Umowa powierzenia przetwarzania danych osobowych (DPA)

Ostatnia aktualizacja: 7 lipca 2026

zawarta pomiędzy:

SYSDEVOPS.EU Jarosław Karsznia, ul. Zbożowa 5/34, 81-020 Gdynia, NIP: 5871592779 — dalej „Podmiot przetwarzający” (procesor),

a

Administratorem — podmiotem wskazanym w danych Konta (nazwa firmy oraz NIP podane przy rejestracji), który zaakceptował Regulamin, a niniejsza Umowa stanowi jego integralną część —

łącznie zwanymi „Stronami”.

Umowa wiąże z chwilą akceptacji Regulaminu przy zakładaniu Konta.

Umowa stanowi realizację obowiązku z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) i określa zasady powierzenia przetwarzania danych osobowych w związku ze świadczeniem usługi Secvalis (platforma zarządzania podatnościami — dalej „Usługa”), na podstawie Regulaminu Usługi zawartego między Stronami.

§ 1. Przedmiot i charakter przetwarzania

  1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych wyłącznie w celu i zakresie niezbędnym do świadczenia Usługi.
  2. Przedmiot, charakter, cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, określa Załącznik nr 1.
  3. Czas trwania przetwarzania odpowiada okresowi obowiązywania Regulaminu, z zastrzeżeniem § 8 (usunięcie danych po zakończeniu).
  4. Podmiot przetwarzający przetwarza dane wyłącznie na udokumentowane polecenie Administratora — za takie polecenie uznaje się także korzystanie z Usługi zgodnie z jej funkcjonalnością i dokumentacją oraz konfigurację skanera (agenta) przez Administratora, w tym parametry minimalizacji danych opisane w Załączniku nr 1.

§ 2. Obowiązki Podmiotu przetwarzającego (art. 28 ust. 3 RODO)

Podmiot przetwarzający zobowiązuje się:

  1. (lit. a) przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym w zakresie przekazywania danych do państwa trzeciego — chyba że obowiązek taki nakłada prawo Unii lub państwa członkowskiego, o czym Podmiot przetwarzający informuje Administratora przed rozpoczęciem przetwarzania (o ile prawo tego nie zakazuje);
  2. (lit. b) zapewnić, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegały ustawowemu obowiązkowi zachowania tajemnicy;
  3. (lit. c) podjąć środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania wymagane na mocy art. 32 RODO — szczegółowo opisane w Załączniku nr 2;
  4. (lit. d) przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego (podpowierzenie) — § 3;
  5. (lit. e) w miarę możliwości pomagać Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw (art. 15–22 RODO);
  6. (lit. f) pomagać Administratorowi w wywiązaniu się z obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków — DPIA, uprzednie konsultacje), uwzględniając charakter przetwarzania i dostępne mu informacje;
  7. (lit. g) po zakończeniu świadczenia Usługi usunąć lub zwrócić Administratorowi wszelkie dane osobowe oraz usunąć ich istniejące kopie — zgodnie z § 8;
  8. (lit. h) udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwiać audyty (w tym inspekcje) — zgodnie z § 6;
  9. niezwłocznie informować Administratora, jeżeli jego zdaniem wydane polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.

§ 3. Podpowierzenie (dalsze podmioty przetwarzające)

  1. Administrator wyraża ogólną pisemną zgodę na korzystanie przez Podmiot przetwarzający z dalszych podmiotów przetwarzających (subprocesorów) wymienionych w Załączniku nr 3.
  2. Podmiot przetwarzający nakłada na każdego subprocesora — w drodze umowy — obowiązki ochrony danych odpowiadające obowiązkom z niniejszej Umowy, w szczególności obowiązek zapewnienia wystarczających gwarancji z art. 28 ust. 4 RODO. Podmiot przetwarzający odpowiada wobec Administratora za wywiązanie się subprocesora z jego obowiązków.
  3. O zamierzonej zmianie subprocesorów (dodaniu lub zastąpieniu) Podmiot przetwarzający informuje Administratora z wyprzedzeniem co najmniej 14 dni, drogą elektroniczną na adres kontaktowy Administratora. Administrator może wnieść uzasadniony sprzeciw w terminie 14 dni; w razie braku możliwości rozwiązania sprzeciwu Administrator może wypowiedzieć umowę w części dotyczącej usług objętych zmianą.

