1. CEL WPROWADZENIA I ZAKRES

Celem niniejszego dokumentu jest określenie zasad ochrony danych osobowych w HANDY.AI Sp. z o.o. (dalej „Spółka”) z uwzględnieniem ryzyka i zidentyfikowanych zagrożeń, w celu uzyskania i  utrzymania  zgodności  operacji  przetwarzania  z  przepisami  w  zakresie  ochrony  danych  osobowych,  w szczególności Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) oraz realizacji praw lub wolności osób, których dane dotyczą.

2. DEFINICJE, TERMINOLOGIA

Dane osobowe - wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Podmiot danych - osoba, której dane dotyczą.
Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Spółki 
Przetwarzanie danych osobowych - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub nie zautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie 
Administrator danych osobowych - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania

WPROWADZENIE

2.1 Niniejsze zasady zostały opracowane i wdrożone przez HANDY.AI Sp. z o.o. w oparciu o zapisy art. 24 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) do obligatoryjnego stosowania przez wszystkie osoby upoważnione do przetwarzania danych osobowych w celu zapewnienia organizacyjnych środków przetwarzania danych osobowych.
2.2 Bezpieczeństwo zasobów Spółki jest  realizowane  poprzez  opracowanie, zaimplementowanie i stosowanie odpowiednich środków technicznych i organizacyjnych, uwzględniających charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. 
2.3 Bezpieczeństwo danych osobowych w Spółki rozumiane jest jako zapewnienie:
‒poufności, czyli zapewnienie, że dane są dostępne jedynie osobom upoważnionym,
‒integralności, czyli zapewnienie poprawności i kompletności danych oraz metod przetwarzania,
‒dostępności, czyli zapewnienie, że osoby upoważnione mają dostęp do danych wtedy, gdy jest to potrzebne.
2.4 W celu monitorowania skuteczności zastosowanych organizacyjnych i technicznych środków ochrony, w Spółki cyklicznie (min. raz do roku) przeprowadzana jest analiza ryzyka uwzględniająca aspekty związane z ochroną danych osobowych. Koordynatorem procesu jest Koordynator ds. ochrony danych osobowych. Przedmiotowa analiza może być również przeprowadzona  w przypadku  wystąpienia istotnych zmian w otoczeniu wewnętrznym (np. znacząca reorganizacja struktury, wdrożenie nowego systemu informatycznego przetwarzającego dane osobowe, wdrożenie nowych  procesów) lub zewnętrznym (np. zmiany w przepisach prawa ochrony danych osobowych) lub w przypadku wystąpienia naruszenia ochrony danych osobowych.
2.5 Niniejsze zasady stanowią pakiet reguł i praw regulujących zasady przetwarzania i ochrony danych osobowych w Spółki.
2.6 Spółka realizując zapisy niniejszych zasad dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były:
a) przetwarzane zgodnie z prawem,
b) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
d) prawidłowe tj. aktualne,
e) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania,
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
2.7 Niniejsze zasady obowiązują wszystkich pracowników Spółki, zaś ich naruszenie stanowi naruszenie obowiązków pracowniczych. 
2.8 Niniejsze zasady włącza się do programów szkoleniowych jako obligatoryjny obszar wiedzy, z którym powinni być zapoznani wszyscy pracownicy Spółki oraz w stosownych przypadkach pracownicy podmiotów zewnętrznych, którym dane osobowe są powierzane. 
2.9 Spółka, w zgodzie z uregulowaniami prawnymi, wyznacza Inspektora ds. Ochrony Danych, który wspiera Spółkę w zakresie prawidłowego przetwarzania danych osobowych.

