Polityka Prywatności
w Sklepie emideccor.pl
Dane osobowe – gromadzenie i przetwarzanie
- W pełni respektuje prawo do prywatności i ochrony danych osobowych Użytkowników.
- Rejestrując się, lub składając zamówienie użytkownik sklepu internetowego pl przekazuje dane osobowe niezbędne do prawidłowego przetwarzania zamówienia i świadczenia usług przez Sklep.
- Administratorem danych osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych jest:
EmiDeccor „Dekoracje Cukiernicze” Paul Andrzej
32-080 Zabierzów, ul. Topolowa 26
NIP 678 122 47 65
REGON 357 465 018
prowadzący sklep internetowy pod adresem emideccor.pl, zwany dalej sklepem internetowym.
Kontakt z administratorem danych jest możliwy:
- pisemnie lub osobiście, pod w/w adresem.
- telefonicznie, pod nr tel/fax +48 12 285 29 19 (koszt połączenia zgodny z taryfą operatora)
- mailowo: sklep@emideccor.pl
- Przetwarzanie danych może następować w celach:
- realizacji zamówień złożonych za pomocą sklepu internetowego,
- kontaktowania się z użytkownikami sklepu internetowego,
- realizacji procesów zwrotu, rozpatrywania reklamacji,
- marketingowych, związanych z działalnością sklepu lub promocyjnych pod warunkiem wyrażenia uprzedniej zgody przez użytkownika na tego typu działania.
- Użytkownik sklepu podaje dane dobrowolnie, z zastrzeżeniem że brak zgody na przetwarzanie danych osobowych lub podanie niekompletnych danych może uniemożliwić realizację usług przez sklep internetowy.
- Użytkownik sklepu ma prawo do wglądu, aktualizacji i żądania usunięcia danych osobowych.
- Dane osobowe możliwe są do samodzielnej edycji przez użytkownika, za pomocą panelu administracyjnego dostępnego po zalogowaniu się do konta klienta w sklepie internetowym.
- Użytkownik może wysłać administratorowi żądanie usunięcia konta i powiązanych z nim danych, za pomocą możliwych, określonych w niniejszej Polityce Prywatności form kontaktu.
Bezpieczeństwo
- Administrator danych osobowych dba o bezpieczeństwo danych zapewniając techniczne i organizacyjne środki zapobiegania przetwarzaniu danych przez niepowołane do tego podmioty.
- Zapewnia także, że dane są przechowywane i przetwarzane wyłącznie w sposób zgodny z przyjętą Polityką Prywatności oraz w zgodzie z obowiązującym prawem. Ustawa o Ochronie Danych Osobowych z dnia 29.08.1997r. (Dz.U.133,poz.833/1997) oraz ustawy z dania 18 lipca 2002 roku o świadczeniu usług drogą elektroniczna.
- W celach bezpieczeństwa administrator danych może wymusić na Użytkowniku sklepu określony format danych uwierzytelniających, w tym przede wszystkim zasad ustalania hasła dostępu do panelu klienta.
- Administrator danych nie odpowiada za naruszenia zasad bezpieczeństwa wynikające ze środowiska technicznego i organizacyjnego po stronie Użytkownika, dlatego Administrator danych zaleca:
- regularne skanowanie komputera Użytkownika dostępnym oprogramowaniem antywirusowym i anty-malware,
- nie podawanie hasła dostępu do konta klienta żadnym osobom trzecim,
- wylogowanie się z konta klienta po zakończeniu korzystania ze sklepu internetowego, wyłącznie za pomocą przycisku do tego przeznaczonego,
- stosowaniu hasła dostępu o dużej złożoności i trudnego do zgadnięcia przez osoby trzecie,
- nie zapisywaniu hasła do konta klienta na stacjach roboczych, co do których użytkownik nie może mieć pewności że nie skorzystają z nich osoby trzecie,
Polityka Cookies
- Korzystanie ze sklepu internetowego pl wymaga akceptacji umieszczenia po stronie przeglądarki internetowej Użytkownika tzw. cookies, czyli małych plików tekstowych z informacjami wykorzystywanymi przez strony internetowe, łączące się z przeglądarką Użytkownika.
