Polityka bezpieczeństwa

POLITYKA BEZPIECZEŃSTWA

ZBIÓR DANYCH OSOBOWYCH P.N. :

Użytkownicy platformy handlowej omoto.pl

ADMINISTRATOR : DARPIT SP. Z O.O. z siedzibą w Rożnowie

 

Na podstawie zapisów ustawy o ochronie danych osobowych (tekst jednolity z dnia 17czerwca 2002 roku Dz. U. nr 101 poz. 926 ze zm.) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji i przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 roku (Dz. U. nr 100, poz. 1024) opracowuje się politykę bezpieczeństwa mającą zastosowanie przy przetwarzaniu danych osobowych ze zbioru danych osobowych pn. Użytkownicy platformy handlowej omoto.pl, którego administratorem jest spółka Darpit sp. z o.o. z siedzibą w Rożnowie.

CEL OPRACOWANIA DOKUMENTU

Polityka bezpieczeństwa opracowana została celem wdrożenia procedur gwarantujących ochronę danych osobowych przed ingerencją czynników zewnętrznych, a także w obrębie samej spółki. Dokument ten wskazuje sposoby zarządzania, ochrony i dystrybucji danych osobowych.

Zarząd spółki wskazuje, iż bezpieczeństwo jest warunkiem niezbędnym dla współużytkowania informacji. Wobec tego, wdrożenie zapisów polityki bezpieczeństwa stanowi priorytet w działalności spółki.

Zarząd spółki świadomy jest zagrożeń związanych z przetwarzaniem danych osobowych na dużą skalę – w tym, w szczególności, z zagrożeń wynikających z dynamicznego rozwoju metod i technik przetwarzania tych danych w systemach informatycznych oraz sieciach telekomunikacyjnych.

Jednocześnie zarząd spółki zamierza doskonalić i rozwijać nowoczesne metody przetwarzania danych.

Zarząd spółki deklaruje, że będzie stale doskonalił i rozwijał organizacyjne, techniczne oraz informatyczne środki ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi jak i elektronicznie tak, aby skutecznie zapobiegać zagrożeniom:

- związanym z infekcjami wirusów i koni trojańskich, które instalując się na komputerze mogą wykradać zasoby tego komputera,

- związanym ze spamem, posiadającym niekiedy programy pozwalające wykradać zasoby komputera,

- związanym z dostępem do stron internetowych, na części, których zainstalowane są skrypt pozwalające wykradać zasoby komputera,

- związanym z ogólnie dostępnymi komunikatorami internetowymi, w których występują luki, przez które można uzyskać dostęp do komputera,

- związanym z użytkowaniem oprogramowania do wymiany plików, mogącym służyć do łatwego skopiowania pliku,

- związanym z możliwością niekontrolowanego kopiowania danych na zewnętrzne, przenośne nośniki,

- związanym z możliwością podsłuchiwania sieci, dzięki któremu można zdobyć hasła i skopiować objęte ochrona dane,

- związanym z lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez ich zabezpieczenia ,

- związanym z brakiem świadomości niebezpieczeństwa dopuszczania osób postronnych do swojego stanowiska pracy,

- związanym z atakami z sieci uniemożliwiającymi przetwarzanie (ataki typu DoS na serwer/serwery),

- związanym z działaniami mającymi na celu zaburzenie integralności danych, w celu uniemożliwienia ich przetwarzania lub osiągnięcia korzyści,

- związanym z kradzieżą sprzętu lub nośników z danymi, które zazwyczaj są niezabezpieczone,

- związanym z przekazywaniem sprzętu z danymi do serwisu,

- związanym z kradzieżami tożsamości umożliwiającymi podszywanie się pod inna osobę,

- związanym z podszywaniem się przez osoby nieuprawnione pod witrynę internetowa, która zbiera dane,

- i innym zagrożeniom mogącym wystąpić w przyszłości w związku z rozwojem technik i metod przetwarzania danych.

Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dokłada się szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były:

1) przetwarzane zgodnie z prawem,

2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

4) przechowywane w postaci umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.


POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Administrator danych powierzył przetwarzanie danych osobowych spółce Sprint S.A. z siedzibą w oLSZTYNIE. Podmiot ten jest uznanym przedsiębiorcą świadczącym usługi hostingowe od 2003 roku, którego referencje nie budzą wątpliwości. U podstaw współpracy legła umowa pisemna o powierzenie przetwarzania danych osobowych.

