REGULAMIN SKLEPU INTERNETOWEGO
§ 1. POSTANOWIENIA OGÓLNE I DEFINICJE
1. Niniejszy Regulamin Sklepu Internetowego dotyczy sklepu prowadzonego przez Fundację Mathesianum, zarejestrowaną w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy dla Wrocławia – Fabrycznej we Wrocławiu, VI Wydział Gospodarczy KRS, pod numerem 0000599987, posiadającą numer NIP: 8971821057, REGON: 363660761, adres siedziby i adres korespondencyjny: pl. Nankiera 17a, 50-140 Wrocław, adres poczty elektronicznej: sklep@2ryby.pl.
2. Jeżeli nic innego nie wynika wyraźnie z niniejszego Regulaminu, jest on skierowany zarówno do konsumentów, jak i przedsiębiorców.
3. Ilekroć w niniejszym Regulaminie użyte są poniższe sformułowania, należy je rozumieć następująco:
a) Klient:
1) osoba fizyczna posiadająca pełną zdolność do czynności prawnych,
2) osoba fizyczna posiadająca ograniczoną zdolność do czynności prawnych, która według odpowiednich przepisów prawa powszechnie obowiązującego może dokonać czynności prawnej bez udziału przedstawiciela ustawowego;
3) osoba prawna;
4) jednostka organizacyjna nieposiadająca osobowości prawnej, której ustawa przyznaje zdolność prawną
– która zawarła lub zamierza zawrzeć Umowę Sprzedaży ze Sprzedawcą.
b) Usługobiorca:
1) osoba fizyczna posiadająca pełną zdolność do czynności prawnych,
2) osoba fizyczna posiadająca ograniczoną zdolność do czynności prawnych, która według odpowiednich przepisów prawa powszechnie obowiązującego może dokonać czynności prawnej bez udziału przedstawiciela ustawowego;
3) osoba prawna;
4) jednostka organizacyjna nieposiadająca osobowości prawnej, której ustawa przyznaje zdolność prawną
– korzystająca lub zamierzająca skorzystać z Usługi Elektronicznej.
c) Towar: rzecz ruchoma lub produkt udostępniony przez Sprzedawcę w Sklepie Internetowym i mogąca być przedmiotem Umowy Sprzedaży między Klientem a Sprzedawcą.
d) Sprzedawca lub Usługodawca – Fundacja Mathesianum, zarejestrowana w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy dla Wrocławia – Fabrycznej we Wrocławiu, VI Wydział Gospodarczy KRS, pod numerem 0000599987, posiadająca numer NIP: 8971821057, REGON: 363660761, adres siedziby i adres korespondencyjny: pl. Nankiera 17a, 50-140 Wrocław, adres poczty elektronicznej: kontakt@mathesianum.org.
e) Regulamin – niniejszy regulamin Sklepu Internetowego.
f) Sklep Internetowy – sklep internetowy prowadzony przez Sprzedawcę i dostępny pod adresem internetowym: sklep.2ryby.pl
g) Umowa Sprzedaży – umowa sprzedaży Produktu, która może zostać zawarta między Klientem a Sprzedawcą za pośrednictwem Sklepu Internetowego.
§ 2. USŁUGI ELEKTRONICZNE I KORZYSTANIE Z USŁUG
Usługodawca udostępnia Usługobiorcom następujące usługi elektroniczne za pośrednictwem Sklepu Internetowego:
1. Konto – usługa polegająca na ustaleniu indywidualnego oznaczenia Usługobiorcy (login) i hasła oraz umożliwieniu Usługobiorcy dostępu i przekazania Usługodawcy dostępu do zbioru zasobów w systemie teleinformatycznym Usługodawcy, w którym następnie gromadzone są informacje podane przez Usługobiorcę oraz informacje o jego Zamówieniach w Sklepie Internetowym.
a) Rozpoczęcie świadczenia usługi Konto wymaga przeprowadzenia procedury rejestracji, na którą składają się:
– wypełnienie formularza,
– kliknięciu przycisku „zarejestruj się”,
lub
złożenie Zamówienia
W momencie kliknięcia przycisku „zarejestruj się”, zawierana jest umowa o świadczenie usługi Konto.
Wypełniając formularz Usługobiorca podaje swoje dane: imię i nazwisko, adres (ulica, numer domu/mieszkania, kod pocztowy, miasto, kraj), adres poczty elektronicznej, numer telefonu kontaktowego oraz indywidualne hasło. W wypadku Usługobiorców niebędących konsumentami niezbędne jest także podanie nazwy firmy oraz numeru NIP.
b) Konto jest usługą nieodpłatną i świadczoną przez czas nieokreślony. Usługobiorca ma możliwość, w każdej chwili i bez podania przyczyny żądania od Usługodawcy aby usługa przestała być świadczone, do czego wystarczy wysłanie żądania do Usługodawcy, w szczególności za pośrednictwem poczty elektronicznej na adres: sklep@2ryby.pl
2. Zamówienie – usługa dostępna we wszystkie dni robocze (tj. poza niedzielami i dniami wolnymi od pracy) , 24 godziny na dobę, umożliwiającą za pośrednictwem Konta lub bezpośrednio w Sklepie Internetowym, złożenie Usługodawcy zamówienia poprzez dodanie Produktów do elektronicznego koszyka zakupów oraz ustalenie warunków Umowy Sprzedaży, w tym sposobu dostawy i płatności.
a) Zamówienie składane jest za pośrednictwem interaktywnego formularza w Sklepie Internetowym. Usługobiorca rozpoczyna procedurę składania zamówienia poprzez dodanie pierwszego Produktu do elektronicznego koszyka w Sklepie Internetowym. Po skompletowaniu zamawianych Produktów, Usługobiorca poprzez kliknięcie w pole „Kupuję i płacę” jednocześnie kończy procedurę składania zamówienia i od tego momentu nie może już edytować swojego zamówienia.
b) Usługa Zamówienie wymaga podania danych: imię i nazwisko, adres (ulica, numer domu/mieszkania, kod pocztowy, miasto, kraj), adres poczty elektronicznej, numer telefonu kontaktowego oraz danych dotyczących Umowy Sprzedaży: Produkt/y, ilość Produktu/ów, miejsce i sposób dostawy Produktu/ów, sposób płatności. W wypadku Klientów niebędących konsumentami niezbędne jest także podanie nazwy firmy oraz numeru NIP.
c) Usługa Zamówienie świadczona jest nieodpłatnie oraz ma charakter jednorazowy i ulega zakończeniu z chwilą przesłania Zamówienia do Usługobiorcy.