- Sklep internetowy pl wykorzystuje następujące pliki cookies:
- niezbędne do działania sklepu – tymczasowe pliki przechowujące sesję użytkownika oraz umożliwiające działanie i usprawniające funkcjonowanie sklepu,
- dla celów statystycznych – pliki umożliwiające prowadzenie statystyk sklepu internetowego,
- reklamowe – w przypadku prowadzenia kampanii reklamowych, aby dostosować reklamę do użytkownika i zapamiętać jej ustawienia,
- pliki zewnętrzne – umieszczane przez serwisy zewnętrzne, z których korzysta sklep internetowy, a na które nie ma wpływu (np. serwisy społecznościowe),
- Przechowywane pliki cookies nie zawierają danych dzięki którym bezpośrednio sklep internetowy ani osoby trzecie mogłyby ustalić tożsamość użytkownika.
- Pliki cookies nie zmieniają ustawień sprzętowych ani programowych na komputerze Użytkownika.
- Pliki cookies umieszczane przez sklep internetowy nie są szkodliwe, a odczytać je może tylko strona internetowa, które te pliki umieściła w przeglądarce Użytkownika.
- Pliki cookies mogą mieć charakter stały i tymczasowy. Stałe znajdują się w przeglądarce aż do momentu usunięcia ich przez użytkownika, a tymczasowe są automatycznie usuwane po określonej dacie ważności plików cookies.
- Użytkownik który nie zgadza się na używanie cookies przez sklep internetowy, może w każdej chwili wyłączyć obsługę cookies w swojej przeglądarce, zmieniając odpowiednio jej ustawienia zgodnie z instrukcją przedstawioną przez producenta przeglądarki.
- Wyłączenie plików cookies po stronie Użytkownika może uniemożliwić prawidłowe funkcjonowanie sklepu internetowego.
Polityka Bezpieczeństwa przetwarzania
danych osobowych w Sklepie emideccor.pl
&1
1.Na podstawie art. 36 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 101, poz.926 ze zm.) oraz §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz.1024) ustala się następujące wytyczne polityki bezpieczeństwa danych osobowych przetwarzanych w Sklepie emideccor.pl.
2.Celem polityki bezpieczeństwa jest ustanowienie zasad i reguł postepowania, które stosuje Sklep emideccor.pl, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych.
&2
1.Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych sklepu internetowego emideccor.pl przekazanych przez Użytkowników w związku z korzystaniem przez nich z usług sklepu internetowego emideccor.pl. Stosowanie zasad określonych w niniejszym dokumencie ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych przez firmę EmiDeccor, rozumianej jako ochrona danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz utratą, uszkodzeniem lub zniszczeniem.
- Polityka Bezpieczeństwa ma zastosowanie do zbioru danych osobowych niezależnie od formy ich przetwarzania.
- Administratorem danych osobowych zawartych w serwisie jest:
EMIDECCOR DEKORACJE CUKIERNICZE PAUL ANDRZEJ z siedzibą w Zabierzowie ul. Topolowa 26, 32-080Zabierzów, wpisany do Centralnej Ewidencji
i Informacji o Działalności Gospodarczej, posiadający numer identyfikacji podatkowej NIP:6781224765, numer Regon: 357465018
- W trosce o bezpieczeństwo powierzonych nam danych opracowaliśmy wewnętrzne procedury i zalecenia, które mają zapobiec udostępnieniu danych osobom nieupoważnionym. Kontrolujemy ich wykonywanie i stale sprawdzamy ich zgodność z odpowiednimi aktami prawnymi – ustawą o ochronie danych osobowych, ustawą o świadczeniu usług drogą elektroniczną, a także wszelkiego rodzaju aktami wykonawczymi i aktami prawa wspólnotowego. W każdej chwili masz prawo do aktualizacji lub całkowitego usunięcia swoich danych osobowych.
&3
1.Polityka Bezpieczeństwa odnosi się do wszystkich danych osobowych przetwarzanych:
- w sposób tradycyjny, w szczególności w kartotekach, rejestrach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
- w systemach informatycznych.
2.Ochronie podlegają wszystkie dane osobowe przetwarzane przez Sklep.
