Umowa powierzenia przetwarzania danych osobowych (DPA)
Ostatnia aktualizacja: 7 lipca 2026
zawarta pomiędzy:
SYSDEVOPS.EU Jarosław Karsznia, ul. Zbożowa 5/34, 81-020 Gdynia, NIP: 5871592779 — dalej „Podmiot przetwarzający” (procesor),
a
Administratorem — podmiotem wskazanym w danych Konta (nazwa firmy oraz NIP podane przy rejestracji), który zaakceptował Regulamin, a niniejsza Umowa stanowi jego integralną część —
łącznie zwanymi „Stronami”.
Umowa wiąże z chwilą akceptacji Regulaminu przy zakładaniu Konta.
Umowa stanowi realizację obowiązku z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) i określa zasady powierzenia przetwarzania danych osobowych w związku ze świadczeniem usługi Secvalis (platforma zarządzania podatnościami — dalej „Usługa”), na podstawie Regulaminu Usługi zawartego między Stronami.
§ 1. Przedmiot i charakter przetwarzania
- Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych wyłącznie w celu i zakresie niezbędnym do świadczenia Usługi.
- Przedmiot, charakter, cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, określa Załącznik nr 1.
- Czas trwania przetwarzania odpowiada okresowi obowiązywania Regulaminu, z zastrzeżeniem § 8 (usunięcie danych po zakończeniu).
- Podmiot przetwarzający przetwarza dane wyłącznie na udokumentowane polecenie Administratora — za takie polecenie uznaje się także korzystanie z Usługi zgodnie z jej funkcjonalnością i dokumentacją oraz konfigurację skanera (agenta) przez Administratora, w tym parametry minimalizacji danych opisane w Załączniku nr 1.
§ 2. Obowiązki Podmiotu przetwarzającego (art. 28 ust. 3 RODO)
Podmiot przetwarzający zobowiązuje się:
- (lit. a) przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym w zakresie przekazywania danych do państwa trzeciego — chyba że obowiązek taki nakłada prawo Unii lub państwa członkowskiego, o czym Podmiot przetwarzający informuje Administratora przed rozpoczęciem przetwarzania (o ile prawo tego nie zakazuje);
- (lit. b) zapewnić, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegały ustawowemu obowiązkowi zachowania tajemnicy;
- (lit. c) podjąć środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania wymagane na mocy art. 32 RODO — szczegółowo opisane w Załączniku nr 2;
- (lit. d) przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego (podpowierzenie) — § 3;
- (lit. e) w miarę możliwości pomagać Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw (art. 15–22 RODO);
- (lit. f) pomagać Administratorowi w wywiązaniu się z obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków — DPIA, uprzednie konsultacje), uwzględniając charakter przetwarzania i dostępne mu informacje;
- (lit. g) po zakończeniu świadczenia Usługi usunąć lub zwrócić Administratorowi wszelkie dane osobowe oraz usunąć ich istniejące kopie — zgodnie z § 8;
- (lit. h) udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwiać audyty (w tym inspekcje) — zgodnie z § 6;
- niezwłocznie informować Administratora, jeżeli jego zdaniem wydane polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
§ 3. Podpowierzenie (dalsze podmioty przetwarzające)
- Administrator wyraża ogólną pisemną zgodę na korzystanie przez Podmiot przetwarzający z dalszych podmiotów przetwarzających (subprocesorów) wymienionych w Załączniku nr 3.
- Podmiot przetwarzający nakłada na każdego subprocesora — w drodze umowy — obowiązki ochrony danych odpowiadające obowiązkom z niniejszej Umowy, w szczególności obowiązek zapewnienia wystarczających gwarancji z art. 28 ust. 4 RODO. Podmiot przetwarzający odpowiada wobec Administratora za wywiązanie się subprocesora z jego obowiązków.
