Wybierz kategorię

Kontakt

Olpol
Agnieszka Syc
Złoty Potok
ul. Witosa 1
42-253 Janów
tel: 692 499 360
E-mail: kontakt@akcesoria-biurowe.net

zobacz nasze aukcje na allegro

Regulamin

REGULAMIN SKLEPU INTERNETOWEGO „OLPOL”akcesoria-biurowe.net

Niniejszy Regulamin określa ogólne warunki oraz sposób sprzedaży prowadzonej Firma Handlowo-Usługowa „OLPOL” Agnieszka Syc za pośrednictwem sklepu internetowego działającego pod adresemc  zwanego dalej Sklepem Internetowym.


I. Postanowienia ogólne

1. Niniejszy Regulamin określa ogólne warunki i zasady korzystania ze Sklepu Internetowego oraz sposób świadczenia usług drogą elektroniczną i sprzedaży prowadzonej za pośrednictwem Sklepu Internetowego www.akcesoria-biurowe.net przez Firma Handlowo-Usługowa „OLPOL” Agnieszka Syc z z siedzibą  Złoty Potok, ul. Witosa 1,42-253 Janów.

 

2. Kontakt z Usługodawcą odbywa się poprzez:

a. adres poczty elektronicznej  kontakt@akcesoria-biurowe.net

b. telefonicznie pod numerem +48 692499360;

c. formularz zgłoszeniowy dostępny pod adresem http://akcesoria-biurowe.net/kontakt.html

3. Niniejszy Regulamin jest nieprzerwanie dostępny w witrynie internetowej http://akcesoria-biurowe.net/regulamin.html w sposób umożliwiający Użytkownikom jego pozyskanie, odtwarzanie i utrwalanie jego treści poprzez wydrukowanie lub zapisanie na nośniku w każdej chwili.

4. Wszelkie prawa do Sklepu Internetowego, w tym majątkowe prawa autorskie, prawa własności intelektualnej do jego nazwy, jego domeny internetowej, a także zdjęć i opisów zamieszczanych na stronie http://akcesoria-biurowe.net/regulamin.html należą do Sprzedawcy, a korzystanie z nich możliwe jest wyłącznie w sposób określony w Regulaminie oraz za pisemną zgodą Sprzedawcy.

5. Sprzedawca dokłada wszelkich starań aby kolory prezentowanych na zdjęciach towarów były jak najbardziej zgodne z rzeczywistością. Ewentualna różnica w nasyceniu lub odcieniu poszczególnych barw uzależniona jest od indywidualnych ustawień i rodzaju monitora. W niektórych przypadkach wynika ona również ze specyficznych warunków oświetleniowych panujących w czasie fotografowania.

6. Sprzedawca zastrzega sobie prawo do zmiany asortymentu towarów znajdujących się w ofercie, do zmiany ich cen, a także do przeprowadzania akcji promocyjnych i ich odwoływania oraz do wprowadzania w nich zmian. Na sprzedaż promocyjną przeznaczono ograniczoną liczbę towarów. Realizacja zamówień promocyjnych następuje według kolejności ich wpływania, aż do wyczerpania zapasów produktu objętego promocją.

II. Definicje

Użyte w Regulaminie pojęcia oznaczają:

1. Dni robocze – są to dni tygodnia liczone od poniedziałku do piątku z wyłączeniem dni ustawowo wolnych od pracy.

2. Dostawa - oznacza czynność polegającą na dostarczeniu Klientowi przez Sprzedawcę, za pośrednictwem Dostawcy, Towaru określonego w zamówieniu.

3. Dostawca - oznacza podmiot, z którym współpracuje Sprzedawca w zakresie dostarczenia Towarów do Klienta – w tym przypadku firmę kurierską DHL.

4. Klient – osoba fizyczna, która posiada pełną zdolność do czynności prawnych, osoba prawna lub jednostka organizacyjna nie będącą osobą prawną, której przepisy szczególne przyznają zdolność prawną, która dokonuje Zamówienia w ramach Sklepu.

5. Kodeks Cywilny – ustawa z dnia 23 kwietnia 1964 r. (Dz. U. Nr 16, poz. 93 ze zm.).

6. Konsument - oznacza osobę fizyczną dokonującą z przedsiębiorcą czynności prawnej niezwiązanej bezpośrednio z jej działalnością gospodarczą lub zawodową.

7. Przedsiębiorca - oznacza osobę fizyczną, osobę prawną lub jednostkę organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną, prowadzącą we własnym imieniu działalność gospodarczą lub zawodową i dokonującą czynności prawnej związanej bezpośrednio z jej działalnością gospodarczą lub zawodową.

8. Przedsiębiorca z uprawnieniami Konsumenta - oznacza osobę fizyczną zawierającą Umowę sprzedaży bezpośrednio związaną z jej działalnością gospodarczą, gdy z treści Umowy sprzedaży wynika, że nie posiada ona dla tego Przedsiębiorcy zawodowego charakteru, wynikającego w szczególności z przedmiotu wykonywanej przez niego działalności gospodarczej, udostępnionego na podstawie przepisów o Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

9. Regulamin – oznacza niniejszy dokument.

10. Sklep Internetowy (Sklep) – strona internetowa, za pośrednictwem której Klient może
w szczególności składać Zamówienia.

11. Sprzedawca - oznacza Firma Handlowo-Usługowa „OLPOL” Agnieszka Syc, wpisana do rejestru ewidencji działalności gospodarczej Urzędu Gminy Janów pod numerem 1103 NIP 949-188-89-90 REGON: 241529478, BDO: 000284442.

12. Towar – produkty prezentowane w Sklepie Internetowym, których opis jest dostępny przy każdym z prezentowanych produktów.

13. Umowa sprzedaży – umowa sprzedaży Towarów w rozumieniu Kodeksu Cywilnego, zawarta pomiędzy Sprzedawcą a Klientem.

14. Usługi – usługi świadczone przez Sprzedawcę na rzecz Klientów drogą elektroniczną w rozumieniu przepisów ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz.U. nr 144, poz. 1204 ze zm.).

15. Ustawa o prawach konsumenta – ustawa z dnia 30 maja 2014 r. o prawach konsumenta (Dz. U. 2014, Nr 827).

16. Ustawa o świadczeniu usług drogą elektroniczną – ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.).

17. Zamówienie – oświadczenie woli Klienta, zmierzające bezpośrednio do zawarcia Umowy sprzedaży, określające w szczególności rodzaj i liczbę Towaru.

III. Zasady korzystania ze Sklepu Internetowego

1. Korzystanie ze Sklepu internetowego jest możliwe pod warunkiem spełnienia przez system teleinformatyczny, z którego korzysta Klient następujących minimalnych wymagań technicznych:

a. komputer z dostępem do Internetu

b. dostęp do poczty elektronicznej

c. przeglądarka internetowa Internet Explorer w wersji 11 lub nowszej, Firefox w wersji 28.0 lub nowszej lub Chrome w wersji 32 lub nowszej

d. włączenie w przeglądarce internetowej Cookies oraz Javascript

2. Korzystanie ze Sklepu internetowego oznacza każdą czynność Klienta, która prowadzi do zapoznania się przez niego z treściami zawartymi w Sklepie.

3. Klient zobowiązany jest w szczególności do:

a. niedostarczania i nieprzekazywania treści zabronionych przez przepisy prawa, np. treści propagujących przemoc, zniesławiających lub naruszających dobra osobiste i inne prawa osób trzecich,

b. korzystania ze Sklepu Internetowego w sposób nie zakłócający jego funkcjonowania, w szczególności poprzez użycie określonego oprogramowania lub urządzeń,

c. niepodejmowania działań takich jak: rozsyłanie lub umieszczanie w ramach Sklepu Internetowego niezamówionej informacji handlowej (spam),

d. korzystania ze Sklepu Internetowego w sposób nieuciążliwy dla innych klientów oraz dla Sprzedawcy,

e. korzystania z wszelkich treści zamieszczonych w ramach Sklepu Internetowego jedynie w zakresie własnego użytku osobistego,

f. korzystania ze Sklepu Internetowego w sposób zgodny z przepisami obowiązującego na terytorium Rzeczypospolitej Polskiej prawa, postanowieniami Regulaminu, a także z ogólnymi zasadami korzystania z sieci Internet.

