Polityka prywatności

Polityka Bezpieczeństwa Informacji i Ochrona Danych Osobowych

 

Niniejsza Polityka Bezpieczeństwa Informacji (dalej: Polityka) została przygotowana w celu wykazania, że dane osobowe są przetwarzane i zabezpieczane zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w serwisie aukcyjnie.pl, w tym w szczególności zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - dalej RODO).

Rozdział I

Definicje bezpieczeństwa informacji, ogólne cele i zakres oraz znaczenie bezpieczeństwa

§ 1

1. Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych;

2. Polityką bezpieczeństwa objęte są dane osobowe, którymi zgodnie z RODO są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

§ 2

Cele Polityki realizowane są poprzez zapewnienie danym osobowym następujących cech:

a) zgodność z prawem, rzetelność i przejrzystość  — właściwości zapewniającej, że przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;

b) ograniczenie celu — właściwości zapewniającej, że dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;

c) minimalizacja danych — właściwości zapewniającej, że przetwarzanie danych jest adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;

d) prawidłowość - właściwości zapewniającej, że dane są prawidłowe i w razie potrzeby uaktualniane;

e) ograniczenie przechowywania - właściwości zapewniającej, że dane przechowywane są w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;

f). integralność i poufność - właściwości zapewniającej, że dane  przetwarzane są w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;

g). rozliczności - co oznacza, że administrator danych jest odpowiedzialny za przestrzeganie w/w zasad i jest w stanie to wykazać.

§ 3

Definicje:

1. Administrator Danych Osobowych (dalej: Administrator) –  Ogłoszenia-firmowe.pl Łukawiec ,36-004 Łąka;

2. rozporządzenie  –  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;

3. dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby,

4. zbiór danych - każdy uporządkowany zestaw danych o charakterze osobowym, dostępny wedle określonych kryteriów,

5. podmiot przetwarzający - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora; 

6. organ nadzorczy  - Prezes Urzędu Ochrony Danych Osobowych

7. system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;

8. obszar bezpieczeństwa – pomieszczenia użytkowane przez Administratora, w których przetwarzane są dane osobowe gromadzone przez Administratora.

Rozdział II

Oświadczenie o intencjach administratora

§ 4

Administrator danych do właściwej i skutecznej ochrony danych osobowych deklaruje:

a) zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych;

b) zamiar stałego podnoszenia świadomości oraz kwalifikacji pracowników administratora danych, którzy przetwarzają dane osobowe, w szczególności w zakresie problematyki bezpieczeństwa tych danych;

c) zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby;

d) zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych.

§ 5

Dla skutecznej realizacji polityki bezpieczeństwa Administrator zapewnia:

a) odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne i rozwiązania organizacyjne;

b) szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony;

c) okresowe szacowanie ryzyka zagrożeń dla zbiorów danych;

d) kontrolę i nadzór nad przetwarzaniem danych osobowych;

e) monitorowanie zastosowanych środków ochrony.

§ 6

Administrator danych realizując politykę bezpieczeństwa stosuje odpowiednie środki informatyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczając dane osobowe przed:

a) udostępnieniem ich osobom nieupoważnionym,

b) zabraniem ich przez osobę nieuprawnioną,

c) przetwarzaniem danych z naruszeniem ustawy o ochronie danych osobowych,

d) zmianą, utratą, uszkodzeniem lub zniszczeniem danych.

§ 7

1. Administrator danych realizując politykę bezpieczeństwa dąży do systematycznego unowocześniania stosowanych na jego terenie informatycznych, technicznych i organizacyjnych środków ochrony tych danych.

2. Administrator danych zapewnia aktualizacje informatycznych środków ochrony danych osobowych pozwalającą na zabezpieczenie przed wirusami, nieuprawnionym  dostępem oraz innymi zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych.

Rozdział III

Wyjaśnienie polityki bezpieczeństwa, zasad, standardów i wymagań zgodności mających szczególne znaczenie dla instytucji

§ 8

Administrator zapewnia zgodność niniejszej polityki bezpieczeństwa z przepisami określającymi zasady przetwarzania danych osobowych, w szczególności Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz przepisami wykonawczymi. 

