- Więcej
- Wszystkie
- 2RYBY.PL Rozmowy
- Same dobre wiadomości
- Ona i on
- Rozwój
- Sztuka życia
- Miłość
- Duchowość
- Budowanie więzi
- Rodzina
- Nauka
- Biblia
- Kobieta
- Mężczyzna
- Religie
- Filozofia
- Kultura
- Święci
- Seks
- In vitro
- Adopcja
REGULAMIN PORTALU 2RYBY.PL
§ 1 POSTANOWIENIA WSTĘPNE
1. Portal 2RYBY.PL, zwany dalej “Portalem” jest udostępniany przez Fundację
Mathesianum, zarejestrowaną w rejestrze przedsiębiorców Krajowego Rejestru Sądowego
prowadzonym przez Sąd Rejonowy dla Wrocławia – Fabrycznej we Wrocławiu, VI Wydział
Gospodarczy KRS, pod numerem 0000599987, posiadającą numer NIP: 8971821057,
REGON: 363660761, adres siedziby i adres korespondencyjny: pl. Nankiera 17a, 50-140
Wrocław, admin@2ryby.pl
2. Regulamin jest zamieszczony na stronie internetowej www.2ryby.pl i jest dostępny
nieodpłatnie w formie, która umożliwia jego pobranie, utrwalenie i wydrukowanie.
3. Regulamin określa zasady korzystania z Portalu, a każdy Użytkownik korzystający z
Portalu, zobowiązany jest do przestrzegania jego postanowień.
4. Każdy użytkownik Portalu zobowiązany jest do zapoznania się z treścią niniejszego
regulaminu.
5. Użytkownicy mają możliwość dostępu z Portalu do serwisów i usług innych osób poprzez
połączenie do stron internetowych należących do tych osób. W tych wypadkach zastosowanie
znajdują regulaminy lub inne dokumenty wprowadzone przez osoby udostępniające dany
serwis, bądź świadczące daną usługę, zaś Administrator nie jest stroną umów o świadczenie
usług drogą elektroniczną zawieranych pomiędzy Użytkownikiem a inną osobą.
§ 2 DEFINICJE
Użyte w niniejszym Regulaminie poniższe pojęcia należy rozumieć w następujący sposób:
a) Portal – internetowy serwis 2RYBY.PL udostępniony na stronie internetowej pod adresem:
www.2ryby.pl lub w innych rozszerzeniach domenowych zarządzanych przez
Administratora, oferujący i dostarczający Użytkownikom treści związane z rozwojem
społeczno-religijnym;
b) Administrator – administrator Portalu 2RYBY.PL, którym jest Fundacja Mathesianum z
siedzibą we Wrocławiu;
c) Użytkownik – osoba korzystająca z Portalu 2RYBY.PL;
d) Newsletter – wiadomość elektroniczna wysłana Użytkownikowi przez Administratora w
formie listu elektronicznego (e-mail) drogą elektroniczną na adres poczty elektronicznej
podanej przez Użytkownika za jego zgodą;
e) Regulamin - niniejszy regulamin Portalu 2RYBY.PL
§ 3 WARUNKI KORZYSTANIA Z PORATLU 2RYBY.PL
1. Odwiedzenie, przeglądanie treści i korzystanie z Portalu jest dobrowolne, bezpłatne i nie
wymaga rejestracji.
2. Korzystanie z Portalu oznacza akceptację regulaminu.
3. Warunkami koniecznymi dla korzystania z Portalu są: posiadanie przez Użytkownika
urządzenia pozwalającego na dostęp do sieci Internet łącznie z programem służącym do
przeglądania jego zasobów, umożliwiającym zapisywanie plików Cookies i zgoda
Użytkownika na przetwarzanie i zapisywanie plików Cookies na urządzeniu Użytkownika.
4. W przypadku korzystania przez Użytkownika z nietypowych lub nie stosowanych
powszechnie rozwiązań technicznych lub informatycznych Portal może nie być dostępny, lub
jego działanie może być ograniczone lub utrudnione.
5. Administrator informuje, że podczas korzystania z Portalu w komputerze Użytkownika
zapisywane są pliki Cookies, które umożliwiają prawidłowe działanie Portalu. Informacje na
ten temat zawiera dokument Polityka Prywatności stanowiący załącznik do Regulaminu.
§ 4 ZASADY KORZYSTANIA Z PORTALU 2RYBY.PL
1. Przed rozpoczęciem korzystania z Portalu Użytkownik jest zobowiązany zapoznać się z
treścią niniejszego Regulaminu.