IV. Procedura zawarcia Umowy sprzedaży

1. Informacje o Towarach podane na stronach internetowych Sklepu, w szczególności ich opisy, parametry techniczne i użytkowe oraz ceny stanowią zaproszenie do zawarcia umowy w rozumieniu art. 71 Kodeksu Cywilnego.

2. Warunkiem złożenia Zamówienia jest posiadanie aktywnego konta poczty elektronicznej.

3. Warunkiem złożenia Zamówienia za pośrednictwem poczty elektronicznej jest posiadanie aktywnego konta poczty elektronicznej.

4. Zamówienia mogą być składane przez 24 godziny 7 dni w tygodniu.

5. Złożenie Zamówienia nie wymaga rejestracji konta Klienta na stronie i może nastąpić poprzez:

a. wypełnienie elektronicznego formularza Zamówienia obejmującego dane Klienta potrzebne do realizacji Zamówienia, a w szczególności: imię i nazwisko, miejsce zamieszkania oraz adres e-mail i numer telefonu.

b. złożenie Zamówienia poprzez przesłanie wiadomości elektronicznej na adres poczty elektronicznej podany przez Sprzedawcę na stronie internetowej Sklepu, obejmującej dane Klienta potrzebne do realizacji Zamówienia, a w szczególności: imię i nazwisko, miejsce zamieszkania oraz adres e-mail, numer telefonu, nazwę Towaru i jego ilość, formę dostawy i sposób płatności.

6. W celu zawarcia Umowy sprzedaży za pośrednictwem Sklepu Internetowego i udostępnionego w nim formularza Zamówienia należy dokonać wyboru towarów, podejmując kolejne czynności techniczne w oparciu o wyświetlane Klientowi komunikaty oraz informacje dostępne na stronie.

7. Wybór zamawianych Towarów przez Klienta jest dokonywany poprzez ich dodanie do koszyka.

8. Po podaniu przez Klienta korzystającego ze Sklepu Internetowego wszystkich niezbędnych danych wyświetlone zostanie w sposób jasny i widoczny podsumowanie złożonego Zamówienia. Podsumowanie złożonego Zamówienia będzie zawierać informacje dotyczące:

a. opisu przedmiotu Zamówienia,

b. jednostkowej oraz łącznej ceny zamawianych produktów lub usług wraz z podatkami, w tym kosztów dostawy oraz dodatkowych kosztów (jeśli występują),

c. sposobu kontaktu ze Sprzedawcą,

d. wybranej metody i terminu płatności,

e. wybranego sposobu dostawy,

f. danych kontaktowych Klienta

g. danych do faktury

9. W celu wysłania Zamówienia konieczne jest dokonanie akceptacji treści Regulaminu, oraz potwierdzenie zapoznania się z Zapisem dotyczącym prawa do odstąpienia od umowy, podanie danych osobowych oznaczonych jako obowiązkowe oraz naciśnięcie przycisku „Zamawiam; Zakup z obowiązkiem zapłaty”.

10. Wysłanie przez Klienta Zamówienia stanowi złożenie Sprzedawcy oferty zawarcia umowy sprzedaży Towarów będących przedmiotem Zamówienia.

11. Po złożeniu Zamówienia Klient otrzymuje wiadomość e-mail potwierdzającą wpłynięcie oferty zawarcia umowy (wraz z indywidualnym nr Zamówienia). W dniu wysyłki zamówienia Klient otrzymuje od Sprzedawcy e-mail z potwierdzeniem wysyłki.

12. Klienci składający Zamówienia w Sklepie poprzez przesłanie wiadomości elektronicznej w celu złożenia Zamówienia powinni:

a. podać w treści wiadomości elektronicznej kierowanej do Sprzedawcy nazwę Towaru spośród Towarów znajdujących się na stronie internetowej Sklepu i jego ilość,

b. wskazać sposób dostawy i formę płatności spośród sposobów dostawy i płatności podanych na stronie internetowej Sklepu,

c. podać dane potrzebne do realizacji Zamówienia, a w szczególności: imię i nazwisko, miejsce zamieszkania oraz adres e-mail i numer telefonu;

13. W przypadku Klientów będących konsumentami w rozumieniu art. 22[1] Kodeksu Cywilnego Sprzedawca każdorazowo po złożeniu Zamówienia za pośrednictwem lub poczty elektronicznej przesyła Klientowi potwierdzenie warunków złożonego Zamówienia, które będzie zawierać informacje dotyczące:

a. opisu przedmiotu Zamówienia,

b. jednostkowej oraz łącznej ceny zamawianych produktów lub usług wraz z podatkami, w tym kosztów dostawy oraz dodatkowych kosztów (jeśli występują),

c. sposobu kontaktu ze Sprzedawcą,

d. wybranej metody i terminu płatności,

e. wybranego sposobu dostawy,

f. czasu dostawy,

g. danych kontaktowych Klienta

h. danych do faktury

i. regulaminu

j. pouczenie o prawie odstąpienia od umowy.

14. Umowa zostaje zawarta z chwilą przesłania przez Klienta (w odpowiedzi na potwierdzenie warunków Zamówienia przesłanych przez Sprzedawcę) wiadomości elektronicznej na adres poczty elektronicznej Sprzedawcy w której Klient: akceptuje treść przesłanego Zamówienia i wyraża zgodę na jego realizację oraz akceptuje treść Regulaminu i potwierdza zapoznanie się z pouczeniem o odstąpieniu od umowy.

15. Utrwalenie, zabezpieczenie, udostępnienie oraz potwierdzenie Klientowi istotnych postanowień Umowy sprzedaży Towarów następuje poprzez przesłanie ich Klientowi na podany adres e-mail oraz poprzez dołączenie do przesyłki zawierającej Towar wydruku potwierdzenia, specyfikacji Zamówienia, paragonu lub faktury VAT.

16. Umowa sprzedaży zawierana jest w języku polskim o treści zgodnej z Regulaminem.

V. Dostawa

1. Dostawa Towarów jest ograniczona do terytorium Rzeczpospolitej Polskiej i odbywa się na adres wskazany przez Klienta w trakcie składania Zamówienia.

2. Klient może wybrać następujące formy dostawy zamówionych Towarów:

a. za pośrednictwem firmy kurierskiej

b. odbiór osobisty w punkcie odbioru osobistego Sprzedawcy

3. Zamówienia wysyłane są za pośrednictwem firmy kurierskiej DHL. Koszt wysyłki Towaru firmą kurierską na terenie Polski wynosi odpowiednio: 16 zł przy płatności przelewem oraz 20 zł przy płatności za pobraniem. Podane ceny są cenami brutto. Dodatkowo koszty dostawy zostaną wskazane w czasie składania Zamówienia.

4. Dostawa jest realizowana niezwłocznie, nie później niż w terminie 30 dni od zawarcia umowy.

5. Towar dostarczany jest przesyłką kurierską wyłącznie na terytorium Polski. W obecności kuriera Klient zobowiązany jest sprawdzić stan i zawartość paczki. Jeżeli Towar jest niezgodny lub zniszczony Klient zobowiązany jest odmówić przyjęcia przesyłki oraz sporządzić z kurierem protokół odmowy przyjęcia.

6. Termin otrzymania przesyłki przez Klienta to czas realizacji zamówienia oraz czas dostawy przesyłki do odbiorcy. Firma kurierska dostarcza przesyłki zazwyczaj max. w ciągu 48 godz.

7. Sprzedawca ponosi przewidzianą przez prawo odpowiedzialność za zgodność świadczenia z umową.

VI. Ceny i metody płatności

1. Ceny Towarów podawane są w złotych polskich i zawierają wszystkie składniki, w tym podatek VAT, cła oraz wszelkie inne składniki.

2. Klient może wybrać następujące metody płatności:

a. przelew bankowy na rachunek bankowy Sprzedawcy (w tym przypadku realizacja Zamówienia rozpoczęta zostanie po przesłaniu Klientowi przez Sprzedawcę potwierdzenia przyjęcia Zamówienia, zaś wysyłka dokonana zostanie niezwłocznie po wpłynięciu środków na rachunek bankowy Sprzedawcy i skompletowaniu Zamówienia);

b. gotówką przy odbiorze osobistym - płatność w punkcie odbioru osobistego Sprzedawcy (w tym przypadku realizacja Zamówienia zostanie dokonana niezwłocznie po przesłaniu Klientowi przez Sprzedawcę potwierdzenia przyjęcia Zamówienia, zaś Towar wydany zostanie w punkcie odbioru osobistego Sprzedawcy);

c. gotówką za pobraniem, czyli płatność u Dostawcy przy dokonywaniu Dostawy (w tym przypadku realizacja Zamówienia i jego wysyłka zostanie rozpoczęta po przesłaniu Klientowi przez Sprzedawcę potwierdzenia przyjęcia Zamówienia i skompletowaniu Zamówienia);

d. płatność elektroniczna (w tym przypadku realizacja Zamówienia rozpoczęta zostanie po przesłaniu Klientowi przez Sprzedawcę potwierdzenia przyjęcia Zamówienia oraz po otrzymaniu przez Sprzedawcę informacji z systemu agenta rozliczeniowego o dokonaniu płatności przez Klienta zaś wysyłka dokonana zostanie niezwłocznie po skompletowaniu Zamówienia).