- O zamierzonej zmianie subprocesorów (dodaniu lub zastąpieniu) Podmiot przetwarzający informuje Administratora z wyprzedzeniem co najmniej 14 dni, drogą elektroniczną na adres kontaktowy Administratora. Administrator może wnieść uzasadniony sprzeciw w terminie 14 dni; w razie braku możliwości rozwiązania sprzeciwu Administrator może wypowiedzieć umowę w części dotyczącej usług objętych zmianą.
§ 4. Transfery do państw trzecich
- Dane przetwarzane są co do zasady na terenie Europejskiego Obszaru Gospodarczego (infrastruktura hostingowa: OVHcloud, Warszawa — Załącznik nr 3).
- Jedyny transfer poza EOG dotyczy usługi Resend (Resend, Inc., USA), wykorzystywanej do wysyłki wiadomości e-mail (adresy e-mail użytkowników Administratora). Transfer odbywa się na podstawie decyzji wykonawczej Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (EU–US Data Privacy Framework, w którym Resend, Inc. jest certyfikowany) lub subsydiarnie na podstawie Standardowych Klauzul Umownych (SCC) przyjętych przez Komisję Europejską. W zakresie, w jakim zastosowanie mają SCC, właściwy jest Moduł 3 (przekazanie procesor → procesor), ponieważ Podmiot przetwarzający działa jako procesor, a Resend jako jego subprocesor.
§ 5. Zgłaszanie naruszeń ochrony danych
- Podmiot przetwarzający zgłasza Administratorowi każde naruszenie ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od stwierdzenia naruszenia, aby umożliwić Administratorowi dochowanie terminu 72 godzin z art. 33 ust. 1 RODO.
- Zgłoszenie zawiera co najmniej informacje wskazane w art. 33 ust. 3 RODO, w zakresie dostępnym Podmiotowi przetwarzającemu: charakter naruszenia, kategorie i przybliżoną liczbę osób i rekordów, prawdopodobne konsekwencje oraz zastosowane lub proponowane środki zaradcze.
- Podmiot przetwarzający dokumentuje naruszenia w prowadzonym rejestrze zdarzeń (ślad audytowy Usługi) i udostępnia go Administratorowi na żądanie.
§ 6. Prawo do audytu
- Podmiot przetwarzający udostępnia Administratorowi informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwia przeprowadzenie audytów, w tym inspekcji, przez Administratora lub upoważnionego przez niego audytora.
- Audyt odbywa się po uprzednim powiadomieniu z rozsądnym wyprzedzeniem co najmniej 14 dni, w godzinach pracy, nie częściej niż raz w roku (z wyjątkiem audytu po stwierdzonym naruszeniu), w sposób minimalizujący zakłócenie działania Usługi i z poszanowaniem poufności danych innych klientów oraz tajemnicy przedsiębiorstwa.
- W pierwszej kolejności obowiązek informacyjny Podmiot przetwarzający realizuje przez udostępnienie posiadanej dokumentacji, certyfikatów lub raportów z audytów (np. podsumowanie testu penetracyjnego — o ile dostępne).
- Wszelkie koszty przeprowadzenia audytu lub inspekcji ponosi wyłącznie Administrator. W przypadku, gdy przeprowadzenie audytu wymaga zaangażowania personelu Podmiotu przetwarzającego, Podmiot przetwarzający zastrzega sobie prawo do obciążenia Administratora kosztami tego zaangażowania według standardowych stawek godzinowych, po uprzednim uzgodnieniu ich budżetu.
§ 7. Środki bezpieczeństwa
Podmiot przetwarzający stosuje środki techniczne i organizacyjne opisane w Załączniku nr 2, adekwatne do ryzyka zgodnie z art. 32 RODO. Administrator oświadcza, że środki te uznaje za odpowiednie do charakteru powierzonych danych.
§ 8. Zakończenie przetwarzania
- Po zakończeniu świadczenia Usługi Podmiot przetwarzający — według wyboru Administratora wyrażonego przed zakończeniem — zwraca dane osobowe lub je usuwa wraz z istniejącymi kopiami, w terminie 30 dni od zakończenia umowy, chyba że obowiązek dalszego przechowywania wynika z prawa Unii lub państwa członkowskiego.
