KD
Klementewicz Development
Powrót do strony głównej

Umowa Powierzenia Przetwarzania Danych (DPA)

Ostatnia aktualizacja: 15 grudnia 2024

Spis treści

Informacja

Niniejszy dokument stanowi wzór umowy powierzenia przetwarzania danych osobowych zgodnie z art. 28 RODO. Konkretne warunki są ustalane indywidualnie z każdym klientem.

1. Strony umowy

Administrator danych (Klient)

Podmiot, który powierza przetwarzanie danych osobowych - dane uzupełniane indywidualnie w umowie.

Podmiot przetwarzający (Wykonawca)

Jakub Klementewicz
Klementewicz Development
ul. Średnia 52, 21-310 Wohyń
NIP: 5381861841
E-mail: jakub.klementewicz@klementewiczdevelopment.com

2. Przedmiot umowy

Niniejsza umowa określa warunki powierzenia przetwarzania danych osobowych w związku ze świadczeniem usług programistycznych i technicznych przez Podmiot przetwarzający na rzecz Administratora.

Umowa została zawarta w celu zapewnienia zgodności z art. 28 RODO.

3. Zakres przetwarzania danych

Kategorie osób, których dane dotyczą

  • Pracownicy i współpracownicy Administratora
  • Klienci i kontrahenci Administratora
  • Użytkownicy systemów informatycznych
  • Inne osoby wskazane przez Administratora

Kategorie danych osobowych

  • Dane identyfikacyjne (imię, nazwisko, PESEL)
  • Dane kontaktowe (adres, telefon, e-mail)
  • Dane zawodowe (stanowisko, miejsce pracy)
  • Dane techniczne (logi, IP, cookies)
  • Inne dane wskazane przez Administratora

Charakter przetwarzania

  • Zbieranie i rejestrowanie danych
  • Przechowywanie i organizowanie
  • Przeglądanie i wykorzystywanie
  • Przekazywanie i udostępnianie
  • Ograniczanie i usuwanie

Cel przetwarzania

Przetwarzanie danych odbywa się wyłącznie w celu świadczenia usług określonych w umowie głównej, w szczególności:

  • Rozwój i utrzymanie systemów informatycznych
  • Zapewnienie bezpieczeństwa systemów
  • Wsparcie techniczne i konsultacje
  • Wykonanie innych usług zgodnie z umową

4. Obowiązki podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się do:

Zgodność z instrukcjami

  • Przetwarzania danych wyłącznie zgodnie z instrukcjami Administratora
  • Niezwłocznego informowania o niemożności wykonania instrukcji
  • Nieprzetwarzania danych do własnych celów

Poufność

  • Zapewnienia poufności przetwarzanych danych
  • Zobowiązania wszystkich osób mających dostęp do danych do zachowania tajemnicy
  • Utrzymania zobowiązania do poufności po zakończeniu umowy

Współpraca

  • Udzielania pomocy przy realizacji praw osób, których dane dotyczą
  • Wspierania w przeprowadzaniu ocen skutków dla ochrony danych
  • Udostępniania informacji niezbędnych do wykazania zgodności z RODO

5. Środki bezpieczeństwa

Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne:

Środki techniczne

  • Szyfrowanie danych w tranzycie i w spoczynku (AES-256, TLS 1.3)
  • Kontrola dostępu i uwierzytelnianie wieloskładnikowe
  • Regularne kopie zapasowe i testy odzyskiwania
  • Monitoring i logowanie dostępu do danych
  • Aktualizacje bezpieczeństwa i zarządzanie podatnościami

Środki organizacyjne

  • Polityki i procedury bezpieczeństwa informacji
  • Szkolenia personelu z zakresu ochrony danych
  • Kontrola dostępu na zasadzie "need to know"
  • Procedury reagowania na incydenty
  • Regularne audyty bezpieczeństwa

6. Dalsze powierzenie (podwykonawcy)

Podmiot przetwarzający może korzystać z usług podwykonawców po uzyskaniu pisemnej zgody Administratora lub zgodnie z listą zatwierdzonych podwykonawców.

Obecni podwykonawcy

  • Vercel Inc. - hosting aplikacji webowych (USA, adequacy decision)
  • Microsoft Corporation - usługi poczty elektronicznej (USA, adequacy decision)
  • OVH SAS - usługi chmurowe (Francja, UE)

Warunki korzystania z podwykonawców

  • Zawarcie umowy powierzenia z każdym podwykonawcą
  • Nałożenie takich samych obowiązków jak w niniejszej umowie
  • Pełna odpowiedzialność za działania podwykonawców
  • Prawo Administratora do sprzeciwu wobec nowych podwykonawców

7. Naruszenia ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych Podmiot przetwarzający:

Obowiązki natychmiastowe

  • Niezwłocznie powiadamia Administratora (max. 24h od wykrycia)
  • Podejmuje działania mające na celu ograniczenie skutków naruszenia
  • Dokumentuje wszystkie okoliczności naruszenia

Informacje w powiadomieniu

  • Opis charakteru naruszenia i kategorii danych
  • Prawdopodobne konsekwencje naruszenia
  • Środki podjęte w celu zaradzenia naruszeniu
  • Środki zalecane do podjęcia przez Administratora

Współpraca

  • Udzielanie wszelkich informacji niezbędnych do oceny naruszenia
  • Współpraca przy powiadamianiu organu nadzorczego
  • Pomoc w komunikacji z osobami, których dane dotyczą

8. Postanowienia końcowe

Okres obowiązywania

Umowa obowiązuje przez okres świadczenia usług określonych w umowie głównej. Po zakończeniu świadczenia usług Podmiot przetwarzający usuwa lub zwraca wszystkie dane osobowe.

Audyty i kontrole

Administrator ma prawo do przeprowadzania audytów i kontroli zgodności z postanowieniami umowy. Podmiot przetwarzający udostępnia wszelkie informacje niezbędne do przeprowadzenia audytu.

Odpowiedzialność

Podmiot przetwarzający ponosi odpowiedzialność za szkody wynikające z naruszenia postanowień niniejszej umowy zgodnie z art. 82 RODO.

Prawo właściwe

Do umowy stosuje się prawo polskie. Wszelkie spory rozstrzygane są przez sądy polskie.

Zmiany umowy

Zmiany umowy wymagają formy pisemnej pod rygorem nieważności.