3. Klient może wybrać następujące formy płatności za zamówienie:

  • przelew bankowy bezpośrednio na rachunek Sklepu:  mBank 60 1140 2004 0000 3202 8208 1296
  • płatność przy odbiorze (należność pobiera kurier DHL)

4. Klient zobowiązany jest dokonać płatności za złożone zamówienie w terminie 7 dni roboczych od momentu złożenia zamówienia jeżeli jako formę płatności wybrał przedpłatę. W wypadku niewywiązania się przez Klienta z płatności w terminie, o którym mowa powyżej, Sprzedawca odstąpi od Umowy sprzedaży.

VII. Uprawnienie do odstąpienia od umowy

1. Klient będący konsumentem w rozumieniu art. 22[1] Kodeksu Cywilnego może od niej odstąpić bez podania przyczyny poprzez złożenie stosownego oświadczenia w terminie 14 dni. Do zachowania tego terminu wystarczy wysłanie oświadczenia przed jego upływem.

2. Klient może sformułować oświadczenie samodzielnie bądź skorzystać ze wzoru oświadczenia o odstąpieniu od umowy, który można pobrać pod adresem https://uokik.gov.pl/download.php?id=1216. Klient może również wypełnić elektroniczny formularz zwrotu/reklamacji znajdujący się pod adresem: http://akcesoria-biurowe.net/zwroty.html . Potwierdzenie przyjęcia żądania zwrotu zostanie przesłane w formie wiadomości e-mail na adres poczty elektronicznej Klienta.

3. Termin 14-dniowy liczy się od dnia, w którym nastąpiło dostarczenie Towaru lub w przypadku umowy o świadczenie Usług od dnia jej zawarcia.

4. Sprzedawca z chwilą otrzymania oświadczenia o odstąpieniu od umowy przez konsumenta prześle na adres poczty elektronicznej konsumenta potwierdzenie otrzymania oświadczenia o odstąpieniu od umowy.

5. Prawo do odstąpienia od umowy przez konsumenta jest wyłączone w przypadku:

a. świadczenia usług, jeżeli Sprzedawca wykonał w pełni usługę za wyraźną zgodą konsumenta, który został poinformowany przed rozpoczęciem świadczenia, że po spełnieniu świadczenia przez Sprzedawcę utraci prawo odstąpienia od umowy;

b. umowy, w której cena lub wynagrodzenie zależy od wahań na rynku finansowym, nad którymi Sprzedawca nie sprawuje kontroli, i które mogą wystąpić przed upływem terminu do odstąpienia od umowy;

c. umowy, w której przedmiotem świadczenia jest Towar nieprefabrykowany, wyprodukowany według specyfikacji Konsumenta lub służący zaspokojeniu jego zindywidualizowanych potrzeb; (W świetle powyższego nie ma możliwości zwrotu chodników z indywidualnym nadrukiem).

d. umowy, w której przedmiotem świadczenia jest Towar ulegający szybkiemu zepsuciu lub mająca krótki termin przydatności do użycia;

e. umowy, w której przedmiotem świadczenia jest Towar dostarczany w zapieczętowanym opakowaniu, którego po otwarciu opakowania nie można zwrócić ze względu na ochronę zdrowia lub ze względów higienicznych, jeżeli opakowanie zostało otwarte po dostarczeniu;

f. umowy, w której przedmiotem świadczenia są Produkty, które po dostarczeniu, ze względu na swój charakter, zostają nierozłącznie połączone z innymi rzeczami;

6. W przypadku odstąpienia od umowy zawartej na odległość umowa jest uważana za niezawartą. To, co strony świadczyły, ulega zwrotowi w stanie niezmienionym, chyba że zmiana była konieczna w granicach zwykłego zarządu, a w szczególności stwierdzenia charakteru, cech i funkcjonowania rzeczy.

7. Towar należy odesłać niezwłocznie, nie później niż w ciągu 14 dni od chwili zgłoszenia chęci jego zwrotu. Sklep gwarantuje zwrot pełnej kwoty wpłaconej na jego rzecz za zakupiony Towar i jego wysyłkę pod warunkiem, że Towar nie posiada śladów i wad w wyniku użytkowania oraz nie został zniszczony. Klient samodzielnie pokrywa koszty odesłania sprawnego Towaru. Sprzedawca zobowiązuje się zwrócić Klientowi wszystkie dokonane przez niego płatności, w tym koszt Dostawy Towaru do Klienta w ciągu 7 dni roboczych liczonych do chwili otrzymania zwracanego Towaru.

8. Sprzedawca dokonuje zwrotu płatności przy użyciu takiego samego sposobu zapłaty, jakiego użył Klient, chyba, że Klient wyrazi zgodę na inny sposób zwrotu, przy czym sposób ten nie będzie się wiązał dla Klienta z żadnym kosztem. Sprzedawca wstrzymuje się ze zwrotem płatności otrzymanych od Klienta do chwili otrzymania rzeczy z powrotem.

9. Jeżeli konsument wybrał sposób dostarczenia Towaru inny niż najtańszy zwykły sposób dostarczenia oferowany przez Sprzedawcę, Sprzedawca nie jest zobowiązany do zwrotu konsumentowi poniesionych przez niego dodatkowych kosztów.

10. Klient ponosi tylko bezpośredni koszt zwrotu Towaru, chyba że Sprzedawca zgodził się je ponieść.

VIII. Reklamacje dotyczące Towarów

1. Sprzedawca odpowiada wobec Klienta, w tym również Klienta będącego konsumentem w rozumieniu art. 22[1] Kodeksu Cywilnego, z tytułu rękojmi za wady na zasadach określonych w art. 556 – 576 Kodeksu cywilnego.

2. Reklamacje, wynikające z naruszenia praw Klienta gwarantowanych prawnie, lub na podstawie niniejszego Regulaminu, należy kierować na adres Firma Handlowo-Usługowa „OLPOL” Agnieszka Syc Złoty Potok, ul. Witosa 1,42-253 Janów. Zgłoszenie reklamacji Towaru odbywa się poprzez wypełnienie elektronicznego formularza zwrotu/reklamacji znajdującego się pod adresem http://akcesoria-biurowe.net/zwroty.html . Potwierdzenie przyjęcia reklamacji zostanie przesłane w formie wiadomości e-mail na adres poczty elektronicznej Klienta.

3. W przypadku reklamacji Sklep wysyła po odbiór Towaru własnego kuriera. Ewentualne koszty ponownego wysłania sprawnego Towaru ponosi Sklep. Do reklamowanej przesyłki należy dołączyć paragon lub fakturę (lub ich kopie) wraz z opisem przyczyny reklamacji. Towar zostanie wymieniony na pełnowartościowy, jeżeli tylko będzie to możliwe. Jeśli nie będzie możliwości wymiany Towaru na nowy, pełnowartościowy, Sklep zwróci Klientowi całość wpłaconej pierwotnie kwoty. Za Towar wadliwy uznaje się taki, który posiada wady techniczne nie wynikłe z powodu standardowego użytkowania.

4. Sprzedawca zobowiązuje się do rozpatrzenia każdej reklamacji w terminie do 14 dni.

5. W przypadku braków w reklamacji Sprzedawca wezwie Klienta do jej uzupełnienia w niezbędnym zakresie niezwłocznie, nie później jednak niż w terminie 7 dni od daty otrzymania wezwania przez Klienta. Sprzedawca zwraca Klientowi koszty przesyłki.

