Aktualna przedsprzedaż
TROPY
TROPY
249,00 zł
Newsletter
Podaj swój adres e-mail, jeżeli chcesz otrzymywać informacje o nowościach i promocjach.
Zaloguj się
Nie pamiętasz hasła? Zarejestruj się
Polityka prywatności

Polityka prywatności sklep

KLAUZULA INFORMACYJNA

W związku ze zmianą przepisów z zakresu ochrony danych osobowych, uprzejmie prosimy o  aktualizację zgody na przetwarzanie danych - wyrażenie zgody jest niezbędne do prawidłowego korzystania z konta na naszym sklepie internetowym. Jednocześnie w przypadku braku wyrażenia zgody zapraszamy do kontaktu telefonicznego bądź mailowego, w celu uzyskania wyceny bądź złożenia zamówienia.

W związku z powyższym, na podstawie z art. 13 ust. 1 i ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.), informuję, że:

Administratorem Państwa danych osobowych jest OPERATOR ROBERT IGNASZ; wpisana do Centralnej Ewidencji Działalności Gospodarczych pod numerem NIP:5783036777; REGON: 367011054 zarejestrowanej pod adresem: ul Sikiryckiego 4/35, 10-691 Olsztyn., zwana dalej Administratorem.

Zakres przetwarzanych danych osobowych obejmuje: imię i nazwisko, adres, numer telefonu, adres e-mail, numer IP, historię zakupów. Dane te będą wykorzystywane w celu realizacji umowy, ewidencji sprzedaży i kontaktu z nabywcą oraz przesyłania informacji na temat naszych produktów i ofert.

Dane osobowe będą przetwarzane tak długo, jak będzie to niezbędne do wykonania umowy, zaś po okresie niezbędnym do jej wykonania – przez czas odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić Administrator danych i jakie mogą być podnoszone wobec niego.

Administrator stosuje również pliki cookies (tzw. ciasteczka), które mają na celu:

  • zapewnienie bezpieczeństwa podczas korzystania z ze strony;
  • wykorzystanie danych do celów analitycznych i statystycznych, w ten sposób pomagacie Państwo poznać nam Wasze preferencje zakupowe;
  • wyświetlanie reklam odpowiadających Państwa oczekiwaniom.

W ramach świadczonych usług staramy się wyświetlać reklamy odpowiadające Państwa zainteresowaniom, które dotyczą naszych produktów oraz produktów klientów korzystających z naszych usług reklamowych (marketing bezpośredni). W tym celu wykorzystujemy informacje zapisywane w plikach cookies, które otrzymujemy podczas korzystania naszej strony. Nasze działania podejmowane są zgodnie z obowiązującym prawem w ramach  tzw. uzasadnionego interesu administratora danych, ponieważ chcemy, by wszystkie nasze usługi, w tym wyświetlane reklamy, były najlepiej dopasowane do potrzeb użytkownika.

Przysługuje Państwu prawo dostępu do własnych danych osobowych oraz prawo żądania ich sprostowania, usunięcia, ograniczenia przetwarzania. W zakresie, w jakim podstawą przetwarzania Państwa danych osobowych jest zgoda, mają Państwo prawo jej wycofania. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

Dysponują Państwo również prawem do wniesienia sprzeciwu wobec przetwarzania Państwa danych osobowych, na podstawie którego przestaniemy przetwarzać Państwa dane, z wyłączeniem sytuacji gdy wykażemy, że w stosunku do Państwa danych przysługują nam prawnie uzasadnione podstawy, nadrzędne wobec Państwa interesów, praw i wolności, w szczególności w ramach naszego prawnie uzasadnionego interesu oraz gdy dane będą niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Administrator danych nie ma zamiaru przekazywać danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

 

W przypadku zakupów internetowych, podanie danych osobowych jest konieczne do ich realizacji. Podanie danych osobowych jest dobrowolne, ale też niezbędne do świadczenia przez Administratora swoich usług. Konsekwencją niepodania danych osobowych będzie brak możliwości świadczenia przez Administratora usług, o ile podanie danych jest niezbędne do ich świadczenia.

