fbpx

REGULAMIN SPRZEDAŻY PRZY WYKORZYSTANIU ŚRODKÓW POROZUMIEWANIA SIĘ NA ODLEGŁOŚĆ ORAZ ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ WRAZ Z POLITYKĄ OCHRONY DANYCH OSOBOWYCH 

Niniejszy regulamin określa zasady dokonywania zakupów w sklepie internetowym prowadzonym przez Sprzedającego pod adresem www.astitum.pl. 

Sprzedającym jest ASTITUM Konsulting Sp. z o.o. dostępny pod adresem Borów 52, 66-200 Świebodzin prowadzący działalność gospodarczą, podlegający wpisowi do KRS pod numerem  0000311956, NIP: 927-190-60-13, Regon: 080282855 zwany także zamiennie „Usługodawcą”. 

Kontakt z Usługodawcą można uzyskać: pod numerami telefonów 504 213 315 lub korzystając z adresu poczty elektronicznej: biuro@astitum.pl 

§ 1 Definicje 

1. Regulamin – niniejszy regulamin. W zakresie usług świadczonych drogą elektroniczną Regulamin jest regulaminem, o którym mowa w art. 8 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr 144, poz. 1204 ze zm.). 

2. Klient (Kupujący) – osoba fizyczna, która ukończyła co najmniej 13. rok życia, przy czym w przypadku nieukończenia przez tę osobę 18. roku życia, wymagana jest zgoda jej przedstawiciela ustawowego, a także osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, której przepisy szczególne przyznają zdolność prawną, a która dokonuje lub zamierza dokonać zamówienia lub korzysta z innych usług Sklepu Internetowego (w tym również Konsument). 

3. Przedmiot transakcji – usługi opisane na stronie internetowej Sklepu Internetowego. Sprzedający dokłada wszelkich starań, aby prezentowana na stronach oferta była aktualna. 

4. Usługa  – usługa świadczona przez Usługodawcę na rzecz Klienta poza Sklepem internetowym w związku z charakterem sprzedawanych usług. 

5. Umowa Sprzedaży – umowa sprzedaży usług w rozumieniu ustawy Kodeks Cywilny, zawierana pomiędzy Usługodawcą a Klientem, z wykorzystaniem środków porozumiewania się na odległość (w tym drogą elektroniczną). 

6. Sklep Internetowy – serwis internetowy dostępny pod adresem www.astitum.pl, za pośrednictwem którego Klient może kupić usługę. 

7. Strony – Usługodawca i Klient. 

8. Strona Sklepu – każda strona bądź podstrona www znajdująca się pod adresem www.astitum.pl 

9. Zamówienie – oświadczenie woli Klienta określające jednoznacznie rodzaj i ilość usług, zmierzające bezpośrednio do zawarcia Umowy Sprzedaży na odległość za pośrednictwem Sklepu Internetowego. 

§ 2 Zasady ogólne 

1. Warunkiem złożenia Zamówienia w Sklepie Internetowym przez Kupującego jest zapoznanie się z niniejszym Regulaminem i akceptacja jego postanowień w czasie realizacji Zamówienia. 

2. Sklep internetowy www.astitum.pl prowadzi sprzedaż detaliczną za pośrednictwem sieci Internet. 

§ 3 Składanie zamówień 

1. Wszystkie ceny podane na stronach internetowych www.astitum.pl są cenami netto podanymi w złotych polskich, do których dodatkowo podana jest wartość podatku vat. 

2. Zamówienia przyjmowane są przez stronę internetową, telefonicznie lub drogą mailową. 

3. Zamówienia składane poprzez stronę internetową oraz mailowo można składać 24 godziny na dobę, 7 dni w tygodniu przez cały rok. Składanie zamówienia drogą telefoniczną jest możliwe w godzinach 8.00-16.00 w dni robocze. 

4. Zamówienie jest skuteczne, jeśli Kupujący prawidłowo wypełni formularz zamówienia i prawidłowo poda dane kontaktowe w tym dokładny adres oraz nazwiska uczestników szkolenia oraz numeru telefonu i adresu e-mail. 

5. W wypadku gdy podane dane nie są kompletne, Sprzedający skontaktuje się z Kupującym. Jeśli kontakt z Kupującym nie będzie możliwy, Sprzedający ma prawo do anulowania Zamówienia. 

