Irhouse

Polityka prywatności - RODO

Polityka Bezpieczeństwa

przetwarzania danych osobowych

obowiązująca w firmie :

CARBONHEAT SP Z O O (KRS: 0000546646, NIP: 5252611912, REGON: 360960907)

Słomińskiego 15/504, 00-195 Warszawa

Firma jest Administratorem Danych Osobowych w zakresie danych przetwarzanych w obrębie firmy. Administrator Danych Osobowych powołał Administratora Bezpieczeństwa Informacji na warunkach ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014, poz. 1182 ze zm.) – art 43. ust.  12 pkt 1a.

Zbiory danych osobowych podlegających obowiązkowi zgłoszenia na podstawie w/w ustawy są zgłaszane do ewidencji prowadzonej przez Generalnego Inspektora Ochrony Danych Osobowych.

Administratorem Bezpieczeństwa jest podmiot:

CARBONHEAT SP Z O O (KRS: 0000546646, NIP: 5252611912, REGON: 360960907)

Słomińskiego 15/504, 00-195 Warszawa

Dokument opracowano w związku z przetwarzaniem danych osobowych

objętych zbiorami danych pod nazwą:

  1. Rejestr klientów sklepu internetowego”
  2. „Rejestr abonentów Newslettera”
  3. „Rejestr pracowników firmy”

Zbiory wyspecyfikowane jako nr  A,B,  zostały  zgłoszone do rejestru prowadzonego przez Głównego Inspektora Ochrony Danych Osobowych (GIODO).

Na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014, poz. 1182 ze zm.) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. (Dz.U. z 2004 r. nr 100, poz. 1024 z zm.) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informacyjne służące do przetwarzania danych osobowych wprowadza się przepisy regulujące sposób zarządzania pozwalający  na zapewnienie ochrony danych osobowych.

Celem Polityki Bezpieczeństwa  jest zapewnienie ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi, jak i zewnętrznymi, świadomymi lub nieświadomymi.

Załącznik do niniejszej polityki stanowi opracowanie i wdrożenie Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwaną dalej „Instrukcją zarządzania systemem informatycznym”. Określa ona sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem zapewnienia ich bezpieczeństwa.

Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez samych użytkowników.

Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić poufność danych, integralność danych, rozliczalność danych,  integralność systemu rozumianą.

W chwili sporządzenia dokumentu firma zatrudnia jednego pracownika. Dokument zawiera zapisy procedur, z którymi muszą zostać zapoznani aktualni jak i  nowo przyjmowani pracownicy lub inne osoby upoważnione do przetwarzania lub wglądu do danych osobowych oraz procedury, które zostaną wdrożone do sporządzania i przechowywania dokumentacji związanej z zatrudnieniem.

  1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

W chwili sporządzenia dokumentu obsługa systemu komputerowego odbywa się przy wykorzystaniu 1 komputera przenośnego oraz  1 tabletu znajdujących się w siedzibie firmy. Komputer i tablet mają połączenie z internetem.

  1. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
  2. A. „Rejestr klientów sklepu internetowego”

Sklep internetowy prowadzony jest pod domeną www.irhouse.eu

Do obsługi sklepu internetowego wykorzystywane jest oprogramowanie sklepu internetowego opracowane we własnym zakresie.

Oprogramowanie zostało skonfigurowane i umieszczone na serwerze firmy hostingowej:

Superhost.pl

H88 S.A. z siedzibą w Poznaniu,
ul. Abpa A. Baraniaka 88
61-131 Poznań

Dane osobowe są zapisywane na serwerze w postaci zaszyfrowanych plików baz danych.

Z firmą hostingową została podpisana umowa o powierzeniu do przetwarzania danych osobowych. Do transmisji danych osobowych wykorzystywany jest protokół szyfrowania danych SSL.

