenia prtkół, z którym zstaje zapznany kierwnik jednstki raz użytkwnik systemu, któreg hasł zstał użyte. P zapznaniu się z prtkłem, użytkwnik systemu ma bwiązek dknać natychmiastwej zmiany hasła dstępu i przekazać je Administratrwi. Wszelkie przekrczenia lub jakieklwiek próby przekrczenia przyznanych uprawnień,
traktwane będą jak naruszenie pdstawwych bwiązków pracwniczych. Na pisemny i uzasadniny wnisek krdynatra kmórki rganizacyjnej Administratr mże debrać uprawnienia pracwnikwi z pdaniem daty raz przyczyny debrania uprawnień. W uzasadninej sytuacji Administratr mże debrać uprawnienia w spsób natychmiastwy. Z takieg pstępwania ma n sprządzić ntatkę służbwą d wiadmści kierwnika jednstki, krdynatra kmórki rganizacyjnej i użytkwnika systemu, któreg sprawa dtyczy. Hasł raz uprawnienia użytkwnika systemu, który je utracił, należy niezwłcznie wyrejestrwać z systemu infrmatyczneg. Wyrejestrwania z systemu dknuje ASI. Użytkwnik systemu zatrudniny przy przetwarzaniu danych sbwych zbwiązany jest d zachwania ich w pufnści raz dłżenia wszelkich starań, aby dane sbwe nie zstały przekazane sbm nieuprawninym. 7. Rejestr użytkwników Administratr jest zbwiązany d prwadzenia i chrny rejestru użytkwników i ich uprawnień w systemie infrmatycznym. Rejestr musi dzwierciedlać aktualny stan systemu w zakresie użytkwników i ich uprawnień raz umżliwić przeglądanie histrii zmian w systemie infrmatycznym, Rejestr, któreg wzór stanwi Załącznik nr 4 zawiera: - imię i nazwisk użytkwnika, - identyfikatr użytkwnika *(dla jednstek psiadających system infrmatyczny); - zakres uprawnienia, - datę nadania uprawnień, - datę debrania uprawnień, - przyczynę debrania uprawnień, - pdpis Administratra. W swich pracach Administratr współpracuje z kierwnikiem jednstki ( ile Administratr nie jest jedncześnie kierwnikiem jednstki). 7a. Prcedura rzpczęcia i zakńczenia pracy Przy wejściu d systemu przetwarzająceg dane sbwe wprwadza się identyfikatr raz hasł dstępu. Zakńczenie pracy związanej z przetwarzaniem danych dpwiadać winn wszystkim regułm bezpieczeństwa infrmacji.
7b. Zabezpieczenie systemu przed nieuprawninym dstępem Dpuszcza się mżliwść przyłączenia sieci internetwej d systemu, w którym przetwarzane są dane sbwe pd następującymi warunkami: na każdym stanwisku kmputerwym raz serwerze musi być zainstalwane prgramwanie antywiruswe, każdy e-mail wpływający d jednstki musi być sprawdzny pd kątem występwania wirusów, aktualizacje prgramów antywiruswych muszą być dknywane nie rzadziej niż raz w tygdniu, zabrania się używania nśników niewiadmeg pchdzenia bez wcześniejszeg sprawdzenia ich prgramem antywiruswym, któreg dknuje użytkwnik zamierzający g użyć, zabrania się pbierania z Internetu plików niewiadmeg pchdzenia raz dczytywania załączników pczty elektrnicznej bez wcześniejszeg sprawdzenia ich prgramem antywiruswym. Każdy użytkwnik systemu musi zstać przeszklny z bsługi prgramu antywirusweg, c pświadcza stswnym pdpisem, zgdnie z załącznikiem 5 d niniejszej plityki bezpieczeństwa. Administratr przeprwadza cykliczne kntrle antywiruswe na wszystkich kmputerach systemu nie rzadziej niż raz na rk kalendarzwy. Z kntrli tych sprządza się prtkół zgdnie z załącznikiem 6 d niniejszej plityki bezpieczeństwa, stanwiącym jej integralną cześć. Użytkwnicy systemu są dpwiedzialni za nieudstępnianie stanwisk pracy sbm pstrnnym.