 

WYRAŻAM ZGODĘ / REZYGNUJĘ

 

 

 

 

 

POLITYKA OCHRONY DANYCH OSOBOWYCH

 

utworzona przez

OPERATOR ROBERT IGNASZ

 

na podstawie

 

Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE 119/1)

 

 

ROBERT IGNASZ

________________________________________

 

 

  

  • ZAKRES STOSOWANIA

 

  1. Niniejszy dokument zatytułowany jako „Polityka Ochrony Danych Osobowych” (dalej jako Polityka) ma zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w OPERATOR ROBERT IGNASZ (dalej jako Firma) w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119/1). Jest to zestaw zasad i reguł w zakresie zarządzania danymi osobowymi wewnątrz Spółki. Polityka odnosi się całościowo do problemu zabezpieczenia danych osobowych, tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych.
  2. Polityka zawiera:
  3. opis obowiązujących w Firmie zasad ochrony danych osobowych,
  4. odwołania do załączników uszczegóławiających, w tym zwłaszcza do ewidencji i rejestrów dotyczących poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach.
  5. Politykę stosuje się przede wszystkim do:
  6. informacji dotyczących danych osobowych pracowników oraz osób współpracujących ze Firmą na podstawie umów cywilnoprawnych,
  7. danych kandydatów na pracowników zbieranych w toku rekrutacji,
  8. informacji dotyczących kontrahentów Firmy,
  9. informacji dotyczących klientów Firmy, w tym klientów sklepu internetowego,
  10. rejestru podmiotów, którym powierza się przetwarzanie danych,
  11. innych dokumentów zawierających dane osobowe.
  12. Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Właściciel Firmy.
  13. Odpowiedzialni za stosowanie niniejszej Polityki są wszyscy członkowie personelu Firmy, przez których rozumie się pracowników Firmy, a także osoby świadczące usługi na innej podstawie prawnej.
  14. W Firmie przetwarzane są przede wszystkim dane osobowe pracowników oraz osób współpracujących na podstawie umów cywilnoprawnych kontrahentów. Wykaz poszczególnych rejestrów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych w Firmie stanowi Rejestr Czynności Przetwarzania Danych Osobowych, zgodny z treścią załącznika nr 1. do Polityki.
  15. Dane osobowe we wskazanych powyżej ewidencjach są przetwarzane i składowane zarówno w postaci tradycyjnej, jak i elektronicznej.

 

 

  • SKRÓTY I DEFINICJE

 

  1. Polityka – oznacza niniejszą Politykę, o ile co innego w sposób wyraźny nie wynika z kontekstu.
  2. Firma – oznacza OPERATOR ROBERT IGNASZ.
  3. Kontrahent – oznacza osobę współpracującą z OPERATOR ROBERT IGNASZ na podstawie umowy cywilnoprawnej.
  4. RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE 119/1).
  5. Dane osobowe – oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  6. Osoba zidentyfikowana – oznacza osobę, której tożsamość znamy i którą możemy wskazać spośród innych osób.
  7. Osoba możliwa do zidentyfikowania – oznacza osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  8. Zbiór danych osobowych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
  9. Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, w szczególności zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  10. Powierzenie przetwarzania danych – oznacza powierzenie przez Spółkę przetwarzania danych osobowych innemu podmiotowi, osobie, organizacji (np. usługodawcy IT, zewnętrznej księgowości).
  11. Usuwanie danych – oznacza zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dotyczą.
  12. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
  13. Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
  14. Zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
  15. Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  16. System informatyczny – oznacza zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych, zastosowanych w celu przetwarzania danych osobowych.
  17. Rejestr Czynności Przetwarzania Danych – oznacza formę dokumentowania czynności przetwarzania danych.

 

 

  • ZASADY OGÓLNE

 

  1. Filarami ochrony danych osobowych w Firmie są:
  2. legalność – Firma dba o ochronę prywatności i przetwarza dane zgodnie z prawem.
  3. bezpieczeństwo – Firma zapewnia odpowiedni poziom bezpieczeństwa danych podejmując stale działania w tym zakresie.
  4. poszanowanie praw jednostki – Firma umożliwia osobom, których dane przetwarza na wykonywanie swoich praw i prawa te realizuje.
  5. rozliczalność – Firma dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.
  6. Firma przetwarza dane osobowe:
  7. w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
  8. rzetelnie i uczciwie (rzetelność);
  9. w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
  10. w konkretnych celach (minimalizacja);
  11. nie więcej niż potrzeba (adekwatność);
  12. nie dłużej niż potrzeba (czasowość);
  13. z dbałością o prawdziwość danych (prawidłowość);
  14. zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).