3. Newsletter – usługa umożliwiająca automatyczne otrzymywanie od Usługodawcy wiadomości e-mail zawierających informacje o Produktach, nowościach i promocjach w Sklepie Internetowym.
a) Rozpoczęcie korzystania z usługi Newsletter wymaga podania adresu poczty elektronicznej, kliknięcia w pole „Zapisz się” oraz potwierdzenia rozpoczęcia świadczenia usługi poprzez kliknięcie w link potwierdzający przesłany automatycznie na podany adres poczty elektronicznej.
b) Usługa Newsletter jest usługą nieodpłatną i świadczoną przez czas nieokreślony. Usługobiorca ma możliwość, w każdej chwili i bez podania przyczyny żądania od Usługodawcy aby usługa przestała być świadczone, do czego wystarczy wysłanie żądania do Usługodawcy, w szczególności za pośrednictwem poczty elektronicznej na adres: sklep@2ryby.pl
4. Usługodawca wskazuje następujące wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się Usługodawca:
a) urządzenie z dostępem do sieci Internet (np. laptop, komputer);
b) dostęp do poczty elektronicznej i posiadanie aktywnego konta poczty elektronicznej;
c) dostęp do przeglądarki internetowej: Mozilla Firefox w wersji 17.0 i wyższej lub Internet Explorer w wersji 10.0 i wyższej, Opera w wersji 12.0 i wyższej, Google Chrome w wersji 23.0. i wyższej, Safari w wersji 5.0 i wyższej z obsługą zapisu plików Cookies oraz Javascript.
5. Każdy Usługobiorca obowiązany jest do korzystania ze Sklepu Internetowego w sposób zgodny z prawem i dobrymi obyczajami mając na uwadze poszanowanie dóbr osobistych oraz praw autorskich i własności intelektualnej Usługodawcy oraz osób trzecich. Usługobiorca obowiązany jest do wprowadzania danych zgodnych ze stanem faktycznym. Usługobiorcę obowiązuje zakaz dostarczania treści o charakterze bezprawnym, korzystania ze Sklepu Internetowego w sposób niezgodny z prawem, dobrymi obyczajami lub naruszający dobra osobiste osób trzecich.
6. W związku ze świadczeniem usług opisanych powyżej oraz działaniem Sklepu Internetowego (co nie dotyczy reklamacji kupowanych Produktów) możliwe jest zgłaszanie reklamacji w następujący, przykładowy sposób:
a) pisemnie na adres: Fundacja Mathesianum, Pl. Bp. Nankiera 17A, 50-140 Wrocław – sklep.2ryby.pl;
b) drogą mailową: sklep@2ryby.pl
c) aby ułatwić rozpoznanie reklamacji prosimy o wskazanie informacji o przedmiocie reklamacji, daty wystąpienia problemu, czego żąda Usługobiorca oraz w jaki sposób można się z Usługobiorcą skontaktować.
d) Ustosunkowanie się do reklamacji przez Usługodawcę następuje niezwłocznie, nie później niż w terminie 14 dni kalendarzowych od dnia jej złożenia.
7. Przed rozpoczęciem z korzystania z jakichkolwiek usług przez Usługobiorcę będzie on także poproszony o zaakceptowanie treści Regulaminu poprzez zaznaczenie odpowiedniego pola w formularzu.
§ 3. ZAWIERANIE UMÓW SPRZEDAŻY W SKLEPIE INTERNETOWYM
1. Zawarcie Umowy Sprzedaży pomiędzy Klientem a Sprzedawcą jest możliwe po uprzednim złożeniu zamówienia zgodnie z procedurą opisaną w § 2 ust. 2a. Złożenie zamówienia w tym trybie stanowi ofertę Klienta złożoną Sprzedawcy co do zawarcia Umowy Sprzedaży na warunkach zawartych w zamówieniu. Informacje zawarte w Sklepie Internetowym nie stanowią oferty w rozumieniu przepisów kodeksu cywilnego a jedynie zaproszenie do zawarcia Umowy Sprzedaży w trybie opisanym w Regulaminie.
2. Ceny Produktów w Sklepie Internetowym są podawane w złotych polskich i zawierają podatki (ceny brutto). Ceny te nie zawierają kosztów dostawy. Sumaryczna cena zakupu Produktu będącego przedmiotem Zamówienia wraz ze wszelkimi dodatkowymi kosztami (w tym koszt dostawy Produktu), jest podawana Klientowi w trakcie składania Zamówienia i przed jego potwierdzeniem (kliknięcie w pole „Zamawiam i płacę”) jest podawany łączny koszt, jaki będzie ponosił Klient w związku z zawieraniem Umowy Sprzedaży.
3. Po złożeniu Zamówienia Sprzedawca niezwłocznie potwierdza jego otrzymanie. Następnie Sprzedawca przesyła Klientowi oświadczenie o przyjęciu lub nieprzyjęciu Zamówienia do realizacji. Potwierdzenie otrzymania Zamówienia i jego przyjęcie lub nieprzyjęcie do realizacji następuje poprzez przesłanie przez Sprzedawcę Klientowi wiadomości e-mail na podany w trakcie składania Zamówienia adres poczty elektronicznej Klienta. Z chwilą otrzymania przez Klienta wiadomości e-mail o przyjęciu Zamówienia do realizacji zostaje zawarta Umowa Sprzedaży między Klientem a Sprzedawcą.
4. Treść Umowy Sprzedaży jest utrwalana i udostępniana poprzez umożliwienie dostępu do treści Regulaminu w Sklepie Internetowym, przesłanie wiadomości e-mail opisanej w ust. 3 powyżej oraz w systemie informatycznym Sklepu Internetowego Sprzedawcy.
§ 4. PŁATNOŚĆ
1. Sprzedawca udostępnia Klientowi następujące sposoby płatności z tytułu Umowy Sprzedaży:
a) płatność przelewem na rachunek bankowy Sprzedawcy
b) płatność elektroniczna
c) płatność kartą płatniczą,
d) płatność za pobraniem.
2. W przypadku wyboru przez Klienta płatności przelewem, płatności elektronicznych albo płatności kartą płatniczą, Klient obowiązany jest do dokonania płatności w terminie 7 dni od dnia zawarcia Umowy Sprzedaży.
3. Klient wyraża zgodę na wystawianie faktur bez jego podpisu i przesyłanie ich na wskazany adres e-mail.
§ 5. DOSTAWA
1. Dostawa Produktu do Klienta podlega obowiązkowi pokrycia jej kosztów przez Klienta. Koszty te są opisane w Sklepie Internetowym w zakładce „Koszty dostawy” a także każdorazowo podczas składania Zamówienia. Sumaryczny koszt dostawy i ceny Produktu jest podawany Klientowi przed wyrażeniem zawarcia Umowy Sprzedaży.
2. Sprzedawca udostępnia następujące sposoby dostawy Produktu:
a) przesyłka pocztowa (czas dostawy 2-10 dni roboczych),
b) przesyłka kurierska (czas dostawy 1-2 dni robocze),
c) odbiór osobisty.
3. Sprzedawca obowiązany jest dołożyć wszelkich starań, aby zamówienie zrealizować w ciągu 24h. Maksymalny czas realizacji wynosi 5 dni roboczych. Natomiast czas dostawy zależy od wybranego sposobu dostawy § 5.2.
4. Początek biegu terminu dostawy Produktu do Klienta liczy się od dnia uznania rachunku bankowego lub konta rozliczeniowego Sprzedawcy, zależnie od wybranego sposobu zapłaty.
