Polityka Prywatności

1. Postanowienia ogólne

Niniejszy dokument stanowi Politykę Prywatności marki Handke Digital Solutions (Handke DS), należącej do spółki Handke Holding OÜ, zarejestrowanej w Republice Estońskiej, z siedzibą pod adresem: Harju maakond, Kesklinna linnaosa, Sakala tn 7-2, 10141 Tallinn, Estonia, wpisanej do estońskiego rejestru handlowego pod numerem 17387477.

Handke Digital Solutions prowadzi działalność w zakresie programowania, tworzenia stron internetowych, automatyzacji procesów oraz świadczenia rozwiązań cyfrowych dla firm i klientów indywidualnych na terenie Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego (EOG).

Celem niniejszej Polityki Prywatności jest przedstawienie w sposób jasny, przejrzysty i zgodny z prawem zasad przetwarzania danych osobowych osób:

• korzystających z usług Handke Digital Solutions,
• odwiedzających stronę internetową www.handkeds.com,
• wysyłających zapytania ofertowe lub korzystających z formularzy kontaktowych,
• pozostających z Administratorem w relacjach biznesowych lub umownych.

Polityka Prywatności określa zasady przetwarzania danych osobowych w związku z:

• prowadzeniem i obsługą strony internetowej,
• świadczeniem usług programistycznych, web-developerskich i cyfrowych,
• zawieraniem i realizacją umów oraz zleceń,
• prowadzeniem korespondencji biznesowej, administracyjnej i informacyjnej,
• wypełnianiem obowiązków prawnych wynikających z przepisów prawa Unii Europejskiej oraz Republiki Estońskiej.

Postanowienia niniejszej Polityki mają zastosowanie do:

• Klientów (firm i osób prywatnych),
• Partnerów biznesowych i kontrahentów,
• Przedstawicieli instytucji publicznych i organów administracji – w zakresie kontaktów służbowych,
• Użytkowników strony internetowej oraz innych osób, których dane są przetwarzane w ramach działalności Administratora.

Polityka obejmuje zarówno dane osobowe przekazywane Administratorowi bezpośrednio (np. poprzez formularze kontaktowe, e-mail lub telefon), jak również dane techniczne gromadzone automatycznie w związku z korzystaniem ze strony internetowej (np. adres IP, dane logów serwera, informacje o urządzeniu i przeglądarce).

Podstawa prawna przetwarzania danych

Niniejsza Polityka Prywatności została opracowana zgodnie z:

• Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO / GDPR),
• estońską ustawą o ochronie danych osobowych Isikuandmete kaitse seadus (RT I, 26.03.2019, 10),
• innymi obowiązującymi przepisami prawa Republiki Estońskiej oraz Unii Europejskiej.

Charakter dokumentu

Niniejszy dokument ma charakter informacyjny i służy realizacji obowiązku informacyjnego Administratora wobec osób, których dane dotyczą. Dokument nie stanowi porady prawnej ani interpretacji przepisów prawa.

Wszelkie pytania dotyczące przetwarzania danych osobowych można kierować do Administratora za pośrednictwem adresu e-mail: office@handkeds.com.

Zakres terytorialny i przekazywanie danych

Usługi Handke Digital Solutions świadczone są na terenie Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego (EOG).

Dane osobowe mogą być przekazywane podmiotom z innych państw UE lub EOG wyłącznie w zakresie niezbędnym do realizacji usług, przy zastosowaniu odpowiednich środków bezpieczeństwa.

W przypadku przekazywania danych osobowych poza EOG, Administrator stosuje odpowiednie zabezpieczenia prawne, w szczególności:

• standardowe klauzule umowne UE (SCC),
• inne mechanizmy zgodne z art. 44–49 RODO.

Dobrowolność podania danych

Podanie danych osobowych jest dobrowolne, jednak w określonych przypadkach niezbędne do:

• przygotowania oferty,
• zawarcia lub realizacji umowy,
• udzielenia odpowiedzi na zapytanie.

Brak podania wymaganych danych może uniemożliwić realizację powyższych celów.

2. Administrator danych osobowych

Administratorem danych osobowych w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO / GDPR) jest:

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2, 10141 Tallinn, Estonia
Registry code: 17387477
VAT UE: EE102932869
E-mail: office@handkeds.com
Telefon: +372 5617 1770

Status marki Handke Digital Solutions

Handke Digital Solutions jest marką należącą do spółki Handke Holding OÜ i nie stanowi odrębnego podmiotu prawnego ani odrębnego administratora danych osobowych.

Wszelkie dane osobowe przetwarzane w ramach działalności Handke Digital Solutions są przetwarzane przez Handke Holding OÜ jako Administratora, który decyduje o celach i sposobach przetwarzania danych osobowych, zgodnie z art. 4 pkt 7 RODO.

Język komunikacji

Podstawowym językiem operacyjnym Administratora jest język angielski.

Komunikacja pisemna, w tym zapytania oraz wnioski dotyczące przetwarzania danych osobowych, może być prowadzona w dowolnym urzędowym języku Unii Europejskiej lub Europejskiego Obszaru Gospodarczego (EOG). Administrator zapewnia rozpatrzenie takiej korespondencji zgodnie z obowiązującymi przepisami prawa.

Inspektor Ochrony Danych

Administrator nie jest zobowiązany do wyznaczenia Inspektora Ochrony Danych (DPO), ponieważ charakter, zakres oraz cele przetwarzania danych osobowych nie spełniają przesłanek określonych w art. 37 ust. 1 RODO.

W sprawach związanych z ochroną danych osobowych można kontaktować się bezpośrednio z Administratorem za pośrednictwem adresu e-mail: office@handkeds.com.

Zakres odpowiedzialności Administratora

Administrator odpowiada w szczególności za:

• zapewnienie zgodności przetwarzania danych osobowych z przepisami RODO oraz estońską ustawą Isikuandmete kaitse seadus,
• wdrożenie i stosowanie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych,
• realizację praw osób, których dane dotyczą,
• współpracę z właściwym organem nadzorczym do spraw ochrony danych osobowych w Republice Estońskiej (Andmekaitse Inspektsioon).

3. Kategorie osób, których dane przetwarzamy

W ramach prowadzonej działalności Handke Digital Solutions, należącej do Handke Holding OÜ, przetwarzane są dane osobowe wyłącznie w zakresie niezbędnym do prawidłowego świadczenia usług programistycznych, projektowych oraz administracyjnych.

Dane osobowe są przetwarzane w sposób przejrzysty, adekwatny oraz ograniczony do tego, co niezbędne w stosunku do celów, dla których są zbierane, zgodnie z zasadą minimalizacji danych, o której mowa w art. 5 ust. 1 lit. c RODO.

Administrator przetwarza dane osobowe następujących kategorii osób:

3.1. Klienci indywidualni

Osoby fizyczne korzystające z usług Handke Digital Solutions, w szczególności zamawiające realizację projektów stron internetowych, aplikacji, automatyzacji lub innych rozwiązań cyfrowych.

Przetwarzane dane obejmują w szczególności: imię i nazwisko, adres e-mail, numer telefonu, dane rozliczeniowe oraz informacje przekazane w ramach współpracy.

3.2. Klienci biznesowi i przedstawiciele firm

Przedstawiciele przedsiębiorstw, spółek lub innych organizacji korzystających z usług Handke Digital Solutions.

Przetwarzane dane obejmują w szczególności: imię i nazwisko, stanowisko służbowe, służbowy adres e-mail, numer telefonu oraz dane identyfikujące podmiot, w imieniu którego dana osoba występuje (np. nazwa firmy, adres, numer NIP/VAT).

3.3. Potencjalni klienci i kontrahenci

Osoby fizyczne, w tym przedstawiciele przedsiębiorstw lub organizacji, które kontaktują się z Administratorem w celu uzyskania informacji o ofercie, warunkach współpracy lub nawiązania relacji biznesowej.

Dane osobowe mogą być przekazywane bezpośrednio przez osobę, której dane dotyczą (np. za pośrednictwem formularza kontaktowego, poczty elektronicznej lub rozmowy telefonicznej), jak również pochodzić z publicznie dostępnych źródeł, w szczególności stron internetowych firm lub profesjonalnych platform biznesowych (np. LinkedIn).

Przetwarzanie danych osobowych w tym zakresie odbywa się na podstawie prawnie uzasadnionego interesu Administratora polegającego na prowadzeniu działań informacyjnych, nawiązywaniu i utrzymywaniu relacji biznesowych oraz rozwoju działalności (art. 6 ust. 1 lit. f RODO).

Osobom, których dane są przetwarzane na tej podstawie, przysługuje prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych w dowolnym momencie, zgodnie z art. 21 RODO.