 

  • REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH

 

  1. Spółka prowadzi Rejestr Czynności Przetwarzania Danych, w których inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
  2. Rejestr Czynności Przetwarzania Danych stanowi formę dokumentowania czynności przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
  3. Rejestr jest jednym z podstawowych narządzi umożliwiających Firmie rozliczanie większości obowiązków ochrony danych osobowych.
  4. W Rejestrze dla każdej czynności przetwarzania danych Firma odnotowuje co najmniej:
    1. nazwę zbioru/zasobu danych osobowych,
    2. formę prowadzenia przetwarzania danych,
    3. lokalizację miejsca przetwarzania danych,
    4. zastosowane oprogramowanie,
    5. cel przetwarzania,
    6. opis technicznych i organizacyjnych środków gromadzenia i ochrony danych.

 

  • EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH

 

  1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Firmę.
  2. Upoważnienie do przetwarzania danych osobowych mogą uzyskać wyłącznie pracownicy Firmy, w tym także stażyści i praktykanci Firmy, a także osoby fizyczne współpracujące ze Firmą, które uzyskają dostęp do danych osobowych w związku ze świadczeniem na rzecz Firmę usług na podstawie umów cywilnoprawnych.
  3. Upoważnienia są nadawane indywidualnie przed rozpoczęciem przez osobę przetwarzania danych osobowych.
  4. Upoważnienie do przetwarzania danych osobowych może być w każdym czasie odwołane przez Firmęę. Oświadczenie o odwołaniu upoważnienia sporządza się w formie pisemnej.
  5. Upoważnienie do przetwarzania danych osobowych wygasa z chwilą ustania przesłanki będącej podstawą wydania upoważnienia, w tym zwłaszcza wygaśnięcie stosunku pracy lub umowy cywilnoprawnej.
  6. Spółka prowadzi Ewidencję Osób Upoważnionych do Przetwarzania Danych Osobowych, zgodną z treścią załącznika nr 2. Polityki.
  7. W Ewidencji dla każdej czynności upoważnienia do przetwarzania danych osobowych Spółka odnotowuje co najmniej:
  8. numer upoważnienia,
  9. data nadania upoważnienia,
  10. imię i nazwisko osoby upoważnionej wraz ze stanowiskiem,
  11. nazwę zbioru danych,
  12. zakres upoważnienia,
  13. datę wygaśnięcia lub cofnięcia upoważnienia,
  14. uwagi, w tym zwłaszcza przyczyny cofnięcia upoważnienia.
  15. Formę pisemną upoważnienia do przetwarzania danych określono w załączniku nr 4. Polityki.
  16. Za bieżącą operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z upoważnieniem oraz rolą sprawowaną w procesie przetwarzania.
  17. Każda z osób mająca styczność z danymi osobowymi jest zobowiązana do ochrony danych osobowych oraz przetwarzania ich w granicach udzielonego jej upoważnienia.
  18. Do najważniejszych obowiązków osób upoważnionych do przetwarzania danych należy:
  19. znajomość, zrozumienie i stosowanie wszelkich środków ochrony danych osobowych,
  20. przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi przez Firmę regulacjami,
  21. postępowanie zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych,
  22. uniemożliwienie osobom nieuprawnionym dostępu do miejsca przetwarzania danych,
  23. zachowanie w tajemnicy danych osobowych, do których uzyskały dostęp oraz informacji o sposobach ich zabezpieczenia,
  24. informowanie Firmy o wszelkich podejrzeniach naruszeń lub zauważonych naruszeniach, a także o słabościach systemu przetwarzającego dane osobowe,
  25. zapoznanie się z niniejszą Polityką.