6. Sprzedawca nie jest producentem Towarów. Producent ponosi odpowiedzialność z tytułu gwarancji sprzedanego Towaru na warunkach, oraz przez okres wskazany w karcie gwarancyjnej. Jeśli dokument gwarancyjny przewiduje taką możliwość, Klient może zgłaszać swoje roszczenia w ramach gwarancji bezpośrednio w autoryzowanym serwisie, którego adres znajduje się w karcie gwarancyjnej.

IX. Reklamacje w zakresie świadczenia usług drogą elektroniczną

1. Klient może zgłaszać Sprzedawcy reklamacje w związku z funkcjonowaniem Sklepu i korzystaniem z Usług. Reklamacje można zgłaszać pisemnie na adres: Firma Handlowo-Usługowa „OLPOL” Agnieszka Syc  Złoty Potok, ul. Witosa 1,42-253 Janów, na adres poczty elektronicznej: kontakt@akcesoria-biurowe.net lub przy użyciu formularza kontaktowego.

2. W reklamacji Klient powinien podać swoje imię i nazwisko, adres do korespondencji, rodzaj i opis zaistniałego problemu.

3. Sprzedawca zobowiązuje się do rozpatrzenia każdej reklamacji w terminie do 14 dni, a gdyby to nie było możliwe, do poinformowania w tym okresie Klienta kiedy reklamacja zostanie rozpatrzona. W przypadku braków w reklamacji Sprzedawca wezwie Klienta do jej uzupełnienia w niezbędnym zakresie w terminie 7 dni od daty otrzymania wezwania przez Klienta.

X. Pozasądowe sposoby rozstrzygania reklamacji i dochodzenia roszczeń

1. Klient będący konsumentem posiada m.in. następujące możliwości skorzystania z pozasądowych sposobów rozpatrywania reklamacji i dochodzenia roszczeń:

a. jest uprawniony do zwrócenia się do stałego polubownego sądu konsumenckiego działającego przy Inspekcji Handlowej z wnioskiem o rozstrzygnięcie sporu wynikłego z zawartej Umowy Sprzedaży.

b. jest uprawniony do zwrócenia się do wojewódzkiego inspektora Inspekcji Handlowej z wnioskiem o wszczęcie postępowania mediacyjnego w sprawie polubownego zakończenia sporu między Klientem, a Sprzedawcą.

c. może uzyskać bezpłatną pomoc w sprawie rozstrzygnięcia sporu między Klientem, a Sprzedawcą, korzystając także z bezpłatnej pomocy powiatowego (miejskiego) rzecznika konsumentów lub organizacji społecznej, do której zadań statutowych należy ochrona konsumentów (m.in. Federacja Konsumentów, Stowarzyszenie Konsumentów Polskich). Porady udzielane są pod przez Federację Konsumentów pod bezpłatnym numerem infolinii konsumenckiej 800 007 707 oraz przez Stowarzyszenie Konsumentów Polskich pod adresem email porady@dlakonsumentow.pl.

d. Sprzedawca informuje, że pod adresem http://ec.europa.eu/consumers/odr/ dostępna jest platforma internetowego systemu rozstrzygania sporów pomiędzy konsumentami i przedsiębiorcami na szczeblu unijnym (platforma ODR).

XI. Postanowienia końcowe

1. Rozstrzyganie ewentualnych sporów powstałych pomiędzy Sprzedawcą a Klientem, który jest konsumentem w rozumieniu art. 22[1] Kodeksu Cywilnego, zostaje poddane sądom właściwym zgodnie z postanowieniami właściwych przepisów Kodeksu postępowania cywilnego.

2. Rozstrzyganie ewentualnych sporów powstałych pomiędzy Sprzedawcą a Klientem, który nie jest konsumentem w rozumieniu art. 22[1] Kodeksu Cywilnego Kodeksu Cywilnego, zostaje poddane sądowi właściwemu ze względu na siedzibę Sprzedawcy.

3. W sprawach nieuregulowanych w niniejszym Regulaminie mają zastosowanie przepisy Kodeksu cywilnego, przepisy Ustawy o świadczeniu usług drogą elektroniczną, przepisy ustawy o prawach konsumenta oraz inne właściwe przepisy prawa polskiego.

4. Treść niniejszego Regulaminu może ulec zmianie. O wszelkich zmianach każdy Klient zostanie poinformowany poprzez informacje na stronie głównej Sklepu zawierającej zestawienie zmian i termin ich wejścia w życie. Termin wejścia w życie zmian nie będzie krótszy niż 14 dni od dnia ich ogłoszenia.


    OCHRONA DANYCH OSOBOWYCH / POLITYKA PRYWATNOŚCI

  1. Zgodnie z treścią art. 24 ustawy z dnia 29 października 1997 r. o ochronie danych osobowych informujemy Państwa, iż złożenie zamówienia naszym sklepie oznacza dobrowolną zgodę na przetwarzanie danych osobowych (również adresu e-mail) dla celów marketingowych. Jednocześnie oświadczamy, że dane te wykorzystane będą jedynie do finalizacji zamówienia oraz do kontaktu naszej firmy z Klientami, nie będą sprzedawane ani przekazywane osobom trzecim. Każdy z Klientów ma prawo wglądu w swoje dane oraz ich edycji.
  2. Oświadczamy że,  opis  oraz zdjęcia   są całkowicie naszego autorstwa. Kopiowanie, przetwarzanie i rozpowszechnianie tych materiałów w całości lub w części bez naszej zgody jest zabronione i stanowi naruszenie praw autorskich. Podstawa prawna: Dz. U. 94 nr 24 poz. 83, sprost.: Dz. U. 94 nr 43 poz. 170
  3. Sklep www.akcesoria-biurowe.net zastrzega sobie możliwość dokonywania zmian w niniejszym regulaminie bez wcześniejszego o tym informowania.

 

 

 

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH na platformie internetowej
www.akcesoria-biurowe.net
___________________________

 

§ 1
POSTANOWIENIA OGÓLNE

  1. Definicje:
    1. Administrator Danych – Pani Agnieszka Syc  prowadząca  działalność gospodarczą  pod nazwą: Firma Handlowo-Usługowa  "OLPOL" Agnieszka Syc z siedzibą w Złotym Potoku, ul. Witosa 1, 42-253 Janów, posiadającej numer NIP 949-188-89-90 oraz numer REGON 241529478.
    2. Właściciel – Agnieszka Syc odpowiedzialni za nadzorowanie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie ochrony danych osobowych;
    3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań;
    4. Instrukcja zarządzania – niniejsza Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych na Platformie akcesoria-biurowe.net;
    5. Osoba upoważniona – osoba posiadająca formalne upoważnienie wydane przez Administratora Danych lub przez osobę wyznaczoną, uprawniona do przetwarzania danych osobowych;
    6. Przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie;
    7. Rozporządzenie – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w  sprawie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1) – dalej RODO (GDPR),
    8. Platforma – sklep internetowy akcesoria-biurowe.net dostępny pod adresem: http://http://www.akcesoria-biurowe.net
    9. System informatyczny – zespół współpracujących urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
    10. Użytkownik systemu – osoba upoważniona do bezpośredniego dostępu do danych osobowych przetwarzanych w systemie informatycznym.
    11. Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie;
  2. Niniejsza Instrukcja zarządzania określa zasady właściwego zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać wchodzące w jego skład, urządzenia, odpowiednio do skali zagrożeń i kategorii danych objętych ochroną.
  3. Stosowanie zasad określonych w Instrukcji zarządzania ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych przez Platformę w systemach informatycznych rozumiane jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Rozporządzenia oraz utratą, uszkodzeniem lub zniszczeniem.
  4. Niniejsza Instrukcja zarządzania została opracowana na podstawie wymogów Rozporządzenia w zakresie opracowania i wdrożenia instrukcji zarządzania systemem informatycznym.
  5. Dokumentem ściśle powiązanym z niniejszą Instrukcją zarządzania jest Polityka bezpieczeństwa przetwarzania danych osobowych na Platformie oraz w systemie informatycznym.

 

§ 2
ZAKRES STOSOWANIA

  1. Instrukcję stosuje się do danych osobowych przetwarzanych w systemach informatycznych, danych osobowych zapisanych w postaci elektronicznej na zewnętrznych nośnikach informacji oraz informacji dotyczących bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych.
  2. Instrukcja zawiera specyfikację podstawowych środków technicznych ochrony danych osobowych oraz elementów zarządzania systemem informatycznym. W przypadku wystąpienia potrzeb wprowadzenia nowych lub modyfikacji istniejących zasad bezpieczeństwa przetwarzania danych osobowych w systemie, wnioski o ich uwzględnienie i wdrożenie powinni składać właściwi przedstawiciele komórek organizacyjnych, w których przetwarzane są dane osobowe, bezpośrednio do Właściciela.