§ 6. REKLAMACJE PRODUKTÓW
1. Sprzedawca obowiązany jest dostarczyć Klientowi Produkt bez wad. Odpowiedzialność Sprzedawcy wobec Klienta za wady Produktu wynika z przepisów prawa powszechnie obowiązującego, w tym kodeksu cywilnego.
2. Możliwe jest zgłaszanie reklamacji Produktów w następujący, przykładowy sposób:
a) pisemnie na adres: Fundacja Mathesianum, Pl. Bp. Nankiera 17A, 50-140 Wrocław
b) drogą mailową: sklep@2ryby.pl
c) aby ułatwić rozpoznanie reklamacji prosimy (ale nie wymagamy) o wskazanie informacji o przedmiocie reklamacji, opis wady (rodzaj i data wystąpienia), żądania sposobu doprowadzenia Produktu do zgodności z Umową Sprzedaży lub oświadczenia o obniżeniu ceny albo odstąpieniu od Umowy Sprzedaży oraz w jaki sposób można się z Klientem skontaktować.
d) Ustosunkowanie się do reklamacji przez Sprzedawcę następuje niezwłocznie, nie później niż w terminie 14 dni kalendarzowych od dnia jej złożenia. Brak ustosunkowania się Sprzedawcy w powyższym terminie oznacza, że Sprzedawca uznał reklamację za uzasadnioną.
3. Wykonywanie przez Klienta uprawnień z tytułu reklamacji lub rękojmi powodujących konieczność zbadania Produktu, Klient zostanie wezwany do przekazania Produktu na adres: Fundacja Mathesianum, Pl. Bp. Nankiera 17A, 50-140 Wrocław. Jeżeli jednak ze względu na rodzaj wady, rodzaj Produktu lub sposób jego zamontowania dostarczenie Produktu przez Klienta byłoby niemożliwe albo nadmiernie utrudnione, Klient poproszony zostanie o udostępnienie, po uprzednim uzgodnieniu terminu, Produktu Sprzedawcy w miejscu, w którym Produkt się znajduje. Powyższa procedura nie ma wpływu na bieg terminu do rozpatrzenia reklamacji Klienta i nie narusza uprawnień wskazanych w przepisach kodeksu cywilnego.
§ 7. POZASĄDOWE SPOSOBY ROZPATRYWANIA REKLAMACJI I DOCHODZENIA ROSZCZEŃ ORAZ ZASADY DOSTĘPU DO TYCH PROCEDUR
Szczegółowe informacje dotyczące możliwości skorzystania przez Klienta będącego konsumentem z pozasądowych sposobów rozpatrywania reklamacji i dochodzenia roszczeń oraz zasady dostępu do tych procedur dostępne są na przykład:
a) w siedzibach oraz na stronach internetowych odpowiednich organów administracji publicznej, np. powiatowych (miejskich) rzeczników konsumentów, Wojewódzkich Inspektoratów Inspekcji Handlowej, Urzędu Ochrony Konkurencji i Konsumentów,
b) w siedzibach oraz na stronach internetowych organizacji społecznych, do których zadań statutowych należy ochrona konsumentów,
c) w siedzibach oraz na stronach internetowych stałych polubownych sądów konsumenckich.
§ 8. ODSTĄPIENIE OD UMOWY SPRZEDAŻY
1. Klient będący konsumentem, który zawarł Umowę Sprzedaży na odległość, ma prawo w terminie 14 dni kalendarzowych odstąpić od niej bez podawania przyczyny i bez ponoszenia kosztów, z następującymi wyjątkami:
a) jeżeli konsument wybrał sposób dostawy Produktu inny niż najtańszy zwykły sposób dostawy dostępny w Sklepie Internetowym, Sprzedawca nie jest zobowiązany do zwrotu konsumentowi poniesionych przez niego dodatkowych kosztów,
b) bezpośrednie koszty zwrotu Produktu.
2. Odstąpienie wykonuje się przez wysłanie oświadczenia o odstąpieniu od umowy przed upływem terminu. Oświadczenie o odstąpieniu od umowy może zostać złożone na przykład:
a) pisemnie na adres: Fundacja Mathesianum, Pl. Bp. Nankiera 17A, 50-140 Wrocław
b) drogą mailową: sklep@2ryby.pl
3. Przykładowy wzór formularza odstąpienia od umowy zawarty jest w załączniku do niniejszego Regulaminu, ale skorzystanie z tego wzoru nie jest obowiązkowe.
4. Bieg terminu do odstąpienia od umowy rozpoczyna się:
a) dla umowy, w wykonaniu której Sprzedawca wydaje Produkt, będąc zobowiązany do przeniesienia jego własności (np. Umowa Sprzedaży) – od objęcia Produktu w posiadanie przez konsumenta lub wskazaną przez niego osobę trzecią inną niż przewoźnik, a w przypadku umowy, która: (1) obejmuje wiele Produktów, które są dostarczane osobno, partiami lub w częściach – od objęcia w posiadanie ostatniego Produktu, partii lub części albo (2) polega na regularnym dostarczaniu Produktów przez czas oznaczony – od objęcia w posiadanie pierwszego z Produktów;
b) dla pozostałych umów – od dnia zawarcia umowy.
5. W przypadku odstąpienia od umowy zawartej na odległość umowę uważa się za niezawartą.
6. Po dokonaniu odstąpienia od Umowy Sprzedaży, Sprzedawca ma obowiązek niezwłocznie, nie później niż w terminie 14 dni kalendarzowych od dnia otrzymania oświadczenia konsumenta o odstąpieniu od umowy, zwrócić konsumentowi wszystkie dokonane przez niego płatności, w tym koszty dostawy Produktu (z wyjątkiem dodatkowych kosztów wynikających z wybranego przez Klienta sposobu dostawy innego niż najtańszy zwykły sposób dostawy dostępny w Sklepie Internetowym). Sprzedawca dokonuje zwrotu płatności przy użyciu takiego samego sposobu płatności, jakiego użył konsument, chyba że konsument wyraźnie zgodził się na inny sposób zwrotu, który nie wiąże się dla niego z żadnymi kosztami. Jeżeli Sprzedawca nie zaproponował, że sam odbierze Produkt od konsumenta, może wstrzymać się ze zwrotem płatności otrzymanych od konsumenta do chwili otrzymania Produktu z powrotem lub dostarczenia przez konsumenta dowodu jego odesłania, w zależności od tego, które zdarzenie nastąpi wcześniej.
7. Konsument ma obowiązek niezwłocznie, nie później niż w terminie 14 dni kalendarzowych od dnia, w którym odstąpił od umowy, zwrócić Produkt Sprzedawcy lub przekazać go osobie upoważnionej przez Sprzedawcę do odbioru, chyba że Sprzedawca zaproponował, że sam odbierze Produkt. Do zachowania terminu wystarczy odesłanie Produktu przed jego upływem. Konsument może zwrócić Produkt na adres: Fundacja Mathesianum, Pl. Bp. Nankiera 17A, 50-140 Wrocław
8. Konsument ponosi odpowiedzialność za zmniejszenie wartości Produktu będące wynikiem korzystania z niego w sposób wykraczający poza konieczny do stwierdzenia charakteru, cech i funkcjonowania Produktu.