3 .ZADANIA I ODPOWIEDZIALNOŚCI

3.1 Zarząd Spółki realizuje zadania w zakresie ochrony danych osobowych: 
a) wyznacza standardy bezpieczeństwa danych osobowych,
b) wyznacza  osobę  dedykowaną  do  nadzorowania  i  koordynowania  obszaru  ochrony  danych osobowych –Inspektora ds. Ochrony Danych,(IOD);
c) nadzoruje wdrażanie mechanizmów ochrony danych osobowych Spółki,
d) koordynuje proces zarządzania naruszeniem ochrony danych osobowych.
e) podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem zmian w obowiązującym prawie, organizacji administratora danych oraz technik zabezpieczania danych osobowych;
f) zapewnia, aby przetwarzanie danych osobowych odbywało się wyłącznie przez osoby do tego upoważnione;
g) zleca kierownikom komórek organizacyjnych, by zapewnili podległym im pracownikom odpowiednie stanowiska pracy umożliwiające bezpieczne przetwarzanie danych; 
h) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych,
i) współpracuje z organem nadzorczym na każde jego żądanie.
3.2 Inspektor ds. Ochrony Danych, pełni  funkcję  doradczą  i  nadzorującą  działania  w zakresie ochrony danych osobowych dla Spółki:
3.2.1 Inspektor ds. Ochrony Danych, właściwie i niezwłocznie włączany we wszystkie sprawy  dotyczące  ochrony  danych  osobowych w Spółki,  np.  w  nowe  projekty (usługi/aplikacje/procesy), a także modyfikowane, dotychczas funkcjonujące, w ramach których będzie miało miejsce przetwarzanie danych osobowych, w celu zapewnienia wymagań ochrony danych osobowych w fazie projektowania.
3.2.2 Osoby, których dane dotyczą, mogą kontaktować się z Inspektorem ds. Ochrony Danych, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw im przysługujących. 
3.2.3 Inspektor ds. Ochrony Danych, ma następujące zadania:
a) informowanie Spółki, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane  osobowe,  o  obowiązkach  spoczywających  na  nich  na  mocy  RODO  oraz  innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
b) monitorowanie  przestrzegania  wymagań  RODO,  innych  przepisów  Unii  lub  państw członkowskich o ochronie danych oraz niniejszych zasad, 
c) podejmowanie działań zwiększających świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania danych osobowych oraz realizacja powiązanych z tym audytów;
d) przeprowadzanie  oceny  skutków  dla  ochrony  danych  (DPIA)  oraz  monitorowanie  jej wykonania;
e) współpraca  z  organem  nadzorczym,  pełnienie  funkcji  punktu  kontaktowego  dla  organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
f) opracowywanie  i  aktualizowanie  wszelkich regulacji  wewnętrznych Spółki w zakresie ochrony danych osobowych;
g) prowadzenie dla Spółki rejestru czynności przetwarzania Administratora danych i rejestru wszystkich  kategorii  czynności  przetwarzania  Podmiotu  Przetwarzającego  zgodnie  z zatwierdzonym wzorem;
h )prowadzenie rejestru obowiązujących wzorów zgód na przetwarzanie danych osobowych i obowiązków informacyjnych w Spółki; 
i) nadzór nad realizacją praw osób, których dane są przetwarzane;
j) zarządzanie naruszeniami ochrony danych osobowych w Spółki;
k) prowadzenie rejestru upoważnień do przetwarzania danych osobowych w Spółki;
l) prowadzenie rejestru umów powierzenia.

3.2.4 Inspektor ds. Ochrony Danych, wypełnia  swoje  zadania  z  należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