§ 9

Wszystkie osoby przetwarzające dane osobowe zobowiązane są do:

a) przetwarzania danych osobowych zgodnie z obowiązującymi przepisami;

b) postępowania zgodnie z ustaloną przez administratora polityką bezpieczeństwa oraz z „Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych". 

Rozdział IV

Definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji

§ 10

Wszelkie dane osobowe przetwarzane są z poszanowaniem zasad przetwarzania danych przewidzianych przez przepisy prawa:

a). istnieje podstawa przetwarzania danych,

b). dane są przetwarzane rzetelnie i przejrzyście,

c). dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, i przetwarzane w sposób zgodny z tymi celami,

dane osobowe są przetwarzane w takim zakresie, jaki jest niezbędny dla osiągnięcia celu ich przetwarzania, 

d). dane są prawidłowe i uaktualniane,

e). czas przechowywania danych jest ograniczony do okresu ich przydatności do celów w których zostały zebrane, po tym okresie są anonimizowane lub usuwane, 

f). wobec osoby której dotyczą, wykonywany jest obowiązek informacyjny, zgodnie z art. 13 i 14 RODO),

g). dane są zabezpieczone przed naruszeniem zasad ich ochrony.

§ 11

Podział zagrożeń:

a) zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu) - ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu; ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych.

b) zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania, pogorszenie jakości sprzętu i oprogramowania) - może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych.

c) zagrożenia zamierzone - świadome i celowe działania powodujące naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy), zagrożenia te możemy podzielić na:

- nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu),

- nieuprawniony dostęp do systemu z jego wnętrza,

- nieuprawnione przekazanie danych, 

- bezpośrednie zagrożenie materialnych składników systemu (np. kradzież sprzętu).

§ 12

1. Naruszenie lub podejrzenie naruszenia systemu informatycznego, w którym przetwarzane są dane osobowe następuje w sytuacji:

a) losowego lub nieprzewidzianego oddziaływania czynników zewnętrznych na zasoby systemu jak np.: wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, itp.,

b) niewłaściwych parametrów środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych,

c) awarii sprzętu lub oprogramowania, które wyraźnie wskazuje na umyślne działanie w kierunku naruszenia ochrony danych,

d) pojawienia się odpowiedniego komunikatu alarmowego,

e) podejrzenia nieuprawnionej modyfikacji danych w systemie lub innego odstępstwa od stanu oczekiwanego,

f) naruszenia lub próby naruszenia integralności systemu lub bazy danych w tym systemie,

g) pracy w systemie wykazującej odstępstwa uzasadniające podejrzenie przełamania lub zaniechania ochrony danych osobowych - np. praca osoby, która nie jest formalnie dopuszczona do obsługi systemu,

h) ujawnienia nieautoryzowanych kont dostępu do systemu,

i) naruszenia dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (np. nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, itp.).

2. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia fizycznego miejsc przechowywania i przetwarzania danych osobowych np.:

a) niezabezpieczone pomieszczenia,

b) nienadzorowane, otwarte szafy, biurka, regały,

c) niezabezpieczone urządzenia archiwizujące,

d) pozostawianie danych w  nieodpowiednich miejscach – kosze, stoły itp.

§ 13

1. W przypadku stwierdzenia naruszenia:

a) zabezpieczenia systemu informatycznego,

b) technicznego stanu urządzeń,

c) zawartości zbioru danych osobowych,

d) jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,

d) innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, kradzież itp.),

administrator danych zapoznaje się z zaistniałą sytuacją i dokonuje oceny, czy zaistniałe naruszenie mogło spowodować naruszenie praw lub wolności osób fizycznych.

2. W każdej sytuacji, w której zaistniałe naruszenie mogło spowodować ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych zgłasza ten fakt organowi nadzorczemu, bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia.  Wzór zgłoszenia określa załącznik nr 1 do niniejszej Polityki. 

3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, administrator zawiadamia także o zdarzeniu osobę, której dane dotyczą.

Rozdział V

Wykaz budynków i pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe

§ 14

1. Przetwarzanie danych osobowych, zarówno w formie tradycyjnej, jak i w systemie informatycznym, może odbywać się wyłącznie w obszarach do tego celu przeznaczonych (Obszar bezpieczeństwa).