9. Prawo odstąpienia od umowy zawartej na odległość nie przysługuje konsumentowi w odniesieniu do umów:
a) o świadczenie usług, jeżeli Sprzedawca wykonał w pełni usługę za wyraźną zgodą konsumenta, który został poinformowany przed rozpoczęciem świadczenia, że po spełnieniu świadczenia przez Sprzedawcę utraci prawo odstąpienia od umowy;
b) w której cena lub wynagrodzenie zależy od wahań na rynku finansowym, nad którymi Sprzedawca nie sprawuje kontroli, i które mogą wystąpić przed upływem terminu do odstąpienia od umowy;
c) w której przedmiotem świadczenia jest Produkt nieprefabrykowany, wyprodukowany według specyfikacji konsumenta lub służący zaspokojeniu jego zindywidualizowanych potrzeb;
d) w której przedmiotem świadczenia jest Produkt ulegający szybkiemu zepsuciu lub mająca krótki termin przydatności do użycia;
e) w której przedmiotem świadczenia jest Produkt dostarczany w zapieczętowanym opakowaniu, którego po otwarciu opakowania nie można zwrócić ze względu na ochronę zdrowia lub ze względów higienicznych, jeżeli opakowanie zostało otwarte po dostarczeniu;
f) w której przedmiotem świadczenia są Produkty, które po dostarczeniu, ze względu na swój charakter, zostają nierozłącznie połączone z innymi rzeczami;
g) w której przedmiotem świadczenia są napoje alkoholowe, których cena została uzgodniona przy zawarciu Umowy Sprzedaży, a których dostarczenie może nastąpić dopiero po upływie 30 dni i których wartość zależy od wahań na rynku, nad którymi Sprzedawca nie ma kontroli;
h) w której konsument wyraźnie żądał, aby Sprzedawca do niego przyjechał w celu dokonania pilnej naprawy lub konserwacji; jeżeli Sprzedawca świadczy dodatkowo inne usługi niż te, których wykonania konsument żądał, lub dostarcza Produkty inne niż części zamienne niezbędne do wykonania naprawy lub konserwacji, prawo odstąpienia od umowy przysługuje konsumentowi w odniesieniu do dodatkowych usług lub Produktów;
i) w której przedmiotem świadczenia są nagrania dźwiękowe lub wizualne albo programy komputerowe dostarczane w zapieczętowanym opakowaniu, jeżeli opakowanie zostało otwarte po dostarczeniu;
j) o dostarczanie dzienników, periodyków lub czasopism, z wyjątkiem umowy o prenumeratę;
k) zawartej w drodze aukcji publicznej;
l) o świadczenie usług w zakresie zakwaterowania, innych niż do celów mieszkalnych, przewozu rzeczy, najmu samochodów, gastronomii, usług związanych z wypoczynkiem, wydarzeniami rozrywkowymi, sportowymi lub kulturalnymi, jeżeli w umowie oznaczono dzień lub okres świadczenia usługi;
m) o dostarczanie treści cyfrowych, które nie są zapisane na nośniku materialnym, jeżeli spełnianie świadczenia rozpoczęło się za wyraźną zgodą konsumenta przed upływem terminu do odstąpienia od umowy i po poinformowaniu go przez Sprzedawcę o utracie prawa odstąpienia od umowy.
§ 9. POSTANOWIENIA DOTYCZĄCE PRZEDSIĘBIORCÓW
1. Niniejszy punkt Regulaminu oraz postanowienia w nim zawarte dotyczą wyłącznie Klientów i Usługobiorców nie będących konsumentami (przedsiębiorców).
2. Z chwilą wydania przez Sprzedawcę Produktu przewoźnikowi przechodzą na Klienta nie będącego konsumentem korzyści i ciężary związane z Produktem oraz niebezpieczeństwo przypadkowej utraty lub uszkodzenia Produktu. Sprzedawca w takim wypadku nie ponosi odpowiedzialności za utratę, ubytek lub uszkodzenie Produktu powstałe od przyjęcia go do przewozu aż do wydania go Klientowi oraz za opóźnienie w przewozie przesyłki. W razie przesłania Produktu do Klienta za pośrednictwem przewoźnika Klient nie będący konsumentem obowiązany jest zbadać przesyłkę w czasie i w sposób przyjęty przy przesyłkach tego rodzaju. Jeżeli stwierdzi, że w czasie przewozu nastąpił ubytek lub uszkodzenie Produktu, obowiązany jest dokonać wszelkich czynności niezbędnych do ustalenia odpowiedzialności przewoźnika.
3. Odpowiedzialność Sprzedawcy z tytułu rękojmi za Produkt wobec Klienta nie będącego konsumentem zostaje wyłączona.
4. Spory sądowe pomiędzy Sprzedawcą a przedsiębiorcami zostają poddane sądowi właściwemu ze względu na siedzibę Sprzedawcy.
§ 10. POSTANOWIENIA KOŃCOWE
1. Niniejszy Regulamin może ulec zmianie, przy czym w sytuacji zmiany Regulaminu:
a) w zakresie usług o charakterze ciągłym (np. Konto) zmieniony regulamin wiąże Usługobiorcę, jeżeli Usługobiorca został prawidłowo powiadomiony o zmianach i nie wypowiedział umowy w terminie 14 dni kalendarzowych od dnia powiadomienia. W wypadku gdyby zmiana Regulaminu skutkowała wprowadzeniem jakichkolwiek nowych opłat lub podwyższeniem obecnych Usługobiorca będący konsumentem ma prawo odstąpienia od umowy;
b) w zakresie Umów Sprzedaży zmiany Regulaminu nie mogą naruszać umów zawartych przed dniem wejścia w życie zmian Regulaminu, w szczególności zmiany Regulaminu nie będą miały wpływu na już składane lub złożone Zamówienia oraz zawarte, realizowane lub wykonane Umowy Sprzedaży.
2. W sprawach nieuregulowanych w niniejszym Regulaminie mają zastosowanie powszechnie obowiązujące przepisy prawa polskiego.
Załącznik nr 1 do regulaminu – POUCZENIE O ODSTĄPIENIU OD UMOWY
POUCZENIE O ODSTĄPIENIU OD UMOWY
Prawo odstąpienia od umowy
Mają Państwo prawo odstąpić od niniejszej umowy w terminie 14 dni bez podania jakiejkolwiek przyczyny.
Termin do odstąpienia od umowy wygasa po upływie 14 dni od dnia w którym weszli Państwo w posiadanie rzeczy lub w którym osoba trzecia inna niż przewoźnik i wskazana przez Państwa weszła w posiadanie rzeczy.
Aby skorzystać z prawa odstąpienia od umowy, muszą Państwo poinformować nas tj. Fundację Mathesianum, zarejestrowaną w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy dla Wrocławia – Fabrycznej we Wrocławiu, VI Wydział Gospodarczy KRS, pod numerem 0000599987, posiadającą numer NIP: 8971821057, REGON: 363660761, adres siedziby i adres korespondencyjny: pl. Nankiera 17a, 50-140 Wrocław, adres poczty elektronicznej: skalep@2ryby.pl, o swojej decyzji o odstąpieniu od niniejszej umowy w drodze jednoznacznego oświadczenia (na przykład pismo wysłane pocztą, faksem lub pocztą elektroniczną).