 

  • REJESTR POWIERZANIA PRZETWARZANIA DANYCH OSOBOWYCH

 

  1. Powierzanie przez Firmę na rzecz innych podmiotów przetwarzania danych jest dopuszczalne po uprzednim zawarciu umowy o powierzenie przetwarzania danych.
  2. Umowa o przetwarzanie danych zawiera co najmniej następujące elementy:
  3. przedmiot przetwarzania,
  4. czas trwania przetwarzania,
  5. charakter i cel przetwarzania,
  6. rodzaj danych osobowych,
  7. kategorię osób, których dane dotyczą,
  8. obowiązki i prawa administratora,
  9. obowiązki podmiotu przetwarzającego.
  10. Spółka prowadzi Rejestr Powierzania Przetwarzania Danych Osobowych, zgodny z treścią załącznika nr 3. do Polityki, który zawiera co najmniej:
  11. określenie podmiotu, któremu powierza się przetwarzanie danych osobowych,
  12. cel i zakres powierzenia,
  13. opis technicznych i organizacyjnych środków powierzenia danych osobowych.

 

  • SZKOLENIE PERSONELU

 

  1. Każda osoba upoważniona przez Firmę do przetwarzania danych osobowych przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winna być poddana przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
  2. Za przeprowadzenie szkolenia odpowiada Właściciel Firmy.
  3. Zakres szkolenia powinien obejmować zaznajomienie osoby upoważnionej z przepisami RODO oraz wydanymi na tej podstawie aktami prawnymi oraz aktami wewnętrznymi Spółki w zakresie ochrony danych osobowych.
  4. Po zaznajomieniu się ze wskazanymi powyżej regulacjami, osoba upoważniona, przed dopuszczeniem do przetwarzania danych, zobowiązuje się do ich przestrzegania poprzez podpisanie oświadczenia o treści zgodnej z załącznikiem nr 5. Polityki.

 

  • PODSTAWY PRZETWARZANIA

 

  1. Firma dokumentuje podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania, w tym między innymi zgody na przetwarzanie danych osobowych udzielane na piśmie, zgodnie z treścią załącznika nr 8. do Polityki, umowy, a także notatki o przetwarzaniu na podstawie nałożonych obowiązków prawnych, istotnych interesów, zadań publicznych i uzasadnionego celu Firmy.
  2. Firma wdraża metody zarządzania zgodami, umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie jej danych osobowych, zgody na komunikację na odległość (e-mail, telefon, sms) oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności.

 

 

  • INNE OBOWIĄZKI SPÓŁKI

 

  1. Firma określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.
  2. Firma dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.
  3. Firma informuje osobę o przetwarzaniu jej danych przy pozyskiwaniu danych od tej osoby.
  4. Firma informuje o planowanej zmianie celu przetwarzania danych.
  5. Spółka informuje odbiorców o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie to niemożliwe.
  6. Firma informuje osobę o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą.
  7. Firma bez zbędnej zwłoki rozpatruje żądania osób. O przedłużeniu ponad miesiąc terminu na rozpatrzenie żądania Firma informuje osobę wraz z podaniem przyczyn przedłużenia.
  8. Firma bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.
  9. Prawa osób trzecich. Realizując prawa osób, których dane dotyczą, Firmaa wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste itp.), Firma może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
  10. Nieprzetwarzanie. Firma informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.
  11. Odmowa. Firma informuje osobę w ciągu miesiąca od otrzymania żądania o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
  12. Dostęp do danych. Na żądanie osoby dotyczące dostępu do jej danych, Firma informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących.
  13. Kopie danych. Na żądanie osoby, Firma wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych.
  14. Sprostowanie danych. Firma dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Firma ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych Firma informuje osobę o odbiorcach danych, na żądanie tej osoby.
  15. Uzupełnienie danych. Firma uzupełnia i aktualizuje dane na żądanie osoby. Firma ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych (np. Firma nie musi przetwarzać danych, które są Firmie zbędne). Firma może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Firmę procedur (np. co do pozyskiwania takich danych) lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
  16. Usunięcie danych. Na żądanie osoby, Firma usuwa dane, gdy:
  17. dane nie są niezbędne do celów, w których zostały zebrane ani nie są niezbędne do przetwarzania w innych celach,
  18. zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
  19. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
  20. dane były przetwarzane niezgodnie z prawem,
  21. konieczność usunięcia wynika z obowiązku prawnego,
  22. żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku.
  23. Firma określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.
  24. Jeżeli dane podlegające usunięciu zostały upublicznione przez Firmę, Firma podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępu do nich.
  25. W przypadku usunięcia danych Firma informuje osobę o odbiorcach danych, na żądanie tej osoby.
  26. Ograniczenie przetwarzania. Firma dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
  27. osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
  28. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
  29. Spółka nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
  30. osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Firmy zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.