2. Dane osobowe mogą być przetwarzane także poza Obszarem bezpieczeństwa, za pomocą komputerów przenośnych mających dostęp do systemu informatycznego za pomocą sieci Internet.

§ 15

Dostęp do pomieszczeń, w których przetwarzane są dane osobowe oraz do pomieszczeń, w których znajdują się serwery baz danych lub przechowywane są kopie zapasowe mogą mieć wyłącznie osoby, które posiadają do tego upoważnienie.

Rozdział VI

Rodzaj przetwarzanych danych

§ 16

Dane osobowe przetwarzane przez Administratora to:

-imię i nazwisko

- nazwa użytkownika

- adres e-mail

- dane adresowe (ulica, numer, dzielnica, miejscowość, kod pocztowy, województwo, kraj)

- hasło,

Rozdział VII

Określenie środków technicznych i organizacyjnych zapewniających ochronę danych osobowych

§ 17

Zabezpieczenia przed nieautoryzowanym dostępem do zbioru danych:

a) podłączenie urządzenia końcowego (komputera, terminala, drukarki) do sieci komputerowej dokonywane jest przez administratora sieci,

b) stosowanie programu antywirusowego z zaporą antywłamaniową na komputerach systemem operacyjnym Windows, w szczególności Eset, Smart Security.

c) zabezpieczenie, co najmniej trzystopniowe, hasłami kont na komputerach, używanie kont z ograniczonymi uprawnieniami do ciągłej pracy,

d) zabezpieczenie bazy danych osobowych hasłem dostępowym,

e) zachowanie szczególnej ostrożności przez osoby użytkujące komputer przenośny podczas jego transportu, przechowywania i użytkowania poza obszarem, zawierający dane osobowe , w tym stosowanie środków ochrony kryptograficznej wobec przetwarzanych danych osobowych.

f) pozbawienie zapisu danych, a w przypadku gdy nie jest to możliwe, uszkodzenie nośników zawierających dane osobowe w sposób uniemożliwiający ich odczytanie, w przypadku ich likwidacji,  przekazania podmiotowi nieuprawnionemu lub naprawy.

g) ustawienie monitorów stanowisk przetwarzania danych osobowych w sposób uniemożliwiający wgląd w dane osobom nieupoważnionym.

§ 18

Zabezpieczenia przed nieautoryzowanym dostępem do baz danych poprzez Internet opiera się na firewall oraz szyfrowaniu połączeń i autoryzacji dostępów do baz danych. Bazy danych znajdują się na odseparowanym serwerze z brakiem podłączenia do internetu.

§ 19

Zabezpieczenia przed utratą danych osobowych w wyniku awarii, są następujące:

a) odrębne zasilanie sprzętu komputerowego,

b) ochrona serwerów przed zanikiem zasilania poprzez stosowanie zasilaczy zapasowych,

c) ochrona przed utratą zgromadzonych danych poprzez cykliczne wykonywanie kopii zapasowych, z których w przypadku awarii odtwarzane są dane i system operacyjny,

d) ochrona przed awarią podsystemu dyskowego poprzez używanie macierzy dyskowych,

e) zapewnienie właściwej temperatury i wilgotności powietrza dla pracy sprzętu komputerowego, 

f) zastosowanie ochrony przeciwpożarowej poprzez umieszczenie w serwerowni gaśnic,

okresowo kontrolowanych przez specjalistę, 

g) zwiększenie niezawodności serwerów i urządzeń sieciowych poprzez logiczne rozmieszczenie ich w szafach serwerowych.

 

Ochrona Danych Osobowych

 

1.W celu korzystania z serwisu ogłoszenia-firmowe.pl niezbędne jest zarejestrowanie się na stronie internetowej serwisu, podanie danych niezbędnych do rejestracji, zgodnie z zasadami określonymi w niniejszym Regulaminie wraz z wyrażeniem zgody na ich przetwarzanie przez administratora oraz zaakceptowanie Regulaminu. Brak podania danych osobowych uniemożliwi realizację umowy.

2. Podstawą prawną przetwarzania danych osobowych są:

- ustawa z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz. U. 2017.1219 t.j.),

- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1) dalej: RODO.

3. Dane przekazywane przez Użytkowników w trakcie rejestracji mogą być wykorzystywane przez administratora w następujących celach:

- kontaktów związanych z realizacją bieżących i przyszłych zamówień, w tym w celu otrzymywania ofert handlowych przesyłanych za pomocą środków komunikacji elektronicznej oraz 

- w celach podatkowych. 

