Polityka Prywatności

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

STOSOWANA W SPÓŁCE POD FIRMĄ: ERAMEDICA SPÓŁKA Z O.O.

 

I. Regulacje ogólne

Przepisy niniejszej Polityki Bezpieczeństwa (dalej określanej jako „Polityka”) stanowią regulację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych.

W czasie wykorzystywania posiadanych danych w ramach struktury organizacyjnej jej poddanej należy przestrzegać postanowień niniejszej Polityki.

 

II. Definicje pojęć

Ilekroć w treści Polityki wykorzystane zostało któreś ze wskazanych poniżej określeń należy im nadać znaczenia określone poniżej w pkt. a) - m)

Spółka – spółka pod firmą: ERAMEDICA Spółka z o.o., z siedzibą we Włodawie, adres: ul. J. Piłsudskiego 5; 22-200 Włodawa (Nr KRS 0000510537, sąd rejestrowy – Sąd Rejonowy Lublin – Wschód w Lublinie, z/s w Świdniku VI Wydział KRS (adres: ul. Stefana Kardynała Wyszyńskiego 18; 21 – 040 Świdnik), REGON: 061687854, NIP: 5651526421;

Apteka – przedsiębiorstwo apteczne prowadzone przez Spółkę;

Serwis – portal internetowy prowadzony przez Aptekę w celu realizacji działalności aptecznej z wykorzystaniem elektronicznych systemów porozumiewania się na odległość;

Zarejestrowany Użytkownik – osoba, która – zgodnie z postanowieniami niniejszego Regulaminu – dokonała rejestracji w celu uzyskania możliwości pełnego korzystania z usług Serwisu tj. w szczególności dokonywania zakupów w Aptece.

Klient – osoba, która mając status Zarejestrowanego Użytkownika korzysta z usług lub kupuje towary od ERAMEDICA Spółka z o.o. w ramach Apteki Internetowej.

Operator – spółka pod firmą: IAI Spółka Akcyjna (NIP: PL-852-247-09-67) wpisana do Krajowego Rejestru Sądowego pod numerem 0000325245, z siedzibą w Szczecinie (71-064) przy ulicy Piastów 30.

Ceneo Sp. z o.o. – spółka pod firmą: Ceneo Sp. z o. o. z siedzibą w Poznaniu, adres: ul. Grunwaldzka 182l 60-166 Poznań, o kapitale zakładowym w wysokości 145.700,00 zł; wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Poznań – Nowe Miasto i Wilda, Wydział VIII Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000493884, posiadająca numer identyfikacji podatkowej NIP: 7792420393.

Serwis Ceneo – prowadzony przez Ceneo Sp. z o.o. pod adresem internetowym http://www.ceneo.pl/ serwis internetowy służący pośredniczeniu w sprzedaży towarów. Serwis Ceneo przechowuje i przetwarza dane obejmujące fakt dokonania transakcji z wykorzystaniem serwisu.

SKĄPIEC PL sp. z o.o. - spółka pod firmą: SKĄPIEC PL Sp. z o. o. z siedzibą we Wrocławiu, adres: ul. Powstańców Śląskich 2-4, 53-333 Wrocław; wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Wrocławia Fabrycznej we Wrocławiu Wydział VI Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000412961, posiadająca numer identyfikacji podatkowej NIP: 8971781582.

Serwis Skąpiec – prowadzony przez SKĄPIEC PL Sp. z o.o. pod adresem internetowym http://www.skapiec.pl/ serwis internetowy służący pośredniczeniu w sprzedaży towarów. Serwis Ceneo przechowuje i przetwarza dane obejmujące fakt dokonania transakcji z wykorzystaniem serwisu.

Polityka – niniejsza Polityka Bezpieczeństwa.

Instrukcja – Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w ERAMEDICA Spółka z o.o., która stanowi załącznik nr 1 do Polityki Bezpieczeństwa danych osobowych.

Regulamin Apteki – Regulamin Apteki Internetowej, stanowiący ogólne warunki korzystania z elektronicznego serwisu sprzedażowego ERAMEDICA Spółka z o.o.

