POLITYKA BEZPIECZEŃSTWA OCHRONY I PRZETWARZANIA DANYCH OSOBOWYCH WRAZ Z INSTRUKCJĄ ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W SPÓŁCE GJC INTER MEDIA SP. Z O.O. Z SIEDZIBĄ W POZNANIU wydana w dniu 18.11.2014 Spis treści: 1. Słwnik pjęć użytych w dkumencie 2. Wykaz zbirów danych sbwych w placówce. 3. Zakres danych sbwych przetwarzanych w placówce. 4. Wykaz budynków, pmieszczeń lub części pmieszczeń, w których przetwarzane są dane sbwe. 5. Prcedury nadawania i zmiany uprawnień d przetwarzania danych sbwych. 6. Odpwiedzialnść 7. Rejestr użytkwników 8. Instrukcja dtycząca spsbu zarządzania systemem infrmatycznym. a) b) c) d) Zasady zabezpieczania sprzętu infrmatyczneg, danych i prgramwania. Prcedura rzpczęcia i zakńczenia pracy. Zabezpieczenie systemu przed nieuprawninym dstępem. Prcedury wyknywania przeglądów i knserwacji systemów raz nśników infrmacji służących d przetwarzania danych sbwych 9. Zasady udstępniania danych. 10. Prcedura pstępwania w sytuacji naruszenia plityki bezpieczeństwa. Celem niniejszej Plityki Bezpieczeństwa jest zapewnienie chrny DANYCH OSOBOWYCH przetwarzanych w celach kreślnych w art. 27 ust. 2 pkt 7 ustawy z dnia 29 sierpnia 1997 r. chrnie danych sbwych (t.j. Dz. U. z 2002 r. Nr 101, pz. 926 z późn. zm.), przetwarzanych przez Spółkę GJC Inter Media Sp. z.., przed wszelkieg rdzaju zagrżeniami, tak wewnętrznymi jak i zewnętrznymi, świadmymi lub nieświadmymi. Plityka bwiązuje wszystkich pracwników Spółki GJC Inter Media Sp. z.. raz dstawców, pdmitów współpracujących na pdstawie umów cywilnprawnych, mających jakiklwiek kntakt z danymi sbwymi bjętymi chrną. Przetwarzanie danych sbwych w Spółce GJC Inter Media Sp. z.. dbywa się za pmcą systemów infrmatycznych. Administratrem danych w Spółce GJC Inter Media jest sba wyznaczna przez kierwnika jednstki. Administratr danych pełni rlę Administratra Bezpieczeństwa Infrmacji. Administratr Bezpieczeństwa Infrmacji mianwany zstał drębnym zarządzeniem przez upważniną sbę.
1. Słwnik pjęć użytych w dkumencie: a) GJC Inter Media Spółka GJC Inter Media Sp. z.. z siedzibą w Pznaniu, ul. Pdbiałwa 11, zarejestrwana w Krajwym Rejestrze Sądwym pd numerem 0000107721, NIP: 7811706884, REGON: 634292983; b) ABI - administratr bezpieczeństwa infrmacji, przez któreg należy rzumieć pracwnika GJC Inter Media wyznaczneg d nadzrwania przestrzegania zasad chrny, kreślnych w niniejszym dkumencie raz wymagań w zakresie chrny wynikających z pwszechnie bwiązujących przepisów prawa; c) Administratr danych sbwych Spółka GJC Inter Media Sp. z.. d) ASI - administratr systemu infrmatyczneg- sba dpwiedzialna za funkcjnwanie systemu infrmatyczneg, którą jest wyznaczny pracwnik GJC Inter Media. e) Identyfikatr - należy przez t rzumieć elektrniczne, indywidualne znaczenie pracwników w systemie infrmatycznym tzw. lgin. f) Pracwnik - należy przez t rzumieć sbę zatrudniną w frmie umwy pracę lub umwy cywiln-prawnej. g) Użytkwnik systemu - należy przez t rzumieć sbę pisemnie upważniną d przetwarzania danych sbwych w systemie infrmatycznym; h) Ustawę - należy przez t rzumieć ustawę z dnia 29 sierpnia 1997 r. chrnie danych sbwych (tj. Dz. U. z 2002 r. Nr 101, pz. 926 z późn. zm.) 2. Wykaz zbirów danych przetwarzanych w placówce. Wykaz zbirów danych przetwarzanych w placówce wymieniny jest w załączniku nr 1 d niniejszej plityki bezpieczeństwa, będący jej integralną częścią. 