Ad B. „Rejestr abonentów newslettera” – newsletter rozsyłany jest tylko ze strony www sklepu internetowego  – baza danych osobowych, sposoby przetwarzania, prawa dostępu itd. zapisy analogiczne jak w ad.1 .

Ad. C. „Rejestr pracowników firmy”

Prowadzony jest w formie papierowej w postaci teczek osobowych.  Akta osobowe są przechowywane w Biurze Rachunkowym.

Biuro rachunkowe w oparciu o umowę o powierzeniu do przetwarzania danych osobowych :

– sporządza i przechowuje akta zatrudnionych osób (pracowników),

– sporządza listy płac,

– zgłasza i wykreśla pracowników z ewidencji ZUS,

– składa miesięczne deklaracje i dokonuje rozliczenia pracowników z ZUS,

– sporządza roczne deklaracje dla pracowników.

 

Biuro rachunkowe:

Biuro Rachunkowe Brek

Ul. Toruńska 114-116

85-880 Bydgoszcz

 

Obsługa księgowa została zlecona na podstawie umowy do w/w biura rachunkowego. Dokumenty potwierdzające sprzedaż usług zawierające m.in. dane osobowe klientów są przekazywane do biura rachunkowego w celu zaewidencjonowania sprzedaży.   Biuro rachunkowe jest zobowiązane zapisami umowy do przetwarzania danych osobowych zgodnie do zapisów ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (wraz z późniejszymi zmianami) oraz  środków zabezpieczeń na poziomie wysokim –  według wymagań Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

 

  • Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, sposób przepływu danych pomiędzy poszczególnymi systemami.

Sposób zapisu danych osobowych w bazie danych powstającej poprzez mechanizmy strony internetowej jest opisany w instrukcji oprogramowania – odpowiednio dla bazy danych.

W poszczególnych zbiorach danych są zbierane następujące dane osobowe:

 

Ad. A. „Rejestr klientów sklepu internetowego”–  Klient może na stronie www założyć konto (zarejestrować się) i następnie jako zalogowany użytkownik złożyć zamówienie lub złożyć zamówienie bez tworzenia swojego konta.  W obu przypadkach w bazie danych zapisywane są następujące dane osobowe:

– imię i nazwisko,

– adres,

– numer telefonu,

– adres poczty elektronicznej e-mail,

– w przypadku przedsiębiorcy – NIP.

Dane osobowe użytkownika zarejestrowanego są przetwarzane w celu

– utrzymania konta użytkownika,

– zrealizowania zamówienia – w tym celu dane są przetwarzane w celu sporządzenia dokumentu sprzedaży oraz przekazywane do firmy kurierskiej celem dostarczenia przesyłki na wskazany adres,

– dodatkowo jeżeli w trakcie rejestracji użytkownik wyrazi zgodę na otrzymywanie biuletynu informacyjnego w formie newslettera – w celu przesyłania biuletynu.

 

Ad. B. „Rejestr abonentów Newslettera” –

Biuletyn informacyjny jest rozsyłany wyłącznie do osób, które zamówią usługę przesyłania newslettera.  Zamówienie można złożyć na dwa sposoby.

– w trakcie rejestracji (zakładania konta na stronie) można dodatkowo złożyć oświadczenie o wyrażeniu zgody na otrzymywanie biuletynu. Rejestr w tym przypadku zawiera dane osobowe podane przy rejestracji:

– imię i nazwisko,

– adres,

– numer telefonu,

– adres poczty elektronicznej e-mail,

– w przypadku przedsiębiorcy – NIP.

– bez rejestracji – podając jedynie adres e-mail  można zamówić otrzymywanie newslettera.  W tym przypadku w rejestrze jest zapisywany tylko adres e-mail.

 

  1. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Zbiór danych jest prowadzony w systemie rozproszonym  – z użyciem systemu komputerowego. Poziom zabezpieczeń – wg klasyfikacji w rozporządzeniu: „wysoki”.