Mogą Państwo skorzystać z wzoru formularza odstąpienia od umowy, jednak nie jest to obowiązkowe.
Aby zachować termin do odstąpienia od umowy, wystarczy, aby wysłali Państwo informację dotyczącą wykonania przysługującego Państwu prawa odstąpienia od umowy przed upływem terminu do odstąpienia od umowy.
Skutki odstąpienia od umowy
W przypadku odstąpienia od niniejszej umowy zwracamy Państwu wszystkie otrzymane od Państwa płatności, w tym koszty dostarczenia rzeczy (z wyjątkiem dodatkowych kosztów wynikających z wybranego przez Państwa sposobu dostarczenia innego niż najtańszy zwykły sposób dostarczenia oferowany przez nas), niezwłocznie, a w każdym przypadku nie później niż 14 dni od dnia, w którym zostaliśmy poinformowani o Państwa decyzji o wykonaniu prawa odstąpienia od niniejszej umowy. Zwrotu płatności dokonamy przy użyciu takich samych sposobów płatności, jakie zostały przez Państwa użyte w pierwotnej transakcji, chyba że wyraźnie zgodziliście się Państwo na inne rozwiązanie; w każdym przypadku nie poniosą Państwo żadnych opłat w związku z tym zwrotem. Możemy wstrzymać się ze zwrotem płatności do czasu otrzymania rzeczy lub do czasu dostarczenia nam dowodu jej odesłania, w zależności od tego, które zdarzenie nastąpi wcześniej.
Proszę odesłać lub przekazać nam rzecz niezwłocznie, a w każdym razie nie później niż 14 dni od dnia, w którym poinformowali nas Państwo o odstąpieniu od niniejszej umowy. Termin jest zachowany, jeżeli odeślą Państwo rzecz przed upływem terminu 14 dni. Adres do odesłania towaru: Fundacja Mathesianum, pl. Nankiera 17a, 50-140 Wrocław.
Będą Państwo musieli ponieść bezpośrednie koszty zwrotu rzeczy.
Załącznik nr 2 do regulaminu – WZÓR FORMULARZA ODSTĄPIENIA OD UMOWY
WZÓR FORMULARZA ODSTĄPIENIA OD UMOWY
(formularz ten należy wypełnić i odesłać tylko w przypadku chęci odstąpienia od umowy)
– Adresat: Fundacja Mathesianum, pl. Nankiera 17a, 50-140 Wrocław
– Ja/My(*) niniejszym informuję/informujemy(*) o moim/naszym odstąpieniu od umowy sprzedaży następujących rzeczy(*) umowy dostawy następujących rzeczy(*) umowy o dzieło polegającej na wykonaniu następujących rzeczy(*)/o świadczenie następującej usługi(*)
– Data zawarcia umowy(*)/odbioru(*)
– Imię i nazwisko konsumenta(-ów)
– Adres konsumenta(-ów)
– Podpis konsumenta(-ów) (tylko jeżeli formularz jest przesyłany w wersji papierowej)
– Data
Załącznik nr 3. Polityka ochrony danych osobowych w Fundacji Mathesianum
Polityka ochrony danych osobowych w Portalu i sklepie 2RYBY.pl Fundacji Mathesianum
§ 1
DEKLARACJA I ZASTOSOWANIE
1. Celem niniejszej Polityki Bezpieczeństwa jest wypełnienie założeń Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej też zwane RODO).
2. Stanowi ona zbiór wymogów, zasad i regulacji ochrony danych osobowych u Administratora danych osobowych, którym jest Fundacja Mathesianum, reprezentowana w sposób wskazany w statucie Fundacji tj. przez zarząd, w skład którego wchodzą Anna Lewandowska, Grzegorz Lewandowski, Kinga Gałek, działający jednoosobowo w przypadku zaciągania zobowiązań lub dokonywania wydatku w kwocie nieprzekraczającej jednorazowo 10.000,00 zł bez podatku VAT a w przypadku świadczeń ciągłych w przeliczeniu na okres roku; w przypadku zaciągania zobowiązań lub dokonywania wydatku w kwocie przekraczającej jednorazowo 10.000,00 zł bez podatku VAT ale nieprzekraczającej kwoty 50.000,00 zł bez podatku VAT a w przypadku świadczeń ciągłych w przeliczeniu na okres roku, oświadczenie woli składa łącznie dwóch członków Zarządu; w przypadku zaciągania zobowiązań lub dokonywania wydatku w kwocie przekraczającej jednorazowo 50.000,00 zł bez podatku VAT lub w przypadku świadczeń ciągłych w przeliczeniu na okres roku, oświadczenie woli składa łącznie dwóch członków Zarządu za zgodą jednego członka Rady Fundacji. W sprawach innych niż majątkowe Fundacja jest reprezentowana jednoosobowo przez jednego z członków zarządu, a sprawach dotyczących czynności prawnych pomiędzy Fundatorem a Fundacją- Przewodniczący Rady Fundacji, dalej ADO.
3. Zasady, działania, kompetencje i zakresy odpowiedzialności opisane w niniejszej Polityce Ochrony Danych Osobowych (PODO lub Polityka), obowiązują wszystkich pracowników i współpracowników ADO.
4. Procedury i dokumenty związane z Polityką będą weryfikowane i dostosowywane w celu zapewnienia odpowiedniego poziomu bezpieczeństwa. Przeglądy dokumentacji odbywają się nie rzadziej niż raz w roku.
5. Polityka określa środki techniczne i organizacyjne zastosowane przez ADO dla zapewnienia ochrony danych oraz tryb postępowania w przypadku stwierdzenia naruszenia zabezpieczenia danych w systemie informatycznym lub w kartotekach papierowych, albo w sytuacji podejrzenia o takim naruszeniu.
6. Polityka została opracowana z uwzględnieniem metod i środków ochrony danych, których skuteczność w czasie ich zastosowania jest powszechnie uznawana. Za priorytet uznano zagwarantowanie zgromadzonym danym osobowym, przez cały okres ich przetwarzania właściwej ochrony wraz z zachowaniem ich integralności i rozliczalności, ze szczególnym uwzględnieniem obowiązujących przepisów prawa dotyczących ochrony danych osobowych.
7. Zakres obowiązywania dokumentu.
1) Niniejsza Polityka obowiązuje wszystkich pracowników, współpracowników, a także kontrahentów ADO.
2) Każdy z pracowników i współpracowników ma obowiązek zapoznania się z treścią niniejszej Polityki.
3) Polityka dotyczy wyposażenia, systemów, urządzeń przetwarzających informacje w formie elektronicznej, papierowej lub jakiejkolwiek innej.
4) Nieprzestrzeganie postanowień zawartych w Polityce może skutkować sankcjami w pełnym zakresie dopuszczonym przez stosunek pracy oraz obowiązujące przepisy prawa.