 

§ 3
ODPOWIEDZIALNOŚĆ

  1. Do obowiązków Właściciela należy nadzorowanie przestrzegania zasad ochrony danych osobowych w systemach informatycznych. Do obowiązków należy również:
    1. nadzór nad stosowaniem środków ochrony w systemach informatycznych;
    2. nadzór nad przestrzeganiem przez administratorów i użytkowników systemu procedur bezpieczeństwa;
    3. uzgadnianie z właściwymi administratorami szczególnych procedur regulujących wykonywanie czynności w systemach lub aplikacjach służących do przetwarzania danych osobowych;
    4. zapewnienie doradztwa w zakresie przestrzegania przez pracowników firm zewnętrznych zasad ochrony danych osobowych przyjętych na Platformie.
  2. Do obowiązków Właściciela należy bieżąca ocena ryzyka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych, za które jest odpowiedzialny, identyfikacja podatności na zagrożenia bezpieczeństwa przetwarzania danych osobowych oraz bezpieczne zarządzanie systemami. Do obowiązków należy również:
    1. zarządzanie kontrolą dostępu do systemów informatycznych;
    2. weryfikacja zdarzeń systemowych;
    3. zarządzanie kontami użytkowników;
    4. wdrażanie mechanizmów bezpieczeństwa przetwarzania danych osobowych;
    5. kontrola przepływu informacji pomiędzy systemem informatycznym a siecią publiczną oraz kontrola działań inicjowanych z sieci publicznej a systemem informatycznym;
    6. regularne tworzenie kopii zapasowych zasobów danych osobowych oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie poprawności wykonania tych kopii zapasowych;
  3. Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy znajomość, zrozumienie i stosowanie w możliwie największym zakresie wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieuprawnionym dostępu do swojej stacji roboczej. Do obowiązków należy również:
    1. współpraca przy ustaleniu przyczyn naruszenia ochrony danych osobowych oraz usuwania skutków tych naruszeń, w tym zapobieganie ich ewentualnemu ponownemu wystąpieniu;
    2. przestrzeganie opracowanych dla systemu zasad przetwarzania danych osobowych oraz procedur i instrukcji;
    3. informowanie Właściciela o wszelkich naruszeniach, podejrzeniach naruszenia i nieprawidłowościach w sposobie przetwarzania i ochrony danych osobowych;
    4. wykonywania bez zbędnej zwłoki poleceń Właściciela w zakresie ochrony danych osobowych jeśli są one zgodne z przepisami prawa powszechnie obowiązującego.

 

§ 4
ZARZĄDZANIE BEZPIECZEŃSTWEM SYSTEMÓW

  1. Podstawowym celem zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych jest zapewnienie jak najwyższego poziomu bezpieczeństwa tych danych, które są w nich przetwarzane.
  2. W celu zachowania odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych, dostęp do systemu informatycznego przetwarzającego dane osobowe powinien być możliwy wyłącznie po podaniu identyfikatora odrębnego dla każdego użytkownika systemu i poufnego hasła lub innego elementu uwierzytelniającego.
  3. Należy zapewnić poufność, integralność i rozliczalność systemów informatycznych służących do przetwarzania danych osobowych.
  4. Należy zapewnić aby użytkownicy systemów informatycznych służących do przetwarzania danych osobowych nie posiadali wyższych poziomów uprawnień w tych systemach niż wymagane do wykonywania powierzonych obowiązków.
  5. Należy zapewnić aby wszelkie działania użytkowników systemów informatycznych zapewniały rozliczalność tych działań.
  6. Prawidłowy poziom zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych zostaje zapewniony poprzez przestrzeganie następujących zasad:
    1. uniemożliwienie osobom postronnym uzyskiwania nieupoważnionego dostępu do systemu;
    2. instalowanie nowego lub aktualizowanie już zainstalowanego oprogramowania wyłącznie przez uprawnionych użytkowników systemu;
    3. niepodejmowanie przez użytkowników systemu prób testowania, modyfikacji i naruszenia zabezpieczeń systemu lub jakichkolwiek działań noszących takie znamiona.

 

§ 5
BEZPIECZEŃSTWO SYSTEMÓW INFORMATYCZNYCH

  1. Bezpieczeństwo powinno być integralną częścią systemów informatycznych służących do przetwarzania danych osobowych.
  2. Usługi oraz aplikacje, które nie są wykorzystywane powinny być wyłączone.
  3. Krytyczne poprawki bezpieczeństwa powinny być przetestowane i zainstalowane.
  4. Dostęp do poszczególnych usług systemów informatycznych powinien być chroniony kontrolą dostępu.
  5. Wymagania bezpieczeństwa, na które mogą się również składać wymagania prawne związane z ochroną danych osobowych należy identyfikować i uzgodnić przed opracowaniem i/lub ich wdrożeniem. W szczególności wymagania muszą być zidentyfikowane dla:
    1. systemów operacyjnych;
    2. aplikacji;
    3. baz danych;
    4. narzędzi programowych;
    5. infrastruktury teleinformatycznej;
    6. poszczególnych usług.
  6. Należy mieć na uwadze, że środki zapewniające bezpieczeństwo są znacząco tańsze i bardziej efektywne, jeżeli są wprowadzane w momencie specyfikacji wymagań i na etapie projektowania.
  7. Aplikacje WWW powinny być zabezpieczone zgodnie z zaleceniami Open Web Application Security Project (OWASP).
  8. Aplikacje WWW przed wdrożeniem należy poddać obiektywnemu przeglądowi bezpieczeństwa mającemu na celu zidentyfikowanie podatności na zagrożenia pochodzące z sieci Internet.
  9. Administratorzy systemu powinni zarządzać systemami operacyjnymi, bazodanowymi, urządzeniami sieciowymi korzystając z kont dodatkowych o mniejszych uprawnieniach niż konta główne. Konta główne powinny służyć wyłącznie do zakładania i usuwania kont dodatkowych.
  10. Administratorzy powinni odnotowywać w prowadzonych rejestrach systemów wszystkie ważne zdarzenia związane z zarządzanym systemem, w szczególności:
    1. zmiany, np. instalacja nowego oprogramowania;
    2. fakty wejścia do serwerowni osób trzecich;
    3. okresowe testy i konserwacje;
    4. incydenty bezpieczeństwa (awarie sprzętu, błędy oprogramowania, naruszenia bezpieczeństwa, zdarzenia losowe, ataki szkodliwego oprogramowania) i sposób ich obsługi;
    5. fakty audytowania i kontroli.
  11. System informatyczny służący do przetwarzania danych osobowych powinien zapewniać dla każdej osoby, której dane osobowe są przetwarzane w tym systemie automatyczne odnotowywanie, po zatwierdzeniu przez użytkownika systemu operacji wprowadzenia danych, informacji o dacie pierwszego wprowadzenia danych do systemu oraz o identyfikatorze osoby wprowadzającej dane.
  12. Dla każdego systemu służącego do przetwarzania danych osobowych, z którego udostępniane są dane osobowe odbiorcom danych, należy zapewnić odnotowanie komu, kiedy i w jakim zakresie dane osobowe zostały udostępnione, chyba, że dane pochodzą z jawnego zbioru danych osobowych.
  13. W przypadku zgłoszenia sprzeciwu, o którym mowa w art. 32 ust 1 pkt. 8 Ustawy, wobec przetwarzania danych osobowych system powinien zapewniać odnotowywanie tej informacji.
  14. Należy zapewnić dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym sporządzenie i wydrukowanie:
    1. zestawień zakresu i treści przetwarzanych na jej temat danych osobowych;
    2. zestawienia zawierającego informacje wymagane w § 7 ust. 1 Rozporządzenia.
  15. Treść ostatecznego rozstrzygnięcia indywidualnej sprawy osoby, której dane dotyczą, nie może być wyłącznie wynikiem operacji na danych osobowych, prowadzonych w aplikacji lub systemie informatycznym.
  16. Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w aplikacjach ewidencjonujących osoby fizyczne.
  17. Użytkownicy systemu powinni podlegać okresowym szkoleniom, stosownie do potrzeb wynikających ze zmian w systemie informatycznym (np. wymiana sprzętu na nowszej generacji, zmiana oprogramowania) oraz w związku ze zmianą przepisów o ochronie danych osobowych lub zmianą wewnętrznych regulacji.