3.Sklep emideccor.pl nie tworzy zbiorów danych osobowych i nie gromadzi danych osobowych innych niż niezbędne dla realizacji celów określonych w § 1.
4.Dane Osobowe przetwarzane są na podstawie zgody wyrażanej przez Użytkownika oraz w przypadkach, w których przepisy prawa upoważniają Administratora do przetwarzania danych osobowych na podstawie przepisów prawa lub w celu realizacji zawartej pomiędzy stronami umowy.
5.W sprawach nieuregulowanych w polityce bezpieczeństwa mają zastosowanie przepisy powszechnie obowiązującego prawa.
6.Dokumentem ściśle powiązanym z Polityką Bezpieczeństwa jest Instrukcja zarządzania systemem informatycznym w sklepie emideccor.pl.
&4
1.Do obowiązków Administratora Danych należy w szczególności:
- podejmowanie odpowiednich i niezbędnych kroków mających na celu zapewnienie prawidłowej ochrony danych osobowych,
- egzekwowanie rozwoju środków bezpieczeństwa przetwarzania danych osobowych;
- poddawanie przeglądom skuteczność polityki bezpieczeństwa przetwarzania danych osobowych;
- zapewnienie podstaw prawnych do przetwarzania danych osobowych od chwili zebrania danych osobowych do chwili ich usunięcia;
- podział zadań i obowiązków związanych z organizacją ochrony danych osobowych, w szczególności wyznaczenie Administratora Bezpieczeństwa Informacji,
Instrukcja zarządzania
systemem informatycznym
służącym do przetwarzania danych osobowych
& Cel
- Stosowanie zasad określonych w Instrukcji zarządzania ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych przez Sklep emideccor.pl w systemach informatycznych rozumiane jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, utratą, uszkodzeniem lub zniszczeniem.
- Dokumentem ściśle powiązanym z niniejszą Instrukcją zarządzania jest Polityka bezpieczeństwa przetwarzania danych osobowych w Sklepie.
- Celem instrukcji jest określenie sposobu zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.
- Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwaną dalej „Instrukcją Zarządzania” wprowadza się w oparciu o wymogi bezpieczeństwa informacji określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
- System, na którym pracują użytkownicy, jest zbiorem samodzielnych lub połączonych podsystemów informatycznych w których dane osobowe ulegają przetwarzaniu.
- Niniejsza Instrukcja zarządzania określa zasady właściwego zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać wchodzące w jego skład, urządzenia, odpowiednio do skali zagrożeń i kategorii danych objętych ochroną.
& Definicje
- Administrator danych – Pan Paul Andrzej prowadzący działalność gospodarczą pod firmą: EMIDECCOR DEKORACJE CUKIERNICZE PAUL ANDRZEJ z siedzibą w Zabierzowie, ul. Topolowa 26, 32-080 Zabierzów, wpisanej do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG); posiadający numer NIP 6781224765 oraz numer REGON 357465018,
- Administrator Bezpieczeństwa Informacji– osoba wyznaczona przez Administratora danych, która ponosi odpowiedzialność za nadzorowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. Odpowiada w szczególności za przeciwdziałanie dostępowi osób trzecich do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie ochrony danych osobowych;
- Użytkownik – Osoba upoważniona do przetwarzania danych osobowych, która posiada uprawnienia do przetwarzania danych w systemie informatycznym,
- Instrukcja zarządzania – niniejszy dokument służący do przetwarzania danych osobowych w Sklepie emideccor.pl;
- Osoba upoważniona – osoba posiadająca formalne upoważnienie wydane przez Administratora danych lub przez osobę wyznaczoną, uprawniona do przetwarzania danych osobowych;
- Przetwarzanie danych osobowych – wszelkie operacje wykonywane na danych osobowych, m.in., zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie i usuwanie;
- Hasło dostępu – ciąg znaków, unikalnych dla każdego użytkownika eksploatującego sprzęt komputerowy oraz korzystającego z zasobów informatycznych przetwarzanych i gromadzonych na serwerze lub w programie sieci informatycznej.
- Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, ekonomiczne, kulturowe lub społeczne.
- System informatyczny administratora danych – Sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń.