6. Kupujący wyraża zgodę na wystawianie i przesyłanie drogą elektroniczną, na wskazany przez siebie adres e-mail, elektronicznego obrazu dokumentów rozliczeniowych, w szczególności takich jak: faktury VAT z załącznikami, faktury VAT korygujące z załącznikami i formularzy. Niniejsza zgoda uprawnia Sprzedającego również do wystawiania i przesyłania faktur VAT w formie elektronicznej, zgodnie z rozporządzeniem ministra finansów z dnia 17 grudnia 2010r. w sprawie przesyłania faktur w formie elektronicznej, zasad ich przechowywania oraz trybu udostępniania organowi podatkowemu lub organowi kontroli skarbowej. 

7. W trakcie składania Zamówienia, Kupujący może wyrazić zgodę na umieszczenie danych osobowych w bazie danych Sklepu Internetowego Sprzedającego w celu ich przetwarzania w związku z realizacją Zamówienia. W wypadku udzielenia zgody, Kupujący ma prawo do wglądu w swoje dane, ich poprawiania oraz żądania ich usunięcia. 

8. Kupujący może skorzystać z opcji zapamiętania jego danych przez system w celu ułatwienia procesu składania kolejnego Zamówienia. W tym celu Kupujący powinien podać login i hasło, niezbędne do uzyskania dostępu do swojego konta. Login Klienta to podany przez niego adres e-mail. Hasło jest ciągiem znaków ustalanych przez Klienta. Hasło Klienta nie jest znane Sprzedającemu i Klient ma obowiązek zachowania go w tajemnicy i chronienia przed niepowołanym dostępem osób trzecich. 

9. Po złożeniu przez Klienta skutecznego zamówienia, otrzyma on automatyczną odpowiedź ze sklepu potwierdzającą wpływ zamówienia. 

10. Czas rozpoczęcia realizacji zamówienia pokrywa się z momentem wpływu wpłaty na rachunek bankowy podany w potwierdzeniu zamówienia, które Klient otrzyma na kilka dni przed szkoleniem w przypadku płatności przelewem 

§ 5 Płatności 

1. Na każdą sprzedaną usługę wystawiamy imienny dowód zakupu (fakturę). 

2. Płatność za zamówioną usługę może nastąpić przez system Przelewy24 lub przelewem na konto bankowe lub w inny sposób po uzgodnieniu ze sprzedawcą. 

3.Warunki płatności podane są w opisie usługi (szkolenia). 

§ 6 Odstąpienie od umowy 

1. Konsument, który zawarł umowę na odległość, ma prawo do odstąpienia od umowy bez podania przyczyny składając stosowne oświadczenie na piśmie. Jest ono jednak ograniczone w czasie i przysługuje jedynie na 5 dni przed rozpoczęciem szkolenia, w terminie 4 dni przed rozpoczęciem szkolenia odpłatność wynosi 100%. 

2. Zgodnie z ustawą, możliwości zwrotu nie podlegają: świadczenia usług rozpoczętych, za zgodą Konsumenta, umów dotyczących świadczeń o właściwościach określonych przez Konsumenta w złożonym przez niego zamówieniu lub ściśle związanych z jego osobą, świadczeń, które z uwagi na ich charakter nie mogą zostać zwrócone. 

3. W ciągu siedmiu dni roboczych od otrzymania oświadczenia o odstąpieniu od umowy, zostanie wystawiona faktura korygująca. Oryginał i kopia faktury zostaną wysłane do Klienta drogą elektroniczną. Klient powinien potwierdzić otrzymanie faktury. Po jej otrzymaniu, w ciągu 7 dni roboczych, Sklep dokona zwrotu zapłaty na wskazane konto Klienta. 

4.Sklep internetowy ma prawo do odwołania szkolenia z przyczyn od siebie niezależnych lub w przypadku zebrania zbyt małej liczby uczestników szkolenia, ma także prawo zmienić miejsce organizacji szkolenia na nie gorsze jakościowo i umiejscowione w podobnej lokalizacji w takim przypadku klient zostanie niezwłocznie powiadomiony o zmianie a w przypadku odwołania , o nowym terminie realizacji. 

§ 7 Polityka prywatności oraz ochrona danych osobowych 

Polityka Bezpieczeństwa Danych Osobowych i Informacji, zwana dalej „Polityką”, została sporządzona przez Administratora Danych Osobowych (zwanego dalej „Administratorem” lub „ADO”) w związku z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej Rozporządzenie UE) oraz ustawy krajowej o ochronie danych osobowych. 

