Powrót

DPA / UMOWA POWIERZENIA PRZETWARZANIA DANYCH (RODO) – BidCraft.io

Umowa powierzenia przetwarzania danych osobowych (DPA)

Wersja: 1.0

Niniejsza DPA stanowi integralną część Umowy/Regulaminu Usługi BidCraft.io i jest zawierana w formie dokumentowej poprzez akceptację (checkbox) w procesie zamówienia.

§1. Role Stron

  1. Klient jest Administratorem danych osobowych przetwarzanych w ramach danych wprowadzanych do Usługi.
  2. BidCraft.io (Usługodawca) jest Podmiotem Przetwarzającym.

§2. Przedmiot i czas trwania powierzenia

  1. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych w związku ze świadczeniem Usługi SaaS.
  2. Powierzenie trwa przez okres obowiązywania Umowy oraz technicznie uzasadniony czas wygaszania/usuwania danych zgodnie z §10.

§3. Zakres: kategorie danych, osób i czynności

  1. Kategorie osób: pracownicy/współpracownicy Administratora, osoby kontaktowe kontrahentów, użytkownicy systemu, inne osoby, których dane Administrator wprowadzi do Usługi.
  2. Kategorie danych: dane identyfikacyjne i kontaktowe (np. imię, nazwisko, e-mail, telefon), dane firmowe (stanowisko, firma), identyfikatory kont, logi zdarzeń, adres IP, oraz inne dane wprowadzone przez Administratora.
  3. Czynności przetwarzania: utrwalanie, przechowywanie, organizowanie, przeglądanie (incydentalnie w ramach wsparcia), modyfikowanie (na polecenie Administratora), usuwanie.

§4. Polecenia Administratora

  1. Podmiot Przetwarzający przetwarza dane wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek wynika z prawa.
  2. Poleceniami są w szczególności: konfiguracja Usługi, działania Użytkowników, zgłoszenia serwisowe, oraz instrukcje przekazane w formie dokumentowej (e-mail/ticket).

§5. Poufność i upoważnienia

  1. Podmiot Przetwarzający zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do poufności.
  2. Dostęp do danych jest ograniczony do minimum (least privilege).

§6. Dostęp serwisowy do DB/logów

  1. Podmiot Przetwarzający może uzyskać wgląd do logów i/lub bazy danych wyłącznie w zakresie koniecznym do:
    1. diagnozy i usunięcia zgłoszonego problemu,
    2. zapewnienia bezpieczeństwa i ciągłości działania,
    3. obsługi incydentu.
  2. Co do zasady dostęp jest realizowany na zgłoszenie Administratora; w sytuacjach awaryjnych – z poinformowaniem Administratora bez zbędnej zwłoki.

§7. Środki bezpieczeństwa (art. 32 RODO)

Podmiot Przetwarzający stosuje odpowiednie środki techniczne i organizacyjne, w szczególności:

  1. szyfrowanie transmisji (TLS/HTTPS),
  2. kontrolę dostępu i role,
  3. monitoring i logowanie zdarzeń,
  4. zabezpieczenia infrastruktury i aktualizacje,
  5. procedury reagowania na incydenty.

§8. Subprocesorzy – OVH

  1. Administrator wyraża zgodę na korzystanie z subprocesora: OVHcloud (OVH) w zakresie hostingu/infrastruktury.
  2. Podmiot Przetwarzający zapewnia, że OVH zapewnia co najmniej równoważne środki ochrony danych.
  3. O zmianie subprocesora Podmiot Przetwarzający poinformuje Administratora z wyprzedzeniem min. 14 dni, umożliwiając zgłoszenie uzasadnionego sprzeciwu.

§9. Transfery poza EOG

  1. Co do zasady dane są przetwarzane na terenie EOG.
  2. W razie konieczności transferu poza EOG Podmiot Przetwarzający zapewni podstawę prawną (np. SCC) i poinformuje Administratora.

§10. Usunięcie/zwrot danych po zakończeniu Umowy

  1. Po zakończeniu Umowy Podmiot Przetwarzający usuwa dane osobowe lub udostępnia Administratorowi możliwość ich eksportu, o ile funkcjonalność Usługi to umożliwia.
  2. Dane mogą być przechowywane dłużej wyłącznie, jeśli wymagają tego przepisy prawa.

§11. Pomoc w realizacji praw osób i obowiązków Administratora

  1. Podmiot Przetwarzający w miarę możliwości pomaga Administratorowi w realizacji praw osób (art. 12–22 RODO) oraz w ocenie skutków i konsultacjach, o ile dotyczy.
  2. Zakres pomocy jest ograniczony do możliwości technicznych Usługi.

§12. Naruszenia danych

  1. Podmiot Przetwarzający zgłasza Administratorowi naruszenie ochrony danych bez zbędnej zwłoki po jego stwierdzeniu, wraz z dostępnymi informacjami potrzebnymi do spełnienia obowiązków z art. 33–34 RODO.

§13. Audyty

  1. Administrator ma prawo do audytu nie częściej niż raz do roku, po uzgodnieniu terminu (min. 14 dni).
  2. Audyt nie może naruszać bezpieczeństwa innych klientów ani tajemnicy przedsiębiorstwa Podmiotu Przetwarzającego.
Powrót