2. Korzystając z Portalu Użytkownik potwierdza, że:
a) dobrowolnie przystąpił do korzystania z Portalu,
b) zapoznał się z Regulaminem i akceptuje jego postanowienia,
c) wyraża zgodę na otrzymywanie informacji systemowych, wiadomości od Administratora
oraz informacji o utrudnieniach, zmianach czy przerwach technicznych w działaniu Portalu,
d) podanie przez Użytkownika danych osobowych, tj. imienia i adresu e-mail, nastąpiło w
sposób dobrowolny i za jego zgodą, zaś umieszczenie przez Użytkownika ewentualnych
danych lub informacji dotyczących innych osób nastąpiło w sposób legalny, dobrowolny oraz
za ich zgodą.
2. Zabrania się kopiowania części lub całości, a także modyfikowania części lub całości
Portalu, w tym kodu źródłowego, lub wykorzystywania go w celach zarobkowych, z
zastrzeżeniem innych postanowień Regulaminu.
3. Udostępnianie, rozpowszechnianie i publiczne odtwarzanie treści umieszczonych na
Portalu jest dozwolone pod warunkiem zachowania integralności formy i treści utworu, w
szczególności oznaczeń pochodzenia utworu zachowania jego pełnej długości oraz spójności.
Zabronione jest udostępnianie, rozpowszechnianie i publiczne odtwarzanie w celach
zarobkowych utworów zamieszczonych na Portalu, bez wyraźnej i pisemnej zgody
Administratora.
4. Korzystanie z materiałów i treści zamieszczonych na Portalu jest dopuszczalne na
zasadach określonych w ustawie z dnia 4 lutego 1994 roku o prawie autorskim i prawach
pokrewnych (tj. Dz. U. z 2006, Nr 90, poz. 631 ze zm.), z zastrzeżeniem postanowień
niniejszego Regulaminu.
5. Administrator może udostępniać w ramach Portalu, również utwory do których prawa
autorskie przysługują osobom trzecim. Utwory te zostaną oznaczone w odpowiedni sposób.
W tej sytuacji Użytkownik nie może udostępniać, rozpowszechniać i publicznie odtwarzać
tych utworów, bez zgody osoby trzeciej.
6. Administrator ma prawo moderować wszelkie treści zamieszczone w Portalu.
7. Kontakt z Administratorem jest możliwy za pośrednictwem adresu poczty elektronicznej:
admin@2ryby.pl.
§ 5 NEWSLETTER
1. Niniejszy regulamin określa zasady korzystania z usługi Newsletter i stanowi regulamin, o
którym mowa w art. 8 ust. 1. pkt 1) ustawy z dnia 18 lipca 2002 roku o świadczeniu usług
drogą elektroniczną (Dz.U. Nr 144, poz. 1204 ze zm.)
2. Usługa Newsletter świadczona jest przez przez Fundację Mathesianum, zarejestrowaną w
rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy dla Wrocławia – Fabrycznej we Wrocławiu, VI Wydział Gospodarczy KRS, pod numerem 0000599987, posiadającą numer NIP: 8971821057, REGON: 363660761, adres siedziby i adres korespondencyjny: pl. Nankiera 17a, 50-140 Wrocław, adres poczty elektronicznej: admin@2ryby.pl
3. W ramach usługi Newsletter Administrator wysyła Newsletter na adres poczty
elektronicznej, podany dobrowolnie przez Użytkownika.
4. Usługa Newsletter świadczona jest bezpłatnie oraz do czasu odwołania przez Użytkownika.
5. Zamówienie usługi Newsletter następuje przez dokonanie przez Użytkownika
następujących czynności:
a) podanie przez Użytkownika imienia i adresu poczty elektronicznej w formularzu zamieszczonym na stronie internetowej w domenie 2ryby.pl
c) zaznaczenie pola potwierdzającego zapoznianie się z regulaminem i polityką prywatności
d) naciśnięcie (kliknięcie) na przycisk “ZAPISZ SIĘ”,
e) naciśnięcie (kliknięciu) linku potwierdzającego rejestrację zamieszczonego w
przesłanej przez Administratora wiadomości elektronicznej.
6. Naciśnięcie (kliknięcie) na link potwierdzający rejestrację powoduje dodanie adresu poczty elektronicznej i imienia Użytkownika (adresu e-mail) do listy e-mailingowej . Te dane osobowe Użytkownika będą wykorzystywany wyłącznie w celu realizacji usługi Newsletter przez Administratora.
7. Zamawiając usługę Newsletter Użytkownik wyraża zgodę na wysyłanie przez
Administratora na podany przez Użytkownika przy rejestracji adres poczty elektronicznej
treści informacyjnych oraz treści o charakterze informacji handlowej w rozumieniu ustawy z
dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, pochodzących od
Administratora lub jego partnerów oraz akceptuje postanowienia niniejszego Regulaminu. (w
mailu aktywującym musi być informacja o akceptacji regulaminu)
8. Użytkownik może w każdej chwili, bezpłatnie i bez podania przyczyny zrezygnować z
usługi Newsletter, naciskając (klikając) na link “zrezygnować”, który znajduje się w
każdym Newsletterze, a następnie naciskając (klikając) przycisk “TAK” w oknie przeglądarki
internetowej.
