POLITYKA PRYWATNOŚCI
§1 Postanowienia ogólne
- Korzystając z niniejszej strony internetowej, powierzasz nam informacje i dane.
- Polityka prywatności jest stworzona w celu informacyjnym, ma wyjaśnić charakter zbieranych informacji, cel i sposób ich wykorzystania.
- Polityka prywatności określa zasady zbierania i przetwarzania danych osobowych oraz stosowania plików “Cookies.
- Polityka prywatności działa w zgodzie z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2015 r. poz. 2135) oraz Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
- Każdy użytkownik strony internetowej jest uprawniony do otrzymania pełnych informacji o sposobie i celach przetwarzania jego danych osobowych oraz o sposobie ich ochrony oraz instytucjach, z którymi należy się skontaktować w razie wątpliwości.
§2 Prywatność
- Szanujemy prywatność użytkowników naszych usług, dlatego zawsze korzystamy z powierzanych nam danych w sposób uczciwy, zgodny z obowiązującymi przepisami, jedynie w celu realizacji zamówienia i optymalizacji naszych usług.
- Podejmujemy wszystkie działania aby zabezpieczyć powierzone nam dane w sposób kompleksowy. Współpracujemy z organami zajmującymi się ochroną danych oraz organami uprawnionymi do ścigania.
- W przypadku braku przepisów dotyczących ochrony danych, będziemy postępować zgodnie z obowiązującym prawem, zasadami moralnymi i ustalonymi zwyczajami.
- W razie jakichkolwiek pytań odnośnie niniejszej Polityki Prywatności prosimy o kontakt ze stroną oraz podanie niezbędnych informacji w celu odpowiedzi / ustosunkowania się do zgłoszenia.
§3 Dane osobowe
- Przetwarzanie danych osobowych odbywa się wyłącznie w celu realizacji naszych usług oraz w celach księgowych.
- Zbieramy, przetwarzamy i przechowujemy następujące dane użytkowników: imię, nazwisko, adres zamieszkania, adres do wysyłki zamówienia, numer identyfikacji podatkowej (NIP), adres e-mail, numer telefonu, informacje o używanej przeglądarce internetowej oraz inne, dobrowolnie przekazane nam dane osobowe.
- Powierzenie nam danych osobowych jest niezbędne do realizacji oferowanych przez nas usług.
- Zgodnie z obowiązującym prawem możemy przesyłać dane osobowe do serwerów znajdujących się poza krajem zamieszkania użytkownika lub do podmiotów powiązanych, stron trzecich z siedzibą w innych krajach w tym krajach z obszaru EOG (Europejski Obszar Gospodarczy, EOG ang. European Economic Area, EEA – strefa wolnego handlu i Wspólny Rynek, obejmujące państwa Unii Europejskiej i Europejskiego Stowarzyszenia Wolnego Handlu EFTA) w celu przetwarzania danych osobowych przez takie podmioty w naszym imieniu zgodnie z postanowieniami niniejszej Polityki prywatności oraz obowiązującymi przepisami i regulacjami.
§4 Pliki “Cookies”
- Każdy Użytkownik korzystający z niniejszej strony internetowej, wyraża zgodę na automatyczne zbieranie informacji zawartych w plikach cookies.
- Plik Cookies to mały fragment tekstu, wysyłany do przeglądarki Użytkownika i który przeglądarka wysyła z powrotem przy następnych wejściach na witrynę.
- Wykorzystujemy pliki Cookies „sesyjne” przechowywane na urządzeniu końcowym Użytkownika do czasu jego wylogowania, wyłączenia strony internetowej lub wyłączenia przeglądarki internetowej oraz „stałe” przechowywane przez czas określony w parametrach plików Cookies lub do momentu ich usunięcia przez Użytkownika. Dzięki plikom cookies jest możliwe utrzymanie sesji po opuszczeniu strony przez użytkownika.
- Pliki cookies pozwalają stronie rozwijać się, dostosowywać ofertę i usługi do oczekiwań Użytkowników oraz troszczyć się o techniczne aspekty witryny i jej bezpieczeństwo.