§ 2
DEFINICJE
Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
bezpieczeństwo informacji – zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność;
dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
dane szczególne oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej;
dane dotyczące zdrowia – oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
eksport danych oznacza przekazanie danych do państwa trzeciego lub organizacji międzynarodowej;
hasło – rozumie się przez to ciąg znaków alfanumerycznych, znany jedynie użytkownikowi;
identyfikator – rozumie się przez to, ciąg znaków literowych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
incydent ochrony danych osobowych – zdarzenie albo seria niepożądanych lub niespodziewanych zdarzeń ochrony danych osobowych stwarzających znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrożenia ochrony danych osobowych;
naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
obszar przetwarzania danych – rozumie się przez to budynki i pomieszczenia określone przez administratora danych, tworzące obszar, w którym przetwarzane są dane osobowe i inne informacje prawem chronione;
odbiorca danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
osoba, podmiot danych – oznacza osobę, której dane dotyczą;
podmiot przetwarzający – oznacza organizację lub osobę, której ADO powierzył przetwarzanie danych osobowych (np. usługodawca IT, dostawca ESOK czy innego systemu informatycznego);
polityka oznacza niniejszą politykę bezpieczeństwa ochrony danych osobowych;
poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
RCPDO lub rejestr oznacza rejestr czynności przetwarzania danych osobowych;
RODO oznacza rozporządzenie parlamentu europejskiego i rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych) (dz.urz. UE l 119, s. 1).
ryzyko – niepewność osiągnięcia zamierzonych celów;
system informatyczny administratora danych – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych;
szacowanie ryzyka – proces identyfikowania, analizowania i oceniania ryzyka;
Teczka ODO – zbiór dokumentów, instrukcji, regulaminów, załączników opisujących sposób przetwarzania i ochrony danych, składający się na politykę bezpieczeństwa ochrony danych osobowych, gromadzonych i nadzorowanych przez ADO.
teletransmisja – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;
uwierzytelnienie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
użytkownik – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;
zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
§ 3
ZASADY OCHRONY DANYCH
System zarządzania ochroną danych osobowych zgodny z wymaganiami niniejszej Polityki działa z poszanowaniem następujących zasad:
1) w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
2) rzetelnie i uczciwie (rzetelność);
3) w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
4) w konkretnych celach i nie „na zapas” (minimalizacja);
5) nie więcej niż potrzeba (adekwatność);
6) z dbałością o prawidłowość danych (prawidłowość);
7) nie dłużej niż potrzeba (czasowość);
8) zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
§ 4
1. W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych. Jest ona realizowana poprzez: zabezpieczenia fizyczne, zabezpieczenia logiczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.
2. Zastosowane zabezpieczenia mają służyć osiągnięciu poniższych celów i zapewnić:
1) rozliczalność – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
2) integralność – rozumie się przez to właściwość zapewniającą, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
3) poufność – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
4) integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej jak i przypadkowej.
5) dostępność – gwarantuje, że osoby, które są upoważnione i którym informacje są potrzebne, mają do nich dostęp w odpowiednim miejscu i czasie.
6) uwierzytelnienie – uwiarygodnienie swojej tożsamości względem systemu teleinformatycznego;
7) autentyczność – właściwość zapewniająca, że tożsamość podmiotu lub procesu jest taka, jak deklarowana;
3. Cele i strategie bezpieczeństwa:
1) zgodność z prawem,
2) ochrona zasobów informacyjnych i innych aktywów,
3) uzyskanie i utrzymanie odpowiednio wysokiego poziomu bezpieczeństwa zasobów, rozumiane jako zapewnienie poufności, integralności i dostępności zasobów oraz zapewnienie rozliczalności podejmowanych działań,
4) zapewnienie ciągłości działania procesów i właściwej reakcji na incydenty,
5) zapewnienie odpowiedniego poziomu wiedzy dotyczącej ochrony danych osobowych wśród pracowników i współpracowników poprzez zapewnienie odpowiednich szkoleń.
§ 5
ODPOWIEDZIALNOŚĆ ZA BEZPIECZEŃSTWO DANYCH OSOBOWYCH
1. ADO zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez.
2. Za bezpieczeństwo danych osobowych u ADO odpowiedzialni są wszyscy pracownicy.
W szczególności odpowiadają oni za przestrzeganie zasad bezpieczeństwa wynikających
z niniejszej Polityki oraz zgłaszanie incydentów i naruszeń, a także wykonywanie zaleceń ADO.
3. We wszystkich umowach, które mogą dotyczyć przetwarzania danych u ADO, należy uwzględnić zapisy zobowiązujące drugą stronę do przestrzegania art. 28 RODO oraz obowiązujących przepisów krajowych.
4. ADO prowadzi rejestr podmiotów zewnętrznych, z którymi realizacja umów/porozumień/zamówień lub aneksów do nich zobowiązuje lub umożliwia zleceniobiorcy/wykonawcy dostęp do informacji zawierających dane osobowe.
5. Za przestrzeganie zasad ochrony danych osobowych i za codzienną ochronę danych odpowiedzialni są upoważnieni użytkownicy.
§ 6
Realizację zamierzeń określonych w § 3 powinny zagwarantować następujące założenia:
1) Wdrożenie procedur określających postępowanie osób dopuszczonych do przetwarzania informacji oraz ich odpowiedzialność za ochronę danych.
2) Przeszkolenie użytkowników w zakresie ochrony danych osobowych.
3) Przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory).
4) Podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń.
5) Okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych.
6) Opracowanie procedur odtwarzania systemu w przypadku wystąpienia awarii.
7) Okresowe aktualizowanie Polityki.
8) Identyfikacja zagrożeń i analiza ryzyka.
II. OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH
§ 7
Podział zagrożeń:
1) zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu), ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych.
2) zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania), może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych.
3) zagrożenia zamierzone, świadome i celowe – najpoważniejsze zagrożenia, naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej
i zakłócenie ciągłości pracy), zagrożenia te możemy podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu.
§ 8
Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są informacje to głównie:
1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np.: wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp.,
2) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy,
3) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie
w kierunku naruszenia ochrony danych lub wręcz sabotaż, a także niewłaściwe działanie serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru,
4) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu,
5) jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie,
6) nastąpiło naruszenie lub próba naruszenia integralności systemu lub bazy danych,
7) stwierdzono próbę lub modyfikację danych lub zmianę w strukturze danych bez odpowiedniego upoważnienia (autoryzacji),
8) nastąpiła niedopuszczalna manipulacja danymi osobowymi w systemie,
9) ujawniono osobom nieupoważnionym dane osobowe lub objęte tajemnicą procedury ochrony przetwarzania albo inne strzeżone elementy systemu zabezpieczeń,
10) praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony informacji – np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp.,
11) ujawniono istnienie nieautoryzowanych kont dostępu do danych lub tzw. „bocznej furtki”, itp.,
12) podmieniono lub zniszczono nośniki z danymi bez odpowiedniego upoważnienia lub w sposób niedozwolony skasowano lub skopiowano dane,
13) rażąco naruszono dyscyplinę pracy w zakresie przestrzegania procedur ochrony danych osobowych (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na informacjach służbowych w celach prywatnych, itp.).