4. GROMADZENIE ORAZ PRZEPŁYW DANYCH OSOBOWYCH 

4.1 Gromadzone dane osobowe są udostępniane pracownikom w zakresie minimalnym, niezbędnym do wykonywania  ich  pracy  na  danych  stanowisku  lub  związanym  z  charakterem  podejmowanych obowiązków na danym stanowisku lub w związku z innymi zleconymi zadaniami i zawsze w oparciu o posiadane upoważnienie do przetwarzania danych osobowych. 
4.2 Upoważnienie do przetwarzania danych osobowych nadawane jest przez Spółkę przed rozpoczęciem przetwarzania danych. Wzór upoważnienia stanowi załącznik nr 1.                     4.3 Przepływ danych osobowych poza Spółkę możliwy jest w związku z: 
‒potrzebą  udostępnienia  danych  osobowych  na  mocy  przepisów  prawa, w celu realizacji umów,   w  związku  z  prawnie uzasadnionym interesem Spółki lub za zgodą Podmiotu danych,
‒powierzeniem przetwarzania danych osobowych. 
4.4 Każde przekazanie danych osobowych poza Spółkę musi być realizowane z zachowaniem zasad bezpieczeństwa i w sposób gwarantujący zachowanie poufności i integralności przedmiotowych danych.
4.5 Jeżeli przetwarzanie ma być dokonywane w imieniu Spółki należy korzystać wyłącznie z usług takich Podmiotów  przetwarzających,  które  zapewniają  wystarczające  gwarancje  wdrożenia  odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz realizowało niniejsze zasady, a także chroniło prawa osób, których dane dotyczą. W tym celu właściciel biznesowy umowy, w ramach której będzie miało miejsce powierzenie przetwarzania danych osobowych, określa kryteria wyboru podmiotu, które z uwzględnieniem specyfiki danego procesu przetwarzania, zapewnią przedmiotowe gwarancje. 
4.6 Powierzenie danych osobowych odbywa się na podstawie: 
‒umowy powierzenia zgodnej z zatwierdzonym w Spółki wzorem, lub
‒klauzuli w umowie głównej, z zastrzeżeniem uwzględnienia wszystkich wymagań zawartych we wzorze umowy powierzenia.
4.7 W  uzasadnionych  przypadkach  dopuszczalne  jest  podpisanie  umowy  powierzenia  na  wzorze kontrahenta, z  zastrzeżeniem,  że  musi  on  gwarantować  zabezpieczenie  interesu Spółki,  a  także realizację praw osób, których dane dotyczą. 
4.8 Obowiązek  zawarcia umowy  powierzenia  (lub  odpowiedniej  klauzuli)  jest  niezależny  od  trybu podejmowania współpracy z Podmiotem Przetwarzającym. Na właścicielu merytorycznym (biznesowym) procesu, którego dotyczy przedmiot zamówienia, spoczywa obowiązek podpisania przedmiotowej umowy zarówno w przypadku realizacji zamówienia zgodnie z obowiązującym procesem zakupowym, jak i poza nim. 
4.9 Właściciel biznesowy umowy zobowiązany jest wskazać w umowie powierzenia środki bezpieczeństwa, które podmiot przetwarzający wdraża w celu zapewnienia poufności, integralności i dostępności danych osobowych Spółki. 
4.10 Umowy powierzenia podlegają ewidencjonowaniu w rejestrze prowadzonym przez IOD.
4.11 Przekazanie  jakichkolwiek  danych  osobowych  podmiotowi  zewnętrznemu,  w  ramach powierzenia przetwarzania danych, możliwe jest dopiero w momencie zawarcia umowy powierzenia. W przypadku danych osobowych, których przetwarzanie zostało powierzone Spółki, ich dalsze podpowierzenie jest możliwe  w  przypadku  uzyskania  wcześniejszej  zgody Administratora  danych  (zgodnie z zapisami umowy powierzenia pomiędzy Administratorem danych a Podmiotem przetwarzającym).
4.12 Współpraca z Podmiotem przetwarzającym realizowana jest zgodnie z zawartą umową powierzenia oraz standardami bezpieczeństwa ustanowionymi w Spółki. 
4.13 Spółka i Podmiot przetwarzający współpracują ze sobą w celu realizacji praw osób, których dane są przetwarzane. 
4.14 Zabronione jest przekazywanie danych do państwa trzeciego (poza Europejski Obszar Gospodarczy) lub organizacji międzynarodowej. Odstępstwo od tej zasady możliwe jest tylko i wyłącznie w celu realizacji umów zawartych przez Spółkę i po uzyskaniu zgody  Inspektora ds. Ochrony Danych, który dokonuje weryfikacji spełnienia przesłanek, o których mowa w Rozdziale V RODO.

5. ŚRODKI OCHRONY DANYCH OSOBOWYCH

5.1 Spółka wdraża odpowiednie  techniczne  i  organizacyjne  środki ochrony  danych  osobowych uwzględniające stan  wiedzy  technicznej,  koszt  wdrażania  oraz  charakter,  zakres,  kontekst  i  cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Przedmiotowe mechanizmy wyznaczane są z wykorzystaniem stosowanego w Spółki procesu analizy ryzyka.
5.2 Środki  ochrony  zostały  opisane  w  regulacjach  wewnętrznych Spółki, określających  obszar bezpieczeństwa fizycznego, technicznego i organizacyjnego. 
5.3 Każda osoba przed otrzymaniem dostępu do przetwarzania danych osobowych zostaje zapoznana z zasadami  zarządzania  danymi  osobowymi  w Spółki. Każdy  pracownik  składa  oświadczenie  o przestrzeganiu  zasad  ochrony  danych  osobowych,  zobowiązuje  się  do  zachowania  poufności  oraz otrzymuje upoważnienie na przetwarzanie danych osobowych w Spółki. Pracownicy zobowiązani są dołożyć najwyższej staranności w zakresie ochrony przetwarzanych danych osobowych. 
5.4 W celu ewidencjonowania operacji przetwarzania danych osobowych Inspektor ds. Ochrony Danych prowadzi rejestry:
‒Rejestr czynności przetwarzania Administratora danych 
‒Rejestr wszystkich kategorii czynności przetwarzania Podmiotu przetwarzającego, których wzory stanowią załączniki nr 2 i 3 do niniejszych zasad.
5.5 W  celu  sprawowania  nadzoru  nad  systemem  ochrony  danych  osobowych  w Spółki powołano Koordynatora ds. ochrony danych osobowych.
5.6 Z Podmiotami przetwarzającymi, którym zlecono przetwarzanie danych osobowych, podpisywane są stosowne umowy powierzenia.