7c. Prcedury wyknywania przeglądów i knserwacji systemów raz nśników infrmacji służących d przetwarzania danych sbwych Prcedury naprawy sprzętu kmputerweg: naprawa sprzętu kmputerweg użytkwaneg w systemie mże dbywać się w siedzibie biura i dknywać jej mże jedynie wyspecjalizwana firma infrmatyczna. Czynnści te muszą być wyknywane w becnści Administratra lub ASI lub inneg upważnineg przez nich użytkwnika systemu, naprawa sprzętu kmputerweg użytkwaneg w systemie pza siedzibą biura musi zstać pprzedzna usunięciem z twardeg dysku wszelkich aplikacji przetwarzających i zawierających dane charakterze sbwym. ASI dpwiedzialny jest za stwrzenie kpii tej bazy, która jest przechwywana przez Administratra na dysku wspólnym. P pwrcie z serwisu sprzętu kmputerweg, ASI pnwnie instaluje bazę danych. Prcedura przeglądu systemu: przeglądu systemu dknuje pracwnik działu IT GJC Internatinal lub firma infrmatyczna bsługująca jednstkę pd względem infrmatycznym, czynnści przeglądwe muszą dbywać się w becnści ASI lub Administratra lub inneg upważnineg przez nich pracwnika. 8. Zasady udstępniania danych Dane sbwe przetwarzane zgdnie z art. 9 ust. 2 lit. h rzprządzenia mgą być wydane jedynie na pisemny wnisek sby, której dtyczą lub pisemny wnisek sby upważninej na piśmie przez zaintereswaneg. Dpuszcza się przekazywanie danych sbwych, których mwa w art. 9 ust. 2 lit. h rzprządzenia pdmitm i rganm upważninym na pdstawie drębnych przepisów, wskazanym w art. 26 ustawy z dnia 6 listpada 2008r. prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2009 r. nr 52 pz. 417) Wzór wnisku udstępnienie danych sbwych, których mwa pwyżej stanwi załącznik nr 8. Z czynnści przekazania danych, których sprządza się prtkół przekazania, któreg wzór stanwi Załącznik nr 9. Administratr zbwiązany jest d prwadzenia ewidencji udstępniania danych sbwych ze zbirów zgdnie z załącznikiem nr 10. Każda sba przetwarzająca dane sbwe, w przypadku pdejrzenia naruszenia zabezpieczenia danych sbwych, zbwiązana jest niezwłcznie pwiadmić tym Administratra lub inną upważniną sbę.
Administratr (lub upważnina sba) w przumieniu z ASI p trzymaniu pwiadmienia: - sprawdza stan urządzeń wykrzystywanych d przetwarzania danych sbwych, - sprawdza spsób działania prgramów (w tym becnść wirusów kmputerwych), - sprawdza jakść kmunikacji w sieci telekmunikacyjnej, - sprawdza zawartść zbiru danych sbwych, - pddaje analizie metdy pracy sób upważninych d przetwarzania danych sbwych, W przypadku stwierdzenia naruszenia zabezpieczeń danych administratr: pdejmuje niezbędne działania mające na celu uniemżliwienie dalszeg ich naruszenia (dłączenie wadliwych urządzeń, zablkwanie dstępu d sieci telekmunikacyjnej, prgramów raz zbirów danych itp.), w celu pwstrzymania lub graniczenia dstępu d danych sby niepwłanej pdejmuje dpwiednie krki pprzez: fizyczne dłączenie urządzeń i segmentów sieci, które mgłyby umżliwić dstęp d bazy danych sby nieupważninej, wylgwanie użytkwnika pdejrzewaneg naruszenie zabezpieczenia chrny danych, zmianę hasła na knt administratra i użytkwnika, pprzez które uzyskan nielegalny dstęp w celu uniknięcia pnwnej próby włamania, zabezpiecza, utrwala wszelkie infrmacje i dkumenty mgące stanwić pmc przy ustaleniu przyczyn naruszenia, niezwłcznie przywraca prawidłwy stan działania systemu, dknuje analizy stanu zabezpieczeń wraz z szacwaniem rzmiaru szkód pwstałych na skutek naruszenia, sprządza szczegółwy raprt zawierający w szczególnści: datę i gdzinę trzymania infrmacji naruszeniu, pis jeg przebiegu, przyczyny raz wniski ze zdarzenia. Raprt, wraz z ewentualnymi załącznikami (kpie dwdów dkumentujących naruszenie) Administratr przekazuje kierwnikwi jednstki ( ile Administratr nie jest jedncześnie kierwnikiem jednstki). Administratr pdejmuje niezbędne działania w celu wyeliminwania naruszeń zabezpieczeń danych w przyszłści, a w szczególnści: jeżeli przyczyną zdarzenia był stan techniczny urządzenia, spsób działania prgramu, uaktywnienie się wirusa kmputerweg lub jakść kmunikacji w sieci telekmunikacyjnej, niezwłcznie przeprwadza przeglądy raz knserwacje urządzeń i prgramów, ustala źródł pchdzenia wirusa raz wdraża skuteczniejsze zabezpieczenia antywiruswe, a w miarę ptrzeby kntaktuje się z dstawcą usług telekmunikacyjnych, jeżeli przyczyną zdarzenia były wadliwe metdy pracy, błędy i zaniedbania sób
zatrudninych przy przetwarzaniu danych sbwych, przeprwadza się ddatkwe kursy i szklenia sób birących udział przy przetwarzaniu danych, a wbec sób winnych zaniedbań wniskuje d administratra danych sbwych wyciągnięcie knsekwencji przewidzianych prawem, jeżeli przyczyną zdarzenia jest sprzeczny z prawem czyn lub zachdzi takie pdejrzenie, zawiadamia rgany ścigania.