- Login (identyfikator) – ciąg znaków alfanumerycznych, unikalnych dla każdego użytkownika korzystającego z zasobów informatycznych przetwarzanych i gromadzonych na serwerze lub w programie sieci informatycznej.
& 3 Nadawanie i rejestrowanie uprawnień
do przetwarzania danych w systemie informatycznym
- Użytkownicy Systemu Informatycznego przed przystąpieniem do przetwarzania danych osobowych są zobowiązani zapoznać się z :
- Ustawą z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 ze zm.),
- Polityką bezpieczeństwa systemu informatycznego do przetwarzania danych osobowych w Sklepie emideccor.pl,
- niniejszym dokumentem,
- Zawarte w instrukcji procedury i wytyczne są przekazywane osobom odpowiedzialnym za ich realizację stosownie do przyznanych uprawnień i zakresu obowiązków.
- Upoważnienia do przetwarzania danych osobowych nadawane są w związku z wykonywaniem przez upoważnioną osobę obowiązków lub zadań związanych z przetwarzaniem danych osobowych. Upoważnienie nadaje i odwołuje administrator danych.
- Upoważnienie i jego odwołanie sporządzane są na piśmie, w dwóch jednobrzmiących egzemplarzach. Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik nr 1 do Instrukcji.
- Rejestracja użytkownika, polega na nadaniu unikalnego identyfikatora
i przydzieleniu hasła oraz wprowadzeniu tych danych do bazy użytkowników systemu. - Wyrejestrowanie użytkownika z systemu informatycznego dokonuje administrator systemu na wniosek przełożonego, któremu pracownik podlega z podaniem daty oraz przyczyny odebrania uprawnień.
- Administrator Systemu Informatycznego zobowiązany jest do prowadzenia i ochrony rejestru użytkowników i ich uprawnień w systemie informatycznym
- Środki uwierzytelniania dostępu do systemu informatycznego służącego do przetwarzania danych osobowych to identyfikator użytkownika i hasło dostępu. Każdy identyfikator użytkownika zabezpieczony jest hasłem. Użytkownik jest zobowiązany do utrzymania hasła w tajemnicy.
- Identyfikator jest w sposób jednoznaczny przypisany użytkownikowi. Użytkownik odpowiedzialny jest za wszystkie czynności wykonane przy użyciu identyfikatora, którym się posługuje lub posługiwał.
- Administratorowi Bezpieczeństwa Informacji przysługuje prawo do zablokowania konta użytkownika w każdym czasie.
- Po zakończeniu operacji w systemie informatycznym, użytkownik zobowiązany jest wylogować się z podsystemu.
- W przypadku awarii, zagubienia hasła lub innych nieprzewidzianych sytuacji zagrażających bezpieczeństwu danych – każdy użytkownik zobowiązany jest do niezwłocznego powiadomienia Administratora Danych lub Administratora Bezpieczeństwa Informacji.
- Użytkownikom przyznaje się równe uprawnienia w dostępie do podsystemu (poziom podstawowy) chyba, że specyfika systemu wymaga innego podejścia.
- Administratorowi Bezpieczeństwa Informacji przysługuje prawo dostępu do podsystemu na poziomie wyższym (Administratora Systemu).
§ 4 Odpowiedzialność
- Administrator Bezpieczeństwa Informacji zobowiązany jest do nadzorowania i przestrzegania zasad ochrony danych osobowych w systemach informatycznych. Do jego obowiązków zaliczymy również:
-
- nadzór nad stosowaniem środków ochrony w systemach informatycznych;
- nadzór nad przestrzeganiem przez administratorów i użytkowników systemu procedur bezpieczeństwa;
- uzgadnianie z właściwymi administratorami szczególnych procedur regulujących wykonywanie czynności w systemach lub aplikacjach służących do przetwarzania danych osobowych;
- zapewnienie doradztwa w zakresie przestrzegania przez pracowników firm zewnętrznych zasad ochrony danych osobowych przyjętych w Sklepie.