§ 6 REKLAMACJE I NOTYFIKACJE
1. Użytkownik ma prawo złożyć reklamację w sprawach związanych z działaniem Portalu a
także notyfikację w przypadku, gdy materiały umieszczone na Portalu nie spełniają
warunków określonych w Regulaminie.
2. Reklamacje i notyfikacje składa się do Administratora drogą elektroniczną na adres:
admin@2ryby.pl.
3. Administrator rozpatruje reklamację terminie 14 dni od dnia jej otrzymania.
4. Administrator ma prawo wystąpić do wnioskodawcy o wyjaśnienia lub podanie
dodatkowych informacji, jeżeli są one niezbędne do identyfikacji autora reklamacji lub
notyfikacji albo zweryfikowania jej zasadności. W takim przypadku termin określony w ust.
3 powyżej biegnie od dnia przekazania przez wnioskodawcę informacji, o które zwrócił się
Administrator.
§ 7 OGRANICZENIE ODPOWIEDZIALNOŚCI ADMINISTRATORA
1. Administrator nie ponosi odpowiedzialności za:
a) zakłócenia w funkcjonowaniu Portalu i szkody wywołane siłą wyższą, awarią sprzętu,
wynikające z błędów, niewłaściwej konfiguracji systemów operacyjnych oraz przeglądarek
internetowych lub odtwarzaczy multimedialnych, lub wynikające z dokonywania zmian i
ulepszeń w systemie;
b) szkody wywołane niedozwolonym działaniem Użytkowników;
c) jakiekolwiek szkody wynikające z działań Użytkownika niezgodnych z obowiązującymi
przepisami prawa lub postanowieniami niniejszego Regulaminu;
d) informacje pobrane z Internetu, w tym z Portalu ani za skutki ich wykorzystania przez
Użytkowników lub ich przydatność dla Użytkowników.
2. Administrator nie ponosi odpowiedzialności za sposób, w jaki Użytkownicy korzystają z
Portalu.
3. Administrator nie ponosi odpowiedzialności za skutki korzystania przez Użytkownika z
Portalu w sposób sprzeczny z postanowieniami niniejszego Regulaminu lub obowiązującym
prawem.
§ 8 POSTANOWIENIA KOŃCOWE
1. Regulamin wchodzi w życie z dniem jego opublikowania w Portalu.
2. Regulamin jest zawsze dostępny w aktualnej wersji do pobrania ze strony www.2ryby.pl.
Zmiany Regulaminu będą publikowane pod tym samym adresem w formie ujednoliconego
tekstu Regulaminu.
3. W przypadku braku akceptacji Regulaminu lub Polityki Prywatności, lub braku akceptacji
ich zmian, Użytkownik powinien powstrzymać się lub zrezygnować z korzystania z Portalu,
w tym również z usługi Newsletter.
4. Portal i Regulamin podlegają prawu polskiemu.
Polityka ochrony danych osobowych w Portalu i sklepie 2RYBY.pl Fundacji Mathesianum
§ 1
DEKLARACJA I ZASTOSOWANIE
1. Celem niniejszej Polityki Bezpieczeństwa jest wypełnienie założeń Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej też zwane RODO).
2. Stanowi ona zbiór wymogów, zasad i regulacji ochrony danych osobowych u Administratora danych osobowych, którym jest Fundacja Mathesianum, reprezentowana w sposób wskazany w statucie Fundacji tj. przez zarząd, w skład którego wchodzą Anna Lewandowska, Grzegorz Lewandowski, Kinga Gałek, działający jednoosobowo w przypadku zaciągania zobowiązań lub dokonywania wydatku w kwocie nieprzekraczającej jednorazowo 10.000,00 zł bez podatku VAT a w przypadku świadczeń ciągłych w przeliczeniu na okres roku; w przypadku zaciągania zobowiązań lub dokonywania wydatku w kwocie przekraczającej jednorazowo 10.000,00 zł bez podatku VAT ale nieprzekraczającej kwoty 50.000,00 zł bez podatku VAT a w przypadku świadczeń ciągłych w przeliczeniu na okres roku, oświadczenie woli składa łącznie dwóch członków Zarządu; w przypadku zaciągania zobowiązań lub dokonywania wydatku w kwocie przekraczającej jednorazowo 50.000,00 zł bez podatku VAT lub w przypadku świadczeń ciągłych w przeliczeniu na okres roku, oświadczenie woli składa łącznie dwóch członków Zarządu za zgodą jednego członka Rady Fundacji. W sprawach innych niż majątkowe Fundacja jest reprezentowana jednoosobowo przez jednego z członków zarządu, a sprawach dotyczących czynności prawnych pomiędzy Fundatorem a Fundacją- Przewodniczący Rady Fundacji, dalej ADO.