Administrator danych wyznaczył administratora bezpieczeństwa informacji w osobie Piotra Curyłło – wiceprezesa zarządu spółki Darpit sp. z o.o. Administrator bezpieczeństwa informacji powołany został celem nadzorowania przestrzegania zasad ochrony przetwarzanych danych osobowych.

 

PODSTAWA PRAWNA OPRACOWANIA

Dokument opracowany został na podstawie zapisów ustawy o ochronie danych osobowych (tekst jednolity z dnia 17czerwca 2002 roku Dz. U. nr 101 poz. 926 ze zm.) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji i przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 roku (Dz. U. nr 100, poz. 1024).


OSOBY WYKONUJĄCE CZYNNOŚCI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH

Osoby zajmujące się przetwarzaniem danych osobowych zostały należycie przeszkolone w zakresie polityki bezpieczeństwa. W celu ochrony przed złośliwym oprogramowaniem stosuje się programy antywirusowe. Zastosowane są rozwiązania chroniące systemy informatyczne przed skutkami awarii zasilania elektrycznego. Poza odpowiedzialnością karną za naruszenie obowiązku zabezpieczenia danych przewidzianą w art. 52 ustawy o ochronie danych osobowych; przewiduje się odpowiedzialność odszkodowawczą oraz dyscyplinarną względem osoby odpowiedzialnej za naruszenie zapisów polityki bezpieczeństwa.

Osoba mająca dostęp do danych osobowych mająca pisemne, imienne upoważnienie (osoba upoważniona), zobowiązana jest do zachowania tajemnicy w zakresie danych osobowych, sposobu ich przetwarzania oraz zabezpieczenia. Każda osoba upoważniona została przeszkolona w zakresie ochrony danych osobowych.

SZCZEGÓŁOWY OPIS FUNKCJONOWANIA ZBIORU

  1. Dane osobowe przetwarzane są w obrębie biura administratora danych w siedzibie firmy w Rożnowie, a w zakresie zapisu danych na serwerach – w obrębie serwerowni zlokalizowanej pod adresem ul. Jagiellończyka 26 10-062 Olsztyn.

  2. Zbiór danych osobowych figuruje pod nazwą:

Użytkownicy platformy handlowej omoto.pl.

Dostęp do systemów teleinformatycznych posiadają tylko upoważnieni użytkownicy. Nadawanie uprawnień oraz uwierzytelnianie użytkowników jest zgodne z w/w rozporządzeniem. Stosowana jest ochron kryptograficzna danych przesyłanych drogą teleinformatyczną. Stosowane są zabezpieczenia związane z nagłą awarią zasilania elektrycznego. Stosuje się programy antywirusowe, chroniące przed złośliwym oprogramowaniem oraz system firewall. Wszystkie dane przetwarzane są w macierzach dyskowych RAID zabezpieczających przed skutkami awarii pamięci masowej. W przypadku awarii dysku zawierającego dane osobowe, dane są kasowane przy pomocy programów zamazujących dane, przed jego przekazaniem do naprawy. Jeżeli naprawa dysku jest niemożliwa, po logicznym usunięciu danych jest on fizycznie niszczony.

  1. Opis struktury zbioru danych osobowych wskazujący zwartość poszczególnych pól informacyjnych.

Zbiór składa się z następujących danych osobowych: imię i nazwisko; adres zamieszkania albo pobytu albo adres siedziby albo adres miejsca wykonywania działalności gospodarczej; Numer Identyfikacja Podatkowej; numer telefonu; adres email; adres IP; REGON; login allegro.pl; hasło allegro.pl.

Użytkownicy platformy handlowej omoto.pl oferują sprzedaż części do pojazdów mechanicznych za pośrednictwem platformy. Zainteresowany klient kojarzony jest z użytkownikiem platformy w razie zawarcia umowy sprzedaży. Dane użytkowników platformy przekazywane są klientowi, który może być przedsiębiorcą lub osobą fizyczną, a dane klienta - użytkownikowi platformy, który może być przedsiębiorcą lub osobą fizyczną. Istnieje możliwość skonfigurowania konta z kontem użytkownika allegro.pl. Użytkownik obowiązany jest wtedy podać login allegro.pl oraz hasło.

  1. Sposób przepływu danych między systemami:

Dane osobowe przetwarzane są na serwerach podmiotu z którym zawarto umowę powierzenia przetwarzania danych osobowych – Sprint S.A. z siedzibą w Olsztynie, która wdrożyła politykę ochrony bezpieczeństwa przetwarzania danych osobowych.

