Umowa Powierzenia Danych (DPA)

RODO Art. 28 · Podmiot przetwarzający: [DO UZUPEŁNIENIA: pełna nazwa podmiotu prawnego] · Ostatnia aktualizacja: 2026-05-15 · Wersja: 1.0

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych („DPA”) stanowi integralną część Regulaminu Usługi i obowiązuje każdego Dzierżawcę korzystającego z platformy CyberZgodność EDU. Administratorem jest Dzierżawca; Podmiotem przetwarzającym jest Operator. W odniesieniu do danych pracowników Operatora Operator działa również jako Administrator — opisano to w Polityce Prywatności.

Art. 1. Przedmiot i czas trwania

Operator przetwarza Dane Osobowe w imieniu Administratora (Dzierżawcy) w celu świadczenia Usługi SaaS platformy CyberZgodność EDU. Przetwarzanie trwa przez Okres subskrypcji oraz przez dodatkowy czas niezbędny do usunięcia lub zwrotu danych zgodnie z art. 12 niniejszej DPA.

Art. 2. Charakter i cel przetwarzania

Charakter	Przechowywanie, organizowanie, udostępnianie na żądanie Administratora, tworzenie kopii zapasowych, szyfrowanie, pseudonimizacja na żądanie.
Cel	Dostarczanie platformy GRC/compliance SaaS: zarządzanie zadaniami kontrolnymi KSC/NIS2, cykl incydentów 24h/72h/30d, rejestr ryzyk, dziennik audytu, samoidentyfikacja podmiotu, paczka audytowa.
Czas trwania	Okres subskrypcji + 30 dni na eksport / usunięcie danych po rozwiązaniu.

Art. 3. Rodzaj danych osobowych i kategorie osób

Kategoria danych	Przykłady
Dane identyfikacyjne	Imię (opcjonalne), adres e-mail, identyfikator użytkownika
Dane uwierzytelniania	Skrót hasła (Argon2id), sekret TOTP, klucz publiczny WebAuthn
Dane aktywności	Adresy IP przy logowaniu, user-agent, znaczniki czasu, kody działań w dzienniku audytu
Treści compliance	Treść zadań kontrolnych, opisów incydentów, ryzyk — w zakresie, w jakim zawierają dane osobowe
Dane desygnacji IBTI/ITSO	Imię i nazwisko osoby wyznaczonej, data wyznaczenia, zakres (org_unit)

Kategorie osób: pracownicy, wykonawcy i pełnomocnicy Administratora zrejestrowani jako Użytkownicy; osoby wyznaczone jako IBTI/ITSO w strukturze Dzierżawcy.

Brak przetwarzania danych szczególnych kategorii (art. 9 RODO) w ramach standardowej usługi. Administrator ponosi odpowiedzialność za niedodawanie takich danych do pól tekstowych platformy.

Art. 4. Obowiązki Podmiotu przetwarzającego

Operator zobowiązuje się do:

przetwarzania danych wyłącznie zgodnie z udokumentowanymi poleceniami Administratora, z wyjątkiem przypadków, gdy obowiązek przetwarzania wynika z prawa UE lub prawa państwa członkowskiego;
zapewnienia, że osoby upoważnione do przetwarzania są związane obowiązkiem poufności;
wdrożenia środków technicznych i organizacyjnych opisanych w Załączniku II;
przestrzegania warunków korzystania z usług dalszych podmiotów przetwarzających (art. 7–8);
udzielania Administratorowi pomocy w realizacji praw podmiotów danych (art. 9);
usunięcia lub zwrotu danych po zakończeniu usługi (art. 12);
udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania zgodności z art. 28 RODO oraz umożliwienia i wspierania audytów (art. 13).

Art. 5. Polecenia Administratora

Niniejsza DPA stanowi udokumentowane polecenie Administratora. Operator niezwłocznie informuje Administratora, jeżeli uzna, że polecenie narusza RODO lub inne przepisy o ochronie danych.