§ 4. Transfery do państw trzecich

  1. Dane przetwarzane są co do zasady na terenie Europejskiego Obszaru Gospodarczego (infrastruktura hostingowa: OVHcloud, Warszawa — Załącznik nr 3).
  2. Jedyny transfer poza EOG dotyczy usługi Resend (Resend, Inc., USA), wykorzystywanej do wysyłki wiadomości e-mail (adresy e-mail użytkowników Administratora). Transfer odbywa się na podstawie decyzji wykonawczej Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (EU–US Data Privacy Framework, w którym Resend, Inc. jest certyfikowany) lub subsydiarnie na podstawie Standardowych Klauzul Umownych (SCC) przyjętych przez Komisję Europejską. W zakresie, w jakim zastosowanie mają SCC, właściwy jest Moduł 3 (przekazanie procesor → procesor), ponieważ Podmiot przetwarzający działa jako procesor, a Resend jako jego subprocesor.

§ 5. Zgłaszanie naruszeń ochrony danych

  1. Podmiot przetwarzający zgłasza Administratorowi każde naruszenie ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od stwierdzenia naruszenia, aby umożliwić Administratorowi dochowanie terminu 72 godzin z art. 33 ust. 1 RODO.
  2. Zgłoszenie zawiera co najmniej informacje wskazane w art. 33 ust. 3 RODO, w zakresie dostępnym Podmiotowi przetwarzającemu: charakter naruszenia, kategorie i przybliżoną liczbę osób i rekordów, prawdopodobne konsekwencje oraz zastosowane lub proponowane środki zaradcze.
  3. Podmiot przetwarzający dokumentuje naruszenia w prowadzonym rejestrze zdarzeń (ślad audytowy Usługi) i udostępnia go Administratorowi na żądanie.

§ 6. Prawo do audytu

  1. Podmiot przetwarzający udostępnia Administratorowi informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwia przeprowadzenie audytów, w tym inspekcji, przez Administratora lub upoważnionego przez niego audytora.
  2. Audyt odbywa się po uprzednim powiadomieniu z rozsądnym wyprzedzeniem co najmniej 14 dni, w godzinach pracy, nie częściej niż raz w roku (z wyjątkiem audytu po stwierdzonym naruszeniu), w sposób minimalizujący zakłócenie działania Usługi i z poszanowaniem poufności danych innych klientów oraz tajemnicy przedsiębiorstwa.
  3. W pierwszej kolejności obowiązek informacyjny Podmiot przetwarzający realizuje przez udostępnienie posiadanej dokumentacji, certyfikatów lub raportów z audytów (np. podsumowanie testu penetracyjnego — o ile dostępne).
  4. Wszelkie koszty przeprowadzenia audytu lub inspekcji ponosi wyłącznie Administrator. W przypadku, gdy przeprowadzenie audytu wymaga zaangażowania personelu Podmiotu przetwarzającego, Podmiot przetwarzający zastrzega sobie prawo do obciążenia Administratora kosztami tego zaangażowania według standardowych stawek godzinowych, po uprzednim uzgodnieniu ich budżetu.

§ 7. Środki bezpieczeństwa

Podmiot przetwarzający stosuje środki techniczne i organizacyjne opisane w Załączniku nr 2, adekwatne do ryzyka zgodnie z art. 32 RODO. Administrator oświadcza, że środki te uznaje za odpowiednie do charakteru powierzonych danych.