3.4. Dostawcy i partnerzy techniczni

Osoby fizyczne prowadzące działalność gospodarczą oraz przedstawiciele podmiotów współpracujących z Handke Digital Solutions w zakresie usług pomocniczych, takich jak hosting, grafika, księgowość, tłumaczenia czy wsparcie IT.

Dane osobowe są przetwarzane w celu zawarcia i realizacji umowy lub wypełnienia obowiązków prawnych związanych z prowadzoną działalnością gospodarczą.

3.5. Osoby kontaktujące się z Administratorem

Osoby przesyłające zapytania, opinie lub zgłoszenia za pośrednictwem formularzy kontaktowych, poczty elektronicznej, telefonu lub innych kanałów komunikacji.

Przetwarzane dane obejmują podstawowe dane kontaktowe oraz treść korespondencji i są wykorzystywane wyłącznie w celu udzielenia odpowiedzi, obsługi zapytania lub rozwiązania zgłoszonej sprawy.

3.6. Przedstawiciele organów i instytucji publicznych

Pracownicy lub przedstawiciele organów administracji publicznej, instytucji państwowych oraz organów nadzorczych, z którymi Administrator utrzymuje kontakt w związku z realizacją obowiązków wynikających z przepisów prawa Republiki Estońskiej oraz Unii Europejskiej.

Uwagi uzupełniające

Administrator nie pozyskuje danych osobowych z niejawnych źródeł oraz nie prowadzi systematycznego monitorowania osób, których dane dotyczą.

Wszystkie dane osobowe są przetwarzane zgodnie z zasadami legalności, rzetelności, przejrzystości, minimalizacji, integralności i poufności, określonymi w art. 5 RODO oraz § 11 estońskiej ustawy Isikuandmete kaitse seadus.

4. Zakres przetwarzanych danych osobowych

Zakres przetwarzanych danych osobowych zależy od charakteru relacji z osobą, której dane dotyczą, oraz od celu ich przetwarzania.

Dane osobowe są przetwarzane w sposób adekwatny, ograniczony i proporcjonalny, zgodnie z zasadą minimalizacji wynikającą z art. 5 ust. 1 lit. c RODO oraz § 11 ust. 1 estońskiej ustawy Isikuandmete kaitse seadus.

Administrator może przetwarzać następujące kategorie danych osobowych:

4.1. Dane identyfikacyjne i kontaktowe

• imię i nazwisko,
• adres e-mail (służbowy lub prywatny),
• numer telefonu,
• adres korespondencyjny lub rozliczeniowy (jeśli wymagany do wystawienia faktury),
• dane firmowe (np. nazwa, adres, NIP / VAT UE, strona internetowa),
• stanowisko lub funkcja w firmie.

Dane te są niezbędne do nawiązania i utrzymania kontaktu, przygotowania oferty, realizacji umowy lub prowadzenia korespondencji biznesowej.

4.2. Dane dotyczące projektów i współpracy biznesowej

• dane przedstawicieli klientów i kontrahentów,
• informacje zawarte w umowach, zleceniach, specyfikacjach projektowych lub briefach,
• dane niezbędne do rozliczeń (np. płatności, faktury, rachunki),
• korespondencja e-mailowa oraz historia współpracy,
• pliki i materiały przekazywane przez klienta w celu realizacji usługi (np. teksty, grafiki, zrzuty ekranu, dokumentacja techniczna).

4.3. Dane pozyskane z publicznych źródeł

• dane udostępnione publicznie na stronach internetowych, platformach B2B lub portalach zawodowych (np. LinkedIn),
• informacje kontaktowe przedstawicieli firm publikowane w celach biznesowych.

Przetwarzanie tych danych odbywa się zgodnie z art. 14 RODO, z obowiązkiem poinformowania osoby, której dane dotyczą, w odpowiednim czasie po ich pozyskaniu, o ile przepisy prawa nie przewidują wyjątku.

4.4. Dane techniczne i eksploatacyjne

W ramach korzystania ze strony internetowej www.handkeds.com mogą być automatycznie rejestrowane podstawowe dane techniczne, takie jak:

• adres IP urządzenia,
• identyfikator przeglądarki i systemu operacyjnego,
• data i czas połączenia,
• odwiedzana strona lub zasób.

Dane te są przetwarzane wyłącznie w celu zapewnienia bezpieczeństwa, utrzymania ciągłości działania strony oraz zapobiegania nadużyciom (np. próbom włamań lub przeciążenia serwera).

Dane techniczne nie są wykorzystywane do celów marketingowych ani do profilowania, a Administrator nie prowadzi na ich podstawie analiz służących śledzeniu aktywności użytkowników.

4.5. Dane związane z podpisywaniem lub zatwierdzaniem dokumentów elektronicznych

W przypadku podpisywania lub zatwierdzania dokumentów elektronicznie za pośrednictwem usługi SignRequest / Dropbox Sign lub innych równoważnych rozwiązań, może być generowany tzw. audit trail zawierający w szczególności:

• adres IP,
• datę i godzinę podpisania,
• dane identyfikacyjne podpisującego (np. imię i nazwisko, adres e-mail).

Celem przetwarzania tych danych jest zapewnienie autentyczności podpisu oraz integralności dokumentu.

Podstawą prawną przetwarzania jest art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa i wiarygodności zawieranych umów oraz dokumentów.

4.6. Dane techniczne związane z utrzymaniem systemów i kopii zapasowych

W celu utrzymania ciągłości działania usług oraz bezpieczeństwa informacji Administrator może przetwarzać dane techniczne związane z funkcjonowaniem systemów i infrastruktury, w szczególności:

• identyfikatory systemowe i dane uwierzytelniające (w zakresie niezbędnym do kontroli dostępu),
• logi systemowe i dzienniki zdarzeń,
• kopie zapasowe plików oraz korespondencji.

Dane te przechowywane są na serwerach zlokalizowanych w Europejskim Obszarze Gospodarczym (EOG) i chronione odpowiednimi środkami bezpieczeństwa, w tym szyfrowaniem, zgodnie z art. 32 RODO.

4.7. Szczególne kategorie danych (dane wrażliwe)

Administrator co do zasady nie przetwarza szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO (np. danych dotyczących zdrowia, poglądów politycznych, pochodzenia etnicznego, przekonań religijnych, orientacji seksualnej).

Jeżeli osoba, której dane dotyczą, przekaże takie dane dobrowolnie (np. w treści wiadomości lub w załączniku), ich przetwarzanie odbywa się wyłącznie w zakresie niezbędnym oraz zgodnie z właściwą podstawą prawną, w szczególności:

• na podstawie wyraźnej zgody (art. 9 ust. 2 lit. a RODO), lub
• w zakresie wymaganym przepisami prawa, jeżeli mają zastosowanie.

Uwagi uzupełniające

Administrator nie pozyskuje danych osobowych z niejawnych źródeł, nie prowadzi profilowania ani zautomatyzowanego podejmowania decyzji.

Strona internetowa Handke Digital Solutions nie wykorzystuje plików cookies ani narzędzi analitycznych śledzących aktywność użytkowników.

Dane osobowe są przetwarzane wyłącznie w celach związanych z realizacją działalności programistycznej i technicznej, zgodnie z zasadami przejrzystości i bezpieczeństwa określonymi w art. 5 oraz art. 32 RODO, a także § 11 Isikuandmete kaitse seadus.

5. Cele i podstawy prawne przetwarzania danych osobowych

Handke Digital Solutions, należąca do Handke Holding OÜ, przetwarza dane osobowe wyłącznie w zakresie niezbędnym do prowadzenia działalności zgodnej z prawem, w sposób uczciwy, przejrzysty i proporcjonalny.

Przetwarzanie odbywa się zgodnie z zasadami określonymi w art. 5 i 6 Rozporządzenia (UE) 2016/679 („RODO”) oraz w § 10–11 Isikuandmete kaitse seadus (ustawy o ochronie danych osobowych Republiki Estońskiej).

Administrator zapewnia, że dane osobowe są przetwarzane wyłącznie w jasno określonych celach, zgodnie z zasadą ograniczenia celu, i nie będą dalej przetwarzane w sposób niezgodny z tymi celami.

5.1. Przygotowanie oferty i nawiązanie współpracy

Przetwarzanie danych w celu udzielenia odpowiedzi na zapytanie, przygotowania oferty usług lub podjęcia działań przed zawarciem umowy.

Podstawa prawna: art. 6 ust. 1 lit. b RODO – działania podjęte na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

5.2. Realizacja umów i zleceń

Przetwarzanie danych klientów, kontrahentów, partnerów i dostawców w celu zawarcia i wykonania umowy dotyczącej usług programistycznych, utrzymania stron internetowych lub rozwoju oprogramowania.