3. Zasady, działania, kompetencje i zakresy odpowiedzialności opisane w niniejszej Polityce Ochrony Danych Osobowych (PODO lub Polityka), obowiązują wszystkich pracowników i współpracowników ADO.
4. Procedury i dokumenty związane z Polityką będą weryfikowane i dostosowywane w celu zapewnienia odpowiedniego poziomu bezpieczeństwa. Przeglądy dokumentacji odbywają się nie rzadziej niż raz w roku.
5. Polityka określa środki techniczne i organizacyjne zastosowane przez ADO dla zapewnienia ochrony danych oraz tryb postępowania w przypadku stwierdzenia naruszenia zabezpieczenia danych w systemie informatycznym lub w kartotekach papierowych, albo w sytuacji podejrzenia o takim naruszeniu.
6. Polityka została opracowana z uwzględnieniem metod i środków ochrony danych, których skuteczność w czasie ich zastosowania jest powszechnie uznawana. Za priorytet uznano zagwarantowanie zgromadzonym danym osobowym, przez cały okres ich przetwarzania właściwej ochrony wraz z zachowaniem ich integralności i rozliczalności, ze szczególnym uwzględnieniem obowiązujących przepisów prawa dotyczących ochrony danych osobowych.
7. Zakres obowiązywania dokumentu.
1) Niniejsza Polityka obowiązuje wszystkich pracowników, współpracowników, a także kontrahentów ADO.
2) Każdy z pracowników i współpracowników ma obowiązek zapoznania się z treścią niniejszej Polityki.
3) Polityka dotyczy wyposażenia, systemów, urządzeń przetwarzających informacje w formie elektronicznej, papierowej lub jakiejkolwiek innej.
4) Nieprzestrzeganie postanowień zawartych w Polityce może skutkować sankcjami w pełnym zakresie dopuszczonym przez stosunek pracy oraz obowiązujące przepisy prawa.
§ 2
DEFINICJE
Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
bezpieczeństwo informacji – zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność;
dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
dane szczególne oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej;
dane dotyczące zdrowia – oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
eksport danych oznacza przekazanie danych do państwa trzeciego lub organizacji międzynarodowej;
hasło – rozumie się przez to ciąg znaków alfanumerycznych, znany jedynie użytkownikowi;
identyfikator – rozumie się przez to, ciąg znaków literowych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
incydent ochrony danych osobowych – zdarzenie albo seria niepożądanych lub niespodziewanych zdarzeń ochrony danych osobowych stwarzających znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrożenia ochrony danych osobowych;
naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
obszar przetwarzania danych – rozumie się przez to budynki i pomieszczenia określone przez administratora danych, tworzące obszar, w którym przetwarzane są dane osobowe i inne informacje prawem chronione;
odbiorca danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
osoba, podmiot danych – oznacza osobę, której dane dotyczą;
podmiot przetwarzający – oznacza organizację lub osobę, której ADO powierzył przetwarzanie danych osobowych (np. usługodawca IT, dostawca ESOK czy innego systemu informatycznego);
polityka oznacza niniejszą politykę bezpieczeństwa ochrony danych osobowych;
poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
RCPDO lub rejestr oznacza rejestr czynności przetwarzania danych osobowych;
RODO oznacza rozporządzenie parlamentu europejskiego i rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych) (dz.urz. UE l 119, s. 1).
ryzyko – niepewność osiągnięcia zamierzonych celów;
system informatyczny administratora danych – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych;
szacowanie ryzyka – proces identyfikowania, analizowania i oceniania ryzyka;
Teczka ODO – zbiór dokumentów, instrukcji, regulaminów, załączników opisujących sposób przetwarzania i ochrony danych, składający się na politykę bezpieczeństwa ochrony danych osobowych, gromadzonych i nadzorowanych przez ADO.
teletransmisja – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;
uwierzytelnienie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
użytkownik – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;
zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
§ 3
ZASADY OCHRONY DANYCH
System zarządzania ochroną danych osobowych zgodny z wymaganiami niniejszej Polityki działa z poszanowaniem następujących zasad:
1) w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
2) rzetelnie i uczciwie (rzetelność);
3) w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
4) w konkretnych celach i nie „na zapas” (minimalizacja);
5) nie więcej niż potrzeba (adekwatność);
6) z dbałością o prawidłowość danych (prawidłowość);
7) nie dłużej niż potrzeba (czasowość);
8) zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
§ 4
1. W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych. Jest ona realizowana poprzez: zabezpieczenia fizyczne, zabezpieczenia logiczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.