W trakcie ograniczenia przetwarzania Firma przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego. Firma informuje osobę przed uchyleniem ograniczenia przetwarzania. W przypadku ograniczenia przetwarzania danych Firma informuje osobę o odbiorcach danych, na żądanie tej osoby.

  1. Przenoszenie danych. Na żądanie osoby Firma wydaje w powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Firmie, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej, w systemach informatycznych Firmy.
  2. Sprzeciw w szczególnej sytuacji. Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Firmę w oparciu o uzasadniony interes Firmy lub o powierzone Firmie zadanie w interesie publicznym, Firma uwzględni sprzeciw, o ile nie zachodzą po stronie Spółki ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
  3. Sprzeciw przy badaniach naukowych, historycznych lub celach statystycznych. Jeżeli Firma prowadzi badania naukowe, historyczne lub przetwarza dane w celach statystycznych, osoba może wnieść umotywowany jej szczególną sytuacją sprzeciw względem takiego przetwarzania. Firma uwzględni taki sprzeciw, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
  4. Minimalizacja. Firma dba o minimalizację przetwarzania danych pod kątem:
  5. adekwatności danych do celów (ilości danych i zakresu przetwarzania),
  6. dostępu do danych,
  7. czasu przechowywania danych.

 

  • OCHRONA POMIESZCZEŃ, W KTÓRYCH PRZECHOWYWANE SĄ DANE OSOBOWE

 

  1. Kierownicy poszczególnych działów Firmy odpowiadają za należyte zabezpieczenie fizyczne zasobów danych osobowych w podległych komórkach.
  2. Prezes Firmy jest zobowiązany przeprowadzić kontrolę stanu zabezpieczeń fizycznych zbiorów danych osobowych.
  3. Przebywanie osób nieuprawnionych do dostępu do danych osobowych, w których są one przetwarzane, jest dopuszczalne tylko w obecności osób upoważnionych do przetwarzania tych danych.
  4. Zezwala się na przebywanie w pomieszczeniach, o których mowa powyżej, osobom sprzątającym pomieszczenia poza godzinami pracy w Firmie bez konieczności obecności osoby upoważnionej. Osoby sprzątające podpisują oświadczenie o zachowaniu poufności.
  5. Pomieszczenia, w których są przetwarzane dane osobowe powinny być zamykane na czas nieobecności w nich osób upoważnionych do przetwarzania danych osobowych, w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym.
  6. Budynki i pomieszczenia Firmy posiadają zabezpieczenia, w tym zwłaszcza:
  • drzwi zewnętrzne zaopatrzone w zamki,
  • dostęp i klucze do drzwi głównych wejściowych posiadają upoważnieni do tego pracownicy,
  • klucze do pomieszczeń biurowych posiadają upoważnieni pracownicy.
  1. W przypadku przetwarzania danych osobowych na urządzeniach przenośnych lub dokumentach papierowych poza obszarem przetwarzania danych osobowych wymienionych w Polityce, należy bezwzględnie chronić te dane przed dostępem do nich osób nieupoważnionych.

 

  • POSTĘPOWANIE W SYTUACJI NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

 