- Dane zbierane z plików Cookies są przetwarzane przez administratora strony przy każdym użytkowaniu w celu:
- optymalizacji strony i wygody użytkowania;
- identyfikacji zalogowanych użytkowników;
- przystosowania funkcjonalności strony do indywidualnych preferencji użytkownika;
- zapamiętywania danych logowania oraz danych uzupełnionych w formularzu na stronie;
- analizy przepływu użytkowników za pomocą Google Analytics w wymiarze statystycznym (sam Użytkownik pozostaje anonimowy)
- tworzenia dynamicznych list produktowych na podstawie informacji o preferencjach i sposobie korzystania ze strony oraz zbierania danych demograficznych i udostępnianiu ich w AdWords oraz Facebook Ads.
- wykorzystywania statycznych danych demograficznych i danych o zainteresowaniach w raportach w raportach Analytics.
- Pobieranie i wykorzystywanie plików cookies odbywa się jedynie w celu określonym w niniejszej Polityce prywatności i nie działa na szkodę Użytkownika.
- Każdy Użytkownik może zablokować pliki cookies oraz usunąć je ręcznie, konfigurując odpowiednie ustawienia przeglądarki internetowej: Google Chrome, Mozilla Firefox, Safari, Internet Explorer, może to jednak utrudnić lub uniemożliwić korzystanie z niektórych funkcjonalności strony.
§5 Prawa i obowiązki
- Użytkownik korzysta z sieci www na własne ryzyko. Jesteśmy zobowiązani do przekazania zebranych informacji o użytkowniku organom władzy publicznej bądź osobom trzecim, które zgłoszą takie żądanie na podstawie obowiązujących przepisów prawa polskiego.
- Każdy użytkownik strony ma prawo do bieżącego dostępu i modyfikacji informacji i danych osobowych zgromadzonych przez sklep i może to zrobić za pomocą modułu prywatności w panelu klienta lub pisząc bezpośrednią wiadomość do administratora strony.
- Każdy użytkownik ma prawo do usunięcia wszystkich danych zgromadzonych na stronie i może to zrobić za pomocą modułu prywatności w panelu klienta lub pisząc bezpośrednią wiadomość do administratora strony. Administrator musi uznać żądanie po uprzednim potwierdzeniu decyzji przez użytkownika.
- W przypadku podejrzenia o przekroczeniu przez stronę uprawnień dotyczących danych osobowych istnieje możliwość skontaktowania się z podmiotem przez ustawę o pozasądowym rozpatrywaniu sporów konsumenckich, Rzecznikiem Finansowym (www.rf.gov.pl).
§6 Wtyczki Plug-ins
- Na stronie internetowej mogą pojawić się wtyczki plug-ins, powiązane z portalem Facebooka. Wtyczka Facebook obsługiwany jest przez Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA Facebook. Aby zobaczyć wtyczki Facebook przejdź do: https://developers.facebook.com/docs/plugins.
- Wtyczka przekazuje dostawcy jedynie informację o tym, do których z naszych stron internetowych miałeś dostęp i w jakim czasie. Jeśli podczas oglądania naszej strony bądź przebywania na niej, użytkownik jest zalogowany do swojego konta znajdującego się Facebooku, dostawca otrzymuje informacje o preferencjach użytkownika.
- Użytkownik może w każdej chwili zablokować przekazywanie danych, wylogowując się ze swojego konta przed rozpoczęciem przeglądania naszych stron internetowych.
§7 Narzędzia analityczne
- Strona internetowa wykorzystuje statystyczne narzędzie firmy Google Inc. (dalej nazywanej „Google”), Google Analytics, które służy do analizy przepływu Użytkowników.
- Analiza przepływu użytkowników za pomocą Google Analytics odbywa się jedynie w wymiarze statystycznym i polega na pobieraniu informacji ogólnych z plików „cookies” (w tym adresu IP Użytkownika), dotyczących ISP Użytkownika oraz odwiedzanych przez niego stron www w celu optymalizacji Strony Internetowej. Sam Użytkownik pozostaje anonimowy.