- Do czasu usunięcia dane pozostają zabezpieczone zgodnie z § 7.
- Usunięcie obejmuje także kopie zapasowe w cyklu ich rotacji. Kopie zapasowe są szyfrowane (restic) i podlegają polityce retencji: 7 kopii dziennych, 4 tygodniowych i 6 miesięcznych. W konsekwencji dana kopia zapasowa jest przechowywana nie dłużej niż ok. 6 miesięcy, po czym zostaje trwale usunięta w procesie automatycznego czyszczenia (restic forget --prune). Do momentu nadpisania kopie pozostają zaszyfrowane i niedostępne w postaci jawnej.
§ 9. Odpowiedzialność i postanowienia końcowe
- Zasady odpowiedzialności Stron reguluje Regulamin Usługi. Odpowiedzialność każdej ze Stron wynikającą z RODO wobec osób, których dane dotyczą, określa art. 82 RODO.
- W sprawach nieuregulowanych stosuje się RODO, ustawę o ochronie danych osobowych oraz przepisy prawa polskiego.
- Prawem właściwym jest prawo polskie; sądem właściwym jest sąd właściwy dla siedziby Podmiotu przetwarzającego.
- Umowa wchodzi w życie z chwilą akceptacji Regulaminu i obowiązuje przez okres świadczenia Usługi.
- Forma zawarcia. Umowa stanowi integralną część Regulaminu Usługi i jest zawierana w postaci elektronicznej — przez akceptację Regulaminu (obejmującą niniejszą Umowę) przy rejestracji lub dalszym korzystaniu z Usługi; aktualna treść jest dostępna pod adresem /dpa. Na żądanie Administratora Podmiot przetwarzający udostępnia Umowę do pobrania w formacie PDF i dopuszcza jej zawarcie w formie dokumentowej lub z wykorzystaniem kwalifikowanego podpisu elektronicznego (opcja dla wyższych planów subskrypcyjnych / klientów wymagających podpisanego egzemplarza).
- Wersja językowa. Umowę sporządzono w wersji polskiej i angielskiej. W razie rozbieżności między wersjami rozstrzygająca jest wersja polska.
Załącznik nr 1 — Zakres i charakter przetwarzania
- Cel przetwarzania
- Świadczenie Usługi Secvalis: rejestracja i utrzymanie kont użytkowników, zbieranie i prezentacja wyników skanów podatności powierzonych maszyn, generowanie raportów i dowodów zgodności, powiadomienia.
- Charakter przetwarzania
- Przechowywanie, organizowanie, udostępnianie w panelu, generowanie raportów, wysyłka powiadomień e-mail. Przetwarzanie zautomatyzowane.
- Czas przetwarzania
- Okres obowiązywania Regulaminu; usunięcie zgodnie z § 8.
- Kategorie osób
- Użytkownicy konta Administratora (pracownicy / współpracownicy Administratora upoważnieni do korzystania z Usługi).
- Kategorie danych osobowych
- Adresy e-mail użytkowników konta; dane uwierzytelniające (hasło w postaci skrótu; klucze API w postaci skrótu SHA-256); adres IP rejestracji (przeciwdziałanie nadużyciom); metadane zdarzeń w śladzie audytowym (np. e-mail aktora, czas, typ akcji).
- Dane techniczne skanów
- Nazwa hosta (hostname), dystrybucja i jej wersja, nazwy i wersje zainstalowanych pakietów, wykryte podatności (CVE), strefa czasowa hosta, wersja agenta, status skanu. Dane te co do zasady nie stanowią danych osobowych, z zastrzeżeniem sytuacji, gdy hostname nadany przez Administratora zawierałby dane osobowe.
- Minimalizacja danych
- Skaner domyślnie przesyła nazwę hosta. Administrator może wyłączyć jej przesyłanie flagą --no-hostname (agent przekazuje wówczas wyłącznie etykietę nadaną przez Administratora --label, a rzeczywisty hostname nie opuszcza serwera Administratora). Realizacja zasady minimalizacji — art. 5 ust. 1 lit. c RODO.
