Polityka Ochrony Danych — AI Tools Rank

Powrót do strony głównej

Niniejsza Polityka Ochrony Danych Osobowych stanowi wewnętrzny dokument organizacyjny Momentum AI sp. z o.o. i jest wiążąca dla wszystkich pracowników, współpracowników oraz podwykonawców Spółki mających dostęp do danych osobowych.

Spis treści

Cel i zakres polityki
Zasady przetwarzania danych
Role i odpowiedzialności
Środki techniczne i organizacyjne
Procedura zgłaszania naruszeń
Obsługa żądań osób
Powierzenie przetwarzania
Szkolenia i świadomość
Audyty i przeglądy
Rewizja polityki

1 Cel i zakres polityki

Niniejsza Polityka ma na celu zapewnienie zgodności działalności Momentum AI sp. z o.o. z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz innymi przepisami krajowymi dotyczącymi ochrony danych osobowych.
Polityka obowiązuje wszystkich pracowników, zleceniobiorców i podwykonawców Spółki, którzy w ramach swoich obowiązków mają dostęp do danych osobowych przetwarzanych przez Spółkę.
Zakres podmiotowy obejmuje dane osobowe Klientów, Pracowników, Kandydatów do pracy, Kontrahentów i innych osób, z którymi Spółka utrzymuje relacje biznesowe lub prawne.

2 Zasady przetwarzania danych osobowych

Spółka przetwarza dane osobowe zgodnie z następującymi zasadami RODO:

Zgodność z prawem, rzetelność i przejrzystość — dane przetwarzane są wyłącznie na podstawie jednej z przesłanek legalności wskazanych w art. 6 RODO
Ograniczenie celu — dane zbierane są wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach
Minimalizacja danych — zbierane są wyłącznie dane adekwatne i niezbędne do realizacji celu
Prawidłowość — dane są aktualne; podjęte są rozsądne kroki w celu niezwłocznego usunięcia lub sprostowania danych nieprawidłowych
Ograniczenie przechowywania — dane są przechowywane nie dłużej niż jest to niezbędne do celów, w których są przetwarzane
Integralność i poufność — dane są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo
Rozliczalność — Administrator odpowiada za przestrzeganie powyższych zasad i jest w stanie to wykazać

3 Role i odpowiedzialności

Zarząd Spółki

Odpowiada za wdrożenie i egzekwowanie Polityki. Zatwierdza budżet na ochronę danych. Podejmuje decyzje strategiczne w obszarze RODO.

Inspektor Ochrony Danych (IOD)

Monitoruje zgodność z RODO, doradza w sprawach ochrony danych, jest punktem kontaktowym dla UODO i osób, których dane dotyczą.

Kierownicy działów

Odpowiadają za wdrożenie Polityki w swoich departamentach, identyfikację ryzyk w procesach przetwarzania i zgłaszanie naruszeń.

Pracownicy / Współpracownicy

Zobowiązani do przestrzegania Polityki, uczestnictwa w szkoleniach i niezwłocznego zgłaszania wszelkich podejrzanych incydentów.

Dział IT / DevOps

Wdraża i utrzymuje techniczne środki bezpieczeństwa, prowadzi logi dostępu, zarządza podatnościami i kopiami zapasowymi.

Dział prawny

Opiniuje umowy powierzenia, analizuje nowe regulacje, wspiera IOD w obsłudze żądań i spraw spornych.

4 Środki techniczne i organizacyjne

Środki techniczne

Szyfrowanie danych w transmisji (TLS 1.3+)
Szyfrowanie danych w spoczynku (AES-256)
Uwierzytelnianie wieloskładnikowe (MFA)
Kontrola dostępu oparta na rolach (RBAC)
Zapory sieciowe i systemy IDS/IPS
Regularne kopie zapasowe (3-2-1)
Pseudonimizacja danych testowych
Monitoring bezpieczeństwa 24/7

Środki organizacyjne

Polityki i procedury bezpieczeństwa
Umowy powierzenia z podmiotami zewnętrznymi
Klauzule poufności dla pracowników
Szkolenia RODO (wstępne i cykliczne)
Rejestr czynności przetwarzania (RCP)
Oceny skutków dla ochrony danych (DPIA)
Procedura zarządzania incydentami
Polityka czystego biurka i ekranu

5 Procedura zgłaszania naruszeń danych

W przypadku podejrzenia lub stwierdzenia naruszenia ochrony danych osobowych obowiązuje następująca procedura:

Wykrycie i wewnętrzne zgłoszenie (0–1 h)

Każdy pracownik, który wykryje lub podejrzewa naruszenie, zobowiązany jest natychmiast poinformować swojego przełożonego oraz IOD przez kanał: incydent@momentumai.pl lub wewnętrzny formularz incydentów.