Podstawa prawna:

• art. 6 ust. 1 lit. b RODO – wykonanie umowy,
• art. 6 ust. 1 lit. c RODO – obowiązek prawny wynikający z przepisów podatkowych i księgowych (w szczególności Raamatupidamise seadus § 12–13).

5.3. Prowadzenie korespondencji i obsługa zapytań

Przetwarzanie danych osób kontaktujących się z Handke Digital Solutions za pośrednictwem formularzy, poczty elektronicznej, telefonu lub innych kanałów komunikacji w celu prowadzenia bieżącej korespondencji i udzielania odpowiedzi.

Podstawa prawna: art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na udzielaniu odpowiedzi, utrzymywaniu kontaktu oraz prawidłowej obsłudze komunikacji biznesowej.

5.4. Rozliczenia, księgowość i archiwizacja

Przetwarzanie danych finansowych i dokumentacyjnych niezbędnych do wystawiania faktur, prowadzenia rachunkowości i rozliczeń podatkowych oraz archiwizacji dokumentów przez okres wymagany przepisami prawa estońskiego.

Podstawa prawna:

• art. 6 ust. 1 lit. c RODO – obowiązek prawny Administratora,
• Raamatupidamise seadus § 12–13 – obowiązek przechowywania dokumentacji przez okres co najmniej 7 lat.

5.5. Bezpieczeństwo informacji i infrastruktury

Przetwarzanie danych technicznych (np. adres IP, logi systemowe, dane o dostępie do serwera) w celu zapewnienia bezpieczeństwa systemów informatycznych, zapobiegania nadużyciom i utracie danych, utrzymania kopii zapasowych oraz ciągłości działania usług.

Podstawa prawna:

• art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora w zapewnieniu bezpieczeństwa informacji i usług,
• § 11 Isikuandmete kaitse seadus – obowiązek zapewnienia integralności i poufności danych.

5.6. Podpisywanie dokumentów elektronicznych

Przetwarzanie danych w związku z podpisywaniem dokumentów elektronicznych przy użyciu usług SignRequest / Dropbox Sign lub innych równoważnych narzędzi, w celu potwierdzenia autentyczności podpisu oraz integralności dokumentu.

Podstawa prawna:

• art. 6 ust. 1 lit. b RODO – wykonanie umowy lub podjęcie działań przed jej zawarciem (w zależności od etapu współpracy),
• art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa i wiarygodności zawieranych umów.

5.7. Dochodzenie i obrona roszczeń

Przetwarzanie danych w celu ustalenia, dochodzenia lub obrony roszczeń prawnych, w tym w ramach postępowań sądowych, administracyjnych lub mediacyjnych.

Podstawa prawna: art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na ochronie jego praw i interesów.

5.8. Wykonywanie obowiązków wobec organów publicznych

Przetwarzanie i przekazywanie danych właściwym organom administracji publicznej, podatkowej lub sądowej, jeżeli wynika to z obowiązujących przepisów prawa Republiki Estońskiej lub prawa Unii Europejskiej.

Podstawa prawna:

• art. 6 ust. 1 lit. c RODO – obowiązek prawny Administratora,
• Isikuandmete kaitse seadus § 10 ust. 1 pkt 2.

5.9. Brak profilowania i automatycznego podejmowania decyzji

Administrator nie prowadzi zautomatyzowanego podejmowania decyzji, w tym profilowania, w rozumieniu art. 22 RODO.

Wszelkie decyzje dotyczące klientów, kontrahentów i partnerów biznesowych podejmowane są indywidualnie przez osoby upoważnione.

6. Podstawy prawne przetwarzania danych osobowych

Administrator przetwarza dane osobowe wyłącznie w przypadkach, gdy istnieje do tego wyraźna i zgodna z prawem podstawa przetwarzania wynikająca z przepisów:

• Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO),
• estońskiej ustawy o ochronie danych osobowych – Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

Przetwarzanie danych osobowych odbywa się zawsze zgodnie z zasadami określonymi w art. 5 RODO oraz § 11 IKS, w szczególności zasadami zgodności z prawem, rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, integralności, poufności oraz rozliczalności.

6.1. Podstawy przetwarzania danych osobowych (art. 6 RODO)

Administrator przetwarza dane osobowe w oparciu o następujące podstawy prawne:

a) Zgoda osoby, której dane dotyczą

(art. 6 ust. 1 lit. a RODO; § 10 ust. 1 IKS)

Podstawa ta ma zastosowanie w sytuacjach, w których osoba, której dane dotyczą, dobrowolnie i wyraźnie przekazuje dane osobowe niewymagane do realizacji umowy, w szczególności w ramach dobrowolnej korespondencji lub poprzez przesłanie materiałów projektowych zawierających dodatkowe informacje.

Zgoda może zostać cofnięta w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem, zgodnie z art. 7 ust. 3 RODO.

b) Wykonanie umowy lub działania przed jej zawarciem

(art. 6 ust. 1 lit. b RODO; § 10 ust. 1 pkt 2 IKS)

Podstawa ta obejmuje przetwarzanie danych osobowych w celu:

• przygotowania, zawarcia i realizacji umów z klientami i kontrahentami,
• świadczenia usług programistycznych, projektowych lub technicznych,
• prowadzenia bieżącego kontaktu roboczego i obsługi współpracy.

c) Wypełnienie obowiązku prawnego ciążącego na Administratorze

(art. 6 ust. 1 lit. c RODO; § 10 ust. 1 pkt 3 IKS)

Podstawa ta obejmuje przetwarzanie danych osobowych wymagane przepisami prawa Republiki Estońskiej oraz Unii Europejskiej, w szczególności w zakresie:

• prowadzenia i przechowywania dokumentacji księgowej oraz podatkowej zgodnie z Raamatupidamise seadus § 12–13 (okres przechowywania co najmniej 7 lat),
• obowiązków podatkowych i sprawozdawczych,
• realizacji obowiązków wobec organów administracji publicznej i organów kontrolnych.

d) Prawnie uzasadniony interes Administratora

(art. 6 ust. 1 lit. f RODO; § 11 ust. 2 IKS)

Administrator przetwarza dane osobowe w zakresie niezbędnym do realizacji swoich prawnie uzasadnionych interesów, takich jak:

• prowadzenie bieżącej korespondencji oraz obsługa zapytań,
• zapewnienie bezpieczeństwa systemów informatycznych, dokumentów i infrastruktury technicznej,
• utrzymanie kopii zapasowych oraz logów systemowych,
• ustalenie, dochodzenie lub obrona roszczeń prawnych.

Administrator każdorazowo dokonuje oceny, czy jego interes nie narusza praw i wolności osoby, której dane dotyczą, zgodnie z art. 6 ust. 1 lit. f RODO w związku z motywem 47 RODO.

Osobie, której dane są przetwarzane na tej podstawie, przysługuje prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych zgodnie z art. 21 RODO.

6.2. Przetwarzanie szczególnych kategorii danych (art. 9 RODO)

Administrator co do zasady nie przetwarza szczególnych kategorii danych osobowych w rozumieniu art. 9 ust. 1 RODO.

Jeżeli osoba, której dane dotyczą, dobrowolnie ujawni takie dane (np. w treści wiadomości, załączniku lub dokumencie), ich przetwarzanie odbywa się wyłącznie:

• na podstawie wyraźnej zgody osoby, której dane dotyczą (art. 9 ust. 2 lit. a RODO; § 21 IKS), lub
• w zakresie wymaganym bezwzględnie obowiązującymi przepisami prawa.

Dane te są objęte dodatkowymi środkami ochrony technicznej i organizacyjnej zgodnie z art. 32 RODO.

6.3. Zasady ogólne przetwarzania danych

Administrator zapewnia, że wszystkie operacje przetwarzania danych osobowych są prowadzone zgodnie z:

• art. 5 i 6 RODO – zasadami legalności, ograniczenia celu, minimalizacji danych, integralności, poufności oraz rozliczalności,
• § 11 IKS – zasadą proporcjonalności, rzetelności i adekwatności danych,
• art. 32 RODO – zasadami bezpieczeństwa przetwarzania, w tym szyfrowania, kontroli dostępu i tworzenia kopii zapasowych,
• art. 24 RODO – zasadą rozliczalności Administratora.

Administrator nie prowadzi zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu art. 22 RODO.

6.4. Ocena zgodności z prawem i dokumentacja wewnętrzna

W celu zapewnienia pełnej zgodności z RODO oraz prawem Republiki Estońskiej Administrator prowadzi i aktualizuje w szczególności:

• Rejestr czynności przetwarzania danych osobowych (Record of Processing Activities) zgodnie z art. 30 RODO,
• oceny równowagi interesów (Legitimate Interest Assessment) w przypadkach przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO,
• politykę bezpieczeństwa informacji i ochrony danych osobowych,
• procedury reagowania na naruszenia ochrony danych osobowych zgodnie z art. 33–34 RODO oraz § 23 IKS.