- Dane szczególnych kategorii
- Usługa nie jest przeznaczona do przetwarzania danych szczególnych kategorii (art. 9 RODO). Administrator zobowiązuje się ich nie powierzać.
Załącznik nr 2 — Środki techniczne i organizacyjne (art. 32 RODO)
Podmiot przetwarzający stosuje w szczególności następujące środki:
- Szyfrowanie w tranzycie — komunikacja z Usługą i jej API wyłącznie po HTTPS/TLS; agent (skaner) wymusza HTTPS dla endpointu API.
- Szyfrowanie kopii zapasowych — kopie szyfrowane (restic) przed wysłaniem do magazynu OVHcloud; dostawca infrastruktury nie ma dostępu do danych w postaci jawnej.
- Uwierzytelnianie wieloskładnikowe (MFA/TOTP) — dostępne dla użytkowników, z możliwością wymuszenia na poziomie konta (administrator konta może wymagać rejestracji drugiego składnika przez wszystkich użytkowników).
- Ochrona poświadczeń — hasła przechowywane wyłącznie w postaci skrótów (bcrypt); klucze API w postaci skrótów SHA-256, klucz prezentowany jednorazowo przy generowaniu.
- Kontrola dostępu i izolacja — role o zróżnicowanych uprawnieniach (w tym rola tylko-do-odczytu i rola audytora); izolacja danych między kontami (organizacjami) różnych klientów.
- Ochrona przed nadużyciami — mechanizmy ograniczania liczby żądań (rate-limiting rejestracji i skanów) oraz przeciwdziałanie enumeracji kont (wyrównany czas odpowiedzi przy logowaniu i rejestracji).
- Minimalizacja danych — mechanizm --no-hostname (Załącznik nr 1); slim payload agenta ogranicza przesyłane dane do niezbędnego zakresu.
- Ślad audytowy — rejestrowanie istotnych zdarzeń (kto, kiedy, jaka akcja), zapisywane transakcyjnie wraz z operacją.
- Monitoring błędów — self-hosted (GlitchTip) na własnym serwerze w Polsce; brak przekazywania danych diagnostycznych do zewnętrznego dostawcy.
- Kopie zapasowe i odtwarzanie — regularne, szyfrowane kopie zapasowe; testowana procedura odtwarzania (przeprowadzony test odtworzenia — DR drill).
Załącznik nr 3 — Wykaz dalszych podmiotów przetwarzających (subprocesorów)
- OVHcloud (OVH SAS)
- Infrastruktura hostingowa i przechowywanie zaszyfrowanych kopii zapasowych. Lokalizacja: Warszawa, Polska (EOG). Powierzane dane: całość danych Usługi (w tym kopie zaszyfrowane restic).
- Resend (Resend, Inc.)
- Wysyłka wiadomości e-mail (weryfikacja konta, powiadomienia). Lokalizacja: USA (transfer wg § 4). Powierzane dane: adresy e-mail użytkowników.
GlitchTip (raportowanie błędów) jest hostowany na własnym serwerze Podmiotu przetwarzającego w Polsce — nie stanowi odrębnego subprocesora zewnętrznego.
Płatności i fakturowanie (poza zakresem powierzenia). Obsługę płatności i fakturowania konta Administratora realizuje Stripe Payments Europe, Limited (Irlandia, EOG). Dotyczy to wyłącznie danych rozliczeniowych samego Administratora jako strony umowy (dane firmy, NIP, dane płatności — dane karty przetwarza wyłącznie Stripe zgodnie ze standardem PCI-DSS; Podmiot przetwarzający nie przechowuje danych karty). W tym zakresie Podmiot przetwarzający występuje jako odrębny administrator (realizacja własnych obowiązków księgowo-podatkowych), a Stripe jest jego podmiotem przetwarzającym. Relacja ta nie stanowi powierzenia w rozumieniu niniejszej Umowy — nie obejmuje danych osób, których dane Administrator powierza w ramach korzystania z Usługi. Zasady te opisuje Regulamin oraz Polityka prywatności.