§ 6
KONTROLA DOSTĘPU

  1. Należy zapobiegać nieautoryzowanemu i nieuprawnionemu dostępowi do systemów informatycznych służących do przetwarzania danych osobowych.
  2. Wszelkie czynności mogące powodować nieuprawniony dostęp do systemów informatycznych są zabronione.
  3. Dane osobowe przechowywane na urządzeniach mobilnych takich jak np. komputerach przenośnych, urządzeniach PDA, telefonach komórkowych powinny być zabezpieczone w sposób zapewniający poufność tym danym.
  4. Serwery oraz stacje robocze należy tak skonfigurować, aby w przypadku nieaktywności użytkownika przez zdefiniowany okres (zalecane 10 minut) uruchamiał się wygaszasz ekranu odblokowywany hasłem.
  5. Dostęp do systemów informatycznych służących do przetwarzania danych osobowych należy zapewnić wyłącznie autoryzowanym użytkownikom na podstawie formalnych procedur przyznawania praw dostępu.
  6. Należy zapewnić niezwłoczną zmianę praw dostępu użytkownikom, którzy zmienili stanowisko pracy lub obszar odpowiedzialności.
  7. Należy zapewnić niezwłoczne odebranie i zablokowanie praw dostępu użytkownikom, którzy nie są już pracownikami lub którzy zakończyli świadczenie usług na podstawie umów, zamówień lub porozumień.
  8. Systemy informatyczne powinny zapewniać blokowanie użytkowników po określonej liczbie nieudanych prób uwierzytelniania (zalecana wartość: maksymalnie 5 prób).
  9. Należy zapewnić aby każdy użytkownik posiadał unikalny identyfikator wyłącznie do swojego osobistego użytku, wygenerowany zgodnie z przyjętą konwencją nazewnictwa.
  10. Wykorzystywanie identyfikatorów grupowych powinno być dozwolone wyłącznie, gdy uzasadniają to potrzeby biznesowe i powinno być udokumentowane oraz zatwierdzone.
  11. Należy wprowadzić zakaz wydania innym użytkownikom wykorzystanych wcześniej identyfikatorów.
  12. Konta funkcyjne lub serwisowe należy oznaczyć i zapewnić ich łatwą identyfikację oraz powinny wygasać po określonym czasie.
  13. Konta użytkowników, którzy nie są etatowymi pracownikami należy oznaczyć i zapewnić ich łatwą identyfikację oraz powinny wygasać po określonym czasie.
  14. Wszystkie konta dostępowe (identyfikatory) do systemów informatycznych należy chronić hasłem lub innym bezpiecznym sposobem uwierzytelniania.
  15. Wszelkie konta typu „gość” w należy usunąć lub zablokować.
  16. Konta użytkownika uprzywilejowanego należy oznaczyć, zapewnić ich łatwą identyfikację oraz zapewnić, że odwołują się do jednego użytkowania.
  17. Wyłącznie czynności, które wymagają użycia uprawnień uprzywilejowanych należy wykonywać z konta posiadającego uprawnienia uprzywilejowane.
  18. Konta uprzywilejowane i ich uprawnienia należy okresowo przeglądać.
  19. Czynności wykonywane za pomocą kont uprzywilejowanych należy rejestrować oraz zapewnić możliwości ich identyfikacji i rozliczalności.
  20. Przydzielanie haseł powinno być kontrolowane za pośrednictwem formalnego procesu zarządzania.
  21. Hasła powinny być dobrej jakości:
    1. długości co najmniej 8 znaków;
    2. które są łatwe do zapamiętania, a trudne do odgadnięcia;
    3. nie są oparte na prostych skojarzeniach, łatwych do odgadnięcia lub wywnioskowania z informacji dotyczących właściciela konta (np. imię, nazwisko, numer telefonu, data urodzenia itp.);
    4. w których występuje przynajmniej jedna duża litera, jedna mała litera, jedna cyfra i znak specjalny;
  22. Należy zapewnić aby hasła były regularnie zmieniane, okresowo, zgodnie z wymaganiami dla danego systemu informatycznego (przed upływem terminu ważności hasła) oraz/lub w przypadku ujawnienia lub podejrzenia ujawnienia hasła.
  23. Hasło początkowe, które jest przydzielane przez administratora systemu, powinno umożliwiać użytkownikowi zarejestrowanie się w systemie tylko jeden raz i powinno być natychmiast zmienione przez użytkownika systemu.
  24. Hasła należy niezwłocznie zmieniać w przypadkach, gdy cokolwiek mogłoby wskazywać na możliwość naruszenia bezpieczeństwa systemu informatycznego lub hasła.
  25. Należy zapewnić aby wszelkie urządzenia sprzętowe lub programowe, które na początku posiadały hasło domyślne, miały zmienione hasło zgodnie z przyjętymi wymogami dotyczącymi formułowania haseł.
  26. Systemy informatyczne powinny przechowywać historię haseł oraz uniemożliwić zastosowanie haseł, które były wcześniej używane przez danego użytkownika (zalecana historia 10 haseł).
  27. Hasła nie powinny być przechowywane w systemach, aplikacjach, bazach danych, skryptach i plikach konfiguracyjnych w postaci jawnej, bez zapewnienia im poufności.
  28. Hasła nie powinny być przesyłane za pomocną narzędzi i usług teleinformatycznych w postaci jawnej, bez zapewnienia im poufności.
  29. Należy stosować bezpieczną procedurę przekazywania haseł użytkownikom np. nieprzesyłanie przez sieć haseł (np. w niechronionych wiadomościach poczty elektronicznej).
  30. Czynności związane z przechwytywaniem lub odgadywaniem haseł innych użytkowników są zabronione.
  31. Hasła należy utrzymywać w tajemnicy również po upływie ich ważności.
  32. Wszystkie konta należy blokować po zdefiniowanym okresie bezczynności.
  33. Przegląd kont i uprawnień należy przeprowadzać regularnie, co najmniej raz na 12 miesięcy.
  34. Należy zapewnić niezwłoczne blokowanie zbędnych kont użytkowników oraz uprawnień.
  35. Konto użytkownika należy zablokować po upływie zdefiniowanego okresu bezczynności (zalecane 60 dni od daty ostatniego użycia).
  36. Pierwsze zarejestrowanie użytkownika w systemie i nadanie odpowiednich uprawnień do systemu przetwarzającego dane osobowe musi być poprzedzone złożeniem przez użytkownika oświadczenia o zachowaniu w tajemnicy danych osobowych i sposobów ich zabezpieczania oraz przetwarzaniu danych osobowych zgodnie z przepisami, a także uzyskaniem formalnego upoważnienia do przetwarzania danych osobowych.
  37. Użytkownicy powinni zapobiegać nieuprawnionemu dostępowi, naruszeniu bezpieczeństwa, kradzieży lub systemów informatycznych służących do przetwarzania danych osobowych.
  38. Użytkownicy powinni być świadomi swojej odpowiedzialności za utrzymanie skutecznej kontroli dostępu, szczególnie w odniesieniu do haseł i zabezpieczenia swojego sprzętu.
  39. Użytkownicy nie powinni stosować jednego hasła do wielu systemów informatycznych.

 

§ 7
ROZPOCZĘCIE, ZAWIESZENIE I ZAKOŃCZENIE PRACY

  1. Przed przystąpieniem do pracy z systemem informatycznym, użytkownik systemu zobowiązany jest dokonać sprawdzenia stanu urządzeń informatycznych oraz oględzin swojego stanowiska pracy, ze zwróceniem szczególnej uwagi, czy nie zaszły okoliczności wskazujące na naruszenie ochrony danych osobowych.
  2. W przypadku stwierdzenia bądź podejrzenia, iż miało miejsce naruszenie ochrony danych osobowych, użytkownik systemu zobowiązany jest powiadomić o tym fakcie swojego przełożonego lub Właściciela.
  3. Kończąc pracę, użytkownik systemu obowiązany jest do wylogowania się z systemu informatycznego i zabezpieczenia stanowiska pracy, w szczególności wszelkiej dokumentacji, wydruków oraz elektronicznych nośników informacji, na których znajdują się dane osobowe i umieszczenia ich w zamykanych szafkach.
  4. Stacje robocze powinny być tak skonfigurowane, aby w przypadku nieobecności użytkownika systemu dłużej niż 10 minut uruchamiał się wygaszasz ekranu odblokowywany hasłem. Alternatywnie może obowiązywać wymaganie wylogowywania się z systemu lub blokowania stacji roboczej w przypadku chwilowego opuszczenia stanowiska pracy.