  1. Każda osoba upoważniona do przetwarzania danych osobowych w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych zobowiązana jest poinformować o tym Wspólników reprezentujących Firmę.
  2. Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
  • niewłaściwe zabezpieczenia fizyczne pomieszczeń, urządzeń i dokumentów,
  • niewłaściwe zabezpieczenia sprzętu, oprogramowania,
  • nieprzestrzeganie zasad ochrony danych osobowych.
  1. Do typowych incydentów bezpieczeństwa danych osobowych należą:
  • zdarzenia losowe zewnętrzne (pożar, utrata zasilania),
  • zdarzenia losowe wewnętrzne (awaria serwera, komputerów, dysków, oprogramowania),
  • umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome niszczenie dokumentów, działanie szkodliwego oprogramowania).
  1. W przypadku stwierdzenia wystąpienia zagrożenia, Firma prowadzi postępowanie wyjaśniające, w toku którego:
  2. ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki,
  3. inicjuje ewentualne działania dyscyplinarne,
  4. rekomenduje działania prewencyjne zmierzające do eliminacji podobnych zagrożeń w przyszłości,
  5. dokumentuje postępowanie.
  6. W przypadku stwierdzenia incydentu, Firma prowadzi postępowanie wyjaśniające, w toku którego:
  7. ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,
  8. zabezpiecza ewentualne dowody,
  9. bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza organowi nadzorczemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia,
  10. ustala osoby odpowiedzialne za naruszenie,
  11. podejmuje działania dyscyplinarne,
  12. wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości,
  13. dokumentuje prowadzone postępowania zgodnie z treścią załącznika nr 6. Polityki.

 

  • INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI

Zasady ogólne

  1. Niniejsza instrukcja określa zasady eksploatacji i zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w Firmie.
  2. Zasady opisane w niniejszym dokumencie są zgodne z obowiązującymi wymogami prawnymi, w szczególności z przepisami RODO.
  3. Użytkownicy systemu informatycznego przetwarzającego dane osobowe wykorzystują w procesie uwierzytelniania identyfikatory i hasła. Każdy identyfikator jest w sposób jednoznaczny przypisany konkretnemu użytkownikowi.
  4. Hasło jest zmieniane przez użytkownika niezwłocznie w przypadku podejrzenia, iż mogły z nim zapoznać nieuprawnione osoby. Hasło powinno różnić się od poprzednio używanych.
  5. Użytkownik zobowiązany jest do:
  6. nieujawniania hasła innym osobom, w tym innym użytkownikom,
  7. zachowania hasła w tajemnicy, nawet po jego wygaśnięciu,
  8. niezapisywania hasła,
  9. postępowania z hasłami w sposób uniemożliwiający dostęp do nich osobom trzecim,
  10. wprowadzenia haseł do systemu w sposób minimalizujący podejrzenie go przez innych użytkowników.
  11. Rozpoczynając pracę w systemie informatycznym przetwarzającym dane osobowe użytkownik:
  12. uruchamia komputer,
  13. wprowadza niezbędne do pracy identyfikatory i hasła w sposób minimalizujący ryzyko podejrzenia ich przez osoby trzecie.
  14. Zawieszając pracę w systemie informatycznym oraz odchodząc od stanowiska pracy, użytkownik blokuje stację roboczą. Kontynuacja pracy może nastąpić po odblokowaniu stacji roboczej po wprowadzeniu identyfikatora oraz hasła.
  15. Opuszczając pomieszczenie, w którym przetwarzane są dane osobowe, pracownik zobowiązany jest do zamknięcia pomieszczenia na klucz, jeżeli w pomieszczeniu nie przebywa inna osoba upoważniona do przebywania w tym pomieszczeniu.
  16. Zabronione jest pozostawienie bez nadzoru pomieszczenia, w których przetwarzane się dane osobowe.
  17. Kończąc pracę w systemie informatycznym, użytkownik wylogowuje się ze wszystkich aplikacji, z których korzystał, wyłącza stację roboczą i zabezpiecza nośniki danych.
  18. W przypadku, gdy użytkownik jest ostatnią osobą opuszczającą pomieszczenie, sprawdza zamknięcie okien oraz zamyka drzwi do pomieszczenia na klucz.

 

Procedura tworzenia kopii zapasowych

  1. Do pełnienia funkcji Administratora Systemów Informatycznych, w tym zwłaszcza do tworzenia i przechowywania kopii zapasowych upoważnia się osobę będącą pracownikiem lub współpracownikiem Firmy.
  2. Dane osobowe przechowywane są w postaci elektronicznej na nośnikach elektronicznych wbudowanych w sprzęt informatyczny lub stanowiący element tego systemu.
  3. Dane osobowe przechowywane są na przenośnych nośnikach elektronicznych jedynie w przypadkach, gdy jest to konieczne, przez czas niezbędny do spełnienia celu, w jakim zostały one na nośniku zapisane. Po ustaniu czasu przechowywania, zawartość nośnika podlega skasowaniu.
  4. Dane osobowe w systemie informatycznym przechowywane są przez czas wymagany do spełnienia celu, dla którego są przechowywane. Po jego upływie dane podlegają skasowaniu lub anonimizacji.
  5. Kopie zapasowe systemów przetwarzających dane osobowe są zapisywane na dysku sieciowym znajdującym się w zamkniętej szafie serwerowej.
  6. Raz w miesiącu kopie zapasowe przenoszone są na dysk zewnętrzny, który przechowywany jest w sejfie.