7. Źródła pozyskiwania danych osobowych

Dane osobowe przetwarzane przez Handke Digital Solutions, należącą do Handke Holding OÜ, pochodzą zarówno bezpośrednio od osób, których dane dotyczą, jak i z legalnych, publicznie dostępnych źródeł.

Administrator działa zgodnie z art. 14 RODO oraz § 14–15 Isikuandmete kaitse seadus (IKS) i – w przypadku pozyskania danych w sposób pośredni – zobowiązany jest poinformować osobę, której dane dotyczą, o pochodzeniu jej danych bez zbędnej zwłoki, nie później niż w terminach przewidzianych w art. 14 ust. 3 RODO, o ile nie ma zastosowania ustawowy wyjątek.

7.1. Dane pozyskiwane bezpośrednio od osób, których dotyczą

Dane osobowe mogą być przekazywane dobrowolnie w ramach bieżącej komunikacji i współpracy, w szczególności:

• poprzez wiadomości e-mail, rozmowy telefoniczne oraz komunikatory internetowe,
• poprzez formularze kontaktowe na stronie internetowej www.handkeds.com,
• podczas spotkań online lub bezpośrednich rozmów biznesowych,
• w ramach przekazywanych materiałów projektowych, dokumentów lub plików niezbędnych do realizacji umowy.

7.2. Dane klientów, kontrahentów i partnerów biznesowych

Dane przedstawicieli firm, klientów i partnerów biznesowych mogą pochodzić z:

• bezpośrednich kontaktów służbowych (e-mail, telefon, spotkania),
• oficjalnych stron internetowych firm i organizacji,
• profili firmowych i zawodowych w serwisach takich jak LinkedIn,
• publicznych rejestrów przedsiębiorców, w tym estońskiego Äriregister (E-Business Register),
• wydarzeń branżowych i kontaktów networkingowych.

Dane te są wykorzystywane wyłącznie w zakresie niezbędnym do nawiązania lub utrzymania współpracy oraz realizacji celów biznesowych Administratora.

7.3. Dane przedstawicieli instytucji publicznych i organów administracji

Dane te pochodzą z oficjalnej korespondencji (pisma, e-maile, dokumenty elektroniczne) oraz publicznych źródeł służbowych i są przetwarzane wyłącznie w zakresie wynikającym z przepisów prawa, zgodnie z art. 6 ust. 1 lit. c RODO oraz § 10 IKS.

7.4. Dane pozyskane z innych legalnych źródeł

Administrator może również pozyskiwać dane z legalnych, publicznie dostępnych źródeł, takich jak:

• publiczne katalogi branżowe oraz rejestry kontaktowe B2B,
• portale informacyjne lub strony internetowe zawierające dane kontaktowe firm publikowane w celach biznesowych,
• media społecznościowe – wyłącznie w zakresie, w jakim osoba udostępniła informacje zawodowe publicznie (np. profil LinkedIn, strona firmowa).

Administrator nie pozyskuje danych z prywatnych kont, nie stosuje metod zbierania danych w sposób ukryty oraz nie przetwarza danych pochodzących z niepublicznych źródeł.

7.5. Dane techniczne związane z podpisami elektronicznymi

Podczas podpisywania dokumentów elektronicznych (np. umów, formularzy) za pośrednictwem usług SignRequest / Dropbox Sign lub innych równoważnych systemów, automatycznie rejestrowane mogą być dane techniczne i identyfikacyjne, w szczególności:

• adres IP urządzenia,
• data i godzina podpisania,
• identyfikatory związane z procesem podpisu (np. identyfikator użytkownika lub urządzenia) – o ile są generowane przez system.

Celem przetwarzania tych danych jest zapewnienie autentyczności podpisu, integralności dokumentu oraz wiarygodności zawieranych umów.

Podstawą prawną przetwarzania jest art. 6 ust. 1 lit. f RODO oraz § 11 IKS.

7.6. Dane techniczne z serwera internetowego

Podczas korzystania ze strony internetowej www.handkeds.com mogą być automatycznie zapisywane podstawowe dane techniczne, takie jak:

• adres IP urządzenia,
• typ i wersja przeglądarki,
• system operacyjny,
• data i godzina połączenia,
• pliki logów serwera.

Dane te są przetwarzane wyłącznie w celu zapewnienia bezpieczeństwa, stabilności i prawidłowego działania strony, zgodnie z art. 6 ust. 1 lit. f RODO oraz § 11 IKS (zasada integralności i poufności).

Administrator nie prowadzi profilowania ani systematycznego monitorowania użytkowników i nie stosuje technologii śledzących w celach marketingowych.

8. Odbiorcy danych osobowych

Dane osobowe mogą być przekazywane wyłącznie zaufanym podmiotom, które wspierają Administratora w realizacji działalności, świadczeniu usług lub wykonywaniu obowiązków prawnych, a także organom publicznym, jeżeli taki obowiązek wynika z przepisów prawa Republiki Estońskiej lub Unii Europejskiej.

Wszelkie udostępnienia i przekazania danych odbywają się zgodnie z zasadami określonymi w art. 28 oraz art. 44–49 RODO oraz z uwzględnieniem przepisów Isikuandmete kaitse seadus (IKS), z zachowaniem zasad minimalizacji, poufności oraz ograniczenia celu przetwarzania.

Kategorie odbiorców danych

8.1. Podmioty techniczne i organizacyjne wspierające działalność Administratora

Dane osobowe mogą być przekazywane lub udostępniane podmiotom świadczącym na rzecz Administratora usługi pomocnicze, w szczególności:

• dostawcom hostingu i usług serwerowych,
• operatorom poczty elektronicznej i komunikacji online,
• dostawcom systemów IT i rozwiązań chmurowych,
• dostawcom usług podpisu elektronicznego (np. SignRequest / Dropbox Sign),
• biurom rachunkowym i księgowym,
• kancelariom prawnym oraz doradcom biznesowym,
• podmiotom świadczącym usługi wsparcia technicznego i utrzymania infrastruktury IT.

Podmioty te przetwarzają dane osobowe wyłącznie w zakresie niezbędnym do realizacji usług na rzecz Administratora oraz – w przypadku, gdy działają jako podmioty przetwarzające – na podstawie umowy powierzenia przetwarzania danych (Data Processing Agreement), zgodnie z art. 28 RODO.

Każdy podmiot przetwarzający jest zobowiązany w szczególności do:

• zachowania poufności,
• stosowania odpowiednich środków technicznych i organizacyjnych (art. 32 RODO oraz § 11 IKS),
• przetwarzania danych wyłącznie na udokumentowane polecenie Administratora.

8.2. Organy i instytucje publiczne

Dane osobowe mogą być przekazywane wyłącznie organom uprawnionym do ich żądania na podstawie przepisów prawa, w szczególności:

• Maksu- ja Tolliamet (Estoński Urząd Skarbowy / Estonian Tax and Customs Board),
• Andmekaitse Inspektsioon (estoński organ nadzorczy ds. ochrony danych),
• sądom, organom ścigania oraz innym organom kontrolnym,
• organom Unii Europejskiej i Europejskiego Obszaru Gospodarczego – w zakresie wynikającym z obowiązujących regulacji.

Przekazanie danych tym podmiotom odbywa się wyłącznie w przypadkach wymaganych przepisami prawa oraz w minimalnym zakresie niezbędnym do realizacji obowiązków Administratora.

8.3. Dostawcy usług w ramach współpracy projektowej

W niektórych przypadkach dane osobowe mogą być przekazywane podmiotom współpracującym przy realizacji projektów informatycznych (np. niezależnym wykonawcom lub podwykonawcom), którzy realizują określone zadania techniczne.

Podmioty te przetwarzają dane wyłącznie w zakresie niezbędnym do wykonania powierzonego zadania oraz na podstawie odpowiedniej umowy, w tym – jeżeli ma to zastosowanie – umowy powierzenia przetwarzania danych zgodnie z art. 28 RODO.

Zasady przekazywania danych

Wszelkie przekazania danych osobowych odbywają się wyłącznie w zakresie niezbędnym do realizacji celów określonych w niniejszej Polityce oraz na podstawie odpowiedniej podstawy prawnej (art. 6 RODO).

Administrator zapewnia, że wszyscy odbiorcy danych przetwarzają je zgodnie z zasadami bezpieczeństwa i poufności, określonymi w art. 32 RODO oraz § 11 Isikuandmete kaitse seadus.

Dane osobowe nie są przekazywane portalom społecznościowym ani platformom reklamowym oraz nie są wykorzystywane w celach marketingowych, reklamowych ani profilujących.

Administrator nie sprzedaje danych osobowych oraz nie udostępnia ich osobom trzecim bez podstawy prawnej.

9. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

W ramach prowadzonej działalności Handke Digital Solutions, należącej do Handke Holding OÜ, dane osobowe mogą być przetwarzane z wykorzystaniem narzędzi i usług świadczonych przez podmioty zewnętrzne, które w określonych przypadkach mogą wiązać się z przekazywaniem danych osobowych poza Europejski Obszar Gospodarczy (EOG).

Każdorazowo takie przekazywanie danych odbywa się wyłącznie w zakresie niezbędnym do realizacji określonych celów przetwarzania oraz zgodnie z art. 44–49 RODO, z zastosowaniem odpowiednich zabezpieczeń prawnych.

9.1. Cloudflare

Strona internetowa Handke Digital Solutions korzysta z usług Cloudflare, w szczególności w zakresie:

• ochrony przed nadużyciami i atakami sieciowymi,
• zabezpieczenia formularzy kontaktowych (Cloudflare Turnstile),
• obsługi ruchu sieciowego oraz logów technicznych.

Ze względu na globalny charakter infrastruktury Cloudflare, dane techniczne (takie jak adres IP, informacje o połączeniu czy logi systemowe) mogą być przetwarzane na serwerach zlokalizowanych poza EOG, w tym w Stanach Zjednoczonych.

Przekazywanie danych może odbywać się na podstawie:

• standardowych klauzul umownych UE (Standard Contractual Clauses – SCC),
• oraz – w zakresie mającym zastosowanie – decyzji stwierdzających odpowiedni stopień ochrony (np. EU–US Data Privacy Framework).

9.2. Whereby

Handke Digital Solutions korzysta z narzędzia Whereby w celu realizacji spotkań online oraz komunikacji z klientami i partnerami biznesowymi.

Dane przetwarzane w ramach spotkań (np. adres IP, dane połączenia, metadane techniczne) mogą być przetwarzane na serwerach zlokalizowanych zarówno w EOG, jak i poza EOG, w zależności od lokalizacji uczestników spotkania oraz infrastruktury sieciowej wykorzystywanej w danym momencie.

Whereby stosuje odpowiednie zabezpieczenia prawne, w tym standardowe klauzule umowne UE (SCC), zgodnie z art. 44–49 RODO.

9.3. SignRequest / Dropbox Sign

W celu podpisywania dokumentów elektronicznych Handke Digital Solutions korzysta z usług SignRequest / Dropbox Sign.

W ramach tej usługi przetwarzane mogą być w szczególności następujące dane:

• imię i nazwisko osoby podpisującej,
• adres e-mail,
• adres IP,
• data i godzina podpisania dokumentu,
• tzw. audit trail dokumentu.

Korzystanie z tej usługi może wiązać się z przekazywaniem danych osobowych poza EOG, w szczególności do Stanów Zjednoczonych. Przekazywanie danych odbywa się na podstawie standardowych klauzul umownych UE (SCC), zgodnie z art. 46 RODO.

9.4. Zabezpieczenia i zasady ogólne

Administrator zapewnia, że:

• dane osobowe są przekazywane poza EOG wyłącznie wtedy, gdy jest to niezbędne do realizacji określonych celów przetwarzania,
• każdy podmiot przetwarzający stosuje odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych, zgodnie z art. 32 RODO,
• przekazywanie danych odbywa się wyłącznie na podstawie ważnych i zgodnych z prawem mechanizmów ochrony danych osobowych (art. 44–49 RODO).

Administrator nie przekazuje danych osobowych poza EOG w sposób niekontrolowany ani bez odpowiedniej podstawy prawnej.

10. Okres przechowywania danych osobowych

Administrator przechowuje dane osobowe wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane, zgodnie z zasadą ograniczenia przechowywania określoną w art. 5 ust. 1 lit. e Rozporządzenia (UE) 2016/679 (RODO) oraz obowiązującymi przepisami prawa Republiki Estońskiej.

Po upływie wskazanych okresów przechowywania dane osobowe są trwale usuwane, anonimizowane lub archiwizowane w sposób uniemożliwiający identyfikację osoby, chyba że przepisy prawa powszechnie obowiązującego (w szczególności podatkowe, rachunkowe lub archiwizacyjne) wymagają ich dalszego przechowywania.

10.1. Dane klientów i kontrahentów

a) Dane przetwarzane w celu przygotowania, zawarcia i realizacji umów, na podstawie art. 6 ust. 1 lit. b RODO, są przechowywane przez okres obowiązywania umowy oraz po jej zakończeniu – do czasu przedawnienia roszczeń, co do zasady nie krócej niż 3 lata, chyba że przepisy szczególne przewidują dłuższy okres.

b) Dane przetwarzane w celu bieżącego kontaktu handlowego, obsługi zapytań oraz współpracy, na podstawie art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora), są przechowywane przez okres trwania współpracy lub do czasu zakończenia kontaktu w danej sprawie.

c) Dane przetwarzane w celach rozliczeniowych, księgowych i podatkowych, na podstawie art. 6 ust. 1 lit. c RODO (obowiązek prawny), są przechowywane przez 7 lat od zakończenia roku obrotowego, zgodnie z Raamatupidamise seadus § 12–13, chyba że przepisy prawa wymagają dłuższego okresu.

d) Dane przetwarzane w celu ustalenia, dochodzenia lub obrony przed roszczeniami, na podstawie art. 6 ust. 1 lit. f RODO, są przechowywane do czasu przedawnienia roszczeń, co do zasady nie krócej niż 3 lata od zakończenia umowy lub kontaktu.

10.2. Potencjalni klienci, dostawcy i partnerzy biznesowi

a) Dane osób, z którymi nawiązano kontakt w związku z ofertą współpracy lub które przekazały dane za pośrednictwem poczty elektronicznej, formularzy kontaktowych lub innych kanałów komunikacji, przetwarzane na podstawie art. 6 ust. 1 lit. f RODO, są przechowywane przez okres niezbędny do prowadzenia rozmów handlowych lub do czasu wniesienia sprzeciwu wobec przetwarzania danych, nie dłużej jednak niż 3 lata od ostatniej aktywności kontaktowej.

b) Dane przedstawicieli podmiotów współpracujących z Administratorem (np. w zakresie usług IT, hostingu, księgowości lub doradztwa), przetwarzane na podstawie art. 6 ust. 1 lit. b i c RODO, są przechowywane przez okres trwania współpracy oraz po jej zakończeniu – do czasu przedawnienia roszczeń (co do zasady 3 lata), natomiast dokumentacja księgowa i podatkowa – przez 7 lat, zgodnie z przepisami prawa estońskiego.

10.3. Osoby kontaktujące się z Administratorem

Dane osób przesyłających zapytania za pośrednictwem formularza kontaktowego, poczty elektronicznej lub telefonu, przetwarzane na podstawie art. 6 ust. 1 lit. f RODO, są przechowywane przez okres niezbędny do udzielenia odpowiedzi i zakończenia korespondencji, a następnie – jeżeli jest to uzasadnione – do czasu przedawnienia ewentualnych roszczeń, nie dłużej niż 3 lata od zakończenia kontaktu.

10.4. Dane techniczne i logi systemowe

Dane techniczne, logi serwerowe oraz informacje o zdarzeniach w systemach Administratora, przetwarzane na podstawie art. 6 ust. 1 lit. f RODO, są przechowywane przez okres niezbędny do zapewnienia bezpieczeństwa systemów, wykrywania incydentów, analizy błędów oraz zapobiegania nadużyciom, nie dłużej niż 90 dni, chyba że przepisy bezpieczeństwa IT, audytowe lub inne obowiązki prawne wymagają dłuższego okresu.

10.5. Dane przedstawicieli organów publicznych i instytucji

Dane pracowników lub przedstawicieli organów administracji publicznej i instytucji, z którymi Administrator prowadzi korespondencję służbową, są przechowywane przez okres niezbędny do realizacji danej sprawy oraz przez okres archiwizacyjny wynikający z obowiązujących przepisów, nie dłużej niż 10 lat od zakończenia postępowania, kontroli lub sprawy urzędowej.

10.6. Postanowienia końcowe dotyczące retencji

a) Po upływie okresów wskazanych powyżej dane osobowe są trwale usuwane, anonimizowane lub archiwizowane w sposób uniemożliwiający identyfikację osoby, zgodnie z obowiązującymi przepisami prawa.

b) Jeżeli przepisy prawa powszechnie obowiązującego wymagają dłuższego okresu przechowywania danych, okres ten może zostać odpowiednio wydłużony wyłącznie w zakresie niezbędnym do spełnienia tych obowiązków.

c) Administrator regularnie dokonuje przeglądu posiadanych danych oraz oceny zasadności ich dalszego przechowywania, zapewniając, że dane osobowe nie są przetwarzane dłużej, niż jest to konieczne dla celów, dla których zostały zebrane.

