⚠  PROJEKT — niezweryfikowany prawnie. Wymaga akceptacji przed publikacją.

Umowa Powierzenia Przetwarzania Danych Osobowych

RODO Art. 28  ·  Ostatnia aktualizacja: 2026-05-15

Strony:
Administrator: Klient („Dzierżawca”) wskazany w Formularzu Zamówienia lub rejestracji konta.
Podmiot przetwarzający: [DO UZUPEŁNIENIA: pełna nazwa podmiotu prawnego — zob. /legal/imprint] („Operator”)

Niniejsza umowa stanowi integralną część Regulaminu Usługi i zostaje zawarta automatycznie z chwilą jego akceptacji.

1. Przedmiot i czas trwania

1.1 Przedmiot. Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora w celu świadczenia platformy zgodności i jej aktywnych Modułów (Wyjątki, Rejestr Ryzyka, NIS2 Szkoły i przyszłe Moduły) zgodnie z Regulaminem.

1.2 Czas trwania. Niniejsza umowa obowiązuje przez czas trwania umowy subskrypcji. Po wygaśnięciu lub rozwiązaniu zastosowanie mają obowiązki dotyczące zwrotu i usunięcia danych określone w §9.

1.3 Hierarchia. W przypadku sprzeczności między niniejszą umową a Regulaminem w zakresie ochrony danych osobowych, niniejsza umowa ma pierwszeństwo.

2. Charakter i cel przetwarzania

Podmiot przetwarzający przetwarza dane osobowe wyłącznie w celu:

  1. Eksploatacji, utrzymania i wspierania Usługi (hosting, zarządzanie bazą danych, uwierzytelnianie);
  2. Uwierzytelniania i autoryzacji Użytkowników w ramach konta dzierżawcy Administratora;
  3. Prowadzenia odpornego na manipulacje, append-only dziennika audytowego per dzierżawca;
  4. Wysyłania powiadomień e-mail w imieniu zdarzeń przepływu pracy Administratora;
  5. Generowania raportów, paczek audytowych i eksportów danych;
  6. Przechowywania plików dowodowych w Cloudflare R2 z szyfrowaniem;
  7. Tworzenia automatycznych kopii zapasowych i operacji odtwarzania po awarii;
  8. Monitorowania Usługi pod kątem zagrożeń bezpieczeństwa.

Podmiot przetwarzający nie przetwarza danych osobowych na własne niezależne cele komercyjne.

3. Kategorie przetwarzanych danych osobowych

KategoriaPrzykłady
IdentyfikatoryImię i nazwisko, adres e-mail, identyfikator użytkownika
Dane uwierzytelniająceSkróty haseł (Argon2id), sekrety TOTP (zaszyfrowane AES), identyfikatory WebAuthn
Dane siecioweAdresy IP, ciągi user-agent (zdarzenia logowania i wpisy dziennika audytu)
Dane zdarzeń audytowychKody działań, typ i identyfikator obiektu, podsumowania stanu, znaczniki czasu, skróty
Treści biznesowe AdministratoraOpisy wyjątków, pliki dowodowe, wpisy rejestru ryzyka, raporty incydentów
Dane sesjiTokeny sesji (po stronie serwera), znaczniki czasu sesji
Dane komunikacyjneAdresy e-mail i imiona do dostarczania powiadomień

4. Kategorie podmiotów danych

5. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się:

5.1 Przetwarzać wyłącznie zgodnie z instrukcjami.

5.2 Poufność personelu. Zapewnić, że osoby upoważnione zobowiązały się do zachowania poufności.

5.3 Wdrożyć techniczne i organizacyjne środki bezpieczeństwa opisane w Załączniku II i Białej Księdze Bezpieczeństwa pod adresem /legal/security.

5.4 Angagować podwykonawców wyłącznie zgodnie z §6.

5.5 Wspierać realizację praw podmiotów danych zgodnie z Rozdziałem III RODO (art. 15–22).

5.6 Wspierać przestrzeganie obowiązków z art. 32–36 RODO.

5.7 Zwrócić lub usunąć dane po zakończeniu umowy (zob. §9).

5.8 Udostępniać informacje i umożliwiać audyty zgodnie z §10.

5.9 Powiadamiać o niezgodnych z prawem instrukcjach.

6. Podwykonawcy

6.1 Ogólna zgoda. Administrator udziela ogólnej zgody na angagowanie podwykonawców wymienionych w Załączniku I i pod adresem /legal/subprocessors.

6.2 Powiadamianie o zmianach. Co najmniej 30 dni kalendarzowych przed planowaną zmianą.

6.3 Prawo do sprzeciwu. Administrator może wnieść sprzeciw w 30-dniowym okresie powiadomienia na adres kontakt@parakscol.pl. Jeżeli Operator nie może go uwzględnić, Administrator może rozwiązać subskrypcję bez kary.

6.4 Obowiązki podwykonawców. Podmiot przetwarzający nakłada na wszystkich podwykonawców obowiązki równoważne niniejszej umowie.

6.5 Brak dalszego podpowierzania bez uprzedniej pisemnej zgody.

7. Przekazywanie danych do państw trzecich

7.1 Dane przechowywane w regionie wybranym przez Administratora: PL (OVHcloud, Warszawa) dla paraKSCol i CyberZgodność EDU lub EU (Frankfurt) dla Exceptao. Dane biznesowe nie przekraczają granic regionów.