Środki ochrony fizycznej danych:

  1. Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami normalnymi, w oknach nie ma krat.
  2. Pomieszczenia są zabezpieczone systemem alarmowym, podpisana jest umowa z firma ochroniarską – ochrona przez cała dobę.
  3. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej

drewnianej szafie.

  1. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej drewnianej szafie.
  2. Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą wolno stojącej gaśnicy.
  3. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.

 

Środki ochrony w ramach narzędzi programowych i baz danych:

  1. Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem

identyfikatora użytkownika oraz hasła.

  1. Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.
  2. Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
  3. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
  4. Zainstalowano oprogramowanie antywirusowe.
  5. Uruchomione są zabezpieczenia systemowe „firewall”.
  6. Komputery są zabezpieczone przed utrata danych w przypadku zaniku napięcia – poprzez zainstalowanie podtrzymywaczy napięcia.
  7. Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.
  8. Zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł.
  9. Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych.
  10. Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.
  11. Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej.
  12. Zastosowano protokół szyfrowania danych SSL przy przesyłaniu danych osobowych.

Środki organizacyjne:

  1. Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych.
  2. Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego.
  3. Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy.
  4. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
  5. Do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora Bezpieczeństwa Informacji – prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.
  6. Uprawnienia do pracy w systemie informatycznym odbierane są czasowo, poprzez zablokowanie konta w przypadku:

1) nieobecności pracownika w pracy trwającej dłużej niż 21 dni kalendarzowych,

2) zawieszenia w pełnieniu obowiązków służbowych.

  1. Uprawnienia do przetwarzania danych osobowych odbierane są trwale w przypadku ustania stosunku pracy. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia również w przypadku ustania stosunku pracy.

Informacja o udostępnianiu danych osobowych.

  1. Dane osobowe są przekazywane do firm: Poczta Polska oraz firmy kurierskie celem zaadresowania i dostarczenia przesyłki z zamówionym w sklepie internetowym towarem. W REGULAMINIE sklepu internetowego są odpowiednie zapisy z informacja dla klientów – klient przed dokonaniem zakupu jawnie akceptuje postanowienia REGULAMINU.
  2. Dane osobowe nie są przekazywane do Państw Trzecich (poza UE).

Załączniki do Polityki Bezpieczeństwa stanowią:

– instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,

– instrukcja Administrator Danych Osobowych (ADO) – ZADANIA,

– instrukcja oprogramowania (odpowiednio dla baz danych),

– zgłoszenia do GIODO,

– ewidencja osób zapoznanych z instrukcją,

– ewidencja osób upoważnionych do przetwarzania danych osobowych.

 

RODO

KLAUZULA INFORMACYJNA

25.05.2018 r. wchodzi w życie Rozporządzenie o Ochronie Danych Osobowych (RODO) mające na celu ujednolicenie zasad przetwarzania danych osobowych na terenie Unii Europejskiej. Jednocześnie informujemy, iż troszczymy się o to by Państwa dane były właściwie zabezpieczone a ich przetwarzanie było jasne, rzetelne i zgodne zobowiązującymi  przepisami w tej kwestii. W tym celu podejmujemy działania zmierzające do zachowania najwyższych standardów w zakresie bezpieczeństwa informacji.

Administratorem Państwa danych osobowych zgodnie z art. 13 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 (dalej: „Rozporządzenie”) jest:

CARBONHEAT SP Z O O (KRS: 0000546646, NIP: 5252611912, REGON: 360960907)

Słomińskiego 15/504, 00-195 Warszawa

 

Cel przetwarzania Państwa danych osobowych

Przy zawieraniu umowy możemy pozyskać Państwa  dane osobowe:

  • imiona i nazwisko
  • adres zamieszkania / korespondencji/ prowadzenia działalności
  • numer kontaktowy / adres e-mail
  • numer identyfikacyjny – zgodny z wymogami prawnymi.