3. Zakres danych sbwych przetwarzanych w placówce. W Beynd.pl Sp. z.. (peratr serwerów na których jest zlkalizwana baza danych Ofer.eu) utwrzn i wydzieln następujące zbiry danych sbwych: Ofer.eu, w których przetwarzane są następujące dane: nazwa firmy, adres siedziby, telefn, mail, imię i nazwisk użytkwnika. W IQ PL Sp. z.. (peratr serwerów, na których jest zlkalizwana baza danych kntrahentów - frad.pl utwrzn i wydzieln następujące zbiry danych sbwych: Baza kntrahentów - frad.pl, w których przetwarzane są następujące dane: nazwa firmy, adres siedziby, telefn, fax, e-mail, adres strny www, nazwiska i imina pracwników/właścicieli, NIP, rk załżenia firmy. Niniejsza część musi być pwiązana z załącznikiem nr 1 d niniejszej plityki bezpieczeństwa tzn. nazwy zbirów muszą być tżsame z nazwami wymieninymi w załączniku nr 1. 4. Wykaz budynków, pmieszczeń lub części pmieszczeń, w których przetwarzane są dane
sbwe. Przetwarzanie danych sbwych w zakresie bazy danych Ofer.eu dbywa się w siedzibie Spółki Beynd.pl Sp. z.. ul.palacza 113, 60-273 Pznań raz w zakresie bazy danych frad.pl w siedzibie Spółki GJC Inter Media Sp. z., ul. Pdbiałwa 11, 61-680 Pznań. 5. Prcedury nadawania i zmiany uprawnień d przetwarzania danych sbwych Każdy użytkwnik systemu przed przystąpieniem d przetwarzania danych sbwych musi zapznać się z następującymi dkumentami: ustawą z dnia 29 sierpnia 1997 r. chrnie danych sbwych (tekst jednlity - Dz. U. z 2002 r. Nr 101 pz.926 z późn. zm.); rzprządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dkumentacji przetwarzania danych sbwych raz warunków technicznych i rganizacyjnych jakim pwinny dpwiadać urządzenia i systemy infrmatyczne służące d przetwarzania danych sbwych (Dz. U. z 2004 r. Nr 100 pz. 1024); niniejszą plityką bezpieczeństwa i instrukcją zarządzania systemem infrmatycznym. Zapznanie się z pwyższymi dkumentami użytkwnik systemu ptwierdza własnręcznym pdpisem na świadczeniu, któreg wzór stanwi Załącznik nr 2. Przetwarzania danych sbwych mże dknywać jedynie użytkwnik systemu upważniny przez administratra danych sbwych. Wzór upważnienia stanwi Załącznik nr 3. Przyznanie uprawnień w zakresie dstępu d systemu infrmatyczneg plega na wprwadzeniu d systemu przez ASI dla każdeg użytkwnika systemu unikalneg identyfikatra hasła ze wskazaniem zakresu dstępnych danych i peracji. Hasł pierwszeg lgwania w systemie ustanawia ABI. W przypadku bazy Ofer.eu każdy użytkwnik systemu infrmatyczneg ma bwiązek dknać jeg zmiany na indywidualne, c najmniej pięciznakwe hasł, w skład któreg muszą wchdzić litery raz cyfry. 6. Odpwiedzialnść Użytkwnik systemu ma praw d wyknywania tylk tych czynnści, d których zstał upważniny. Użytkwnik systemu pnsi wszelką dpwiedzialnść za wszystkie peracje wyknane przy użyciu jeg identyfikatra i hasła dstępu z wyjątkiem sytuacji, kiedy ABI użyje hasła użytkwnika pdczas jeg niebecnści. ABI ma bwiązek sprządzić z teg zdarzenia prtkół, z którym zstaje zapznany kierwnik jednstki raz użytkwnik systemu, któreg hasł zstał użyte. P zapznaniu się z prtkłem, użytkwnik systemu ma bwiązek dknać natychmiastwej zmiany hasła dstępu i przekazać je ABI. Wszelkie przekrczenia lub jakieklwiek próby przekrczenia przyznanych uprawnień,