 

§ 8
BEZPIECZEŃSTWO DANYCH

  1. Dane osobowe zapisane w postaci elektronicznej należy przetwarzać wyłącznie na urządzeniach służbowych zabezpieczonych zgodnie z obowiązującymi procedurami.
  2. Należy zapewnić aby wszelkie informacje o systemach informatycznych służących do przetwarzania danych osobowych, których ujawnienie może powodować utratę bezpieczeństwa tego systemu lub danych w nim przetwarzanych nie były ujawniane użytkownikom ani żadnej innej nieuprawnionej osobie za wyjątkiem informacji niezbędnych do prawidłowego korzystania z tych systemów.
  3. Użytkownicy systemów informatycznych służących do przetwarzania danych osobowych nie powinni ujawniać informacji o charakterze, funkcjonalności, zastosowanych środkach kontrolnych, sposobie ich obsługi oraz lokalizacji wykorzystywanych systemów osobom, które nie są uprawnione do otrzymania tego typu informacji.
  4. Dane osobowe powinny być przetwarzane przy użyciu systemów informatycznych zgodnie z zasadą wiedzy koniecznej.
  5. Należy utrzymywać dostępność i integralności systemów informatycznych służących do przetwarzania danych osobowych oraz danych przetwarzanych w tych systemach poprzez wykonywanie kopii zapasowych.
  6. Sposób i zakres (tj. pełna lub różnicowa kopia zapasowa) oraz częstotliwość tworzenia kopii zapasowych powinien odzwierciedlać wymagania biznesowe, wymagania bezpieczeństwa, wymagania prawne oraz stopień krytyczności informacji.
  7. Kopie zapasowe zbiorów danych osobowych oraz programów i narzędzi programowych służących do ich przetwarzania powinny być wykonywane na bieżąco przez Administratora systemu lub inną wyznaczoną do tego celu osobę.
  8. Administrator systemu odpowiedzialny za tworzenie kopii zapasowych zobowiązany jest przestrzegać terminów sporządzania kopii zapasowych oraz okresowo dokonywać kontroli możliwości odtworzenia danych zapisanych na tych kopiach pod kątem ewentualnej przydatności w sytuacji awarii systemu.
  9. Kopie zapasowe powinny być tworzone w bezpiecznym systemie archiwizacji, który powinien zapewniać ograniczony dostęp fizyczny do nośników oraz przyznanie uprawnień dostępu tylko wyznaczonym imiennie administratorom systemu.
  10. Okres przechowywania kopii zapasowych zawierających dane osobowe powinien być ustalony przez osobę kierującą komórką organizacyjną, w której te dane są przetwarzane i przekazany do Administratora systemu odpowiedzialnego za wykonywanie kopii zapasowych.
  11. Kopie zapasowe zawierające dane osobowe, dla których cel przetwarzania ustał powinny być pozbawiane zapisu tych danych a w przypadku gdy nie jest to możliwe, należy je zniszczyć w sposób uniemożliwiający odczytanie/odzyskanie danych osobowych.
  12. Kopie zapasowe należy odpowiednio zabezpieczyć przed nieuprawnionym dostępem, nadużyciem lub uszkodzeniem.
  13. Należy zapewnić aby dostęp do kopii zapasowych był zgodny z nadanymi i autoryzowanymi uprawnieniami.
  14. Należy zapewnić aby procedury niszczenia kopii zapasowych były zgodne z obowiązującymi regulacjami i przepisami prawa.
  15. Kopie zapasowe należy wyraźnie oznaczyć, że są własnością Platformy a ich nieuprawnione użycie jest zabronione.
  16. Wymienne nośniki elektroniczne, o ile nie są użytkowane, powinny być przechowywane w zamykanych szafkach.
  17. Okres przechowywania nośników elektronicznych zawierających dane osobowe powinien być ustalony przez Kierownika danego obszaru, w którym te dane są przetwarzane.
  18. Na każdym nośniku powinna być odnotowywana data maksymalnego okresu przechowywania np. data ustania celu przetwarzania danych osobowych.
  19. Nośniki elektroniczne zawierające dane osobowe, dla których cel przetwarzania ustał powinny być pozbawiane zapisu tych danych a w przypadku gdy nie jest to możliwe, należy je zniszczyć w sposób uniemożliwiający odczytanie/odzyskanie danych osobowych.
  20. W przypadku przekazywania urządzeń lub nośników zawierających dane osobowe w tym dane wrażliwe, poza obszar przetwarzania danych osobowych, zabezpiecza się je w sposób zapewniający poufność, integralność i rozliczalność tych danych, przez co rozumie się:
    1. ograniczenie dostępu do danych osobowych hasłem zabezpieczającym dane przed osobami nieupoważnionymi;
    2. stosowanie metod kryptograficznych;
    3. stosowanie odpowiednich zabezpieczeń fizycznych;
    4. stosowanie odpowiednich zabezpieczeń organizacyjnych.

W zależności od stopnia zagrożenia zalecane jest stosowanie kombinacji wyżej wymienionych zabezpieczeń.

  1. Dane osobowe przetwarzane na komputerach przenośnych powinny być zabezpieczone w sposób zapewniający poufność tych danych, w szczególności dane te powinny być zabezpieczone metodami kryptograficznymi.
  2. Osoba używająca komputer przenośny zawierający dane osobowe zobowiązana jest zachować szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem przetwarzania danych osobowych.
  3. Osoba używająca komputer przenośny zawierający dane osobowe w szczególności powinna:
    1. stosować ochronę kryptograficzną wobec danych osobowych przetwarzanych na komputerze przenośnym;
    2. zabezpieczyć dostęp do komputera na poziomie biosu i systemu operacyjnego - identyfikator i hasło;  LUB
    3. nie zezwalać na używanie komputera osobom nieupoważnionym do dostępu do danych osobowych;
    4. nie wykorzystywać komputera przenośnego do przetwarzania danych osobowych w obszarach użyteczności publicznej;
    5. zachować szczególną ostrożność przy podłączaniu do sieci publicznych poza obszarem przetwarzania danych osobowych.
  4. W przypadku podłączania komputera przenośnego do sieci publicznej poza siecią Administratora danych należy zastosować firewall zainstalowany bezpośrednio na tym komputerze oraz system antywirusowy.
  5. Użytkownik powinien zachować wyjątkową ostrożność podczas korzystania z zasobów sieci publicznej.

 