 

III. Ogólne Zasady ochrony danych osobowych:

1. Spółka – w ramach prowadzenia Serwisu – gromadzi dane osobowe dotyczące klientów (Zarejestrowanych Użytkowników), którzy korzystają
z usług Operatora (zamówionych i realizowanych na zlecenie Spółki), w celu nabywania Produktów. Dane te są wykorzystywane przy zawieraniu i wykonywaniu umów sprzedaży zawieranych z Zarejestrowanymi Użytkownikami oraz w celu sporządzenia wymaganej prawem dokumentacji. Dane te są przekazywane Operatorowi w celu umożliwienia realizacji transakcji.

2. Spółka jest Administratorem danych osobowych Zarejestrowanych Użytkowników w rozumieniu przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. 2002 r., Nr 101, poz. 926 ze zm.), na podstawie stosownej umowy wiążącej Operatora ze Spółką.

3. Podanie danych osobowych obejmujących: imię, nazwisko, adres, oraz ewentualnie oświadczenie właściciela posesji jest dobrowolne, lecz niezbędne dla osiągnięcia statusu Klienta Spółki.

4. Operator nie będzie udostępniał danych osobowych Klientów Operatora osobom trzecim (z zastrzeżeniem ustawowo przewidzianych wyjątków).

5. Spółka w ramach współpracy z Serwisem Ceneo (prowadzonym przez spółkę pod firmą: Ceneo Sp. z o.o.) i z Serwisem Skąpiec (prowadzonym przez spółkę pod firmą: SKĄPIEC PL Sp. z o.o.) udostępnia dane o dokonaniu transakcji klientów Apteki. Ceneo sp. z o.o. i SKĄPIEC PL Sp. z o.o. są uprawnione do wykonywania co najmniej następujących operacji na otrzymanych danych: przeglądanie, utrwalanie i przechowywanie. Ceneo sp. z o.o. i SKĄPIEC PL Sp. z o.o. będą również przekazywać otrzymane od Apteki dane, podmiotom współpracującym z Ceneo sp. z o.o. i i SKĄPIEC PL Sp. z o.o., które realizują czynności w ramach Serwisu Ceneo i Serwisu SKĄPIEC. Szczegółowe informacje dostępne są w Regulaminie Apteki dostępnym pod adresem: www.aptekapomocna24.pl.

6. Klient Apteki jest uprawniony do:

a) dostępu do treści swoich danych, kontroli ich treści oraz ich poprawiania;

b) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego
lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

 

 

IV. Szczegółowe zasady ochrony danych osobowych.

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe:

- dane osobowe znajdują się w pomieszczeniach w budynku położonym w Lublinie przy ul. Krakowskie Przedmieście 23; 20-002 Lublin,

- końcówki systemów teleinformatycznych zawierających dostęp do serwerów obejmujących dane niezbędne dla administrowania znajdują się ponadto w następujących lokalizacjach:

- w pomieszczeniach aptecznych w ul. Krakowskie Przedmieście 23; 20-002 Lublin

 

2. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych:

- spółka dysponuje podstawowymi danymi klientów tj. imię, nazwisko (ew. firma – nazwa), adres, numery NIP i REGON w wypadku przedsiębiorców oraz klientów instytucjonalnych,

 

3. Opis systemów komputerowych Apteki zawarto poniżej:

 

Apteka posiada dwa kluczowe systemy komputerowe:

 

Serwer HP ProLiant ML350p Gen8 CPU E5-2603 v2 1.8GHz, 8GB RAM, 64-bit Platforma systemowa Windows Server 2008 R2 Standard. Zaimplementowanym systemem ERP jest KS-AOW w wersji 2015.

 

- Stanowisko: Końcówka HP HP ProDesk 400 G2 PC, Intel i3-6100T CPU 3.2 GHz, 3 MB, 4 GB RAM, 64-bit. Platforma systemowa: Windows 7 Professional Service Pack 1. Stanowisko wykorzystywane jest do obsługi Apteki Internetowej. Zaimplementowanym systemem ERP jest KS-AOW klient firmy Kamsoft wersja 2016 oraz IAI-Shop.com Kamsoft Integrator firmy IAI.

 

Pozostałe stanowiska apteczne ST 1 do ST5 oparte są na platformie systemowej Windows oraz posiadają zaimplementowany system ERP KS-Apteka w wersji 2016, są wykorzystywane jako stanowiska sprzedażowe oraz zapleczowe.