traktwane będą jak naruszenie pdstawwych bwiązków pracwniczych. Na pisemny i uzasadniny wnisek krdynatra kmórki rganizacyjnej ABI mże debrać uprawnienia pracwnikwi z pdaniem daty raz przyczyny debrania uprawnień. W uzasadninej sytuacji ABI mże debrać uprawnienia w spsób natychmiastwy. Z takieg pstępwania ma n sprządzić ntatkę służbwą d wiadmści kierwnika jednstki, krdynatra kmórki rganizacyjnej i użytkwnika systemu, któreg sprawa dtyczy. Hasł raz uprawnienia użytkwnika systemu, który je utracił, należy niezwłcznie wyrejestrwać z systemu infrmatyczneg. Wyrejestrwania z systemu dknuje ASI. Użytkwnik systemu zatrudniny przy przetwarzaniu danych sbwych zbwiązany jest d zachwania ich w pufnści raz dłżenia wszelkich starań, aby dane sbwe nie zstały przekazane sbm nieuprawninym. 7. Rejestr użytkwników ABI jest zbwiązany d prwadzenia i chrny rejestru użytkwników i ich uprawnień w systemie infrmatycznym. Rejestr musi dzwierciedlać aktualny stan systemu w zakresie użytkwników i ich uprawnień raz umżliwić przeglądanie histrii zmian w systemie infrmatycznym, Rejestr, któreg wzór stanwi Załącznik nr 4 zawiera: - imię i nazwisk użytkwnika, - identyfikatr użytkwnika *(dla jednstek psiadających system infrmatyczny); - zakres uprawnienia, - datę nadania uprawnień, - datę debrania uprawnień, - przyczynę debrania uprawnień, - pdpis ABI. W swich pracach ABI współpracuje z kierwnikiem jednstki ( ile ABI nie jest jedncześnie kierwnikiem jednstki lub administratrem danych) 7a. Prcedura rzpczęcia i zakńczenia pracy Przy wejściu d systemu przetwarzająceg dane sbwe wprwadza się identyfikatr raz hasł dstępu. Zakńczenie pracy związanej z przetwarzaniem danych dpwiadać winn wszystkim regułm bezpieczeństwa infrmacji.
7b. Zabezpieczenie systemu przed nieuprawninym dstępem Dpuszcza się mżliwść przyłączenia sieci internetwej d systemu, w którym przetwarzane są dane sbwe pd następującymi warunkami: na każdym stanwisku kmputerwym raz serwerze musi być zainstalwane prgramwanie antywiruswe, każdy e-mail wpływający d jednstki musi być sprawdzny pd kątem występwania wirusów, aktualizacje prgramów antywiruswych muszą być dknywane nie rzadziej niż raz w tygdniu, zabrania się używania nśników niewiadmeg pchdzenia bez wcześniejszeg sprawdzenia ich prgramem antywiruswym, któreg dknuje użytkwnik zamierzający g użyć, zabrania się pbierania z Internetu plików niewiadmeg pchdzenia raz dczytywania załączników pczty elektrnicznej bez wcześniejszeg sprawdzenia ich prgramem antywiruswym. Każdy użytkwnik systemu musi zstać przeszklny z bsługi prgramu antywirusweg, c pświadcza stswnym pdpisem, zgdnie z załącznikiem 5 d niniejszej plityki bezpieczeństwa. ABI przeprwadza cykliczne kntrle antywiruswe na wszystkich kmputerach systemu nie rzadziej niż raz na rk kalendarzwy. Z kntrli tych sprządza się prtkół zgdnie z załącznikiem 6 d niniejszej plityki bezpieczeństwa, stanwiącym jej integralną cześć. Użytkwnicy systemu są dpwiedzialni za nieudstępnianie stanwisk pracy sbm pstrnnym. 7c. Prcedury wyknywania przeglądów i knserwacji systemów raz nśników infrmacji służących d przetwarzania danych sbwych Prcedury naprawy sprzętu kmputerweg: naprawa sprzętu kmputerweg użytkwaneg w systemie mże dbywać się w siedzibie biura i dknywać jej mże jedynie wyspecjalizwana firma infrmatyczna. Czynnści te muszą być wyknywane w becnści ABI lub ASI lub inneg upważnineg przez nich użytkwnika systemu,
naprawa sprzętu kmputerweg użytkwaneg w systemie pza siedzibą biura musi zstać pprzedzna usunięciem z twardeg dysku wszelkich aplikacji przetwarzających i zawierających dane charakterze sbwym. ASI dpwiedzialny jest za stwrzenie kpii tej bazy, która jest przechwywana przez ABI na dysku wspólnym. P pwrcie z serwisu sprzętu kmputerweg, ASI pnwnie instaluje bazę danych. Prcedura przeglądu systemu: przeglądu systemu dknuje pracwnik działu IT GJC Inter Media lub firma infrmatyczna bsługująca jednstkę pd względem infrmatycznym,czynnści przeglądwe muszą dbywać się w becnści ASI lub ABI lub inneg upważnineg przez nich pracwnika. 