Art. 6. Środki bezpieczeństwa

Szczegółowe środki techniczne i organizacyjne opisano w Załączniku II do niniejszej DPA. Kluczowe elementy: Argon2id, TLS 1.3, FORCE RLS PostgreSQL, obowiązkowe MFA, szyfrowanie kopii zapasowych, Vault (envelope encryption), polityka minimalnych uprawnień.

Art. 7. Dalsze podmioty przetwarzające

Operator uzyskał ogólną uprzednią zgodę Administratora na korzystanie z dalszych podmiotów przetwarzających wymienionych w Załączniku I. O planowanej zmianie (dodaniu lub zastąpieniu podwykonawcy) Operator powiadomi Administratora z co najmniej 30-dniowym wyprzedzeniem drogą e-mail. Administrator może wnieść sprzeciw.

Art. 8. Warunki dla dalszych podmiotów przetwarzających

Operator nakłada na dalsze podmioty przetwarzające obowiązki ochrony danych równoważne obowiązkom określonym w niniejszej DPA. Jeżeli dalszy podmiot przetwarzający nie wywiąże się ze swoich obowiązków, Operator ponosi pełną odpowiedzialność wobec Administratora.

Art. 9. Pomoc w realizacji praw podmiotów danych

Operator zapewnia Administratorowi niezbędną pomoc przy realizacji żądań podmiotów danych (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszalność, sprzeciw) poprzez:

udostępnienie funkcji eksportu danych (JSON/CSV) w panelu Dzierżawcy;
pseudonimizację wpisów dziennika audytu na żądanie usunięcia danych;
odpowiedź na zapytania Administratora w terminie 5 dni roboczych.

Art. 10. Powiadamianie o naruszeniu danych osobowych

W przypadku stwierdzenia naruszenia ochrony danych osobowych Operator powiadomi Administratora bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin od wykrycia naruszenia. Powiadomienie zawiera co najmniej: opis naruszenia, kategorie i przybliżoną liczbę dotkniętych osób i rekordów, dane kontaktowe Inspektora Ochrony Danych Operatora, opis prawdopodobnych konsekwencji i środków zaradczych.

Art. 11. DPIA i uprzednie konsultacje

Operator udziela Administratorowi pomocy przy przeprowadzaniu oceny skutków dla ochrony danych (DPIA) na potrzeby związane z Usługą oraz przy uprzednich konsultacjach z organem nadzorczym, jeżeli DPIA wykazuje wysokie ryzyko nieograniczone przez środki zaradcze.

Art. 12. Zwrot i usunięcie danych

W ciągu 30 dni od zakończenia Okresu subskrypcji Operator:

udostępnia pełny eksport Danych Klienta w formacie JSON/CSV do pobrania przez Administratora; oraz
trwale usuwa Dane Klienta z systemów produkcyjnych i kopii zapasowych (zgodnie z harmonogramem rotacji kopii zapasowych).

Wpisy dziennika audytu są pseudonimizowane (nie usuwane) w celu zachowania łańcucha integralności. Dane rozliczeniowe są przechowywane przez okres wymagany prawem (5 lat).

Art. 13. Audyty i inspekcje

Operator udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO. Na uzasadniony wniosek Administratora (z co najmniej 30-dniowym wyprzedzeniem) Operator umożliwia przeprowadzenie audytu lub inspekcji przez Administratora lub upoważnionego audytora. Koszty audytu ponosi Administrator.