Opis przeznaczenia programów, sposób ich działania oraz wykorzystanie podczas przetwarzania danych zawierają instrukcje opracowane przez twórców wszystkich systemów.

 

Opis systemów komputerowych Operatora zawarto poniżej:

 

Operator posiada systemy komputerowe o strukturze rozproszonej spełniające stosowne wymogi bezpieczeństwa zawarte w art. 31 ustawy o ochronie danych osobowych.

 

Opis przeznaczenia programów, sposób ich działania oraz wykorzystanie podczas przetwarzania danych zawierają instrukcje opracowane przez twórców wszystkich systemów.

 

Spółka posiada stały dostęp do Internetu korzystając z usług ORANGE POLSKA S.A.
z siedzibą w Warszawie.

 

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi:

 

- struktury zbiorów danych obsługiwanych i składowanych w plikach systemów informatycznych Operatora zależą od charakterystyki technicznej poszczególnych składników sytemu – szczegółowe dane zawarte w specyfikacjach poszczególnych programów.

- struktury zbiorów danych obsługiwanych i składowanych w plikach systemów informatycznych Spółki zależą od charakterystyki technicznej poszczególnych składników sytemu – szczegółowe dane zawarte w specyfikacjach poszczególnych programów.

- system informatyczny Apteki oparty jest na serwerze pracującym pod kontrolą systemu Windows Server 2008 R2 Standard w wersji 64bit.

Dodatkowo struktura zbiorów opiera się na bazie danych zawierającej wszystkie informacje włącznie z danymi osobowymi. Zaimplementowaną bazą jest produkt firmy Oracle w wersji 10.2.0.4.

 

Sposób przepływu danych pomiędzy poszczególnymi systemami:

Aplikacją użytkową służącą do obsługi Apteki Internetowej po stronie Apteki
w Lublinie jest KS-AOW firmy Kamsoft S.A. i jej moduł „Apteki Internetowej”
o numerze 45.

 

Drugą aplikacją, która komunikuje się z modułem apteki internetowej jest „IAI-Shop.com Kamsoft Integrator” firmy IAI S.A. Aplikacja ta pobiera dane z wcześniej wspomnianej „Apteki internetowej” i przesyła je na swoje serwery, na których znajduje się strona internetowa serwisu Apteki Internetowej Spółki. Aplikacją pośredniczącą w komunikacji jest również oprogramowanie IAI Downloader.

 

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Po odebraniu danych od operatora do systemów informatycznych Spółki system zabezpieczony jest przed nieautoryzowanym dostępem w następujący sposób:

- system chroniony jest przez program antywirusowy Symantec Endpoint Protection, zabezpieczający przed nieautoryzowanym dostępem przy pomocy użycia złośliwego kodu w postaci np. wirusów komputerowych czy spyware, malware, jak również zagrożeniami sieciowymi. Do systemu posiadają dostęp wyłącznie autoryzowani pracownicy Spółki,

wszystkie systemy chronione są odpowiednimi hasłami dostępowymi zabezpieczającymi przed nieautoryzowanym dostępem do aplikacji i danych zamieszczonych na komputerach Spółki.

 

Zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych określa stosowna Instrukcja zarządzania systemem informatycznym, stanowiąca załącznik nr 1 do niniejszej Polityki.

 

Niniejsza Polityka wchodzi w życie w dniu 31 marca 2016 r.

 

 

Włodawa, dnia 31 marca 2016 r.

Załącznik nr 1 do Polityki Bezpieczeństwa danych osobowych:

 

Instrukcja

zarządzania systemem informatycznym

służącym do przetwarzania danych osobowych

w ERAMEDICA Spółka z o.o.

 

Niniejsza instrukcja obowiązuje w przedsiębiorstwach prowadzonych przez ERAMEDICA Spółka z o.o. i określa sposób zarządzania systemem informatycznym służącym
do przetwarzania danych osobowych.

 

Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności:

- decyzje w tym zakresie należą do wyłącznej kompetencji Zarządu Spółki;

- administratorem sieci informatycznej jest spółka pod firmą MGS-SOFT Sp. z o.o., z/s w Lublinie.