  1. Polityka stanowi zbiór spójnych, precyzyjnych reguł i procedur, według których Administrator buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne
  2. Polityka ustanawia przewidziane do wykonania działania oraz sposób ustanowienia zasad i reguł postępowania koniecznych do zapewnienia właściwej ochrony przetwarzanych danych osobowych. 
  3. Polityka ustanawia zasady bezpieczeństwa przetwarzania danych osobowych, które powinny być przestrzegane i stosowane przez Administratora i przez wszystkie osoby przetwarzające dane osobowe, wraz z powołaniem na właściwe podstawy prawne. 
  4. Polityka reguluje zasady organizacji pracy przy zbiorach danych osobowych przetwarzanych w systemie informatycznym oraz metodami tradycyjnymi. Opisano w niej również zagrożenia bezpieczeństwa przetwarzanych danych osobowych oraz sposoby reakcji na przypadki naruszeń bezpieczeństwa. 
  5. Polityka pełni również funkcję informacyjną i edukacyjną, poprzez zaprezentowanie obowiązków i odpowiedzialności osób związanych z przetwarzaniem danych osobowych. 
  6. Administrator stosuje adekwatne do sytuacji środki, aby zapewnić bezpieczeństwo informacji oraz danych osobowych, które przetwarza. 
  7. Uzupełnieniem i dopełnieniem Polityki jest Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych, ustanawiająca sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.  

Zasady przetwarzania danych osobowych w szczególności regulują: 

a)   Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwane „RODO”), 

b)   Ustawa o ochronie danych osobowych z dnia 10.05.2018 r.,  

c)    Ustawa o świadczeniu usług drogą elektroniczną, 

d)   Kodeks pracy i przepisy o ochronie danych w zakresie zatrudnienia. 

Słowniczek:

  1. Administrator Danych Osobowych (ADO) – będący organem, jednostką organizacyjną, podmiotem lub osobą fizyczną, decydujący o celach i środkach przetwarzania danych osobowych. Jest to także organizacja/podmiot wskazany na pierwszej, tytułowej stronie Polityki, dla celów którego niniejsza Polityka zostaje opracowana i wdrożona. 
  2. Dane biometryczne – oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne, 
  3. Dane dotyczące zdrowia – oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia, w tym dot. nałogów. 

Dane genetyczne – oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej. 

  1. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy (IP), w tym dane pobierane dzięki plikom cookies (tzw. „ciasteczka”) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. 
  1. Dane wrażliwe (tzw. szczególna kategoria danych) – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, korzystania z usług medycznych, seksualności lub orientacji seksualnej oraz dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa. 
  2. Dane wrażliwe dotyczące wyroków skazujących oraz czynów zabronionych: dane osobowe szczególnej kategorii, które wolno przetwarzać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone przepisami prawa. 
  3. Hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. 
  4. Identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. 
  5. Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 
  6. Odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania; 
  7. Ograniczenie przetwarzania – oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania. 
  8. Organ nadzorczy – Prezes UODO 
  9. Podmiot przetwarzający / „Procesor” – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora; 
  10. Polityka – niniejszy dokument Polityki Bezpieczeństwa Danych Osobowych i Informacji. 
  11. Prezes UODO – Prezes Urzędu Ochrony Danych Osobowych, będący organem powołanym do spraw z zakresu ochrony danych osobowych. 
  12. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. 
  13. Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. 
  14. Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. 
  15. Strona trzecia – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe. 
  16. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 
  17. Upoważniony – osoba posiadająca formalne upoważnienie wydane przez ADO lub przez osobę wyznaczoną, uprawniona do przetwarzania danych osobowych. 
  18. Usuwanie danych – zniszczenie danych osobowych lub ich modyfikacja, która uniemożliwia ustalenie tożsamości osoby, której dane dotyczą. 
  19. Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. 
  20. Zbiór danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. 
  21. Zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. 

OBSZAR PRZETWARZANIA DANYCH I WYKORZYSTYWANY SPRZĘT 

ADO prowadzi działalność, w ramach której dochodzi do przetwarzania danych osobowych pracowników, współpracowników, danych kontrahentów, z którymi nawiązywana jest współpraca. 

Dane osobowe przetwarzane są zarówno w formie elektronicznej, jak i papierowej. 

Dane osobowe w formie elektronicznej mogą być przetwarzane z dowolnego miejsca i w dowolnym czasie, ponieważ przetwarzanie odbywa się z wykorzystaniem komputerów oraz innych urządzeń przenośnych, które są zabezpieczone hasłem i szyfrowane. 

Dane osobowe w formie papierowej przetwarzane są w obrębie miejsc prowadzenia działalności gospodarczej przez ADO. Dokumentacja kadrowo-księgowa znajduje się w szafkach zamykanych na klucz. 