2. Zastosowane zabezpieczenia mają służyć osiągnięciu poniższych celów i zapewnić:
1) rozliczalność – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
2) integralność – rozumie się przez to właściwość zapewniającą, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
3) poufność – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
4) integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej jak i przypadkowej.
5) dostępność – gwarantuje, że osoby, które są upoważnione i którym informacje są potrzebne, mają do nich dostęp w odpowiednim miejscu i czasie.
6) uwierzytelnienie – uwiarygodnienie swojej tożsamości względem systemu teleinformatycznego;
7) autentyczność – właściwość zapewniająca, że tożsamość podmiotu lub procesu jest taka, jak deklarowana;
3. Cele i strategie bezpieczeństwa:
1) zgodność z prawem,
2) ochrona zasobów informacyjnych i innych aktywów,
3) uzyskanie i utrzymanie odpowiednio wysokiego poziomu bezpieczeństwa zasobów, rozumiane jako zapewnienie poufności, integralności i dostępności zasobów oraz zapewnienie rozliczalności podejmowanych działań,
4) zapewnienie ciągłości działania procesów i właściwej reakcji na incydenty,
5) zapewnienie odpowiedniego poziomu wiedzy dotyczącej ochrony danych osobowych wśród pracowników i współpracowników poprzez zapewnienie odpowiednich szkoleń.
§ 5
ODPOWIEDZIALNOŚĆ ZA BEZPIECZEŃSTWO DANYCH OSOBOWYCH
1. ADO zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez.
2. Za bezpieczeństwo danych osobowych u ADO odpowiedzialni są wszyscy pracownicy.
W szczególności odpowiadają oni za przestrzeganie zasad bezpieczeństwa wynikających
z niniejszej Polityki oraz zgłaszanie incydentów i naruszeń, a także wykonywanie zaleceń ADO.
3. We wszystkich umowach, które mogą dotyczyć przetwarzania danych u ADO, należy uwzględnić zapisy zobowiązujące drugą stronę do przestrzegania art. 28 RODO oraz obowiązujących przepisów krajowych.
4. ADO prowadzi rejestr podmiotów zewnętrznych, z którymi realizacja umów/porozumień/zamówień lub aneksów do nich zobowiązuje lub umożliwia zleceniobiorcy/wykonawcy dostęp do informacji zawierających dane osobowe.
5. Za przestrzeganie zasad ochrony danych osobowych i za codzienną ochronę danych odpowiedzialni są upoważnieni użytkownicy.
§ 6
Realizację zamierzeń określonych w § 3 powinny zagwarantować następujące założenia:
1) Wdrożenie procedur określających postępowanie osób dopuszczonych do przetwarzania informacji oraz ich odpowiedzialność za ochronę danych.
2) Przeszkolenie użytkowników w zakresie ochrony danych osobowych.
3) Przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory).
4) Podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń.
5) Okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych.
6) Opracowanie procedur odtwarzania systemu w przypadku wystąpienia awarii.
7) Okresowe aktualizowanie Polityki.
8) Identyfikacja zagrożeń i analiza ryzyka.
II. OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH
§ 7
Podział zagrożeń:
1) zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu), ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych.
2) zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania), może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych.
3) zagrożenia zamierzone, świadome i celowe – najpoważniejsze zagrożenia, naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej
i zakłócenie ciągłości pracy), zagrożenia te możemy podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu.
§ 8
Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są informacje to głównie:
1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np.: wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp.,
2) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy,
3) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie
w kierunku naruszenia ochrony danych lub wręcz sabotaż, a także niewłaściwe działanie serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru,
4) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu,
5) jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie,
6) nastąpiło naruszenie lub próba naruszenia integralności systemu lub bazy danych,
7) stwierdzono próbę lub modyfikację danych lub zmianę w strukturze danych bez odpowiedniego upoważnienia (autoryzacji),
8) nastąpiła niedopuszczalna manipulacja danymi osobowymi w systemie,
9) ujawniono osobom nieupoważnionym dane osobowe lub objęte tajemnicą procedury ochrony przetwarzania albo inne strzeżone elementy systemu zabezpieczeń,
10) praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony informacji – np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp.,
11) ujawniono istnienie nieautoryzowanych kont dostępu do danych lub tzw. „bocznej furtki”, itp.,
12) podmieniono lub zniszczono nośniki z danymi bez odpowiedniego upoważnienia lub w sposób niedozwolony skasowano lub skopiowano dane,
13) rażąco naruszono dyscyplinę pracy w zakresie przestrzegania procedur ochrony danych osobowych (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na informacjach służbowych w celach prywatnych, itp.).
