Umowa Powierzenia Przetwarzania Danych (DPA)

Ostatnia aktualizacja: 3 lipca 2026 · Załącznik nr 1 do Regulaminu
Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej „DPA”) reguluje przetwarzanie danych osobowych powierzonych przez Inspektora (Administratora) w związku z korzystaniem z aplikacji Gaśnica-Control. Jest wymagana przez art. 28 ust. 3 RODO i jest akceptowana łącznie z Regulaminem przy zakładaniu konta. Zasady przetwarzania danych opisuje także Polityka Prywatności.

Strony

Powierzający / Administrator — Inspektor PPOŻ (firma konserwatorska) korzystający z aplikacji, którego dane identyfikacyjne pochodzą z konta.Podmiot Przetwarzający / Procesor — Uladzislau Piatkevich, osoba fizyczna prowadząca działalność nierejestrowaną (art. 5 ustawy Prawo przedsiębiorców). Pełne dane kontaktowe Procesora (adres do korespondencji, e-mail, telefon) są udostępniane w Regulaminie oraz w zakładce Ustawienia aplikacji po zalogowaniu.

§ 1. Przedmiot i charakter przetwarzania

Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usługi Gaśnica-Control (ewidencja klientów, obiektów i urządzeń PPOŻ, generowanie i archiwizacja protokołów przeglądów, obsługa podpisów, powiadomień i wizyt). Procesor wykonuje operacje na danych w imieniu Administratora, wyłącznie w celu dostarczenia funkcji aplikacji, przez czas obowiązywania umowy o świadczenie usług.

§ 2. Rodzaj danych i kategorie osób

Kategorie osób: przedstawiciele i osoby kontaktowe firm-klientów Administratora, właściciele i zarządcy obiektów, osoby podpisujące protokoły, odbiorcy powiadomień.Rodzaj danych: nazwa firmy klienta, NIP, adres obiektu, imię i nazwisko osoby kontaktowej, e-mail, telefon, stanowisko; dane urządzeń; wyniki przeglądów; obrazy podpisów oraz metadane podpisu (znacznik czasu, treść i potwierdzenie zgody). Adres IP i typ przeglądarki podpisującego są wykorzystywane wyłącznie przejściowo w chwili podpisu i nie są przechowywane.Powierzenie nie obejmuje szczególnych kategorii danych (art. 9 RODO); Administrator zobowiązuje się nie wprowadzać takich danych do aplikacji.

§ 3. Polecenia Administratora

Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora — za które uznaje się korzystanie z funkcji aplikacji zgodnie z Regulaminem oraz instrukcje przekazane na piśmie lub e-mailem. Procesor niezwłocznie informuje Administratora, jeżeli jego zdaniem polecenie narusza RODO lub inne przepisy.

§ 4. Poufność

Procesor zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi zachowania tajemnicy.

§ 5. Bezpieczeństwo przetwarzania (art. 32 RODO)

Procesor wdraża odpowiednie środki techniczne i organizacyjne adekwatne do ryzyka, w tym szyfrowanie danych w tranzycie (TLS) i w spoczynku (szyfrowanie kopertowe z kluczami per organizacja), izolację danych poszczególnych organizacji, kontrolę dostępu opartą na rolach, bezpieczne hashowanie haseł, walidację przesyłanych plików, bezpieczne dostarczanie raportów oraz zaszyfrowane kopie zapasowe. Skrót środków znajduje się w Załączniku B.

§ 6. Dalsze powierzenie — podprocesorzy

Administrator udziela Procesorowi ogólnej zgody na korzystanie z podprocesorów wymienionych w Załączniku A. Procesor informuje Administratora o zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów, umożliwiając wyrażenie sprzeciwu przed wdrożeniem zmiany, i nakłada na każdego podprocesora równoważne obowiązki ochrony danych (art. 28 ust. 2 i 4 RODO).