Państwa  dane osobowe przetwarzane będą w celu:

  • zawarcia i wykonania umowy  (art. 6 ust. 1 lit. b Rozporządzenia);
  • realizacji obowiązków prawnych (art. 6 ust. 1 lit. c Rozporządzenia) (np. wystawiania i przechowywania faktur);
  • realizacji prawnie uzasadnionych interesów Administratora (art. 6 ust. 1 lit. c Rozporządzenia) (np. ustalenia, dochodzenia i egzekucji roszczeń).

Państwa dane mogą być również przetwarzane w innych celach, jeżeli udzielili Państwo zgody na takie przetwarzanie (art. 6 ust. 1 lit. a Rozporządzenia) – zgoda na działania marketingowe. Prowadzenia działań marketingowych dotyczy w szczególności przekazywania (w tym na adres e-mail) newsletterów, cenników i ofert promocyjnych, informacji handlowych, informacji o organizowanych wydarzeniach, zaproszeń.

Dostęp do Państwa danych

Państwa dane będą udostępnione;

  • podmiotom i organom, którym jesteśmy zobowiązani lub upoważnieni udostępnić dane osobowe na podstawie powszechnie obowiązujących przepisów prawa (np. Prokuraturze, Policji);
  • podmiotom uczestniczącym w procesach niezbędnych do wykonywania zawartych z osobą, której dane dotyczą umów.

 

III. Okres przechowywania Państwa danych osobowych

Państwa  dane osobowe będą przechowywane przez okres wymagany  przepisami prawa, w szczególności przez okres wskazany w przepisach podatkowych, rachunkowych, przepisach dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

 

Państwa prawa w związku z przetwarzaniem danych osobowych

Przysługuje Państwu:

  • prawo dostępu do swoich danych;
  • prawo do sprostowania danych osobowych;
  • prawo do usunięcia danych osobowych;
  • prawo do żądania ograniczenia przetwarzania danych osobowych;
  • prawo do przenoszenia danych;
  • prawo wniesienia sprzeciwu wobec przetwarzaniu danych;
  • prawo do cofnięcia zgody w przypadku, gdy Administrator będzie przetwarzał Państwa dane osobowe w oparciu o zgodę.

V Mogą Państwo dokonać zgłoszenia w celu realizacji swoich praw w następujący sposób:

a) pisemnie na adres:

Domy Biedrzycki – Przemysław Biedrzycki
Wilków nad Wisłą 27
05-155 Leoncin

b) drogą elektroniczną na adres: biuro@domybiedrzycki.pl

W przypadku, gdy przetwarzanie danych osobowych odbywa się na podstawie zgody, mają Państwo prawo do cofnięcia zgody na przetwarzanie danych osobowych w dowolnym momencie, co pozostaje bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

 

Zgodę na przetwarzanie danych osobowych można wycofać w następujący sposób:

a) pisemnie na adres:

CARBONHEAT SP Z O O (KRS: 0000546646, NIP: 5252611912, REGON: 360960907)
Słomińskiego 15/504, 00-195 Warszawa

b) drogą elektroniczną na adres: info@carbonheat.eu

 

VII. Możliwość wniesienia skargi na przetwarzanie danych osobowych

Mają Państwo prawo wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, gdy uznają Państwo, iż przetwarzanie danych osobowych Państwa dotyczących narusza przepisy Rozporządzenia

 

VIII Obowiązek podania danych osobowych

Podanie przez Państwa danych osobowych jest dobrowolne, jednakże w niektórych sytuacjach jest warunkiem zawarcia i realizacji umowy oraz ustawowo określonych uprawnień i obowiązków. W przypadku niepodania danych osobowych niektórych sytuacjach zmuszeni jesteśmy odmówić zawarcia umowy.

W zakresie, w jakim dane osobowe są zbierane na podstawie Państwa zgody, podanie danych osobowych jest dobrowolne.