§ 8. Zakończenie przetwarzania

  1. Po zakończeniu świadczenia Usługi Podmiot przetwarzający — według wyboru Administratora wyrażonego przed zakończeniem — zwraca dane osobowe lub je usuwa wraz z istniejącymi kopiami, w terminie 30 dni od zakończenia umowy, chyba że obowiązek dalszego przechowywania wynika z prawa Unii lub państwa członkowskiego.
  2. Do czasu usunięcia dane pozostają zabezpieczone zgodnie z § 7.
  3. Usunięcie obejmuje także kopie zapasowe w cyklu ich rotacji. Kopie zapasowe są szyfrowane (restic) i podlegają polityce retencji: 7 kopii dziennych, 4 tygodniowych i 6 miesięcznych. W konsekwencji dana kopia zapasowa jest przechowywana nie dłużej niż ok. 6 miesięcy, po czym zostaje trwale usunięta w procesie automatycznego czyszczenia (restic forget --prune). Do momentu nadpisania kopie pozostają zaszyfrowane i niedostępne w postaci jawnej.

§ 9. Odpowiedzialność i postanowienia końcowe

  1. Zasady odpowiedzialności Stron reguluje Regulamin Usługi. Odpowiedzialność każdej ze Stron wynikającą z RODO wobec osób, których dane dotyczą, określa art. 82 RODO.
  2. W sprawach nieuregulowanych stosuje się RODO, ustawę o ochronie danych osobowych oraz przepisy prawa polskiego.
  3. Prawem właściwym jest prawo polskie; sądem właściwym jest sąd właściwy dla siedziby Podmiotu przetwarzającego.
  4. Umowa wchodzi w życie z chwilą akceptacji Regulaminu i obowiązuje przez okres świadczenia Usługi.
  5. Forma zawarcia. Umowa stanowi integralną część Regulaminu Usługi i jest zawierana w postaci elektronicznej — przez akceptację Regulaminu (obejmującą niniejszą Umowę) przy rejestracji lub dalszym korzystaniu z Usługi; aktualna treść jest dostępna pod adresem /dpa. Na żądanie Administratora Podmiot przetwarzający udostępnia Umowę do pobrania w formacie PDF i dopuszcza jej zawarcie w formie dokumentowej lub z wykorzystaniem kwalifikowanego podpisu elektronicznego (opcja dla wyższych planów subskrypcyjnych / klientów wymagających podpisanego egzemplarza).
  6. Wersja językowa. Umowę sporządzono w wersji polskiej i angielskiej. W razie rozbieżności między wersjami rozstrzygająca jest wersja polska.

Załącznik nr 1 — Zakres i charakter przetwarzania

Cel przetwarzania
Świadczenie Usługi Secvalis: rejestracja i utrzymanie kont użytkowników, zbieranie i prezentacja wyników skanów podatności powierzonych maszyn, generowanie raportów i dowodów zgodności, powiadomienia.
Charakter przetwarzania
Przechowywanie, organizowanie, udostępnianie w panelu, generowanie raportów, wysyłka powiadomień e-mail. Przetwarzanie zautomatyzowane.
Czas przetwarzania
Okres obowiązywania Regulaminu; usunięcie zgodnie z § 8.
Kategorie osób
Użytkownicy konta Administratora (pracownicy / współpracownicy Administratora upoważnieni do korzystania z Usługi).
Kategorie danych osobowych
Adresy e-mail użytkowników konta; dane uwierzytelniające (hasło w postaci skrótu; klucze API w postaci skrótu SHA-256); adres IP rejestracji (przeciwdziałanie nadużyciom); metadane zdarzeń w śladzie audytowym (np. e-mail aktora, czas, typ akcji).
Dane techniczne skanów
Nazwa hosta (hostname), dystrybucja i jej wersja, nazwy i wersje zainstalowanych pakietów, wykryte podatności (CVE), strefa czasowa hosta, wersja agenta, status skanu. Dane te co do zasady nie stanowią danych osobowych, z zastrzeżeniem sytuacji, gdy hostname nadany przez Administratora zawierałby dane osobowe.
Minimalizacja danych
Skaner domyślnie przesyła nazwę hosta. Administrator może wyłączyć jej przesyłanie flagą --no-hostname (agent przekazuje wówczas wyłącznie etykietę nadaną przez Administratora --label, a rzeczywisty hostname nie opuszcza serwera Administratora). Realizacja zasady minimalizacji — art. 5 ust. 1 lit. c RODO.
Dane szczególnych kategorii
Usługa nie jest przeznaczona do przetwarzania danych szczególnych kategorii (art. 9 RODO). Administrator zobowiązuje się ich nie powierzać.