4. Dane osobowe mogą być przekazywane następującym odbiorcom:

- urzędom, (w tym Urzędom Skarbowym), a także właściwym organom (np. policji) w ramach realizacji obowiązków wynikających z przepisów prawa.

5. Dane osobowe będą przechowywane przez okres niezbędny do wypełnienia przez administratora wszystkich obowiązków nałożonych na niego normami prawnymi, w szczególności do rozliczenia wykonanych usług do czasu ich rozliczenia.

6. Administratorem danych osobowych Użytkowników jest  Ogłoszenia-firmowe.pl - Łukawiec 36-004 Łąka. W każdym momencie Użytkownikowi przysługuje prawo dostępu, poprawiania oraz do odwołania w każdym czasie wyrażonych zgód do przetwarzania danych osobowych oraz do otrzymywania ofert handlowych przesyłanych za pomocą środków komunikacji elektronicznej oraz Użytkownik może w każdym czasie rozwiązać umowę z Właścicielem Serwisu (dotyczącą określonego Konta) poprzez wypełnienie dostępnego na stronie http://ogłoszenia-firmowe.pl formularza wzoru o odstąpieniu od umowy o świadczenie usług w ramach Ogłoszenia-firmowe.pl i przesłaniu go na adres webmaster@ogłoszenia-firmowe.pl a następnie potwierdzenie wprowadzonych danych – nazwy (adresu e-mail), Imienia , Nazwiska oraz daty zawarcia umowy. Właściciel Serwisu może zweryfikować prawdziwość oświadczenia poprzez wysłanie na adres e-mail przypisany do Konta prośby o  jej potwierdzenie

 W przypadku potwierdzenia oświadczenia umowa ulega rozwiązaniu ze skutkiem natychmiastowym. 

7. Administrator danych osobowych może przetwarzać następujące dane charakteryzujące sposób korzystania przez Użytkownika z usługi świadczonej drogą elektroniczną (dane eksploatacyjne):

a. oznaczenia identyfikujące Użytkownika,

b. oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał Użytkownik,

c. informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną,

d. informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną.

8. Podanie danych Użytkownika w trakcie rejestracji w serwisie jest dobrowolne, a osobie która je udostępnia przysługuje prawo do ich dostępu, sprostowania.

Przekazywane przez Użytkowników w trakcie rejestracji dane, przechowywane są na serwerach administratora, których zabezpieczenia odpowiadają warunkom wynikającym z przepisów RODO. 

9. Dane Użytkowników Serwisu mogą być przez nich przeglądane, poprawiane i zmieniane po zalogowaniu się w serwisie internetowym serwisu za pomocą Loginu i Hasła.

10. Administrator danych osobowych nie udostępni w żaden inny sposób, niż to wynika z celu działalności serwisu oraz zakresu udzielonej zgody i oświadczeń, informacji i danych o Użytkownikach jakimkolwiek innym podmiotom trzecim bez podstawy prawnej nakazującej Administratorowi danych osobowych takie działanie i zapewnia o podejmowaniu wszelkich starań, aby informacje te były strzeżone właściwie, a w szczególności w sposób przewidziany przepisami RODO.

11. Skorzystanie z prawa usunięcia własnych danych z systemu serwisu jest równoznaczne z wyrejestrowaniem się Użytkownika oraz wypowiedzeniem umowy o świadczenie usług drogą elektroniczną.

12. Wraz z usunięciem Konta Użytkownika administrator danych osobowych usunie dane Użytkownika na stałe i bezpowrotnie, zaprzestając tym samym przetwarzania danych osobowych Użytkownika. Administrator zastrzega sobie jednak możliwość przetrzymywania danych takich jak czas i adres IP logowania Użytkownika po usunięciu konta na potrzeby Policji i prokuratury oraz danych niezbędnych do rozliczenia wykonanych usług do czasu ich rozliczenia.

13. Każda osoba, której dane są przetwarzane przez serwis, w razie wszelkich uchybień co do ich przetwarzania, ma prawo wnieść skargę do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, e-mail: kancelaria@giodo.gov.pl)

 
Napisz do Nas