- Rzeczone informacje są przekazywane i zapisywane na serwerach Google w celu analizy sposobu korzystania ze Strony internetowej, sporządzenia sprawozdań dotyczących aktywności na Stronie internetowej oraz wytwarzaniu usług powiązanych z korzystaniem ze Strony internetowej i Internetu.
- Google przekazuje informacje o Użytkownikach podmiotom trzecim tylko w przypadku wymagań prawnych o ile podmioty trzecie przetwarzają te informacje na zlecenie Google.
- Google nie dokonuje powiązania adresu IP Użytkownika z innymi danymi Google.
- Korzystanie ze Strony internetowej jest zgodą użytkownika na przetwarzanie przez Google danych z plików cookies jedynie w celu opisanym w niniejszej Polityce Prywatności.
Każdy Użytkownik może zablokować pliki cookies, konfigurując odpowiednie ustawienia przeglądarki internetowej: Google Chrome, Mozilla Firefox, Safari, Internet Explorer.
POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA
DANYCH OSOBOWYCH
Wstęp
Mając na uwadze konstytucyjne prawa każdego obywatela Rzeczypospolitej Polskiej: KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ (ART. 47, 51):
(art. 47.)
Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.
-
Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
-
Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
-
Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
-
Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
-
Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Z 2014 r., poz. 1182 ze zm.), art. 36 w/w ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, administrator danych osobowych zobowiązany jest do zapewnienia ochrony przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Jakość zapewnianej ochrony powinna być odpowiednia do zagrożeń oraz kategorii danych nią objętych. Ponadto zgodnie z art. 38 ustawy administrator danych zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Biorąc pod uwagę te konstytucyjne i ustawowe obowiązki wprowadzamy następujący zestaw procedur i rozwiązań, stanowiący Politykę bezpieczeństwa przetwarzania danych osobowych.
Rozdział 1
Postanowienia ogólne
§ 1. Ilekroć w Polityce jest mowa o:
1) ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r., poz. 1182 ze zm.);
2) danych osobowych – Art. 6. ustawy: rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań;
3) zbiorze danych – Art. 7. ustawy: rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
4) przetwarzaniu danych – Art. 7. ustawy: rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
5) systemie informatycznym – Art. 7. ustawy: rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
6) zabezpieczeniu danych w systemie informatycznym – Art. 7. ustawy: rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
7) usuwaniu danych – Art. 7. ustawy: rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
8) administratorze danych – Art. 7. ustawy: rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych;
9) zgodzie osoby, której dane dotyczą – Art. 7. ustawy: rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie;
10) odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela, o którym mowa w art. 31a ustawy, podmiotu, o którym mowa w art. 31 ustawy, organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;
11) państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego (ang. European Economic Area, EEA) – strefa wolnego handlu i Wspólny Rynek.
12) obszarze przetwarzania danych – zgodnie z ustawą, przetwarzaniem danych osobowych nazywamy jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W związku z powyższym, określanie obszaru pomieszczeń, w którym przetwarzane są dane osobowe, powinno obejmować zarówno te miejsca, w których wykonuje się operacje na nich (wpisuje, modyfikuje, kopiuje), jak również te, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową bądź komputerowymi nośnikami informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe, jak np. macierze dyskowe, na których dane osobowe są przetwarzane na bieżąco). Zgodnie z treścią § 4 punkt 1 rozporządzenia miejsce przetwarzania danych osobowych powinno być określone poprzez wskazanie budynków, pomieszczeń lub części pomieszczeń, w których przetwarza się dane osobowe.
13) wykazie zbiorów – należy przez to rozumieć wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
14) opisie struktury zbiorów – należy przez to rozumieć opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
15) opis struktury zbiorów – danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
16) opisie przepływu danych – należy przez to rozumieć opis sposobu przepływu danych pomiędzy poszczególnymi systemami informatycznymi;
17) środkach technicznych i organizacyjnych – należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych.