Ponieważ ADO powierza przetwarzanie danych osobowych podmiotom trzecim, do przetwarzania danych osobowych dochodzi również w innych lokalizacjach, ale w tym zakresie czynności przetwarzania dokonuje podmiot trzeci (procesor) lub podmioty do tego przez niego upoważnione. ADO zobowiązuje ww. wskazane podmioty do stosowania odpowiednich środków ochrony i bezpieczeństwa danych osobowych wymaganych przez przepisy prawa.  

Odpowiednie środki ochrony danych osobowych zostały wdrożone w lokalizacji, o której mowa w ust. 3 powyżej jak również w innych siedzibach Administratora oraz na urządzeniach wykorzystywanych do przetwarzania danych osobowych. Jeżeli chodzi o podmioty, którym Administrator powierzył przetwarzanie danych osobowych, oświadczyły one, że wdrożyły odpowiednie środki ochrony i bezpieczeństwa danych osobowych wymagane przez przepisy prawa i zobowiązały się je utrzymywać przez okres powierzenia przetwarzania danych.  

Przetwarzanie danych osobowych w lokalizacji, o której mowa w ust. 4 powyżej jak również w innych siedzibach Administratora odbywa się w ten sposób, że z tych lokalizacji następuje logowanie do systemów informatycznych służących do przetwarzania danych osobowych. W tych lokalizacjach przetwarzane są również dane w formie papierowej. 

Z uwagi na to, że do przetwarzania danych osobowych wykorzystywane są urządzenia przenośne, nie jest możliwe jednoznaczne określenie obszaru przetwarzania danych osobowych, ponieważ dane mogą być przetwarzane przy użyciu urządzeń przenośnych z dowolnego miejsca poprzez zalogowanie się do systemów informatycznych dostępnych w modelu on-line (poczta). Użytkownicy stosują odpowiednie środki ochrony, bezpieczeństwa i ostrożności w związku z przetwarzaniem danych z wykorzystaniem urządzeń przenośnych.  

Zbiór danych osobowych przetwarzany jest przy użyciu komputerów stacjonarnych i przenośnych, smartfonów i telefonów przenośnych. Przetwarzanie danych przy wykorzystaniu wskazanych powyżej urządzeń polega na tym, że następuje z nich logowanie do systemów, w ramach których przetwarzane są dane osobowe. Dane mogą być również przechowywane na dyskach komputerów oraz pamięciach zewnętrznych. 

Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem hasła. 

Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. 

ŚRODKI ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA BEZPIECZEŃSTWA DANYCH 

Została opracowana i wdrożona Polityka bezpieczeństwa (dalej „Polityka”). 

Została opracowana i wdrożona Instrukcja zarządzania systemem informatycznym (dalej „Instrukcja”). 

Do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające ważne upoważnienia nadane przez Administratora. 

Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych. 

Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione i przeszkolone z przepisami dotyczącymi ochrony danych osobowych. 

Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego. 

Osoby zatrudnione lub współpracujące przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. 

Przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych. 

Przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych. 

Stosuje się pisemne lub elektronicznie potwierdzone umowy powierzenia przetwarzania danych dla współpracy z podwykonawcami przetwarzającymi dane osobowe. 

Prowadzi się Politykę czystego biurka i ekranu. 

Raz w roku ADO przeprowadza audyt w zakresie zgodności przetwarzania danych osobowych, z którego przygotowywane jest sprawozdanie ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych stanowiący załącznik „Sprawozdanie ze sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych”. 

ŚRODKI FIZYCZNEJ OCHRONY DANYCH 

Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o odporności na włamanie. 

Wszystkie pomieszczenia, w których przetwarzane są dane osobowe są zamykane na klucz lub kartę dostępu, bez dostępu do nich osób nieupoważnionych. Klucze do pomieszczeń przechowywane są w osobnej, zamykanej szafce. 

Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych/współpracujących tam osób możliwy wyłącznie przez osoby do tego upoważnione i zobowiązane do zachowania tajemnicy. 

Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej szafie. 

Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są pod adresem
Astitum Sp. z o.o., ul. Dąbrowskiego 57, 65-021 Zielona Góra.

Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą wolnostojącej gaśnicy. 

 UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH 

Celem niniejszej procedury jest minimalizacja ryzyka nieuprawnionego dostępu do danych osobowych i utraty ich poufności. 