7.2 W przypadku transferu do podwykonawców poza UE/EOG — Standardowe Klauzule Umowne (SCK, Moduł 2) i Oceny Wpływu Transferu. Szczegóły: /legal/subprocessors.

8. Powiadamianie o naruszeniu ochrony danych osobowych

8.1 Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia.

8.2 Powiadomienie będzie zawierać: opis charakteru naruszenia, kategorie i liczbę podmiotów danych, dane kontaktowe punktu kontaktowego, prawdopodobne konsekwencje oraz podtęte środki.

8.3 Jeżeli pełne informacje nie są dostępne w 72 godzinach, Operator prześle wstępne częściowe powiadomienie i uzupełni je bez zbędnej zwłoki.

9. Zwrót i usunięcie danych po zakończeniu umowy

9.1 Okno eksportu. 30 dni po wygaśnięciu subskrypcji na eksport danych w formacie JSON/CSV.

9.2 Usunięcie. Po Okresie Retencji Danych wszystkie dane osobowe zostaną bezpiecznie i nieodwracalnie usunięte z aktywnych systemów.

9.3 Zastrzeżenia dotyczące retencji prawnej: dokumentacja rozliczeniowa (5 lat); rekordy dziennika audytu z pseudonimową tożsamością aktora.

9.4 Na wniosek Podmiot przetwarzający dostarczy potwierdzenie usunięcia w ciągu 30 dni.

10. Prawa do audytu

10.1 Udostępnienie informacji, w tym kwestionariusze bezpieczeństwa i certyfikaty.

10.2 Audyty na miejscu: co najmniej 30 dni pisemnego powiadomienia; nie częściej niż raz na 12 miesięcy; koszty ponosi Administrator (chyba że audyt ujawni istotną niezgodność); audytor zewnętrzny musi podpisać NDA.

10.3 Podmiot przetwarzający może częściowo wypełnić obowiązek audytowy przez dostarczenie certyfikatów (ISO 27001, SOC 2 Type II — gdy uzyskany).

11. Pseudonimizacja wierszy dziennika audytowego przy usuwaniu

11.1 Przy żądaniu usunięcia na mocy art. 17 RODO, pola e-mail aktora i IP aktora są pseudonimizowane: actor_tombstone_<uuid>.

11.2 Kryptograficzny łańcuch skrótów pozostaje nienaruszony i weryfikowalny.

11.3 Rekord zdarzenia audytowego (działanie, znacznik czasu, obiekt docelowy, skrót) jest przechowywany — usunięcie lub zmiana wiersza zniszczyłoby integralność łańcucha.

11.4 Podstawa prawna: uzasadniony interes w zakresie integralności audytu (art. 6 ust. 1 lit. f RODO).

12. Oceny skutków dla ochrony danych (DPIA)

12.1 Podmiot przetwarzający udzieli pomocy przy sporządzaniu DPIA, udostępniając niniejszą umową, Białą Księgę Bezpieczeństwa i Rejestr Czynności Przetwarzania.

12.2 Podmiot przetwarzający powiadomi Administratora, jeżeli uzna, że przetwarzanie może powodować wysokie ryzyko dla praw podmiotów danych.

13. Prawo właściwe

Niniejsza umowa podlega prawu polskiemu. Wszelkie spory podlegają jurysdykcji sądów polskich, zgodnie z §17 Regulaminu.


Załącznik I — Aktualna lista podwykonawców

Aktualna lista jest prowadzona pod adresem /legal/subprocessors. W chwili publikacji aktywni podwykonawcy to:

PodwykonawcaSiedzibaCelKategorie danychPodstawa transferu
Cloudflare, Inc.San Francisco, CA, USA (przetwarzanie w EU)CDN, WAF, Tunnel, magazyn R2Adresy IP, metadane żądań; zaszyfrowane pliki i kopie zapasoweSCK (Moduł 2); jurysdykcja R2: EU
Backblaze, Inc.San Mateo, CA, USA (przetwarzanie w EU)Zapasowy zaszyfrowany magazyn kopii zapasowychWyłącznie archiwa GPG-zaszyfrowaneSCK (Moduł 2); region EU
Microsoft CorporationRedmond, WA, USA (przetwarzanie w EU)Wychodząca transakcyjna poczta e-mail przez Graph APIAdres e-mail odbiorcy, imię, treść powiadomieniaSCK (Moduł 2); dzierżawa M365 EU

HashiCorp Vault jest hostowany samodzielnie na własnym VPS Podmiotu przetwarzającego w EU i nie jest podwykonawcą w rozumieniu art. 28 RODO.


Załącznik II — Techniczne i organizacyjne środki bezpieczeństwa (art. 32 RODO)

A. Kontrola dostępu i zarządzanie tożsamością

B. Izolacja dzierżawców

C. Szyfrowanie w spoczynku

D. Szyfrowanie w transmisji

E. Integralność dziennika audytowego

F. Kopie zapasowe i odtwarzanie po awarii

G. Reagowanie na incydenty

H. Bezpieczeństwo fizyczne

I. Personel i środki organizacyjne