1.1 Przedmiot. Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora w celu świadczenia platformy zgodności i jej aktywnych Modułów (Wyjątki, Rejestr Ryzyka, NIS2 Szkoły i przyszłe Moduły) zgodnie z Regulaminem.
1.2 Czas trwania. Niniejsza umowa obowiązuje przez czas trwania umowy subskrypcji. Po wygaśnięciu lub rozwiązaniu zastosowanie mają obowiązki dotyczące zwrotu i usunięcia danych określone w §9.
1.3 Hierarchia. W przypadku sprzeczności między niniejszą umową a Regulaminem w zakresie ochrony danych osobowych, niniejsza umowa ma pierwszeństwo.
Podmiot przetwarzający przetwarza dane osobowe wyłącznie w celu:
Podmiot przetwarzający nie przetwarza danych osobowych na własne niezależne cele komercyjne.
| Kategoria | Przykłady |
|---|---|
| Identyfikatory | Imię i nazwisko, adres e-mail, identyfikator użytkownika |
| Dane uwierzytelniające | Skróty haseł (Argon2id), sekrety TOTP (zaszyfrowane AES), identyfikatory WebAuthn |
| Dane sieciowe | Adresy IP, ciągi user-agent (zdarzenia logowania i wpisy dziennika audytu) |
| Dane zdarzeń audytowych | Kody działań, typ i identyfikator obiektu, podsumowania stanu, znaczniki czasu, skróty |
| Treści biznesowe Administratora | Opisy wyjątków, pliki dowodowe, wpisy rejestru ryzyka, raporty incydentów |
| Dane sesji | Tokeny sesji (po stronie serwera), znaczniki czasu sesji |
| Dane komunikacyjne | Adresy e-mail i imiona do dostarczania powiadomień |
Podmiot przetwarzający zobowiązuje się:
5.1 Przetwarzać wyłącznie zgodnie z instrukcjami.
5.2 Poufność personelu. Zapewnić, że osoby upoważnione zobowiązały się do zachowania poufności.
5.3 Wdrożyć techniczne i organizacyjne środki bezpieczeństwa opisane w Załączniku II i Białej Księdze Bezpieczeństwa pod adresem /legal/security.
5.4 Angagować podwykonawców wyłącznie zgodnie z §6.
5.5 Wspierać realizację praw podmiotów danych zgodnie z Rozdziałem III RODO (art. 15–22).
5.6 Wspierać przestrzeganie obowiązków z art. 32–36 RODO.
5.7 Zwrócić lub usunąć dane po zakończeniu umowy (zob. §9).
5.8 Udostępniać informacje i umożliwiać audyty zgodnie z §10.
5.9 Powiadamiać o niezgodnych z prawem instrukcjach.
6.1 Ogólna zgoda. Administrator udziela ogólnej zgody na angagowanie podwykonawców wymienionych w Załączniku I i pod adresem /legal/subprocessors.
6.2 Powiadamianie o zmianach. Co najmniej 30 dni kalendarzowych przed planowaną zmianą.
6.3 Prawo do sprzeciwu. Administrator może wnieść sprzeciw w 30-dniowym okresie powiadomienia na adres kontakt@parakscol.pl. Jeżeli Operator nie może go uwzględnić, Administrator może rozwiązać subskrypcję bez kary.
6.4 Obowiązki podwykonawców. Podmiot przetwarzający nakłada na wszystkich podwykonawców obowiązki równoważne niniejszej umowie.
6.5 Brak dalszego podpowierzania bez uprzedniej pisemnej zgody.
7.1 Dane przechowywane w regionie wybranym przez Administratora: PL (OVHcloud, Warszawa) dla paraKSCol i CyberZgodność EDU lub EU (Frankfurt) dla Exceptao. Dane biznesowe nie przekraczają granic regionów.
7.2 W przypadku transferu do podwykonawców poza UE/EOG — Standardowe Klauzule Umowne (SCK, Moduł 2) i Oceny Wpływu Transferu. Szczegóły: /legal/subprocessors.
8.1 Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia.
8.2 Powiadomienie będzie zawierać: opis charakteru naruszenia, kategorie i liczbę podmiotów danych, dane kontaktowe punktu kontaktowego, prawdopodobne konsekwencje oraz podtęte środki.