11. Dobrowolność podania danych osobowych

Podanie danych osobowych przez osoby korzystające z usług Handke Digital Solutions, należącej do Handke Holding OÜ, jest co do zasady dobrowolne.

W określonych przypadkach podanie danych osobowych jest jednak niezbędne do realizacji konkretnych celów przetwarzania, w szczególności do udzielenia odpowiedzi na zapytanie, przygotowania oferty, zawarcia lub wykonania umowy, a także realizacji obowiązków prawnych ciążących na Administratorze.

Brak podania danych osobowych wymaganych do realizacji danego celu może skutkować niemożnością udzielenia odpowiedzi, przygotowania oferty, zawarcia umowy lub wykonania usługi programistycznej, serwisowej lub innej usługi cyfrowej świadczonej przez Administratora.

11.1. Zakres wymaganych danych

W szczególności:

• w przypadku przesłania zapytania za pośrednictwem formularza kontaktowego, poczty elektronicznej lub telefonu – niezbędne jest podanie podstawowych danych kontaktowych umożliwiających identyfikację nadawcy oraz udzielenie odpowiedzi;
• w przypadku zawarcia umowy lub zlecenia – konieczne jest przekazanie danych identyfikacyjnych i kontaktowych, w tym danych firmowych (np. nazwa, adres, numer VAT UE), w zakresie niezbędnym do zawarcia i wykonania umowy;
• w przypadku podpisywania dokumentów elektronicznych – niezbędne może być podanie danych wymaganych do autoryzacji podpisu, takich jak adres e-mail, adres IP oraz znacznik czasu;
• w przypadku wystawienia faktury, rachunku lub potwierdzenia płatności – konieczne jest przekazanie danych wymaganych przepisami prawa podatkowego lub rachunkowego.

11.2. Dane dobrowolne i zgoda

Administrator każdorazowo jasno wskazuje, które dane osobowe są niezbędne do realizacji określonego celu, a które mają charakter dobrowolny.

Zakres przetwarzanych danych osobowych jest ograniczony do minimum koniecznego, zgodnie z zasadą minimalizacji danych określoną w art. 5 ust. 1 lit. c RODO.

W sytuacjach, w których przetwarzanie danych osobowych odbywa się na podstawie zgody (art. 6 ust. 1 lit. a RODO), w szczególności w przypadku dobrowolnego kontaktu informacyjnego lub biznesowego, decyzja o podaniu danych należy wyłącznie do osoby, której dane dotyczą.

Zgoda może zostać cofnięta w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem, zgodnie z art. 7 ust. 3 RODO.

11.3. Zasady ogólne

Administrator dokłada wszelkich starań, aby zapewnić osobom, których dane dotyczą, pełną przejrzystość w zakresie przetwarzania danych osobowych oraz realną kontrolę nad zakresem przekazywanych informacji, celami ich przetwarzania oraz okresem przechowywania danych.

Przetwarzanie danych osobowych odbywa się z poszanowaniem zasad określonych w art. 5 RODO, w szczególności zasad zgodności z prawem, rzetelności, przejrzystości oraz minimalizacji danych.

12. Miejsce przechowywania danych osobowych oraz środki zabezpieczenia

12.1. Miejsce przechowywania danych

Dane osobowe przetwarzane przez Administratora są przechowywane wyłącznie w formie elektronicznej – na urządzeniach oraz w systemach znajdujących się pod jego wyłączną kontrolą lub u zaufanych dostawców usług, których infrastruktura może znajdować się na terenie Europejskiego Obszaru Gospodarczego (EOG) lub – w określonych przypadkach – poza EOG, przy zastosowaniu odpowiednich zabezpieczeń prawnych zgodnie z art. 44–49 RODO.

Administrator nie prowadzi dokumentacji papierowej – wszystkie dane osobowe są przetwarzane, przechowywane i archiwizowane wyłącznie w formie cyfrowej.

12.2. Lokalizacje i systemy przetwarzania danych

Fizyczne i wirtualne lokalizacje przetwarzania danych osobowych obejmują w szczególności:

• szyfrowany laptop wykorzystywany przez Administratora, zabezpieczony silnym hasłem, pełnym szyfrowaniem dysku oraz uwierzytelnianiem dwuskładnikowym (2FA);
• szyfrowany zewnętrzny nośnik danych wykorzystywany do tworzenia regularnych kopii zapasowych (backup offline), przechowywany w bezpiecznym miejscu i odseparowany od systemu głównego;
• serwery usługodawcy hostingowego Zone Media OÜ (Zone.ee), Lõõtsa 5, 11415 Tallinn, Estonia – świadczącego usługi hostingu oraz poczty elektronicznej, z fizyczną lokalizacją infrastruktury w Republice Estońskiej (EOG), spełniające wymogi bezpieczeństwa określone w art. 32 RODO;
• serwery i systemy narzędzi wspierających działalność Administratora, w tym w szczególności:
  • SignRequest / Dropbox Sign – usługa podpisu elektronicznego, która może wiązać się z przetwarzaniem danych osobowych zarówno w EOG, jak i poza EOG, w szczególności w Stanach Zjednoczonych, przy zastosowaniu standardowych klauzul umownych UE (SCC), zgodnie z art. 46 RODO;
  • inne systemy pomocnicze wykorzystywane do celów administracyjnych, komunikacyjnych lub księgowych, których dostawcy zapewniają udokumentowaną zgodność z RODO oraz stosowanie odpowiednich środków bezpieczeństwa.

12.3. Środki techniczne i organizacyjne

Administrator wdrożył i utrzymuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych, zgodnie z art. 32 RODO oraz obowiązującymi przepisami prawa estońskiego, obejmujące w szczególności:

• szyfrowanie połączeń sieciowych (SSL/TLS);
• szyfrowanie urządzeń i nośników danych;
• ograniczenie dostępu do danych wyłącznie do Administratora;
• stosowanie silnych, unikalnych haseł oraz uwierzytelniania dwuskładnikowego (2FA);
• regularne aktualizowanie systemów operacyjnych, oprogramowania i zabezpieczeń;
• tworzenie oraz bezpieczne przechowywanie szyfrowanych kopii zapasowych;
• zabezpieczenie urządzeń zaporą sieciową (firewall) oraz oprogramowaniem chroniącym przed złośliwym oprogramowaniem;
• automatyczne blokowanie ekranu oraz fizyczne zabezpieczenie sprzętu przed dostępem osób trzecich;
• ograniczenie przetwarzania danych do urządzeń zabezpieczonych zgodnie z niniejszą Polityką;
• współpracę wyłącznie z dostawcami IT zapewniającymi zgodność z RODO;
• prowadzenie rejestru powierzeń przetwarzania danych oraz rejestru incydentów;
• wdrożenie procedur reagowania na naruszenia ochrony danych osobowych zgodnie z art. 33–34 RODO;
• regularne przeglądy uprawnień oraz okresowe kontrole bezpieczeństwa, zgodnie z zasadami privacy by design i privacy by default (art. 25 RODO).

13. Prawa osób, których dane dotyczą

Osobom, których dane osobowe są przetwarzane przez Handke Digital Solutions, należącą do Handke Holding OÜ, przysługują wszystkie prawa przewidziane w Rozporządzeniu (UE) 2016/679 (RODO) oraz w ustawie Republiki Estońskiej Isikuandmete kaitse seadus (IKS).

W szczególności przysługuje Ci prawo do uzyskania przejrzystych informacji o przetwarzaniu danych osobowych, dostępu do danych, ich sprostowania, ograniczenia przetwarzania, usunięcia, przenoszenia danych, wniesienia sprzeciwu wobec przetwarzania oraz cofnięcia zgody – w zakresie i na warunkach określonych w obowiązujących przepisach prawa.

13.1. Prawo dostępu do danych i uzyskania kopii

Masz prawo uzyskać potwierdzenie, czy Administrator przetwarza Twoje dane osobowe, a jeżeli ma to miejsce – prawo dostępu do tych danych oraz do otrzymania ich kopii, zgodnie z art. 15 RODO.

Jeżeli wniosek zostanie złożony w formie elektronicznej, informacje zostaną przekazane w powszechnie używanym formacie elektronicznym, o ile nie zażądasz innej formy.

13.2. Prawo do sprostowania danych

Masz prawo żądać niezwłocznego sprostowania dotyczących Cię danych osobowych, które są nieprawidłowe, a także uzupełnienia danych niekompletnych, w tym poprzez złożenie dodatkowego oświadczenia, zgodnie z art. 16 RODO.