§ 9
Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania informacji (otwarte szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych tj. na papierze (wydrukach), kliszy, folii, zdjęciach, płytach CD w formie niezabezpieczonej itp.
III. PRZEDSIĘWZIĘCIA ZABEZPIECZAJĄCE PRZED NARUSZENIEM OCHRONY DANYCH
§ 10
1. Każdy użytkownik – przed dopuszczeniem do przetwarzania danych osobowych podlega przeszkoleniu z przepisów w tym zakresie oraz wynikających z nich zadań i obowiązków.
2. Wszyscy użytkownicy podlegają okresowym szkoleniom.
3. Za organizację szkoleń odpowiedzialny jest ADO.
§ 11
1. Dla zapewnienia bezpieczeństwa danych zastosowano następujące środki organizacyjne:
1) Dostęp do danych osobowych mogą mieć tylko i wyłącznie użytkownicy posiadający pisemne, imienne upoważnienia nadane przez Administratora Danych.
2) Każdy z pracowników powinien zachować szczególną ostrożność przy przenoszeniu wszelkich nośników z danymi.
3) Należy chronić dane przed wszelkim dostępem do nich osób nieuprawnionych.
4) Pomieszczenia w których są przetwarzane dane osobowe muszą być zamykane na klucz.
5) Dostęp do kluczy posiadają tylko upoważnieni pracownicy.
6) Dostęp do pomieszczeń możliwy jest tylko i wyłącznie w godzinach pracy. W wypadku gdy jest wymagany poza godzinami pracy – możliwy jest tylko na podstawie zezwolenia Administratora Danych lub ADO.
7) Dostęp do pomieszczeń w których są przetwarzane dane osobowe mogą mieć tylko upoważnieni pracownicy.
8) W przypadku pomieszczeń do których dostęp mają również osoby nieupoważnione, mogą przebywać w tych pomieszczeniach tylko w obecności osób upoważnionych i tylko w czasie wymaganym na wykonanie niezbędnych czynności.
9) Szafy w których przechowywane są dane powinny być zamykane na klucz.
10) Klucze do tych szaf posiadają tylko upoważnieni pracownicy.
11) Szafy z danymi powinny być otwarte tylko na czas potrzebny na dostęp do danych
a następnie powinny być zamykane.
12) Dane w formie papierowej mogą znajdować się na biurkach tylko na czas niezbędny na dokonanie czynności służbowych a następnie muszą być chowane do szaf.
2. Dla zapewnienia bezpieczeństwa danych i informacji zastosowano następujące środki techniczne:
1) Dostęp do komputerów na których są przetwarzane dane mają tylko upoważnieni pracownicy.
2) Monitory komputerów na których przetwarzane są dane są tak ustawione aby osoby nieupoważnione nie miały wglądu w dane.
3) Po zakończeniu pracy komputery przenośne (np. typu notebook) zawierające dane osobowe powinny być zabezpieczone w zamykanych na klucz szafach.
4) W wypadku potrzeby wyniesienia komputera przenośnego (np. typu notebook) zawierającego dane osobowe, lub inne informacje chronione, komputer taki musi być odpowiednio dodatkowo zabezpieczony, a dane zaszyfrowane.
5) Nie należy udostępniać osobom nieupoważnionym tych komputerów.
6) W przypadku potrzeby przeniesienia danych osobowych pomiędzy komputerami należy dokonać tego z zachowaniem szczególnej ostrożności.
7) Nośniki użyte do tego należy wyczyścić (skasować nieodwracalnie) aby nie zostały na nich dane osobowe.
8) W wypadku niemożliwości skasowania danych z nośnika (płyta CD-ROM) należy taką płytę zniszczyć fizycznie.
9) W przypadku wykorzystania do przenoszenia dysków, dane należy kasować z tych dysków.
10) Niezabezpieczonych danych osobowych nie należy przesyłać drogą elektroniczną.
11) Sieć komputerowa powinna być zabezpieczona przed wszelkim dostępem z zewnątrz.
12) Błędne lub nieaktualne wydruki i wersje papierowe zawierające dane osobowe lub inne informacje chronione niszczone są za pomocą niszczarki lub w inny mechaniczny sposób uniemożliwiający powtórne ich odtworzenie.
IV. POSTĘPOWANIE W PRZYPADKU NARUSZENIA OCHRONY DANYCH
§ 12
DZIAŁANIA KORYGUJĄCE I ZAPOBIEGAWCZE
Działania korygujące podejmowane są w przypadku wykrycia niezgodności w działalności, bądź nieprawidłowego działania procesu.