Rozdział 2
Administrator danych
§ 2. Administrator danych zobowiązany jest do podjęcia i wdrożenia następujących działań aby zapewnić pełną i całkowitą, niezbędną ochronę przetwarzanych zbiorów osobowych:
1) wdrożyć niniejszą Politykę bezpieczeństwa przetwarzania danych osobowych oraz Instrukcję zarządzania systemem informatycznym przetwarzającym dane osobowe;
2) upoważniać i cofać upoważnienia do przetwarzania danych osobowych osobom, które mają te dane przetwarzać, mają z nich korzystać na podstawie upoważnienia do przetwarzania danych osobowych w systemie informatycznym lub w zbiorze (załącznik nr 1);
3) prowadzić jasny i rzetelny wykaz osób upoważnionych do przetwarzania danych osobowych, dbać by osoby upoważnione kierowały się najwyższymi standardami ochrony prywatności, dbać by wykaz był aktualny i zawsze zgodny z prawdą (załącznik nr 2);
4) prowadzić wykaz obszarów przetwarzania danych osobowych (załącznik nr 3);
5) prowadzić wykaz zbiorów danych osobowych (załącznik nr 4);
6) prowadzić opis struktury zbiorów (załącznik nr 5);
7) prowadzić opis sposobu przepływu danych osobowych pomiędzy programami, środkami zarządzającymi tymi danymi (załącznik nr 6);
Rozdział 3
Środki techniczne i organizacyjne
§ 3. W celu ochrony danych spełniono wymogi, o których mowa w art. 36–39 ustawy:
a) Administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji;
b) Do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych;
c) Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych;
d) Została opracowana i wdrożona Polityka bezpieczeństwa;
e) Została opracowana i wdrożona Instrukcja zarządzania systemem informatycznym.
§ 4. W celu ochrony danych osobowych stosuje się następujące środki ochrony fizycznej danych osobowych:
-
Zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej metalowej szafie.
-
Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi).
-
Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
§ 5. W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
-
Komputer służący do przetwarzania danych osobowych nie jest połączony z lokalną siecią komputerową.
-
Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
-
Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.
-
Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji.
-
Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.
-
Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
-
Użyto system Firewall do ochrony dostępu do sieci komputerowej.
§ 6. Środki ochrony w ramach narzędzi programowych i baz danych:
-
Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych.
-
Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
-
Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.
-
Zastosowano kryptograficzne środki ochrony danych osobowych.
-
Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
-
Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
§ 7. Środki organizacyjne:
-
Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych.
-
Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie
zabezpieczeń systemu informatycznego.
-
Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy.
-
Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
-
Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco.
Rozdział 4
Postanowienia końcowe
§ 8. Polityka bezpieczeństwa jest bezwzględnie przestrzegana przez osoby upoważnione do przetwarzania danych osobowych, a nad jej przestrzeganiem czuwa administrator danych osobowych. Osoby upoważnione zostały w sposób prawidłowy i wyczerpujący poinformowane o prawach i obowiązkach na nich ciążących ze szczególnym uwzględnieniem prywatności osób, których dane te dotyczą a która jest zagwarantowana przez Konstytucję, przepisy prawa i niniejszą Politykę Bezpieczeństwa.
§ 9. Administrator danych może w drodze umowy zawartej na piśmie tj. umowy o powierzeniu przetwarzania danych osobowych, powierzyć przetwarzanie danych innemu podmiotowi, który również zobowiązuje się do należytej i prawidłowej ochrony danych i prywatności osób, które zbiory te dotyczą. Podmiot ten może przetwarzać dane i informacje wyłącznie w zakresie niezbędnym dla realizacji swoich usług (na jakie zostały mu powierzone dane osobowe), przewidzianym w umowie oraz jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych o których mowa w art. 36–39 ustawy oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy. Odpowiedzialność podmiotu, o którym mowa wyżej jest taka sama jak administratora danych w zakresie powierzonych mu obowiązków. Za nieprzestrzeganie przepisów oraz polityki, odpowiedzialność ciąży na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę o powierzeniu przetwarzania danych osobowych, za przetwarzanie danych niezgodnie z tą umową, w sposób wadliwy i niezapewniający należytej ochrony w myśl Konstytucja Rzeczypospolitej Polskiej i ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz innych przepisów prawa.
§ 10. Polityka bezpieczeństwa wchodzi w życie z dniem zatwierdzenia jej przez administratora danych.