6.REALIZACJA PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

6.1 Jednym z priorytetów Spółki jest ochrona praw osób, których dane są przetwarzane.
6.2 Każda osoba, której dane są przetwarzane, ma prawo do: 
‒dostępu do danych 
‒sprostowania danych
‒usunięcia danych („prawo do bycia zapomnianym”)
‒ograniczenia przetwarzania‒przenoszenia danych
‒sprzeciwu
6.3 Zasady realizacji powyższych praw zostały opisane w Procedurze realizacji praw osób, których dane dotyczą, która stanowi załącznik nr 4.

7.INFORMOWANIE PODMIOTU DANYCH 

7.1 W przypadku zbierania danych od osób, których dane dotyczą, najpóźniej w momencie ich pozyskiwania, Podmiot danych jest informowany o:
a) nazwie Administratora danych, jakim jest Spółka, jej danych kontaktowych,
b) celach przetwarzania danych osobowych i podstawie prawnej przetwarzania,
c) prawnie uzasadnionym interesie realizowanym przez Spółkę (jeżeli przetwarzanie odbywa się na podstawie przesłanki prawnie uzasadnionego interesu),
d) odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
e) zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz  o  stwierdzeniu  lub  braku  stwierdzenia  przez Komisję Europejską odpowiedniego  stopnia ochrony  lub  o  odpowiednich  lub  właściwych  zabezpieczeniach  oraz  informacje  o  sposobach uzyskania kopii tych zabezpieczeń lub miejscu ich udostępnienia (jeśli dotyczy),
f) okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu, 
g) prawie do żądania od Spółki dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, 
h) prawie  do  cofnięcia  zgody  w  dowolnym  momencie  bez  wpływu  na  zgodność  z  prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na podstawie zgody osoby),
i) prawie wniesienia skargi do organu nadzorczego, 
j) tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych, 
k) zautomatyzowanym  podejmowaniu  decyzji,  w  tym  o  profilowaniu  oraz  – przynajmniej  w  tych przypadkach – istotne  informacje  o  zasadach  ich  podejmowania,  a  także  o  znaczeniu  i przewidywanych  konsekwencjach  takiego  przetwarzania  dla  osoby,  której  dane  dotyczą  (jeżeli dotyczy).
7.2 W przypadku zbierania danych z innych źródeł niż od osób, których te dane dotyczą, Podmiot danych jest niezwłocznie (najpóźniej w ciągu 30 dni) informowany o: 
a) nazwie Administratora danych, jakim jest Spółka, jej danych kontaktowych,
b) celach przetwarzania danych osobowych i podstawie prawnej przetwarzania,
c) prawnie uzasadnionym interesie realizowanym przez Spółkę (jeżeli przetwarzanie odbywa się na podstawie przesłanki prawnie uzasadnionego interesu),
d) odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
e) zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz  o  stwierdzeniu  lub  braku  stwierdzenia  przez  Komisję Europejską odpowiedniego  stopnia ochrony  lub  o  odpowiednich  lub  właściwych  zabezpieczeniach  oraz  informacje  o  sposobach uzyskania kopii tych zabezpieczeń lub miejscu ich udostępnienia (jeśli dotyczy),
f) okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu,
g) prawie do żądania od Spółki dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
h) prawie  do  cofnięcia  zgody  w  dowolnym  momencie  bez  wpływu  na  zgodność  z  prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na podstawie zgody osoby) , 
i) prawie wniesienia skargi do organu nadzorczego,
j) źródle pochodzenia danych osobowych;
k) zautomatyzowanym  podejmowaniu  decyzji,  w  tym  o  profilowaniu  oraz –przynajmniej  w  tych przypadkach –istotne  informacje  o  zasadach  ich  podejmowania,  a  także  o  znaczeniu  i przewidywanych konsekwencjach  takiego  przetwarzania  dla  osoby,  której  dane  dotyczą  (jeżeli dotyczy).
7.3 Zalecane jest wykorzystywanie treści informacyjnych zawartych w rejestrze obowiązujących wzorów zgód na przetwarzanie danych osobowych i obowiązków informacyjnych, prowadzonym przez Inspektor ds. Ochrony Danych.