 

Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem działania jest uzyskanie nieuprawnionego dostępu do systemu informatycznego

  1. W celu zabezpieczenia systemu informatycznego przed działaniem niebezpiecznego oprogramowania zabrania się:
  2. uruchamiania jakiegokolwiek oprogramowania, które nie zostało zatwierdzone do użytku Firmy,
  3. samowolnego korzystania z nośników przenośnych,
  4. otwierania poczty elektronicznej, której tytuł nie sugeruje związku z pełnionymi obowiązkami służbowymi. W wątpliwych przypadkach użytkownik powinien skontaktować się z Administratora Systemów Informatycznych lub osobą przez niego upoważnioną,
  5. korzystania z Internetu w celach nie związanych z pełnionymi obowiązkami służbowymi,
  6. podłączenia komputerów do sieci zewnętrznych za pośrednictwem modemów.
  7. W przypadku zauważenia objawów mogących wskazywać na obecność niebezpiecznego oprogramowania użytkownik jest zobowiązany powiadomić Administratora Systemów Informatycznych lub osobę przez niego upoważnioną.
  8. Do wskazany wyżej objawów można zaliczyć zwłaszcza:
  9. wyraźne spowolnienie działania systemu informatycznego,
  10. nietypowe działania aplikacji,
  11. nietypowe komunikaty,
  12. utratę danych lub modyfikacją danych.
  13. System informatyczny jest zabezpieczony przed działaniem niebezpiecznego oprogramowania poprzez:
  14. zaporę sieciową,
  15. oprogramowanie antywirusowe,
  16. aktualizację oprogramowania systemowego.

 

Przegląd i konserwacja systemów oraz nośników

  1. Prace serwisowe wykonywane są na terenie Firmy.
  2. Przekazanie sprzętu do naprawy poza terenem Firmy jest dopuszczalne, jeżeli spełnione zostaną poniższe warunki:
  3. sprzęt przekazywany jest bez nośników zawierających dane osobowe, zaś fakt usunięcia nośników danych lub stwierdzenia braku nośników danych jest potwierdzany protokołem,
  4. przekazanie sprzętu potwierdzane jest protokołem, pozwalającym na jednoznaczne wskazanie osoby przekazującej i osoby odbierającej sprzęt.
  5. Wszelkie prace serwisowe wykonywane przez podmioty zewnętrzne wymagają sporządzenia protokołu serwisowego, zawierającego co najmniej poniższe informacje
  6. wskazanie osoby przeprowadzającej prace serwisowe oraz podmiotu, którego osoba ta jest pracownikiem,
  7. wskazanie osoby nadzorującej przebieg prac serwisowych (dot. sytuacji, gdy prace realizowane są w siedzibie),
  8. przedmiot prac serwisowych,
  9. zakres prac serwisowych,
  10. czas przeprowadzenia prac serwisowych.

 

  • POSTANOWIENIA KOŃCOWE

 

  1. Spółka ma obowiązek zapoznać z treścią Polityki każdego upoważnionego do przetwarzania danych osobowych oraz użytkownika systemu informatycznego obejmującego zakresem przetwarzanie danych osobowych.
  2. Upoważnieni i użytkownicy, o których mowa powyżej, są zobowiązani do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w Polityce.
  3. Wszelkie określone w Polityce regulacje dotyczące systemów informatycznych dotyczą również przetwarzania danych osobowych w bazach prowadzonych przez Spółkę w jakiejkolwiek formie.
  4. Wobec osoby, która – w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia – nie podjęła działania określonego w Polityce, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.
  5. W sprawach nieuregulowanych w Polityce zastosowanie mają przepisy RODO.

 

 

 

JĘZYK
do góry
Sklep jest w trybie podglądu
Pokaż pełną wersję strony
Sklep internetowy od home.pl