Do przetwarzania danych osobowych uprawnione są wyłącznie osoby Upoważnione do przetwarzania danych osobowych. 

Każdy upoważniony ma dostęp do danych osobowych na własnych poziomach dostępu, nadawanych przez wyznaczone do tego osoby. 

ADO jest uprawniony do przyznawania upoważnień w przedmiocie przetwarzania danych osobowych, w drodze pisemnego Upoważnienia do przetwarzania danych osobowych, 

ADO może wyznaczyć osoby uprawnione do przyznawania upoważnień w przedmiocie przetwarzania danych osobowych, w drodze pisemnego uprawnienia. 

Upoważnienie do przetwarzania danych osobowych następuje wyłącznie na podstawie indywidualnego upoważnienia nadanego zgodnie z przepisami ustawy o ochronie danych osobowych. 

Nadanie upoważnienia do przetwarzania danych osobowych musi nastąpić przed rozpoczęciem przetwarzania danych przez osobę upoważnioną. 

ADO prowadzi dokument Ewidencji osób upoważnionych do przetwarzania danych osobowych. 

W przypadku konieczności nadania bądź zmiany uprawnień (np. z powodu zatrudnienia osoby lub zmiany stanowiska pracy), ADO zobowiązany jest do sprawdzenia, czy dana osoba: 

a)   odbyła szkolenie z zakresu przestrzegania zasad bezpieczeństwa danych osobowych, 

b)   będzie przetwarzała dane osobowe w zakresie i celu określonym w Polityce i Instrukcji zarządzania systemem informatycznym. 

Nadanie upoważnienia do przetwarzania danych osobowych wymaga zaznajomienia się z przepisami dotyczącymi ochrony danych osobowych, w zakresie niezbędnym do czynności wykonywanych w ramach udzielonego upoważnienia. 

ADO jest odpowiedzialny za organizację i przeprowadzenie szkoleń lub zaznajomienie w innej formie osób upoważnionych z przepisami dotyczącymi ochrony danych osobowych. 

Odbycie szkolenia z zakresu ochrony danych osobowych zostaje potwierdzone przez osobę w nim uczestniczącą w formie pisemnego potwierdzenia uczestnictwa w szkoleniu. 

 OBOWIĄZKI DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH  

Polityka obowiązuje wszystkich pracowników oraz współpracowników Administratora. Za przestrzeganie i utrzymanie postanowień Polityki odpowiadają: 

a)   Administrator; 

b)   Komórki organizacyjne, w których przetwarza się dane; 

c)    Pracownicy, współpracownicy, podwykonawcy – Procesorzy Danych Osobowych. 

Dla skutecznej realizacji polityki, uwzględniając zakres, kontekst, cele przetwarzania oraz ryzyko naruszeń prawo lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zapewnia się: 

a)   wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewniają zgodność przetwarzania danych osobowych z prawem oraz niezbędne zabezpieczenie przetwarzania danych; 

b)   stałe monitorowanie zgodności przetwarzania danych osobowych z wymogami prawa oraz poddawanie środków, o których mowa w powyższym punkcie ciągłym przeglądom oraz uaktualnieniu; 

c)    kontrolę i nadzór nad przetwarzaniem danych osobowych. 

OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH (ADO) 

Administrator zapewnia nadzór nad przestrzeganiem Polityki. Nadzór zmierza do zapewnienia, że czynności związane z przetwarzaniem Danych są zgodne z prawem i zasadami Polityki. 

Administrator zapewnia zgodność postępowania kontrahentów, w tym Podmiotów przetwarzających, z postanowieniami Polityki w zakresie ich przetwarzania danych, w tym przechowywania. 

Polityka przechowywana jest i udostępniania w wersji papierowej oraz elektronicznej przez Administratora. 

Podejmowanie odpowiednich i niezbędnych działań mających na celu zapewnienie prawidłowej ochrony danych osobowych, w szczególności poprzez sporządzanie i wdrażanie właściwych warunków organizacyjnych i technicznych; 

Wprowadzenie do stosowania procedur zapewniających prawidłowe przetwarzanie danych osobowych; 

W przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je Prezesowi UODO chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych; 

W przypadku, gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych; 

Egzekwowanie ciągłego i stabilnego rozwoju środków bezpieczeństwa przetwarzania danych osobowych zgodnie z rozwojem techniki, potrzebami, możliwościami technicznymi i finansowymi ADO; 

Poddawanie przeglądom skuteczność Polityki bezpieczeństwa przetwarzania danych osobowych przynajmniej raz w roku celem dokonania oceny sposobu ochrony danych; 

Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: organizację i nadzorowanie przestrzegania zasad ochrony danych osobowych zarówno w systemach informatycznych, jak również w zbiorach danych osobowych prowadzonych w formie papierowej i elektronicznej; 

Prowadzenie dokumentacji opisującej zastosowaną politykę bezpieczeństwa przetwarzania danych osobowych (niniejsza Polityka oraz wynikające z niej instrukcje i procedury); 

Wdrożenie zapoznania z przepisami dotyczącymi ochrony danych osobowych oraz zagrożeniami związanymi z przetwarzaniem danych przez pracowników, zleceniobiorców i innych osób współpracujących; 

Zapewnienie kontroli nad tym, jakie dane osobowe, przez kogo i kiedy zostały wprowadzone do zbioru; 

Nadawanie i uchylanie uprawnień do przetwarzania danych osobowych przez ADO; 

Prowadzenie rejestru osób Upoważnionych do przetwarzania danych, zawierającego imię i nazwisko Upoważnionego, datę nadania i ustania, zakres Upoważnienia do przetwarzania danych osobowych, identyfikator w przypadku, gdy Upoważniony został zarejestrowany w systemie informatycznym, służącym do przetwarzania danych osobowych; 

Zapewnienie zapoznania osób Upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 

Analiza sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia ochrony danych osobowych i przygotowanie zaleceń i rekomendacji dotyczących eliminacji ryzyka ich ponownego wystąpienia; 

Prowadzenie zgodnych z Instrukcją działań w przypadku stwierdzenia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych; 

Zapewnienie podstaw prawnych do przetwarzania danych osobowych od chwili zebrania danych osobowych do chwili ich usunięcia; 

Dbałość o prawidłowe przetwarzanie danych osobowych, w szczególności poprzez zapewnienie aktualności, adekwatności oraz merytorycznej poprawności danych osobowych przetwarzanych w określonym przez nich celu.  

OBOWIĄZKI UPOWAŻNIONYCH 

Od osób upoważnionych do dostępu do danych osobowych wymagana jest: 

  • znajomość Polityki oraz przepisów powszechnie obowiązującego prawa w obszarze ochrony danych osobowych, przetwarzanych przez ADO; 
  • znajomość, zrozumienie i stosowanie w możliwie największym zakresie wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieuprawnionym dostępu do swojej stacji roboczej; 
  • przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami, w granicach przyznanego upoważnienia; 
  • postępowanie zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych, w szczególności stosowania procedur w zakresie ochrony danych; 
  • zachowanie w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia, również po ustaniu zatrudnienia, czy innego stosunku prawnego; 
  • ochrona danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem;  

OCENA RYZYKA I PRZEGLĄDY 

Przegląd stanu ochrony przetwarzanych przez ADO danych jest przeprowadzany przynajmniej raz w roku. 

Przegląd stanu ochrony przetwarzanych danych osobowych przeprowadza ADO lub wyznaczeni kontrolerzy wewnętrzni na zasadach określonych w umowach powierzenia danych osobowych. 

Przegląd obejmuje wszystkie obszary działalności i elementy infrastruktury Administratora, w których wymagane jest przestrzeganie zasad przetwarzania danych osobowych, w szczególności systemy informatyczne, zabezpieczenia fizyczne oraz organizacyjne. 

Kontrolujący przygotowuje plan przeglądu z uwzględnieniem jego zakresu oraz niezbędnych zasobów, takich jak czas i ilość osób dokonujących czynności. 

Przegląd jest protokołowany. 

Kontrolujący opracowuje wyniki przeprowadzonego przeglądu, które następnie przekazuje w formie Raportu z przeglądu ADO, ewentualnie również kierownikowi kontrolowanej jednostki. 

Na podstawie raportu pokontrolnego ADO inicjuje działania zapobiegawcze lub kontrolujące, zmierzające do właściwego zabezpieczenia danych osobowych w przyszłości. 

 ZAGROŻENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH ORAZ INCYDENTY 

Na bezpieczeństwo procesu przetwarzania danych osobowych składają się dostępność, poufność, integralność i rozliczalność przetwarzanych danych. 

Incydentem jest sytuacja naruszenia bezpieczeństwa informacji ze względu na dostępność, integralność i poufność danych. Incydenty powinny być wykrywane i rejestrowane. 