  1. Środki techniczne i organizacyjne niezbędne dla zachowania poufności, integralności i rozliczalności przy przetwarzaniu danych.

Środki organizacyjne :

- imienne upoważnienie dla pracownika;

- przeszkolenie pracownika z zakresu ochrony danych osobowych;

- tajemnica służbowa ciążąca na pracownikach w zakresie zbioru danych osobowych;

- przechowywanie nośników z danymi osobowymi w miejscu niedostępnym dla osób nieupoważnionych;

-przechowywanie kopii zapasowych w miejscu niedostępnym dla osób nieupoważnionych.

Środki techniczne:

- dostęp do danych zabezpieczony został identyfikatorem przyporządkowanym dla pracownika oraz hasłem do konta. Zastosowano technologię wymuszającą cykliczną zmianę haseł do identyfikatorów użytkowników;

- zastosowano rozwiązania chroniące systemy informatyczne przed skutkami awarii zasilania elektrycznego;

- zastosowano oprogramowanie antywirusowe;

- w celu ochrony przed dostępem nieupoważnionych osób do danych osobwych drogą teleinformatyczną zastosowano system firewall;

- dane przetwarzane są na macierzach dyskowych RAID, zabezpieczających przed skutkami awarii pamięci masowej;

- w przypadku awarii dane są kasowane przy pomocy programów zamazujących dane przed przekazaniem dysku do naprawy. Jeżeli dysk nie nadaje się do naprawy – dane zostają logicznie usunięte, a dysk fizycznie zniszczony.

Serwer dedykowany posiada system powiadomień audio - M.A.R.C.E.L. Powiadomienia przekazywane są we wszystkich data center OVH. Posiada także redundantne przyłącza energetyczne z dwóch różnych obwodów oraz agregaty prądotwórcze SDMO T2100. VMS umożliwia sprawdzanie awarii w serwerowniach w czasie rzeczywistym. System przeciwpożarowy zastosowany został we wszystkich pomieszczeniach sterowni.

OKRES PRZECHOWYWANIA DANYCH

Państwa dane bedą przechowywane przez okres zawartej z Omoto umowy o świadczenie usług oraz do 6 lat od rozwiązania wypowiedzenia tej umowy. Długi okres przechowywania danych dotyczy przede wszystkim obowiązków księgowych nałożonych przez przepisy powszechnie obowiązujące, które nakładają konieczność zabezpieczenia danych przez długi okres.

UPRAWNIENIA UŻYTKOWNIKÓW, KTÓRYCH DANE SĄ PRZETWARZANE


Każdej osobie fizycznej, której dane osobowe są przetwarzane przez Darpit sp. z o.o. w związku z realizacją oznaczonych celów, przysługuje prawo do uzyskania informacji o zakresie jej uprawnień związanych z ochroną danych osobowych, a także prawo do kontroli przetwarzania danych osobowych, które jej dotyczą, na zasadach określonych w art. 32 – 35 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Administrator danych umożliwia realizację uprawnień Użytkowników wynikających z ustawy o ochronie danych osobowych, w tym prawa dostępu do treści własnych danych osobowych i ich poprawiania oraz prawa do kontroli przetwarzania własnych danych osobowych na zasadach opisanych w przedmiotowej ustawie. W zakresie realizacji prawa do kontroli przetwarzania własnych danych osobowych, Użytkownicy mają między innymi prawo do wniesienia – w przypadkach określonych w ustawie o ochronie danych osobowych – pisemnego, umotywowanego żądania zaprzestania przetwarzania danych osobowych ze względu na swoją szczególną sytuację, a także wniesienia sprzeciwu wobec przetwarzania swoich danych.

Darpit sp. z o.o. zapewnia Użytkownikom możliwość przeglądania i modyfikacji danych osobowych.

Darpit sp. z o.o. stosuje pliki "cookies". Informacje zbierane przy pomocy "cookies" pozwalają dostosowywać usługi i treści do indywidualnych potrzeb i preferencji Użytkowników.

PRAWO DO ZGŁOSZENIA SKARGI DO ORGANU NADZORCZEGO

Posiadają Państwo prawo do złożenia skargi do organu nadzorczego w rozumieniu Rozporządzenia, jeżeli stwierdzicie Państwo, że dane przetwarzane są w sposób nieprawidłowy, naruszający Państwa prawa lub przepisy Rozporządzenia.