8.3 Jeżeli pełne informacje nie są dostępne w 72 godzinach, Operator prześle wstępne częściowe powiadomienie i uzupełni je bez zbędnej zwłoki.
9.1 Okno eksportu. 30 dni po wygaśnięciu subskrypcji na eksport danych w formacie JSON/CSV.
9.2 Usunięcie. Po Okresie Retencji Danych wszystkie dane osobowe zostaną bezpiecznie i nieodwracalnie usunięte z aktywnych systemów.
9.3 Zastrzeżenia dotyczące retencji prawnej: dokumentacja rozliczeniowa (5 lat); rekordy dziennika audytu z pseudonimową tożsamością aktora.
9.4 Na wniosek Podmiot przetwarzający dostarczy potwierdzenie usunięcia w ciągu 30 dni.
10.1 Udostępnienie informacji, w tym kwestionariusze bezpieczeństwa i certyfikaty.
10.2 Audyty na miejscu: co najmniej 30 dni pisemnego powiadomienia; nie częściej niż raz na 12 miesięcy; koszty ponosi Administrator (chyba że audyt ujawni istotną niezgodność); audytor zewnętrzny musi podpisać NDA.
10.3 Podmiot przetwarzający może częściowo wypełnić obowiązek audytowy przez dostarczenie certyfikatów (ISO 27001, SOC 2 Type II — gdy uzyskany).
11.1 Przy żądaniu usunięcia na mocy art. 17 RODO, pola e-mail aktora i IP aktora są pseudonimizowane: actor_tombstone_<uuid>.
11.2 Kryptograficzny łańcuch skrótów pozostaje nienaruszony i weryfikowalny.
11.3 Rekord zdarzenia audytowego (działanie, znacznik czasu, obiekt docelowy, skrót) jest przechowywany — usunięcie lub zmiana wiersza zniszczyłoby integralność łańcucha.
11.4 Podstawa prawna: uzasadniony interes w zakresie integralności audytu (art. 6 ust. 1 lit. f RODO).
12.1 Podmiot przetwarzający udzieli pomocy przy sporządzaniu DPIA, udostępniając niniejszą umową, Białą Księgę Bezpieczeństwa i Rejestr Czynności Przetwarzania.
12.2 Podmiot przetwarzający powiadomi Administratora, jeżeli uzna, że przetwarzanie może powodować wysokie ryzyko dla praw podmiotów danych.
Niniejsza umowa podlega prawu polskiemu. Wszelkie spory podlegają jurysdykcji sądów polskich, zgodnie z §17 Regulaminu.
Aktualna lista jest prowadzona pod adresem /legal/subprocessors. W chwili publikacji aktywni podwykonawcy to:
| Podwykonawca | Siedziba | Cel | Kategorie danych | Podstawa transferu |
|---|---|---|---|---|
| Cloudflare, Inc. | San Francisco, CA, USA (przetwarzanie w EU) | CDN, WAF, Tunnel, magazyn R2 | Adresy IP, metadane żądań; zaszyfrowane pliki i kopie zapasowe | SCK (Moduł 2); jurysdykcja R2: EU |
| Backblaze, Inc. | San Mateo, CA, USA (przetwarzanie w EU) | Zapasowy zaszyfrowany magazyn kopii zapasowych | Wyłącznie archiwa GPG-zaszyfrowane | SCK (Moduł 2); region EU |
| Microsoft Corporation | Redmond, WA, USA (przetwarzanie w EU) | Wychodząca transakcyjna poczta e-mail przez Graph API | Adres e-mail odbiorcy, imię, treść powiadomienia | SCK (Moduł 2); dzierżawa M365 EU |
HashiCorp Vault jest hostowany samodzielnie na własnym VPS Podmiotu przetwarzającego w EU i nie jest podwykonawcą w rozumieniu art. 28 RODO.
app (CRUD, brak DDL), audit_writer (wyłącznie INSERT na audit_log), superadmin (BYPASSRLS, każde działanie rejestrowane), migrator (DDL; wyłącznie migracje).(app.current_tenant_id, app.current_org_unit_id) ustawiana w bloku SET LOCAL na początku transakcji.audit_writer): wyłącznie INSERT; brak UPDATE i DELETE.GET /api/audit/verify.