§ 9
Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania informacji (otwarte szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych tj. na papierze (wydrukach), kliszy, folii, zdjęciach, płytach CD w formie niezabezpieczonej itp.
III. PRZEDSIĘWZIĘCIA ZABEZPIECZAJĄCE PRZED NARUSZENIEM OCHRONY DANYCH
§ 10
1. Każdy użytkownik – przed dopuszczeniem do przetwarzania danych osobowych podlega przeszkoleniu z przepisów w tym zakresie oraz wynikających z nich zadań i obowiązków.
2. Wszyscy użytkownicy podlegają okresowym szkoleniom.
3. Za organizację szkoleń odpowiedzialny jest ADO.
§ 11
1. Dla zapewnienia bezpieczeństwa danych zastosowano następujące środki organizacyjne:
1) Dostęp do danych osobowych mogą mieć tylko i wyłącznie użytkownicy posiadający pisemne, imienne upoważnienia nadane przez Administratora Danych.
2) Każdy z pracowników powinien zachować szczególną ostrożność przy przenoszeniu wszelkich nośników z danymi.
3) Należy chronić dane przed wszelkim dostępem do nich osób nieuprawnionych.
4) Pomieszczenia w których są przetwarzane dane osobowe muszą być zamykane na klucz.
5) Dostęp do kluczy posiadają tylko upoważnieni pracownicy.
6) Dostęp do pomieszczeń możliwy jest tylko i wyłącznie w godzinach pracy. W wypadku gdy jest wymagany poza godzinami pracy – możliwy jest tylko na podstawie zezwolenia Administratora Danych lub ADO.
7) Dostęp do pomieszczeń w których są przetwarzane dane osobowe mogą mieć tylko upoważnieni pracownicy.
8) W przypadku pomieszczeń do których dostęp mają również osoby nieupoważnione, mogą przebywać w tych pomieszczeniach tylko w obecności osób upoważnionych i tylko w czasie wymaganym na wykonanie niezbędnych czynności.
9) Szafy w których przechowywane są dane powinny być zamykane na klucz.
10) Klucze do tych szaf posiadają tylko upoważnieni pracownicy.
11) Szafy z danymi powinny być otwarte tylko na czas potrzebny na dostęp do danych
a następnie powinny być zamykane.
12) Dane w formie papierowej mogą znajdować się na biurkach tylko na czas niezbędny na dokonanie czynności służbowych a następnie muszą być chowane do szaf.
2. Dla zapewnienia bezpieczeństwa danych i informacji zastosowano następujące środki techniczne:
1) Dostęp do komputerów na których są przetwarzane dane mają tylko upoważnieni pracownicy.
2) Monitory komputerów na których przetwarzane są dane są tak ustawione aby osoby nieupoważnione nie miały wglądu w dane.
3) Po zakończeniu pracy komputery przenośne (np. typu notebook) zawierające dane osobowe powinny być zabezpieczone w zamykanych na klucz szafach.
4) W wypadku potrzeby wyniesienia komputera przenośnego (np. typu notebook) zawierającego dane osobowe, lub inne informacje chronione, komputer taki musi być odpowiednio dodatkowo zabezpieczony, a dane zaszyfrowane.
5) Nie należy udostępniać osobom nieupoważnionym tych komputerów.
6) W przypadku potrzeby przeniesienia danych osobowych pomiędzy komputerami należy dokonać tego z zachowaniem szczególnej ostrożności.
7) Nośniki użyte do tego należy wyczyścić (skasować nieodwracalnie) aby nie zostały na nich dane osobowe.
8) W wypadku niemożliwości skasowania danych z nośnika (płyta CD-ROM) należy taką płytę zniszczyć fizycznie.
9) W przypadku wykorzystania do przenoszenia dysków, dane należy kasować z tych dysków.
10) Niezabezpieczonych danych osobowych nie należy przesyłać drogą elektroniczną.
11) Sieć komputerowa powinna być zabezpieczona przed wszelkim dostępem z zewnątrz.
12) Błędne lub nieaktualne wydruki i wersje papierowe zawierające dane osobowe lub inne informacje chronione niszczone są za pomocą niszczarki lub w inny mechaniczny sposób uniemożliwiający powtórne ich odtworzenie.
IV. POSTĘPOWANIE W PRZYPADKU NARUSZENIA OCHRONY DANYCH
§ 12
DZIAŁANIA KORYGUJĄCE I ZAPOBIEGAWCZE
Działania korygujące podejmowane są w przypadku wykrycia niezgodności w działalności, bądź nieprawidłowego działania procesu.
Przesłanką do podjęcia działań korygujących mogą być wyniki kontroli, audytów, zgłoszenia niezgodności, zdarzenia i incydenty związane z ochroną danych osobowych, zapisy, wyniki badania zadowolenia klientów, analiza reklamacji klientów.
Działania zapobiegawcze mają na celu zapobiec wystąpieniu potencjalnych niezgodności.
§ 13
ZGŁASZANIE NARUSZEŃ
ADO stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia Instrukcja postępowania w przypadku naruszenia ochrony danych – załącznik nr 5.
V. DOSTĘP DO DANYCH OSOBOWYCH
§ 14
1. Przetwarzanie, w tym udostępnianie danych osobowych jest prawnie dopuszczalne, jeżeli jest niezbędne dla zrealizowania obowiązku wynikającego z przepisu prawa.
2. W przypadku udostępnienia danych osobowych w celach innych niż włączenie do rejestru, administrator danych udostępnia posiadane informacje osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
3. Dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
4. Podmiot występujący o udostępnienie informacji powinien wskazać podstawę prawną upoważniającą go do otrzymania tych danych albo uzasadnioną potrzebę żądania ich udostępnienia. Tylko w takiej sytuacji można dokonać oceny, czy w określonym przypadku udostępnienie danych jest prawnie dopuszczalne i czy nie będzie ono stanowić naruszenia zasad ochrony informacji.
5. Przetwarzanie, w tym udostępnianie danych osobowych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje w celu badań naukowych, dydaktycznych, historycznych oraz statystycznych.
6. Udostępnienie danych może nastąpić jedynie za zgodą Administratora danych i powinno być odpowiednio udokumentowane.
VI. PRAWA I ŻĄDANIA PODMIOTÓW DANYCH
§ 15
Każdej osobie, której dane osobowe są przetwarzane przysługuje prawo do kontroli przetwarzania jej danych osobowych, a w szczególności prawo do:
1) uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby Administratora Danych;
2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych osobowych;
3) uzyskania informacji, od kiedy są przetwarzane jej dane osobowe, oraz podania w powszechnie zrozumiałej formie treści tych danych;
4) uzyskania informacji o źródle, z którego pochodzą dane osobowe jej dotyczące;
5) uzyskania informacji o sposobie udostępniania danych osobowych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane;
6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem przepisów prawa albo są już zbędne do realizacji celu, dla którego zostały zebrane.