Wstępna ocena ryzyka (1–4 h)

IOD we współpracy z Działem IT przeprowadza wstępną ocenę incydentu: rodzaj i zakres naruszonych danych, liczba osób, których dane dotyczą, prawdopodobne konsekwencje.

Zgłoszenie do UODO — jeśli wymagane (do 72 h)

Jeżeli naruszenie może skutkować ryzykiem dla praw i wolności osób, IOD zgłasza incydent do UODO w ciągu 72 godzin od jego stwierdzenia, zgodnie z art. 33 RODO.

Zawiadomienie osób — jeśli wymagane

W przypadku wysokiego ryzyka dla praw i wolności osób fizycznych, IOD koordynuje niezwłoczne zawiadomienie tych osób zgodnie z art. 34 RODO.

Dokumentacja i działania naprawcze

Każde naruszenie — niezależnie od jego wagi — jest dokumentowane w Rejestrze Naruszeń. Opracowywane są działania naprawcze zapobiegające powtórzeniu incydentu.

Ważne: Termin 72 godzin jest nieprzekraczalny. Nie wolno opóźniać zgłoszenia oczekując na pełne wyjaśnienie okoliczności incydentu — zgłoszenie może być uzupełnione później.

6 Obsługa żądań osób, których dane dotyczą

Wszelkie żądania dotyczące praw osób (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszalność, sprzeciw) kierowane do Spółki są niezwłocznie przekazywane do IOD.
Odpowiedź na żądanie udzielana jest bez zbędnej zwłoki, nie później niż w ciągu 30 dni od jego otrzymania. Termin może zostać wydłużony o kolejne 60 dni w sprawach szczególnie skomplikowanych.
Realizacja żądania jest co do zasady bezpłatna. Opłata może zostać pobrana w przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych.
Spółka prowadzi rejestr przychodzących żądań i udzielonych odpowiedzi.

7 Powierzenie przetwarzania danych

Spółka powierza przetwarzanie danych osobowych wyłącznie podmiotom zapewniającym wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
Każde powierzenie przetwarzania danych wymaga zawarcia pisemnej umowy powierzenia (Data Processing Agreement — DPA) zgodnej z art. 28 RODO.
Lista aktualnych podmiotów przetwarzających przechowywana jest w Rejestrze Podmiotów Przetwarzających i jest dostępna dla IOD i Zarządu.
Umowy powierzenia podlegają przeglądom co najmniej raz w roku lub po każdej istotnej zmianie zakresu usług przez podmiot przetwarzający.

8 Szkolenia i podnoszenie świadomości

Szkolenie wstępne — każdy nowy pracownik przechodzi obowiązkowe szkolenie z ochrony danych osobowych przed uzyskaniem dostępu do danych
Szkolenie cykliczne — wszyscy pracownicy uczestniczą w corocznym szkoleniu aktualizacyjnym z zakresu RODO i bezpieczeństwa informacji
Szkolenia specjalistyczne — pracownicy działów przetwarzających szczególne kategorie danych objęci są dodatkowymi szkoleniami dedykowanymi
Testy phishingowe — Dział IT przeprowadza kwartalne symulowane ataki phishingowe w celu podnoszenia czujności pracowników
Dokumentacja szkoleń — uczestnictwo w szkoleniach jest dokumentowane i przechowywane w aktach pracowniczych przez okres zatrudnienia + 3 lata

9 Audyty i przeglądy

Wewnętrzny audyt RODO — przeprowadzany co najmniej raz na 12 miesięcy przez IOD we współpracy z Działem IT i Prawnym
Zewnętrzny audyt bezpieczeństwa — co najmniej raz na 24 miesiące lub po znaczących zmianach infrastruktury
Testy penetracyjne — co najmniej raz w roku dla kluczowych systemów
Przegląd Rejestru Czynności Przetwarzania (RCP) — co kwartał i przy każdej nowej czynności przetwarzania
Wyniki audytów są dokumentowane i przedkładane Zarządowi; zidentyfikowane niezgodności muszą być usunięte w ustalonych terminach

10 Rewizja polityki

Niniejsza Polityka podlega przeglądowi co najmniej raz w roku lub w przypadku istotnych zmian w przepisach prawa, technologii, strukturze organizacyjnej lub zakresie przetwarzania danych.
Zmiany Polityki zatwierdza Zarząd Spółki na wniosek IOD.
Aktualna wersja Polityki jest udostępniana wszystkim pracownikom i współpracownikom poprzez wewnętrzne repozytorium dokumentów.
Niniejsza Polityka wchodzi w życie z dniem 15 marca 2026 roku.

Dokument zatwierdzony przez Zarząd Momentum AI sp. z o.o. | Wilkasy, 15 marca 2026 r. | Kontakt IOD: iod@momentumai.pl