§ 9
ZARZĄDZANIE BEZPIECZEŃSTWEM SIECI

  1. Należy zapewnić, że infrastruktura sieciowa jest właściwie chroniona, adekwatnie do zagrożeń mogących powodować utratę bezpieczeństwa przetwarzania danych osobowych.
  2. Dane osobowe przesyłane poprzez publiczną sieć telekomunikacyjną powinny być zabezpieczone środkami kryptograficznej ochrony.
  3. Właściciel systemu powinien chronić system przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem, poprzez:
    1. kontrolę przepływu informacji pomiędzy systemem informatycznym a siecią publiczną;
    2. kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego.
  4. Wewnętrzna adresacja IP, konfiguracja oraz informacja o systemach powiązanych nie powinna być ujawniana osobom nieuprawnionym bez akceptacji ze strony uprawnionej do tego celu osoby.
  5. Podłączanie do infrastruktury sieciowej nieautoryzowanych urządzeń takich jak modemy, urządzenia sieciowe, w tym urządzenia sieci bezprzewodowych jest zabronione.
  6. Podłączanie we własnym zakresie stacji roboczych do publicznej sieci telekomunikacyjnej poprzez nieautoryzowane urządzenia sieciowe, będąc jednocześnie podłączymy do infrastruktury lokalnej LAN powinno być zarobione.
  7. Należy zastosować specjalne zabezpieczenia (np. kryptograficzne środki ochrony) w celu ochrony integralności i poufności danych przesyłanych przez sieci bezprzewodowe.
  8. Użytkownikom należy zapewnić dostęp tylko do tych usług infrastruktury teleinformatycznej (np. dostęp do Internetu, zdalny dostęp, poczta elektroniczna) do których zostali autoryzowani.
  9. Należy zapewnić, że osoby nie będące pracownikami nie posiadają nieautoryzowanego i niekontrolowanego dostępu do infrastruktury teleinformatycznej.
  10. Należy zapewnić, że niezabezpieczone usługi infrastruktury teleinformatycznej, pozwalające przesyłać hasła w postaci niezabezpieczonej np. telnet lub ftp, nie są wykorzystywane i są zablokowane.
  11. Sieci bezprzewodowe podłączone do infrastruktury teleinformatycznej powinny być autoryzowane, udokumentowane, monitorowane oraz odpowiednio zabezpieczone.
  12. Wszystkie urządzenia sieci bezprzewodowych, do których podłączane są systemy informatyczne powinny posiadać zatwierdzone przez Właściciela bezpieczne protokoły szyfrowania i uwierzytelniania.
  13. Wszystkie urządzenia sieci bezprzewodowych podłączone do infrastruktury informatycznej powinny wykorzystywać bezpieczne protokoły komunikacyjne z zaawansowaną funkcją szyfrowania (AES) o długości klucza co najmniej 128 bitów.
  14. Wykonywane połączenia do Internetu powinny być monitorowane i rejestrowane.
  15. Systemy monitorowania połączeń do Internetu powinny rejestrować źródłowy adres IP, datę i godzinę połączenia, wykorzystywany protokół, docelową witrynę lub urządzenie (adres IP) oraz nazwę użytkownika nawiązującego połączenie.
  16. Dostęp do Internetu powinien być zabezpieczony poprzez zastosowanie narzędzi służących do blokowania stron internetowych lub usług zawierających niepożądane treści lub zawartość, np. takie jak: materiały o charakterze pornograficznym, nielegalnym, obraźliwym, szkodliwe oprogramowanie oraz usługi udostępniania plików.
  17. Wszystkie pliki ściągnięte z Internetu powinny być sprawdzane przez system antywirusowy.
  18. Użytkownicy powinni być uświadamiani o zagrożeniach występujących podczas korzystania z Internetu.
  19. Użytkownicy nie powinny instalować żadnego oprogramowania ściągniętego z Internetu bez upewniania się czy został on ściągnięty z zaufanej strony oraz czy nie zagraża bezpieczeństwu systemów informatycznych.
  20. Należy zapewnić świadomość użytkowników, że poczta elektroniczna nie może być wykorzystywana do przesyłania informacji zawierających treści obraźliwe, szkodliwe, nielegalne, pornograficzne, dotyczących przekonań politycznych i uprzedzeń rasowych.
  21. Wykorzystywanie prywatnych skrzynek pocztowych znajdujących się poza domeną pocztową Platformy do przesyłania informacji służbowych jest niedozwolone, chyba że zastosowano właściwe zabezpieczenia uzgodnione wcześniej z Inspektorem Ochrony Danych.
  22. Przychodzące i wychodzące wiadomości poczty elektronicznej należy sprawdzać na wypadek występowania wirusów i kodów złośliwych a potencjalne niebezpieczne załączniki należy blokować.
  23. Wiadomości poczty elektronicznej otrzymane z nieznanych i podejrzanych źródeł nie powinny być otwierane i przekazywane dalej.
  24. Wewnętrzne adresy poczty elektronicznej nie powinny być udostępniane i ujawniane osobom nieuprawnionym.
  25. Wewnętrzna lista adresowa powinna być zabezpieczona przed nieautoryzowanym dostępem i modyfikacją.

 

§ 10
SZKODLIWE OPROGRAMOWANIE

  1. Systemy informatyczne należy chronić przed szkodliwym oprogramowaniem (np. wirusy, trojany, bomby logiczne, robaki) poprzez stosowanie odpowiednich środków technicznych i organizacyjnych.
  2. Oprogramowanie antywirusowe należy aktywować na wszystkich serwerach, stacjach roboczych oraz na stacjach roboczych i serwerach połączonych za pomocą zdalnego dostępu.
  3. Zastosowane zabezpieczenia ochrony antywirusowej powinny być adekwatne dla danego zasobu teleinformatycznego lub usługi.
  4. Oprogramowanie antywirusowe powinno być zainstalowane tak aby użytkownik systemu nie był w stanie wyłączyć lub pominąć etapu skanowania.
  5. Kontrola antywirusowa powinna być przeprowadzana na wszystkich nośnikach magnetycznych i optycznych, służących zarówno do przetwarzania danych osobowych w systemie, jak i do celów instalacyjnych.
  6. Nowe wersje oprogramowania antywirusowego oraz uaktualnienia bazy sygnatur wirusów instalują wyznaczone osoby niezwłocznie po ich otrzymaniu lub ściągnięciu, uprzednio weryfikując pochodzenie oprogramowania.
  7. Aktualizacja oprogramowania antywirusowego powinna być przetestowana i zgodna z wymaganiami procesu zarządzania zmianą.
  8. Aktualizacja sygnatur szkodliwego oprogramowania powinna być prowadzona automatycznie. Jeżeli automatyczna dystrybucja nowych sygnatur szkodliwego oprogramowania nie jest możliwa, powinna być prowadzona manualnie, co najmniej raz na tydzień.

 

§ 11
PRZEGLĄD I MONITOROWANIE SYSTEMÓW

  1. Przeglądy, naprawy i konserwacje systemu informatycznego, które będą przeprowadzane w miejscu użytkowania tego systemu wymagają obecności Właściciela  systemu lub innej wyznaczonej osoby.
  2. W przypadku gdy konieczne jest dokonanie przeglądu, naprawy lub konserwacji systemu informatycznego poza miejscem jego użytkowania, z urządzenia należy wymontować element, na którym zapisane są dane osobowe, o ile jest to możliwe. W przeciwnym wypadku należy zawrzeć z podmiotem dokonującym naprawy umowę powierzenia.
  3. Osoby niebędące pracownikami, które prowadzą prace serwisowe na rzecz Administratora Danych przed rozpoczęciem prac, powinny być poddane weryfikacji tożsamości przez Właściciela systemu lub inną wyznaczoną do tego celu osobę.
  4. Przegląd programów i narzędzi programowych powinien być przeprowadzany w przypadku zmiany wersji oprogramowania aplikacji, zmiany wersji oprogramowania bazy danych lub wykonania zmian w projekcie systemu spowodowanych koniecznością naprawy, konserwacji lub modyfikacji systemu.
  5. Mechanizmy monitorowania i tworzenia dzienników zdarzeń powinny być stosowane w celu umożliwienia rejestracji działań związanych z bezpieczeństwem przetwarzania danych osobowych.
  6. Dziennik zdarzeń powinien odzwierciedlać wymagania biznesowe oraz wymagania bezpieczeństwa przetwarzania danych osobowych. Jako domyślnie dziennik audytu powinien być przechowywany przez min. 6 miesięcy.
  7. Dziennik zdarzeń powinien zawierać w szczególności:
    1. identyfikator użytkownika, który wygenerował zdarzenie;
    2. datę, czas i szczegóły ważnych zdarzeń, np. rozpoczęcia i zakończenia pracy w systemie;
    3. pliki lub obiekty powiązane z wygenerowanym zdarzeniem;
    4. adres IP źródłowy i docelowy;
    5. zmiany konfiguracji systemu;
    6. informację o zdarzeniu.
  8. Zarejestrowane zdarzenia powinny być analizowane w celu identyfikacji problemów związanych z przetwarzaniem danych osobowych oceny skuteczności zaimplementowanych mechanizmów kontrolnych.
  9. Dziennik zdarzeń należy zabezpieczyć przed modyfikacją oraz nieuprawnionym dostępem.

§ 12
POSTANOWIENIA KOŃCOWE

  1. Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Instrukcji może być podstawą rozwiązania stosunku pracy bez wypowiedzenia z osobą, która dopuściła się naruszenia.
  2. W sprawach nieuregulowanych w niniejszej Instrukcji zarządzania mają zastosowanie przepisy Rozporządzenia oraz przepisy wykonawcze.
  3. Użytkownicy systemu zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Instrukcji, w wypadku odrębnych od zawartych w niniejszej Instrukcji uregulowań występujących w innych procedurach obowiązujących na Platformie użytkownicy systemu mają obowiązek stosowania zapisów dalej idących, których stosowanie zapewni wyższy poziom ochrony danych osobowych przetwarzanych w systemie informatycznym.
  4. Instrukcja niniejsza obowiązuje od dnia 05 maja 2018 roku.