Załącznik I — Dalsze podmioty przetwarzające

ANEKS I

Podmiot	Kraj siedziby	Cel przetwarzania	Dane osobowe	Gwarancje transferu
Cloudflare, Inc.	USA (przetwarzanie EU)	CDN, WAF, Cloudflare Tunnel (ochrona VPS), Cloudflare R2 (kopie zapasowe)	Adresy IP, nagłówki HTTP, metadane żądań	SCC (art. 46 ust. 2 lit. c RODO); Data Processing Addendum Cloudflare
Backblaze, Inc.	USA (storage EU)	Drugorzędne kopie zapasowe (B2 EU region)	Zaszyfrowane bloki danych (klucze nie są u Backblaze)	SCC; dane są szyfrowane end-to-end zanim opuszczą VPS
Microsoft Corporation	USA (przetwarzanie EU)	Wysyłanie powiadomień e-mail przez Microsoft Graph API (M365)	Adres e-mail odbiorcy, treść powiadomienia	SCC; Microsoft DPA; dane UE przetwarzane w centrach danych UE

HashiCorp Vault jest obsługiwany przez Operatora na własnym VPS (EU) — nie jest dalszym podmiotem przetwarzającym.

Załącznik II — Środki techniczne i organizacyjne (TOM)

ANEKS II

A. Szyfrowanie danych w spoczynku

Pełne szyfrowanie dysków VPS (LUKS2).
Klucze sekretów dzierżawców: envelope encryption — DEK per dzierżawca, KEK w HashiCorp Vault.
Kopie zapasowe szyfrowane przed transferem (AES-256-GCM); klucze nie są przekazywane do dostawców storage.
Hasła użytkowników: Argon2id (pamięć ≥ 64 MiB, iteracje ≥ 3, równoległość ≥ 1).

B. Szyfrowanie danych w transporcie

TLS 1.3 dla całej komunikacji klient–serwer (wymuszane przez Cloudflare).
Nagłówki HSTS z preloadingiem.
Wewnętrzna komunikacja VPS przez Cloudflare Tunnel (mTLS).

C. Kontrola dostępu

FORCE ROW LEVEL SECURITY (PostgreSQL) — izolacja dzierżawców na poziomie silnika bazy danych.
Obowiązkowe MFA (TOTP lub WebAuthn) dla wszystkich kont bez wyjątku.
RBAC: minimalne uprawnienia per rola, per moduł.
Dostęp pracowników Operatora do produkcji: wyłącznie przez Cloudflare Access (SSO + MFA); każde połączenie rejestrowane.

D. Pseudonimizacja

Dziennik audytu: pseudonimizacja na żądanie (right-to-erasure) — identyfikatory zastrzegane pseudonimami actor_tombstone_<uuid>; łańcuch skrótów jest zachowany.

E. Integralność i dostępność

Dziennik audytu: append-only (rola DB z INSERT-only), każdy rząd zawiera prev_hash i row_hash SHA-256.
Kopie zapasowe: polityka 3-2-1 (R2 EEUR + B2 EU); testy przywracania co 90 dni (automatyczne).
Niezależność od jednego dostawcy storage.

F. Odporność systemu

Watchdog Cloudflare Tunnel z automatycznym restartem.
Monitoring uptime z alertami do Operatora.
Okna serwisowe ogłaszane z ≥24h wyprzedzeniem.

G. Procedury reagowania na incydenty

Wewnętrzna procedura reagowania na incydenty bezpieczeństwa z wyznaczonym koordynatorem.
Powiadomienie Administratora w ciągu 72h od wykrycia naruszenia (art. 10 DPA).
Post-mortem i plan naprawczy dla każdego incydentu Severity ≥ 2.

H. Bezpieczeństwo fizyczne

VPS w centrum danych OVHcloud (Warszawa, Polska); centrum danych posiada certyfikat ISO/IEC 27001; fizyczny dostęp wyłącznie dla OVHcloud. Dane pozostają w UE/Polsce.
Brak własnej infrastruktury fizycznej Operatora.

I. Zarządzanie podatnościami i aktualizacjami

Automatyczne aktualizacje bezpieczeństwa systemu operacyjnego (unattended-upgrades).
Przegląd CVE dla zależności Python/Node co miesiąc.
Testy penetracyjne ≥ 1 raz w roku przez niezależny podmiot [DO UZUPEŁNIENIA: lub „planowane w Q4 2026”].