Przesłanką do podjęcia działań korygujących mogą być wyniki kontroli, audytów, zgłoszenia niezgodności, zdarzenia i incydenty związane z ochroną danych osobowych, zapisy, wyniki badania zadowolenia klientów, analiza reklamacji klientów.
Działania zapobiegawcze mają na celu zapobiec wystąpieniu potencjalnych niezgodności.
§ 13
ZGŁASZANIE NARUSZEŃ
ADO stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia Instrukcja postępowania w przypadku naruszenia ochrony danych – załącznik nr 5.
V. DOSTĘP DO DANYCH OSOBOWYCH
§ 14
1. Przetwarzanie, w tym udostępnianie danych osobowych jest prawnie dopuszczalne, jeżeli jest niezbędne dla zrealizowania obowiązku wynikającego z przepisu prawa.
2. W przypadku udostępnienia danych osobowych w celach innych niż włączenie do rejestru, administrator danych udostępnia posiadane informacje osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
3. Dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
4. Podmiot występujący o udostępnienie informacji powinien wskazać podstawę prawną upoważniającą go do otrzymania tych danych albo uzasadnioną potrzebę żądania ich udostępnienia. Tylko w takiej sytuacji można dokonać oceny, czy w określonym przypadku udostępnienie danych jest prawnie dopuszczalne i czy nie będzie ono stanowić naruszenia zasad ochrony informacji.
5. Przetwarzanie, w tym udostępnianie danych osobowych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje w celu badań naukowych, dydaktycznych, historycznych oraz statystycznych.
6. Udostępnienie danych może nastąpić jedynie za zgodą Administratora danych i powinno być odpowiednio udokumentowane.
VI. PRAWA I ŻĄDANIA PODMIOTÓW DANYCH
§ 15
Każdej osobie, której dane osobowe są przetwarzane przysługuje prawo do kontroli przetwarzania jej danych osobowych, a w szczególności prawo do:
1) uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby Administratora Danych;
2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych osobowych;
3) uzyskania informacji, od kiedy są przetwarzane jej dane osobowe, oraz podania w powszechnie zrozumiałej formie treści tych danych;
4) uzyskania informacji o źródle, z którego pochodzą dane osobowe jej dotyczące;
5) uzyskania informacji o sposobie udostępniania danych osobowych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane;
6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem przepisów prawa albo są już zbędne do realizacji celu, dla którego zostały zebrane.
POROZUMIENIA I KONTAKTY ZE STRONAMI ZEWNĘTRZNYMI.
§ 16
1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie
z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
2. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, wiążąc podmiot przetwarzający i administratora, określając przedmiot
i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
3. W przypadku zawierania umów z firmami zewnętrznymi mającymi wpływ na funkcjonowanie kluczowych elementów systemu zarządzania bezpieczeństwem informacji zalecane jest zawarcie umowy powierzenia.
VII. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
§ 17
1. Rejestr czynności przetwarzania danych osobowych (RCPDO) stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych
i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
2. W Rejestrze, dla każdej czynności przetwarzania danych, którą ADO uznał za odrębną odnotowuje co najmniej: (1) nazwę czynności, (2) cel przetwarzania, (3) opis kategorii osób
i opis kategorii danych, (5) podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu ADO, jeśli podstawą jest uzasadniony interes, (6) Ź, (7) opis kategorii odbiorców danych (w tym przetwarzających), (8) informację o przekazaniu poza EU/EOG; (9) ogólny opis technicznych i organizacyjnych środków ochrony danych.
VIII. BEZPIECZEŃSTWO OSOBOWE
§ 18
ETAP NABORU PRACOWNIKA I WSPÓŁPRACOWNIKA
1. Do przetwarzania danych osobowych i do dostępu do innych informacji chronionych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Administrator danych może wydać pełnomocnictwo do nadawania upoważnień.
2. Zakres upoważnienia może również być określony w umowie o pracę lub współpracę.
4. Osoba upoważniona zobowiązana jest podpisać oświadczenie lub umowę, która określa odpowiedzialność w zakresie ochrony danych osobowych.
EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH
1. Prowadzenie Ewidencji osób upoważnionych do przetwarzania danych osobowych nadzoruje ADO.
2. Ewidencja zawiera:
1) imię i nazwisko użytkownika,
2) datę nadania i ustania upoważnienia
3) zakres upoważnienia
4) identyfikator użytkownika
3. Ewidencja użytkowników może być prowadzona w systemie informatycznym.
4. Zmiany dotyczące użytkownika, takie jak:
1) zmiana imienia lub nazwiska,
2) zmiana zakresu upoważnienia,
podlegają niezwłocznemu odnotowaniu w ewidencji.