§ 7. Prawa osób i wsparcie Administratora

Procesor pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą (prawa z art. 15–22 RODO), oraz z obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków). W aplikacji dostępne są funkcje eksportu danych, usunięcia/anonimizacji oraz edycji danych.

§ 8. Zgłaszanie naruszeń

Procesor zgłasza Administratorowi każde naruszenie ochrony danych osobowych bez zbędnej zwłoki po jego stwierdzeniu, przekazując informacje umożliwiające Administratorowi wywiązanie się z obowiązków z art. 33–34 RODO.

§ 9. Usunięcie lub zwrot danych po zakończeniu

Po zakończeniu świadczenia usług Procesor — wedle wyboru Administratora — usuwa lub zwraca dane osobowe oraz usuwa istniejące kopie, chyba że przepisy prawa nakazują ich przechowywanie (m.in. obowiązek archiwizacji protokołów i faktur). Dane w zaszyfrowanych kopiach zapasowych są usuwane zgodnie z mechanizmem ponawiania usunięć (maks. 30 dni).

§ 10. Audyt i transfery poza EOG

Procesor udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwia audyty — z poszanowaniem poufności pozostałych klientów (model wielonajemcowy). Przekazywanie danych do podprocesorów spoza EOG (USA) odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską lub certyfikacji EU-US Data Privacy Framework — zob. Załącznik A.

Załącznik A — Lista podprocesorów

PodmiotCelLokalizacja / transfer
Microsoft AzureHosting, baza danych i przechowywanie plikówEOG (West / North Europe) - DPA, ISO 27001
Azure Communication Services (Microsoft)Wysyłka wiadomości e-mail i SMSEOG (Europe) - DPA Microsoft
StripeObsługa płatności (doładowania portfela)USA - SCC / EU-US Data Privacy Framework
Anthropic (Claude)Pomocniczy odczyt AI przy imporcie danych (dopasowanie kolumn, odczyt zdjęć tabliczek)USA - DPA + SCC, brak uczenia modeli na danych
Microsoft ClarityAnalityka behawioralna - mapy ciepła i nagrania sesji; uruchamiana wyłącznie po wyrażeniu zgody, nagrania w skonfigurowanym trybie maskowaniaUSA - SCC / EU-US Data Privacy Framework
Krajowy System e-Faktur (Ministerstwo Finansów)Wystawianie i odbiór e-faktur (KSeF)Polska - obowiązek ustawowy
GUS / Ministerstwo Finansów (Biała Lista)Pobieranie danych firm po numerze NIP / REGONPolska
OpenStreetMap FoundationGeokodowanie adresów obiektów oraz kafelki mapy i miniatur obiektówUE / Wielka Brytania - publiczna usługa, decyzja o adekwatności
Google / AppleLogowanie przez SSO - tylko jeśli wybierzesz tę opcjęUSA - SCC / EU-US Data Privacy Framework
Web3FormsObsługa formularza zgłoszeniowego na stronie głównejUSA - przetwarzanie zgłoszenia
Transfer poza EOG (USA, na podstawie SCC / EU-US Data Privacy Framework): Stripe, Anthropic (Claude), Microsoft Clarity, Google / Apple, Web3Forms.

Załącznik B — Środki bezpieczeństwa (skrót)

  • szyfrowanie w tranzycie (TLS) i w spoczynku (kopertowe, klucze per organizacja);
  • izolacja danych organizacji na poziomie klucza partycji;
  • kontrola dostępu oparta na rolach (RBAC);
  • bezpieczne hashowanie haseł (PBKDF2-SHA256 + sól, porównanie w czasie stałym);
  • walidacja przesyłanych plików (weryfikacja typu, nagłówek nosniff);
  • bezpieczne dostarczanie raportów (link jednorazowy, nie załącznik e-mail);
  • monitoring i alertowanie nieudanych logowań;
  • zaszyfrowane kopie zapasowe z ponawianiem usunięć po odtworzeniu.