POROZUMIENIA I KONTAKTY ZE STRONAMI ZEWNĘTRZNYMI.
§ 16
1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie
z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
2. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, wiążąc podmiot przetwarzający i administratora, określając przedmiot
i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
3. W przypadku zawierania umów z firmami zewnętrznymi mającymi wpływ na funkcjonowanie kluczowych elementów systemu zarządzania bezpieczeństwem informacji zalecane jest zawarcie umowy powierzenia.
VII. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
§ 17
1. Rejestr czynności przetwarzania danych osobowych (RCPDO) stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych
i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
2. W Rejestrze, dla każdej czynności przetwarzania danych, którą ADO uznał za odrębną odnotowuje co najmniej: (1) nazwę czynności, (2) cel przetwarzania, (3) opis kategorii osób
i opis kategorii danych, (5) podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu ADO, jeśli podstawą jest uzasadniony interes, (6) Ź, (7) opis kategorii odbiorców danych (w tym przetwarzających), (8) informację o przekazaniu poza EU/EOG; (9) ogólny opis technicznych i organizacyjnych środków ochrony danych.
VIII. BEZPIECZEŃSTWO OSOBOWE
§ 18
ETAP NABORU PRACOWNIKA I WSPÓŁPRACOWNIKA
1. Do przetwarzania danych osobowych i do dostępu do innych informacji chronionych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Administrator danych może wydać pełnomocnictwo do nadawania upoważnień.
2. Zakres upoważnienia może również być określony w umowie o pracę lub współpracę.
4. Osoba upoważniona zobowiązana jest podpisać oświadczenie lub umowę, która określa odpowiedzialność w zakresie ochrony danych osobowych.
EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH
1. Prowadzenie Ewidencji osób upoważnionych do przetwarzania danych osobowych nadzoruje ADO.
2. Ewidencja zawiera:
1) imię i nazwisko użytkownika,
2) datę nadania i ustania upoważnienia
3) zakres upoważnienia
4) identyfikator użytkownika
3. Ewidencja użytkowników może być prowadzona w systemie informatycznym.
4. Zmiany dotyczące użytkownika, takie jak:
1) zmiana imienia lub nazwiska,
2) zmiana zakresu upoważnienia,
podlegają niezwłocznemu odnotowaniu w ewidencji.
5. Zmiany dotyczące użytkownika, takie jak:
1) rozwiązanie umowy,
2) utrata upoważnienia do przetwarzania danych osobowych
3) zmiana zakresu obowiązków służbowych skutkująca ustaniem upoważnienia,
powodują wyrejestrowanie użytkownika przez Administratora Aplikacji w trybie natychmiastowym z ewidencji, zablokowanie identyfikatora oraz unieważnienie hasła tego użytkownika.
6. Osoba odpowiedzialna za sprawy kadrowe, bezpośredni przełożony Użytkownika, odpowiadają za natychmiastowe zgłoszenie do ADO użytkowników, którzy utracili uprawnienia do dostępu do danych osobowych, celem zablokowania im dostępu do systemu informatycznego poprzez zablokowanie identyfikatora i wyrejestrowanie z ewidencji osób upoważnionych.
7. Identyfikator, który utracił ważność nie może być ponownie przydzielony innemu użytkownikowi.
§ 19
ZATRUDNIENIE / WSPÓŁPRACA
1. Pracownicy, współpracownicy, wykonawcy i podwykonawcy powinni być świadomi swoich obowiązków i odpowiedzialności prawnej oraz zagrożeń związanych z bezpieczeństwem informacji. W tym celu należy zapewnić wszystkim zatrudnionym właściwy poziom świadomości poprzez kształcenie i szkolenie z zakresu ochrony danych osobowych, ze szczególnym uwzględnieniem procedur bezpieczeństwa. Dokumentują to:
– lista obecności ze szkoleń,
– oświadczenia pracowników,
– umowy o poufności
– posiadane zaświadczenia, dyplomy lub certyfikaty.
2. W przypadku naruszenia zasad ochrony danych osobowych jest uruchomiana odpowiednia procedura postępowania dyscyplinarnego, która powinna być poprzedzona potwierdzeniem naruszenia zasad ochrony danych osobowych i zgromadzeniem materiału dowodowego.
3. Postępowanie dyscyplinarne powinno uwzględniać: rodzaj i wagę naruszenia zasad ochrony danych osobowych, wpływ na procesy biznesowe, przypadek incydentalny czy jest to kolejne naruszenie oraz jakość odbytego przeszkolenia.
4. W przypadku pracy mobilnej i na odległość z wykorzystaniem urządzeń przenośnych zastosowano odpowiednie, dodatkowe środki bezpieczeństwa.
5. Przekazywanie sprzętu i urządzeń służących do przetwarzania danych odbywa się na podstawie protokołów przekazania sprzętu.
§ 20
ZAKOŃCZENIE ZATRUDNIENIA / WSPÓŁPRACY
1. Zakończenie zatrudnienia lub zmiana stanowiska pracy wewnątrz organizacji powinny odbywać się w sposób zorganizowany.
2. Odchodzenie z organizacji lub zmiana stanowiska pracy wiąże się ze zwrotem posiadanego przez pracownika sprzętu i odebraniem lub zmianą praw dostępu.
3. Odebranie lub ograniczenie praw dostępu jest poprzedzone analizą ryzyka uwzględniającą następujące uwarunkowania:
1) ustalenie inicjatora (pracownik, wykonawca czy kierownictwo ADO) i przyczyn zakończenia lub zmiany zatrudnienia;
2) aktualny zakres czynności pracownika, wykonawcy lub podwykonawcy;
3) wartość aktualnie dostępnych aktywów.
§ 21
ZASADY PRZYZNAWANIA DOSTĘPU
1. Przyznawanie zakresu uprawnień powinno być w ścisłym związku z zakresem obowiązków danego pracownika.
2. Zarządzanie dostępem na etapie nadawania, zmiany i cofania praw dostępu pracowników w obszarze przetwarzania danych oraz do systemów teleinformatycznych powinno się odbywać na wniosek bezpośredniego przełożonego Użytkownika.
3. W zarządzaniu dostępem obowiązuje zasada, że dostęp użytkownika powinien opierać się na spełnieniu zasady rozliczalności oraz zasady niezaprzeczalności. W przypadku systemów informatycznych obowiązują następujące wymagania:
1) wymóg jednoznacznej identyfikacji pracownika – tj. w systemach informatycznych każdy użytkownik pracuje wyłącznie na swoim indywidualnym koncie, nie są stosowane konta anonimowe lub współdzielone poza wyjątkami, gdzie z przyczyn technicznych nie ma innej możliwości,
2) wymóg uwierzytelnienia pracownika przy korzystaniu z systemu informatycznego,
3) autoryzacji przyznania praw dostępu do systemów informatycznych.
4) zasady przywilejów, wiedzy i usług koniecznych.
§ 22
ADO prowadzi Rejestr Naruszeń, Rejestr Czynności stanowiące odrębne dokumenty przechowywane razem z Polityką Ochrony Danych Osobowych w dokumentacji ADO.