W przypadku stwierdzenia naruszenia ochrony danych osobowych lub ich zagrożenia, każdy pracownik jest zobowiązany poinformować o tym fakcie ADO, właściwą osobę przez niego upoważnioną lub przełożonego. Osoba upoważniona lub przełożony pracownika czy współpracownika jest zobowiązany powiadomić ADO, w szczególności swojego przełożonego i IOD. 

 INSTRUKCJA POSTĘPOWANIA W PRZYPADKU ZAGROŻENIA I NARUSZENIA BEZPIECZEŃSTWA DANYCH 

Zagrożeniem bezpieczeństwa informacji jest sytuacja, w której występuje zagrożenie zaistnienia incydentu. 

Przykładowy katalog zagrożeń: 

a)   naruszenie bezpieczeństwa systemów informatycznych, w których przetwarza się dane osobowe. 

b)   udostępnianie danych osobowych osobom nieupoważnionym. 

c)    przetwarzanie danych niezgodnie z założonym zakresem i celem ich przetwarzania. 

d)   nieuprawnione lub przypadkowe uszkodzenie, utrata, zniszczenie lub zmianę danych osobowych. 

e)    nieprzestrzeganie Polityki przez osoby przetwarzające dane, np. niezamykanie pomieszczeń, szaf, biurek, brak stosowania zasad ochrony haseł, czystego biurka. 

f)     niewłaściwe zabezpieczenie fizyczne dokumentów, urządzeń lub pomieszczeń. 

g)   niewłaściwe zabezpieczenie oprogramowania lub sprzętu IT przed wyciekiem, kradzieżą lub utratą danych osobowych. 

h)   kradzież, zagubienie, utrata posiadania nośników elektronicznych (np. telefony, laptopy, tablety, dyski przenośne, pendrive) czy dokumentów (np. akta, kalendarze, notesy, wizytowniki, notatki). 

i)     przesłanie, przekazanie osobie nieuprawnionej informacji zawierających dane osobowe. 

Postępowanie ADO lub osoby przez niego upoważnionej w przypadku stwierdzenia wystąpienia zagrożenia i/lub naruszenia danych osobowych: 

a)   dokonanie oceny czy zaistniałe naruszenie mogło powodować ryzyko naruszania praw lub wolności osób fizycznych oraz szacuje skalę ryzyka; 

b)   zastosowanie metody oceny wagi naruszenia wg Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). 

c)    jeśli ryzyko naruszenia praw i wolności osoby jest wysokie ADO zawiadamia o tym Prezesa UODO i osobę, której dane dotyczą; 

d)   ustalenie zakresu i przyczyn zagrożenia oraz jego ewentualnych skutków; 

e)    w miarę możliwości przywrócenie stanu zgodnego z zasadami ochrony danych osobowych; 

f)     w razie konieczności zainicjowanie działań dyscyplinarnych; 

g)   zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości; 

h)   udokumentowanie prowadzonego postępowania w Rejestrze naruszeń bezpieczeństwa i incydentów. 

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU INCYDENTÓW BEZPIECZEŃSTWA 

Przykładowy katalog incydentów: 

a)   losowe zdarzenie wewnętrzne, np. awaria komputera, serwera, twardego dysku, błąd użytkownika, zgubienie danych; 

b)   losowe zdarzenie zewnętrzne, np. klęski żywiołowe, zalanie, awaria zasilania, pożar, 

c)    incydent umyślny, np. wyciek informacji, ujawnienie danych nieupoważnionym osobom, świadome zniszczenie danych, działanie wirusów komputerowych, włamanie do pomieszczeń lub systemu informatycznego (wewnętrzne i zewnętrzne). 

Postępowanie Administratora Danych Osobowych (ADO) lub właściwej osoby przez niego upoważnionej w przypadku stwierdzenia wystąpienia incydentu: 

a)   ustalenie czasu zdarzenia będącego incydentem, z możliwie dokładną datą, godziną), celem spełnienia obowiązku informacyjnego do Prezesa UODO (72 godziny od powstania incydentu), 

b)   ustalenie zakresu incydentu, 

c)    określenie przyczyn, skutków oraz szacowanych zaistniałych szkód, 

d)   zabezpieczenie dowodów, 

e)    ustalenie osób odpowiedzialnych za naruszenie, 

f)     usunięcie skutków incydentu, 

g)   ograniczenie szkód wywołanych incydentem, 

h)   zainicjowanie działań dyscyplinarnych, 

i)     zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości, 

j)     udokumentowanie prowadzonego postępowania w Rejestrze naruszeń i incydentów bezpieczeństwa. 