13.3. Prawo do ograniczenia przetwarzania

Masz prawo żądać ograniczenia przetwarzania danych osobowych w przypadkach określonych w art. 18 RODO, w szczególności gdy:

• kwestionujesz prawidłowość danych – na czas potrzebny do ich weryfikacji,
• przetwarzanie jest niezgodne z prawem, a sprzeciwiasz się ich usunięciu,
• dane nie są już potrzebne Administratorowi, ale są Ci niezbędne do ustalenia, dochodzenia lub obrony roszczeń,
• wniosłeś sprzeciw wobec przetwarzania – do czasu ustalenia, czy prawnie uzasadnione podstawy Administratora są nadrzędne wobec Twoich praw i wolności.

13.4. Prawo do usunięcia danych („prawo do bycia zapomnianym”)

Masz prawo żądać usunięcia danych osobowych w przypadkach przewidzianych w art. 17 RODO, w szczególności gdy:

• dane osobowe nie są już niezbędne do celów, dla których zostały zebrane lub w inny sposób przetwarzane,
• cofnąłeś zgodę, na której opierało się przetwarzanie, i nie istnieje inna podstawa prawna,
• dane były przetwarzane niezgodnie z prawem.

Prawo to nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne do wywiązania się z obowiązków prawnych ciążących na Administratorze lub do ustalenia, dochodzenia bądź obrony roszczeń.

13.5. Prawo do przenoszenia danych

Masz prawo otrzymać dane osobowe, które przekazałeś Administratorowi, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, oraz przesłać te dane innemu administratorowi, jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy oraz w sposób zautomatyzowany, zgodnie z art. 20 RODO.

13.6. Prawo do wniesienia sprzeciwu

Masz prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych osobowych, jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO).

Po wniesieniu sprzeciwu Administrator zaprzestanie przetwarzania danych, chyba że wykaże istnienie ważnych, prawnie uzasadnionych podstaw do dalszego przetwarzania, nadrzędnych wobec Twoich interesów, praw i wolności, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Prawo do sprzeciwu nie przysługuje w przypadku przetwarzania danych w celu wywiązania się z obowiązku prawnego ciążącego na Administratorze (art. 6 ust. 1 lit. c RODO).

13.7. Prawo do cofnięcia zgody

Jeżeli przetwarzanie danych osobowych odbywa się na podstawie zgody, masz prawo w dowolnym momencie ją cofnąć. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem, zgodnie z art. 7 ust. 3 RODO.

13.8. Prawo wniesienia skargi do organu nadzorczego

Jeżeli uznasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO lub prawo Republiki Estońskiej, przysługuje Ci prawo wniesienia skargi do właściwego organu nadzorczego, w szczególności do:

Jeżeli mieszkasz, pracujesz lub doszło do naruszenia w innym państwie członkowskim Unii Europejskiej, możesz również wnieść skargę do właściwego organu nadzorczego w tym państwie, zgodnie z art. 77 RODO.

13.9. Brak profilowania i zautomatyzowanego podejmowania decyzji

Dane osobowe nie są przetwarzane w sposób zautomatyzowany, który mógłby prowadzić do podejmowania decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na osoby, których dane dotyczą, w rozumieniu art. 22 RODO.

Administrator nie prowadzi profilowania.

13.10. Wykonywanie praw

W celu realizacji któregokolwiek z powyższych praw możesz skontaktować się z Administratorem:

Administrator udziela odpowiedzi na wnioski dotyczące realizacji praw bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca od ich otrzymania, zgodnie z art. 12 ust. 3 RODO. W przypadkach szczególnie skomplikowanych termin ten może zostać przedłużony o kolejne dwa miesiące, o czym osoba, której dane dotyczą, zostanie poinformowana.

14. Naruszenia ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych – rozumianego jako przypadkowe lub niezgodne z prawem zniszczenie, utrata, zmiana, nieuprawnione ujawnienie lub dostęp do danych osobowych klientów, partnerów biznesowych lub użytkowników – Administrator niezwłocznie podejmuje działania mające na celu ograniczenie skutków incydentu oraz zapobieżenie jego ponownemu wystąpieniu.

Administrator każdorazowo dokonuje oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą, oraz wdraża odpowiednie środki techniczne i organizacyjne w celu usunięcia lub ograniczenia skutków naruszenia.

Wszystkie incydenty związane z bezpieczeństwem danych osobowych są dokumentowane zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO, oraz zgodnie z § 25 ust. 3 ustawy Republiki Estońskiej Isikuandmete kaitse seadus.

14.1. Zgłaszanie naruszeń do organu nadzorczego

Jeżeli naruszenie ochrony danych osobowych może powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza incydent do właściwego organu nadzorczego – Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estonia – nie później niż w ciągu 72 godzin od jego stwierdzenia, zgodnie z art. 33 RODO oraz § 25 Isikuandmete kaitse seadus.

14.2. Informowanie osób, których dane dotyczą

W przypadkach, w których naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator informuje osoby, których dane dotyczą, o:

• charakterze naruszenia ochrony danych osobowych,
• możliwych konsekwencjach naruszenia,
• zastosowanych lub planowanych środkach mających na celu ochronę danych osobowych.

Informowanie odbywa się zgodnie z art. 34 RODO, w sposób jasny i zrozumiały.

14.3. Procedura reagowania na naruszenia

Administrator posiada wdrożoną wewnętrzną procedurę reagowania na naruszenia ochrony danych osobowych, obejmującą w szczególności:

• identyfikację i klasyfikację incydentów,
• natychmiastowe działania ograniczające skutki naruszenia,
• ocenę ryzyka oraz decyzję o obowiązku zgłoszenia naruszenia,
• dokumentowanie naruszeń w rejestrze incydentów,
• analizę przyczyn naruszeń oraz wdrażanie działań zapobiegawczych w celu uniknięcia podobnych zdarzeń w przyszłości.

14.4. Kontrola i doskonalenie bezpieczeństwa

Skuteczność stosowanych procedur reagowania na naruszenia ochrony danych osobowych jest regularnie weryfikowana w celu zapewnienia zgodności z przepisami RODO oraz prawa Republiki Estońskiej, a także utrzymania wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych.

15. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator danych – Handke Holding OÜ, działająca poprzez markę Handke Digital Solutions – nie prowadzi procesów zautomatyzowanego podejmowania decyzji, w tym profilowania, które mogłyby wywoływać wobec osób fizycznych skutki prawne lub w podobny sposób istotnie na nie wpływać, w rozumieniu art. 22 Rozporządzenia (UE) 2016/679 (RODO) oraz § 23 ustawy Republiki Estońskiej Isikuandmete kaitse seadus.

Wszystkie decyzje dotyczące klientów, partnerów biznesowych oraz osób kontaktujących się z Administratorem są podejmowane wyłącznie przez człowieka, na podstawie indywidualnej analizy przekazanych informacji, dokumentów lub prowadzonej korespondencji. Żadne decyzje nie są podejmowane w sposób całkowicie zautomatyzowany.

Profilowanie oznacza każdą formę zautomatyzowanego przetwarzania danych osobowych polegającą na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących jej zachowania, preferencji, zainteresowań lub innych cech osobistych.

Administrator może stosować narzędzia techniczne lub analityczne wspomagające działalność operacyjną (np. automatyczne sortowanie wiadomości e-mail, filtrowanie zgłoszeń z formularzy kontaktowych lub podstawowe narzędzia statystyczne dotyczące ruchu na stronie internetowej), jednak ich wykorzystanie nie prowadzi do samodzielnego podejmowania decyzji wobec osób fizycznych.

Każda decyzja dotycząca osoby fizycznej wymaga zawsze udziału człowieka oraz indywidualnej oceny konkretnej sytuacji.

16. Organ nadzorczy

Jeżeli masz jakiekolwiek wątpliwości dotyczące sposobu, w jaki przetwarzane są Twoje dane osobowe, lub uważasz, że Twoje prawa wynikające z Rozporządzenia (UE) 2016/679 (RODO) zostały naruszone, przysługuje Ci prawo wniesienia skargi do właściwego organu nadzorczego – niezależnie od miejsca zamieszkania, miejsca pracy lub miejsca domniemanego naruszenia – zgodnie z art. 77 RODO oraz § 21 ustawy Republiki Estońskiej Isikuandmete kaitse seadus.

W przypadku działalności prowadzonej przez Handke Holding OÜ / Handke Digital Solutions, właściwym organem nadzorczym w Republice Estońskiej jest:

Jeżeli mieszkasz, pracujesz lub doszło do domniemanego naruszenia w innym państwie członkowskim Unii Europejskiej lub Europejskiego Obszaru Gospodarczego (EOG), możesz również wnieść skargę do właściwego organu ochrony danych osobowych w tym państwie, zgodnie z art. 77 RODO.

