Umowa Powierzenia Przetwarzania Danych (DPA)
Ostatnia aktualizacja: 3 lipca 2026 · Załącznik nr 1 do RegulaminuNiniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej „DPA”) reguluje przetwarzanie danych osobowych powierzonych przez Inspektora (Administratora) w związku z korzystaniem z aplikacji Gaśnica-Control. Jest wymagana przez art. 28 ust. 3 RODO i jest akceptowana łącznie z Regulaminem przy zakładaniu konta. Zasady przetwarzania danych opisuje także Polityka Prywatności.
Strony
Powierzający / Administrator — Inspektor PPOŻ (firma konserwatorska) korzystający z aplikacji, którego dane identyfikacyjne pochodzą z konta.Podmiot Przetwarzający / Procesor — Uladzislau Piatkevich, osoba fizyczna prowadząca działalność nierejestrowaną (art. 5 ustawy Prawo przedsiębiorców). Pełne dane kontaktowe Procesora (adres do korespondencji, e-mail, telefon) są udostępniane w Regulaminie oraz w zakładce Ustawienia aplikacji po zalogowaniu.§ 1. Przedmiot i charakter przetwarzania
Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usługi Gaśnica-Control (ewidencja klientów, obiektów i urządzeń PPOŻ, generowanie i archiwizacja protokołów przeglądów, obsługa podpisów, powiadomień i wizyt). Procesor wykonuje operacje na danych w imieniu Administratora, wyłącznie w celu dostarczenia funkcji aplikacji, przez czas obowiązywania umowy o świadczenie usług.§ 2. Rodzaj danych i kategorie osób
Kategorie osób: przedstawiciele i osoby kontaktowe firm-klientów Administratora, właściciele i zarządcy obiektów, osoby podpisujące protokoły, odbiorcy powiadomień.Rodzaj danych: nazwa firmy klienta, NIP, adres obiektu, imię i nazwisko osoby kontaktowej, e-mail, telefon, stanowisko; dane urządzeń; wyniki przeglądów; obrazy podpisów oraz metadane podpisu (znacznik czasu, treść i potwierdzenie zgody). Adres IP i typ przeglądarki podpisującego są wykorzystywane wyłącznie przejściowo w chwili podpisu i nie są przechowywane.Powierzenie nie obejmuje szczególnych kategorii danych (art. 9 RODO); Administrator zobowiązuje się nie wprowadzać takich danych do aplikacji.§ 3. Polecenia Administratora
Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora — za które uznaje się korzystanie z funkcji aplikacji zgodnie z Regulaminem oraz instrukcje przekazane na piśmie lub e-mailem. Procesor niezwłocznie informuje Administratora, jeżeli jego zdaniem polecenie narusza RODO lub inne przepisy.§ 4. Poufność
Procesor zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi zachowania tajemnicy.§ 5. Bezpieczeństwo przetwarzania (art. 32 RODO)
Procesor wdraża odpowiednie środki techniczne i organizacyjne adekwatne do ryzyka, w tym szyfrowanie danych w tranzycie (TLS) i w spoczynku (szyfrowanie kopertowe z kluczami per organizacja), izolację danych poszczególnych organizacji, kontrolę dostępu opartą na rolach, bezpieczne hashowanie haseł, walidację przesyłanych plików, bezpieczne dostarczanie raportów oraz zaszyfrowane kopie zapasowe. Skrót środków znajduje się w Załączniku B.§ 6. Dalsze powierzenie — podprocesorzy
Administrator udziela Procesorowi ogólnej zgody na korzystanie z podprocesorów wymienionych w Załączniku A. Procesor informuje Administratora o zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów, umożliwiając wyrażenie sprzeciwu przed wdrożeniem zmiany, i nakłada na każdego podprocesora równoważne obowiązki ochrony danych (art. 28 ust. 2 i 4 RODO).§ 7. Prawa osób i wsparcie Administratora
Procesor pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą (prawa z art. 15–22 RODO), oraz z obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków). W aplikacji dostępne są funkcje eksportu danych, usunięcia/anonimizacji oraz edycji danych.§ 8. Zgłaszanie naruszeń
Procesor zgłasza Administratorowi każde naruszenie ochrony danych osobowych bez zbędnej zwłoki po jego stwierdzeniu, przekazując informacje umożliwiające Administratorowi wywiązanie się z obowiązków z art. 33–34 RODO.§ 9. Usunięcie lub zwrot danych po zakończeniu
Po zakończeniu świadczenia usług Procesor — wedle wyboru Administratora — usuwa lub zwraca dane osobowe oraz usuwa istniejące kopie, chyba że przepisy prawa nakazują ich przechowywanie (m.in. obowiązek archiwizacji protokołów i faktur). Dane w zaszyfrowanych kopiach zapasowych są usuwane zgodnie z mechanizmem ponawiania usunięć (maks. 30 dni).§ 10. Audyt i transfery poza EOG
Procesor udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwia audyty — z poszanowaniem poufności pozostałych klientów (model wielonajemcowy). Przekazywanie danych do podprocesorów spoza EOG (USA) odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską lub certyfikacji EU-US Data Privacy Framework — zob. Załącznik A.Załącznik A — Lista podprocesorów
| Podmiot | Cel | Lokalizacja / transfer |
|---|---|---|
| Microsoft Azure | Hosting, baza danych i przechowywanie plików | EOG (West / North Europe) - DPA, ISO 27001 |
| Azure Communication Services (Microsoft) | Wysyłka wiadomości e-mail i SMS | EOG (Europe) - DPA Microsoft |
| Stripe | Obsługa płatności (doładowania portfela) | USA - SCC / EU-US Data Privacy Framework |
| Anthropic (Claude) | Pomocniczy odczyt AI przy imporcie danych (dopasowanie kolumn, odczyt zdjęć tabliczek) | USA - DPA + SCC, brak uczenia modeli na danych |
| Microsoft Clarity | Analityka behawioralna - mapy ciepła i nagrania sesji; uruchamiana wyłącznie po wyrażeniu zgody, nagrania w skonfigurowanym trybie maskowania | USA - SCC / EU-US Data Privacy Framework |
| Krajowy System e-Faktur (Ministerstwo Finansów) | Wystawianie i odbiór e-faktur (KSeF) | Polska - obowiązek ustawowy |
| GUS / Ministerstwo Finansów (Biała Lista) | Pobieranie danych firm po numerze NIP / REGON | Polska |
| OpenStreetMap Foundation | Geokodowanie adresów obiektów oraz kafelki mapy i miniatur obiektów | UE / Wielka Brytania - publiczna usługa, decyzja o adekwatności |
| Google / Apple | Logowanie przez SSO - tylko jeśli wybierzesz tę opcję | USA - SCC / EU-US Data Privacy Framework |
| Web3Forms | Obsługa formularza zgłoszeniowego na stronie głównej | USA - przetwarzanie zgłoszenia |
Załącznik B — Środki bezpieczeństwa (skrót)
- szyfrowanie w tranzycie (TLS) i w spoczynku (kopertowe, klucze per organizacja);
- izolacja danych organizacji na poziomie klucza partycji;
- kontrola dostępu oparta na rolach (RBAC);
- bezpieczne hashowanie haseł (PBKDF2-SHA256 + sól, porównanie w czasie stałym);
- walidacja przesyłanych plików (weryfikacja typu, nagłówek nosniff);
- bezpieczne dostarczanie raportów (link jednorazowy, nie załącznik e-mail);
- monitoring i alertowanie nieudanych logowań;
- zaszyfrowane kopie zapasowe z ponawianiem usunięć po odtworzeniu.