W przypadku naruszenia ochrony danych osobowych, na ADO ciąży obowiązek zgłoszenia tego faktu do organu nadzorczego oraz zawiadomienia osoby, której dane dotyczą. 

ZGŁOSZENIE ORGANOWI NADZORU 

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.  

Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je ADO. 

Zgłoszenie, o którym mowa w pkt. 1, musi co najmniej: 

a)   opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;  

b)   oznaczenie punktu kontaktowego, od którego można uzyskać więcej informacji; 

c)    opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;  

d)   opisywać środki zastosowane lub proponowane przez ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.  

Jeżeli i w zakresie, w jakim informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki. 

ADO dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.  

 ZAWIADAMIANIE OSOBY, KTÓREJ DANE DOTYCZĄ, O NARUSZENIU OCHRONY DANYCH 

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. 

Zawiadomienie, o którym mowa w pkt. 1, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w powyższym punkcie 16.3 lit. b), c) i d).  

Zawiadomienie, o którym mowa w pkt. 1, nie jest wymagane, w następujących przypadkach:  

a)   ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;  

b)   ADO zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w pkt. 1;  

c)    wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.  

Jeżeli ADO nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w pkt. 3. 

POSTĘPOWANIE UPOWAŻNIONEGO 

Postępowanie Upoważnionego w przypadku stwierdzenia wystąpienia zagrożenia do czasu przybycia ADO lub upoważnionej przez niego osoby: 

powstrzymanie się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów; 

zabezpieczenie elementów systemu informatycznego lub/i kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osób nieupoważnionych; 

podjęcie, stosownie do zaistniałej sytuacji, wszelkich niezbędnych działań celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych. 

POSTANOWIENIA KOŃCOWE 

Polityka jest dokumentem obowiązującym w zakresie wdrażania, przestrzegania i weryfikacji zasad ochrony danych osobowych. 

Polityka jest dokumentem obowiązującym wszystkie osoby dopuszczone do przetwarzania danych osobowych w ramach działalności Administratora. 

Każda osoba dopuszczona do przetwarzania danych osobowych w ramach działalności Podmiotu ma obowiązek zapoznania się z niniejszą Polityką, co potwierdzi oświadczeniem w formie papierowej lub/i elektronicznej. 

Naruszenie zasad wynikających z Polityki może stanowić podstawę wszczęcia postępowania dyscyplinarnego przeciwko sprawcy naruszenia. 

Wszczęcie lub przeprowadzenie postępowania dyscyplinarnego przeciwko osobie naruszającej zasady wynikające z Polityki nie wyklucza możliwości wszczęcia postępowania karnego oraz dochodzenia roszczeń z powództwa cywilnego. 

Polityka wraz z załącznikami wchodzi w życie z dniem jej podpisania przez ADO. 

W przedmiocie spraw nieuregulowanych Polityką, zastosowanie znajdują przepisy Ustawy o ochronie danych osobowych. 

Załączniki do niniejszej Polityki stanowią jej część pod warunkiem uzupełnienia przez Administratora lub osobę upoważnioną. 

WYKAZ ZAŁĄCZNIKÓW DO POLITYKI: 

Ewidencja odbiorców, którym ADO powierza dane osobowe 

Ewidencja osób upoważnionych do przetwarzania danych osobowych 

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania  

Rejestr czynności przetwarzania danych osobowych dla Administratora 

Rejestr kategorii przetwarzania danych osobowych dla Procesora 

Rejestr naruszeń bezpieczeństwa 

Oceny wagi naruszenia wg Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). 

Rejestry systemów IT i informacji 

Ryzyko – Analiza ryzyka i Działania Doskonalące 

Ryzyko – Zarządzanie ryzykiem 

Sprawozdanie ze sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych 

Umowa powierzenia danych osobowych dla zgody ogólnej 

Upoważnienie do przetwarzania danych osobowych

§ 8 Postanowienia końcowe 

1. Spory wynikające ze stosowaniem niniejszego Regulaminu i w związku z wykonywaniem zawartych umów między Sklepem a Klientami, będą rozpatrywane przez Sąd właściwy według przepisów o właściwości rzeczowej i miejscowej zgodnie z ustawą z dnia 17.11.1964 r. Kodeks postępowania cywilnego (Dz.U. nr 43 poz. 296 ze. zm.). 

2. Usługodawca zastrzega sobie prawo wprowadzania zmian do niniejszego Regulaminu z zastrzeżeniem, iż do umów zawartych przed zmianą Regulaminu stosuje się wersję Regulaminu obowiązującą w chwili złożenia zamówienia przez Klienta.