Przed złożeniem skargi osoba, której dane dotyczą, może skontaktować się bezpośrednio z Administratorem danych w celu wyjaśnienia sprawy:

Administrator dołoży wszelkich starań, aby rozpatrzyć zgłoszenie w sposób rzetelny, przejrzysty i zgodny z przepisami RODO oraz prawa Republiki Estońskiej.

17. Jurysdykcja i właściwość prawa

Niniejsza Polityka Prywatności podlega prawu Republiki Estońskiej oraz jest interpretowana zgodnie z przepisami Rozporządzenia (UE) 2016/679 (RODO) oraz ustawy Republiki Estońskiej Isikuandmete kaitse seadus.

Wszelkie spory lub roszczenia wynikające z przetwarzania danych osobowych, korzystania ze strony internetowej lub usług świadczonych przez Handke Holding OÜ / Handke Digital Solutions podlegają jurysdykcji sądów Republiki Estońskiej, właściwych miejscowo dla siedziby Administratora, w szczególności Harju Maakohus (Sąd Rejonowy w Tallinie).

Postanowienia niniejszego punktu nie ograniczają praw osób fizycznych, w tym konsumentów, wynikających z bezwzględnie obowiązujących przepisów prawa Unii Europejskiej lub prawa państwa ich miejsca zamieszkania na terenie Unii Europejskiej lub Europejskiego Obszaru Gospodarczego.

W przypadku rozbieżności pomiędzy postanowieniami niniejszej Polityki Prywatności a przepisami prawa Unii Europejskiej, pierwszeństwo mają przepisy RODO oraz krajowe przepisy wdrażające jego postanowienia.

18. Aktualizacje Polityki Prywatności

Niniejsza Polityka Prywatności może być okresowo aktualizowana w celu zapewnienia jej zgodności z obowiązującymi przepisami prawa, w szczególności z Rozporządzeniem (UE) 2016/679 (RODO) oraz ustawą Isikuandmete kaitse seadus, a także w celu odzwierciedlenia zmian w zakresie prowadzonej działalności, świadczonych usług, stosowanych technologii lub procedur przetwarzania danych osobowych.

Każda zaktualizowana wersja Polityki Prywatności jest publikowana na oficjalnej stronie internetowej Handke Digital Solutions pod adresem:
https://handkeds.com

Informacja o dacie wejścia w życie aktualnej wersji Polityki Prywatności jest każdorazowo wskazywana w treści dokumentu.

W przypadku istotnych zmian, które mogą wpływać na prawa osób, których dane dotyczą, lub na sposób przetwarzania danych osobowych (w szczególności zmian celów przetwarzania, podstaw prawnych, kategorii odbiorców lub dostawców usług IT), Administrator poinformuje o nich w sposób przejrzysty, w szczególności poprzez:

• wyraźny komunikat na stronie internetowej, lub
• wiadomość e-mail, jeżeli Administrator posiada adres kontaktowy i taki sposób komunikacji jest możliwy.

Administrator zaleca regularne zapoznawanie się z aktualną treścią Polityki Prywatności w celu uzyskania informacji o aktualnych zasadach przetwarzania danych osobowych.

19. Działania marketingowe i kontakt z Administratorem

Strona internetowa Handke Digital Solutions / Handke Holding OÜ nie wykorzystuje plików cookies ani narzędzi śledzących w celach analitycznych lub reklamowych. Korzystanie z witryny nie wiąże się z automatycznym przetwarzaniem danych osobowych użytkowników w celach marketingowych.

Administrator prowadzi działania marketingowe wyłącznie w zakresie promocji własnych usług informatycznych, projektowych i cyfrowych, w szczególności poprzez:

• publikację treści na oficjalnych profilach firmowych w mediach społecznościowych (np. LinkedIn),
• bezpośrednią komunikację w relacjach B2B.

Działania marketingowe nie obejmują profilowania ani zautomatyzowanego podejmowania decyzji wobec osób fizycznych.

W ramach marketingu bezpośredniego Administrator może kontaktować się z przedstawicielami firm i instytucji (np. imię, nazwisko, stanowisko, służbowy adres e-mail) w celu przedstawienia oferty współpracy w obszarze usług cyfrowych. Tego rodzaju kontakt (tzw. marketing B2B / cold mailing) odbywa się wyłącznie na podstawie prawnie uzasadnionego interesu Administratora, jakim jest marketing własnych usług, zgodnie z art. 6 ust. 1 lit. f RODO.

Każda osoba, z którą Administrator nawiązał kontakt w celach marketingowych, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych osobowych w tych celach. Sprzeciw można zgłosić, wysyłając wiadomość e-mail na adres:

office@handkeds.com

Użytkownicy mogą również kontaktować się z Administratorem z własnej inicjatywy za pośrednictwem poczty elektronicznej lub formularza kontaktowego. Dane przekazane w ten sposób (np. imię, nazwisko, adres e-mail, treść wiadomości) są przetwarzane wyłącznie w celu udzielenia odpowiedzi lub prowadzenia korespondencji, zgodnie z art. 6 ust. 1 lit. f RODO.

Dane osobowe przetwarzane w związku z działaniami marketingowymi i komunikacją nie są wykorzystywane do celów reklamowych wobec użytkowników strony internetowej ani do profilowania i są przetwarzane zgodnie z zasadami minimalizacji danych, integralności i przejrzystości, o których mowa w art. 5 RODO.

20. Pliki cookies

Strona internetowa Handke Digital Solutions / Handke Holding OÜ nie wykorzystuje plików cookies ani innych technologii śledzących w celach marketingowych, analitycznych, reklamowych ani profilujących.

Administrator nie stosuje narzędzi analitycznych, remarketingowych ani systemów monitorujących zachowanie użytkowników w celach statystycznych lub handlowych. Korzystanie ze strony internetowej nie wiąże się z automatycznym przetwarzaniem danych osobowych użytkowników w tych celach.

Strona internetowa może wykorzystywać wyłącznie techniczne mechanizmy niezbędne do jej prawidłowego i bezpiecznego funkcjonowania, w szczególności związane z ochroną przed nadużyciami, atakami sieciowymi lub próbami nieautoryzowanego dostępu (np. rozwiązania bezpieczeństwa dostarczane przez Cloudflare).

Mechanizmy te nie służą śledzeniu użytkowników i nie wymagają uzyskania zgody, zgodnie z art. 5 ust. 3 Dyrektywy 2002/58/WE (ePrivacy) oraz § 102 ustawy Elektroonilise side seadus.

W związku z powyższym, na obecnym etapie nie jest wymagane wyświetlanie banera cookies ani uzyskiwanie zgody użytkowników.

W przypadku wdrożenia w przyszłości plików cookies lub podobnych technologii w celach innych niż wyłącznie techniczne (np. analitycznych lub funkcjonalnych), Administrator poinformuje o tym użytkowników w sposób przejrzysty oraz uzyska wymagane zgody zgodnie z obowiązującymi przepisami prawa, w szczególności:

• Dyrektywą 2002/58/WE (ePrivacy),
• przepisami prawa Republiki Estońskiej,
• art. 6 ust. 1 Rozporządzenia (UE) 2016/679 (RODO).

21. Logi serwera

Korzystanie ze strony internetowej Handke Digital Solutions / Handke Holding OÜ wiąże się z automatycznym przesyłaniem zapytań do serwera, na którym strona jest hostowana. Każde takie zapytanie jest rejestrowane w tzw. logach serwera.

Logi serwera mogą obejmować następujące dane techniczne:

• adres IP urządzenia użytkownika;
• datę i godzinę zapytania;
• informacje o używanej przeglądarce internetowej oraz systemie operacyjnym;
• adres odwiedzanej podstrony lub żądanego zasobu;
• kody odpowiedzi serwera oraz techniczne komunikaty o błędach.

Dane te mają wyłącznie charakter techniczny i nie są wykorzystywane do identyfikacji użytkowników ani do celów marketingowych, analitycznych czy profilowania.

Logi serwera są przetwarzane wyłącznie w celu:

• zapewnienia bezpieczeństwa strony internetowej oraz infrastruktury IT;
• wykrywania nadużyć i prób nieuprawnionego dostępu;
• diagnozowania błędów technicznych oraz utrzymania stabilności działania serwisu.

Podstawą prawną przetwarzania danych zawartych w logach serwera jest art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa systemów informatycznych, zgodnie z art. 32 RODO oraz § 24 estońskiej ustawy o ochronie danych osobowych (Isikuandmete kaitse seadus).

Logi serwera są przechowywane przez dostawcę hostingu Zone Media OÜ (Zone.ee) przez okres do 90 dni, chyba że dłuższy okres przechowywania jest konieczny w związku z incydentem bezpieczeństwa, analizą techniczną lub postępowaniem wyjaśniającym.

Po upływie tego okresu dane są automatycznie usuwane lub anonimizowane w sposób uniemożliwiający identyfikację użytkowników.