Umowa powierzenia przetwarzania danych (DPA)

• Administrator — Klient (właściciel katalogu), który decyduje o celach i sposobach przetwarzania powierzonych danych.
• Podmiot przetwarzający — [NAZWA SPÓŁKI / IMIĘ I NAZWISKO], [ADRES SIEDZIBY], NIP [NIP], operator Platformy.
• Przedmiotem DPA jest powierzenie przetwarzania danych osobowych w zakresie niezbędnym do świadczenia usług Platformy na rzecz Administratora.

Podmiot przetwarzający przetwarza powierzone dane wyłącznie w celu świadczenia usług opisanych w Regulaminie (hosting i udostępnianie katalogu, obsługa wpisów, wydarzeń, zapisów i komunikacji). Charakter przetwarzania obejmuje operacje wykonywane w sposób zautomatyzowany w infrastrukturze Platformy. Szczegółowe kategorie danych i osób określa Załącznik nr 1.

Powierzenie obowiązuje przez czas trwania umowy głównej (Regulamin). Po jej zakończeniu stosuje się zasady zwrotu/usunięcia danych z sekcji 9.

• przetwarza dane wyłącznie na udokumentowane polecenie Administratora (w tym co do transferów poza EOG), chyba że obowiązek wynika z prawa;
• zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności;
• stosuje środki bezpieczeństwa wymagane art. 32 RODO (zob. Załącznik nr 2 — TOMs);
• przestrzega warunków korzystania z usług dalszych podmiotów przetwarzających (sekcja 5);
• w miarę możliwości pomaga Administratorowi w realizacji żądań osób (rozdz. III RODO) odpowiednimi środkami technicznymi i organizacyjnymi;
• pomaga Administratorowi w wypełnianiu obowiązków z art. 32–36 (bezpieczeństwo, zgłaszanie naruszeń, DPIA);
• po zakończeniu świadczenia usuwa lub zwraca dane (sekcja 9);
• udostępnia Administratorowi informacje niezbędne do wykazania zgodności i umożliwia audyty (sekcja 10).

Administrator udziela ogólnej zgody na korzystanie z dalszych podmiotów przetwarzających. Aktualny wykaz subprocesorów (m.in. Vercel, Supabase, Stripe, Tpay, Resend, Google, OpenStreetMap/Nominatim) wraz z celem i lokalizacją znajduje się w Polityce prywatności.

Podmiot przetwarzający informuje Administratora o zamierzonych zmianach dotyczących dodania lub zastąpienia subprocesorów, dając możliwość wyrażenia sprzeciwu. Na każdy dalszy podmiot nakłada te same obowiązki ochrony danych co wynikające z niniejszej DPA.

Jeżeli przetwarzanie wymaga transferu danych poza EOG (np. do dostawców z USA), odbywa się ono na podstawie zabezpieczeń z art. 46 RODO — standardowych klauzul umownych (SCC) lub udziału dostawcy w programie Data Privacy Framework (DPF).

Podmiot przetwarzający zgłasza Administratorowi każde naruszenie ochrony powierzonych danych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od jego stwierdzenia, przekazując informacje umożliwiające Administratorowi dokonanie zgłoszenia do organu nadzorczego (UODO) w ustawowym terminie 72 godzin (art. 33 RODO). Zgłoszenie kierowane jest na adres kontaktowy Administratora podany w koncie.

Jeżeli osoba, której dane dotyczą, zwróci się z żądaniem (dostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie, sprzeciw) bezpośrednio do Podmiotu przetwarzającego, ten niezwłocznie przekazuje żądanie Administratorowi i — w zakresie technicznie możliwym — wspiera jego realizację (m.in. udostępniając funkcje eksportu i usuwania danych).

Po zakończeniu świadczenia usług Administrator ma co najmniej 30 dni na eksport powierzonych danych (CSV/JSON lub przez API). Po upływie tego okresu Podmiot przetwarzający trwale usuwa powierzone dane oraz ich kopie, chyba że obowiązek dalszego przechowywania wynika z przepisów prawa.

Podmiot przetwarzający udostępnia Administratorowi — na uzasadniony wniosek i z zachowaniem poufności — informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwia audyty (w tym inspekcje) prowadzone przez Administratora lub upoważnionego audytora, w rozsądnych terminach i w sposób niezakłócający ciągłości usług.

Zasady i ograniczenia odpowiedzialności określa Regulamin. Każda ze stron odpowiada za szkody wyrządzone przetwarzaniem w zakresie, w jakim nie dopełniła obowiązków nałożonych przez RODO bezpośrednio na nią (art. 82 RODO).

Kategorie osób, których dane dotyczą

• wystawcy / specjaliści posiadający wpisy w katalogu Administratora;
• użytkownicy końcowi kontaktujący się lub zapisujący na wydarzenia (np. RSVP);
• osoby reprezentujące Administratora (konta użytkowników panelu).

Kategorie danych

• dane identyfikacyjne i kontaktowe (imię, nazwisko, e-mail, telefon, adres);
• dane profilu publikowanego w katalogu;
• dane techniczne (adres IP, identyfikatory sesji, logi).
• Bez danych szczególnych kategorii (art. 9 RODO) — Platforma nie jest do nich przeznaczona (zob. Regulamin, sekcja 8).

• szyfrowanie transmisji (TLS/HTTPS, HSTS) oraz szyfrowanie danych w spoczynku po stronie dostawców infrastruktury;
• izolacja danych między Klientami na poziomie bazy (Row Level Security) i kontrola dostępu oparta na rolach;
• haszowanie haseł (bcrypt), ograniczanie liczby żądań (rate limiting), nagłówki bezpieczeństwa (m.in. CSP, X-Frame-Options);
• kopie zapasowe bazy (point-in-time recovery u dostawcy bazy) oraz procedury odtwarzania;
• ograniczenie dostępu personelu do danych produkcyjnych zgodnie z zasadą wiedzy koniecznej, zobowiązania do poufności;
• rejestrowanie i monitorowanie zdarzeń bezpieczeństwa oraz procedura zarządzania incydentami (zgłoszenie do 24 h — sekcja 7).

Szczegółowy, aktualny opis środków udostępniany jest Administratorowi na żądanie: [EMAIL DO SPRAW RODO].