8. Zasady udstępniania danych Dane sbwe przetwarzane zgdnie z art. 27 ust. 2 pkt 7 ustawy mgą być wydane jedynie na pisemny wnisek sby, której dtyczą lub pisemny wnisek sby upważninej na piśmie przez zaintereswaneg. Dpuszcza się przekazywanie danych sbwych, których mwa w art. 27 ust, 2 pkt 7 ustawy pdmitm i rganm upważninym na pdstawie drębnych przepisów, wskazanym w art. 26 ustawy z dnia 6 listpada 2008r. prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2009 r. nr 52 pz. 417) Wzór wnisku udstępnienie danych sbwych, których mwa pwyżej stanwi załącznik nr 8. Z czynnści przekazania danych, których sprządza się prtkół przekazania, któreg wzór stanwi Załącznik nr 9. ABI zbwiązany jest d prwadzenia ewidencji udstępniania danych sbwych ze zbirów zgdnie z załącznikiem nr 10. Każda sba przetwarzająca dane sbwe, w przypadku pdejrzenia naruszenia zabezpieczenia danych sbwych, zbwiązana jest niezwłcznie pwiadmić tym ABI lub inną upważniną sbę. ABI (lub upważnina sba) w przumieniu z ASI p trzymaniu pwiadmienia: - sprawdza stan urządzeń wykrzystywanych d przetwarzania danych sbwych, - sprawdza spsób działania prgramów ( w tym becnść wirusów kmputerwych), - sprawdza jakść kmunikacji w sieci telekmunikacyjnej, - sprawdza zawartść zbiru danych sbwych, - pddaje analizie metdy pracy sób upważninych d przetwarzania danych sbwych, W przypadku stwierdzenia naruszenia zabezpieczeń danych administratr: pdejmuje niezbędne działania mające na celu uniemżliwienie dalszeg ich
naruszenia (dłączenie wadliwych urządzeń, zablkwanie dstępu d sieci telekmunikacyjnej, prgramów raz zbirów danych itp.), w celu pwstrzymania lub graniczenia dstępu d danych sby niepwłanej pdejmuje dpwiednie krki pprzez: fizyczne dłączenie urządzeń i segmentów sieci, które mgłyby umżliwić dstęp d bazy danych sby nieupważninej, wylgwanie użytkwnika pdejrzewaneg naruszenie zabezpieczenia chrny danych, zmianę hasła na knt administratra i użytkwnika, pprzez które uzyskan nielegalny dstęp w celu uniknięcia pnwnej próby włamania, zabezpiecza, utrwala wszelkie infrmacje i dkumenty mgące stanwić pmc przy ustaleniu przyczyn naruszenia, niezwłcznie przywraca prawidłwy stan działania systemu, dknuje analizy stanu zabezpieczeń wraz z szacwaniem rzmiaru szkód pwstałych na skutek naruszenia, sprządza szczegółwy raprt zawierający w szczególnści: datę i gdzinę trzymania infrmacji naruszeniu, pis jeg przebiegu, przyczyny raz wniski ze zdarzenia. Raprt, wraz z ewentualnymi załącznikami (kpie dwdów dkumentujących naruszenie) ABI przekazuje administratrwi danych sbwych. ABI, w przumieniu z administratrem danych sbwych, pdejmuje niezbędne działania w celu wyeliminwania naruszeń zabezpieczeń danych w przyszłści, a w szczególnści: jeżeli przyczyną zdarzenia był stan techniczny urządzenia, spsób działania prgramu, uaktywnienie się wirusa kmputerweg lub jakść kmunikacji w sieci telekmunikacyjnej, niezwłcznie przeprwadza przeglądy raz knserwacje urządzeń i prgramów, ustala źródł pchdzenia wirusa raz wdraża skuteczniejsze zabezpieczenia antywiruswe, a w miarę ptrzeby kntaktuje się z dstawcą usług telekmunikacyjnych, jeżeli przyczyną zdarzenia były wadliwe metdy pracy, błędy i zaniedbania sób zatrudninych przy przetwarzaniu danych sbwych, przeprwadza się ddatkwe kursy i szklenia sób birących udział przy przetwarzaniu danych, a wbec sób winnych zaniedbań wniskuje d administratra danych sbwych wyciągnięcie knsekwencji przewidzianych prawem, jeżeli przyczyną zdarzenia jest sprzeczny z prawem czyn lub zachdzi takie pdejrzenie, zawiadamia rgany ścigania.