5. Zmiany dotyczące użytkownika, takie jak:
1) rozwiązanie umowy,
2) utrata upoważnienia do przetwarzania danych osobowych
3) zmiana zakresu obowiązków służbowych skutkująca ustaniem upoważnienia,
powodują wyrejestrowanie użytkownika przez Administratora Aplikacji w trybie natychmiastowym z ewidencji, zablokowanie identyfikatora oraz unieważnienie hasła tego użytkownika.
6. Osoba odpowiedzialna za sprawy kadrowe, bezpośredni przełożony Użytkownika, odpowiadają za natychmiastowe zgłoszenie do ADO użytkowników, którzy utracili uprawnienia do dostępu do danych osobowych, celem zablokowania im dostępu do systemu informatycznego poprzez zablokowanie identyfikatora i wyrejestrowanie z ewidencji osób upoważnionych.
7. Identyfikator, który utracił ważność nie może być ponownie przydzielony innemu użytkownikowi.
§ 19
ZATRUDNIENIE / WSPÓŁPRACA
1. Pracownicy, współpracownicy, wykonawcy i podwykonawcy powinni być świadomi swoich obowiązków i odpowiedzialności prawnej oraz zagrożeń związanych z bezpieczeństwem informacji. W tym celu należy zapewnić wszystkim zatrudnionym właściwy poziom świadomości poprzez kształcenie i szkolenie z zakresu ochrony danych osobowych, ze szczególnym uwzględnieniem procedur bezpieczeństwa. Dokumentują to:
– lista obecności ze szkoleń,
– oświadczenia pracowników,
– umowy o poufności
– posiadane zaświadczenia, dyplomy lub certyfikaty.
2. W przypadku naruszenia zasad ochrony danych osobowych jest uruchomiana odpowiednia procedura postępowania dyscyplinarnego, która powinna być poprzedzona potwierdzeniem naruszenia zasad ochrony danych osobowych i zgromadzeniem materiału dowodowego.
3. Postępowanie dyscyplinarne powinno uwzględniać: rodzaj i wagę naruszenia zasad ochrony danych osobowych, wpływ na procesy biznesowe, przypadek incydentalny czy jest to kolejne naruszenie oraz jakość odbytego przeszkolenia.
4. W przypadku pracy mobilnej i na odległość z wykorzystaniem urządzeń przenośnych zastosowano odpowiednie, dodatkowe środki bezpieczeństwa.
5. Przekazywanie sprzętu i urządzeń służących do przetwarzania danych odbywa się na podstawie protokołów przekazania sprzętu.
§ 20
ZAKOŃCZENIE ZATRUDNIENIA / WSPÓŁPRACY
1. Zakończenie zatrudnienia lub zmiana stanowiska pracy wewnątrz organizacji powinny odbywać się w sposób zorganizowany.
2. Odchodzenie z organizacji lub zmiana stanowiska pracy wiąże się ze zwrotem posiadanego przez pracownika sprzętu i odebraniem lub zmianą praw dostępu.
3. Odebranie lub ograniczenie praw dostępu jest poprzedzone analizą ryzyka uwzględniającą następujące uwarunkowania:
1) ustalenie inicjatora (pracownik, wykonawca czy kierownictwo ADO) i przyczyn zakończenia lub zmiany zatrudnienia;
2) aktualny zakres czynności pracownika, wykonawcy lub podwykonawcy;
3) wartość aktualnie dostępnych aktywów.
§ 21
ZASADY PRZYZNAWANIA DOSTĘPU
1. Przyznawanie zakresu uprawnień powinno być w ścisłym związku z zakresem obowiązków danego pracownika.
2. Zarządzanie dostępem na etapie nadawania, zmiany i cofania praw dostępu pracowników w obszarze przetwarzania danych oraz do systemów teleinformatycznych powinno się odbywać na wniosek bezpośredniego przełożonego Użytkownika.
3. W zarządzaniu dostępem obowiązuje zasada, że dostęp użytkownika powinien opierać się na spełnieniu zasady rozliczalności oraz zasady niezaprzeczalności. W przypadku systemów informatycznych obowiązują następujące wymagania:
1) wymóg jednoznacznej identyfikacji pracownika – tj. w systemach informatycznych każdy użytkownik pracuje wyłącznie na swoim indywidualnym koncie, nie są stosowane konta anonimowe lub współdzielone poza wyjątkami, gdzie z przyczyn technicznych nie ma innej możliwości,
2) wymóg uwierzytelnienia pracownika przy korzystaniu z systemu informatycznego,
3) autoryzacji przyznania praw dostępu do systemów informatycznych.
4) zasady przywilejów, wiedzy i usług koniecznych.
§ 22
ADO prowadzi Rejestr Naruszeń, Rejestr Czynności stanowiące odrębne dokumenty przechowywane razem z Polityką Ochrony Danych Osobowych w dokumentacji ADO.