 

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem:

 

- wszyscy użytkownicy korzystający z zasobów sieci uwierzytelniają się poprzez hasła dostępowe oraz posiadają odpowiednie przywileje i uprawnienia, które określają zakres zasobów dostępnych dla danego użytkownika;

- oprogramowanie posiada system uprawnień dla poszczególnych użytkowników
co gwarantuje nienaruszalność danych i programów oraz zabezpieczenie ich przed nieuprawnioną zmianą i niepowołanym dostępem;

- serwer plików znajduje się w odrębnym pomieszczeniu aptecznym o ograniczonym dostępie objętym reżimem wynikającym z prawa farmaceutycznego;

- serwer plików, jak i stacje robocze posiadają zasilanie z odrębnej fazy. Ponadto serwer i komputery podłączone są do UPS;

- w środowisku sieci ERAMEDICA Sp. z o.o. zainstalowany jest rozbudowany system ochrony antywirusowej, który obejmuje wszystkie stacje robocze, pliki serwera oraz pocztę internetową. Zabezpiecza to program firmy Symantec.

 

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu:

- uzyskanie dostępu do systemu (podczas procedury „logowania”) wymaga podania indywidualnego identyfikatora użytkownika oraz hasła;

- zawieszenie pracy w systemie wymaga aktywacji stosownej procedury, w wypadku nieaktywności użytkownika przez zdefiniowany okres, system samoczynnie przechodzi
w stan zawieszenia, jego uchylenie wymaga podania identyfikatora oraz hasła;

- zakończenie pracy w systemie wymaga zastosowania procedury „wylogowania”.

 

Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania:

 

- codziennie na serwerze tworzone są kopie bezpieczeństwa na macierzy dyskowej skonfigurowanej w trybie RAID1, dodatkowo w celu ich zabezpieczenia przed fizycznym uszkodzeniem kopia bezpieczeństwa archiwizowana jest na drugim komputerze wchodzącym w skład sieci komputerowej w Aptece w Lublinie.

- poszczególni użytkownicy posiadający dane na dyskach lokalnych archiwizują je według własnych potrzeb.

 

Określenie sposobu, miejsca i okresu przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe:

- są przechowywane w zamkniętym pomieszczeniu w siedzibie Zarządu Spółki
o ograniczonym dostępnie, kluczem dysponuje upoważniony pracownik sekretariatu;

b) kopii zapasowych:

- są przechowywane w zamkniętym pomieszczeniu w siedzibie Zarządu Spółki
o ograniczonym dostępnie, kluczem dysponuje upoważniony pracownik sekretariatu.

 

Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego:

- system informatyczny Spółki jest zabezpieczony poprzez system antywirusowy Symantec oraz zaporę sieciową tej samej firmy.

 

Zasady realizacji wymogów w związku ze stosowaniem kilku systemów informatycznych:

 

- współpracujące systemy chronione są przed nieautoryzowanym bezpośrednim dostępem osób z zewnątrz

- współpracujące systemy posiadają odpowiedni poziom bezpieczeństwa zagwarantowany oprogramowaniem antywirusowym, zaporą sieciową oraz zaimplementowanymi najnowszymi aktualizacjami bezpieczeństwa, udostępnianymi przez twórców tych właśnie systemów

- współpracujące systemy chronione są poprzez hasła zabezpieczające,

- współpracujące systemy połączone są ze sobą siecią przewodową.

 

Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych:

 

- przeglądy i konserwacje systemów oraz nośników informacji służących do przetwarzania danych osobowych będą dokonywane na polecenie Zarządu Spółki przez osoby posiadające stosowną wiedzę informatyczną wykonujące prawa profesjonalnego podmiotu zajmującego się konserwacją systemów informatycznych pod nadzorem wyznaczonego pracownika Operatora.

 

Niniejsza Instrukcja wchodzi w życie w dniu 31 marca 2016 r.

 

 

 

Włodawa, 31 marca 2016 roku

Strona korzysta z plików cookie w celu realizacji usług zgodnie z Polityką dotyczącą cookies. Możesz określić warunki przechowywania lub dostępu do cookie w Twojej przeglądarce.
Zamknij
pixel