- W obowiązku Administratora leży także bieżąca ocena ryzyka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych, za które jest on odpowiedzialny, identyfikacja podatności na zagrożenia bezpieczeństwa przetwarzania danych osobowych oraz bezpieczne zarządzanie systemami. Ponadto:
- zarządzanie kontrolą dostępu do systemów informatycznych;
- weryfikacja zdarzeń systemowych;
- zarządzanie kontami użytkowników;
- wdrażanie mechanizmów bezpieczeństwa przetwarzania danych osobowych;
- kontrola przepływu informacji pomiędzy systemem informatycznym a siecią publiczną oraz kontrola działań inicjowanych z sieci publicznej a systemem informatycznym;
- regularne tworzenie kopii zapasowych zasobów danych osobowych oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie poprawności wykonania tych kopii zapasowych;
§ 5 Stosowane metody i środki uwierzytelnienia
- W systemach służących do przetwarzania danych osobowych stosowane jest uwierzytelnianie użytkownika przy pomocy jego identyfikatora i hasła.
- Każdy użytkownik systemu przetwarzania posiada swój unikalny identyfikator.
- Użytkownicy nie mogą używać tych samych identyfikatorów, ani wymieniać się identyfikatorami.
- Maksymalna ilość prób wprowadzenia hasła przy logowaniu się do systemu wynosi trzy. Po przekroczeniu tej liczby prób logowania system blokuje dostęp do zbioru danych na poziomie danego użytkownika.
- Hasło użytkownika jest jego własnością i zna je wyłącznie dany użytkownik. Zabronione jest przekazywania hasła innym osobom. Hasło użytkownika jest składowane w systemie przetwarzania w bezpieczny sposób.
- Użytkownik zobowiązany jest zapamiętać hasło, o którym mowa wyżej.
- Osobą odpowiedzialną za bezpieczne przechowywanie listy identyfikatorów wraz z hasłami jest Administrator Informacji.
- 6 Procedury tworzenia kopii zapasowych zbiorów danych oraz narzędzi programowych do ich przetwarzania
- Zabezpieczenie danych systemu polega na stworzeniu kopii zabezpieczających plików zawierających dane osobowe, na wymienialnym nośniku, w stacji posiadającej dostęp do danych systemu. Kopie zabezpieczające danych systemu można wykonywać na nośnikach dopuszczonych przez Administratora Systemu Informatycznego.
- Za sporządzanie kopii zapasowych zbiorów danych odpowiedzialny jest użytkownik systemu informatycznego służącego do przetwarzania danych osobowych.
- Poprawność procesu tworzenia i przechowywania kopii zapasowych – nadzoruje Administrator Informacji. W szczególności pod kątem prawidłowości ich wykonania poprzez częściowe lub całkowite odtworzenie na wydzielonym sprzęcie komputerowym.
- Zniszczenia kopii dokonuje się w sposób uniemożliwiający późniejsze odtworzenie danych, poprzez fizyczne zniszczenie nośników danych lub jeśli to niemożliwe, poprzez trwałe usunięcie danych przy pomocy specjalistycznego oprogramowania służącego do tego celu.
§ 7 Zabezpieczenie antywirusowe
- System Informatyczny należy kontrolować pod kątem obecności wirusów komputerowych.
- Za politykę antywirusową odpowiedzialny jest Administrator Systemu Informatycznego.
- Koniecznym jest, aby program antywirusowy i konfiguracja systemu zapewniały kontrolę systemu na bieżąco, także każdorazowo przy korzystaniu z nośników wymienialnych.
- Dopuszcza się inne zasady kontroli antywirusowej systemu opracowane przez Administratora Systemu Informatycznego.
- Użytkownikom nie wolno otwierać na komputerach, na których odbywa się przetwarzanie danych osobowych, plików pochodzących z niewiadomego źródła bez zgody przełożonego.
- Przeglądy i konserwacja przeprowadzana jest doraźnie
- Jeżeli do przywrócenia prawidłowego działania systemu niezbędna jest pomoc podmiotu zewnętrznego, wszelkie czynności na sprzęcie komputerowym dokonywane w obszarze przetwarzania danych osobowych, powinny odbywać się w obecności osoby wyznaczonej przez Administratora Danych Osobowych. &8 Uwagi końcowe
- Dopuszcza się możliwość wprowadzania w Instrukcji Zarządzania procedur
uzupełniających, jeśli wymagać będzie tego specyfika Sklepu.