Załącznik nr 2 — Środki techniczne i organizacyjne (art. 32 RODO)

Podmiot przetwarzający stosuje w szczególności następujące środki:

  • Szyfrowanie w tranzycie — komunikacja z Usługą i jej API wyłącznie po HTTPS/TLS; agent (skaner) wymusza HTTPS dla endpointu API.
  • Szyfrowanie kopii zapasowych — kopie szyfrowane (restic) przed wysłaniem do magazynu OVHcloud; dostawca infrastruktury nie ma dostępu do danych w postaci jawnej.
  • Uwierzytelnianie wieloskładnikowe (MFA/TOTP) — dostępne dla użytkowników, z możliwością wymuszenia na poziomie konta (administrator konta może wymagać rejestracji drugiego składnika przez wszystkich użytkowników).
  • Ochrona poświadczeń — hasła przechowywane wyłącznie w postaci skrótów (bcrypt); klucze API w postaci skrótów SHA-256, klucz prezentowany jednorazowo przy generowaniu.
  • Kontrola dostępu i izolacja — role o zróżnicowanych uprawnieniach (w tym rola tylko-do-odczytu i rola audytora); izolacja danych między kontami (organizacjami) różnych klientów.
  • Ochrona przed nadużyciami — mechanizmy ograniczania liczby żądań (rate-limiting rejestracji i skanów) oraz przeciwdziałanie enumeracji kont (wyrównany czas odpowiedzi przy logowaniu i rejestracji).
  • Minimalizacja danych — mechanizm --no-hostname (Załącznik nr 1); slim payload agenta ogranicza przesyłane dane do niezbędnego zakresu.
  • Ślad audytowy — rejestrowanie istotnych zdarzeń (kto, kiedy, jaka akcja), zapisywane transakcyjnie wraz z operacją.
  • Monitoring błędów — self-hosted (GlitchTip) na własnym serwerze w Polsce; brak przekazywania danych diagnostycznych do zewnętrznego dostawcy.
  • Kopie zapasowe i odtwarzanie — regularne, szyfrowane kopie zapasowe; testowana procedura odtwarzania (przeprowadzony test odtworzenia — DR drill).

Załącznik nr 3 — Wykaz dalszych podmiotów przetwarzających (subprocesorów)

OVHcloud (OVH SAS)
Infrastruktura hostingowa i przechowywanie zaszyfrowanych kopii zapasowych. Lokalizacja: Warszawa, Polska (EOG). Powierzane dane: całość danych Usługi (w tym kopie zaszyfrowane restic).
Resend (Resend, Inc.)
Wysyłka wiadomości e-mail (weryfikacja konta, powiadomienia). Lokalizacja: USA (transfer wg § 4). Powierzane dane: adresy e-mail użytkowników.

GlitchTip (raportowanie błędów) jest hostowany na własnym serwerze Podmiotu przetwarzającego w Polsce — nie stanowi odrębnego subprocesora zewnętrznego.

Płatności i fakturowanie (poza zakresem powierzenia). Obsługę płatności i fakturowania konta Administratora realizuje Stripe Payments Europe, Limited (Irlandia, EOG). Dotyczy to wyłącznie danych rozliczeniowych samego Administratora jako strony umowy (dane firmy, NIP, dane płatności — dane karty przetwarza wyłącznie Stripe zgodnie ze standardem PCI-DSS; Podmiot przetwarzający nie przechowuje danych karty). W tym zakresie Podmiot przetwarzający występuje jako odrębny administrator (realizacja własnych obowiązków księgowo-podatkowych), a Stripe jest jego podmiotem przetwarzającym. Relacja ta nie stanowi powierzenia w rozumieniu niniejszej Umowy — nie obejmuje danych osób, których dane Administrator powierza w ramach korzystania z Usługi. Zasady te opisuje Regulamin oraz Polityka prywatności.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS