AeroPRO
Przejdź do treści

Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

Wersja 1.0.0 · obowiązuje od 2026-05-24

Załącznik do Regulaminu. Stanowi integralną część umowy powierzenia w rozumieniu art. 28 ust. 3 RODO.

§1. Strony i przedmiot

  1. Administrator — Klient korzystający z Usług (dalej „Administrator"), będący administratorem danych osobowych powierzanych do przetwarzania.
  2. Podmiot przetwarzającyDamian Zieliński (dane w trakcie rejestracji działalności), ul. Jedności Narodowej 105/11, 50-301 Wrocław, PL, email damian@aeropro-inspekcje.pl (dalej „Procesor").
  3. Przedmiotem Umowy jest powierzenie przez Administratora Procesorowi przetwarzania danych osobowych w zakresie i celu określonym w niniejszej DPA, na czas obowiązywania Umowy głównej (Regulaminu / odrębnej umowy o świadczenie usług).

§2. Zakres i charakter przetwarzania (art. 28 ust. 3 RODO)

  • Przedmiot przetwarzania: dane osobowe wprowadzone przez Administratora do portalu klienta lub przekazane Procesorowi w związku z realizacją usług inspekcyjnych (np. dane pracowników Administratora, kontaktów u jego klientów, osób obecnych w trakcie inspekcji).
  • Czas trwania: przez czas obowiązywania Umowy głównej + 30 dni (okres rozliczeń i eksportu) + okresy retencji wymagane przepisami.
  • Charakter i cel: hosting i prezentacja danych w portalu, wysyłka powiadomień transakcyjnych, generowanie raportów inspekcji, archiwizacja.
  • Rodzaje danych: dane identyfikacyjne (imię, nazwisko, stanowisko), kontaktowe (email, telefon), wizerunkowe (na zdjęciach z inspekcji w zakresie niezbędnym do dokumentacji obiektów).
  • Kategorie osób: pracownicy Administratora, jego kontrahenci, osoby obecne na terenie inspekcji.

§3. Obowiązki Procesora (art. 28 ust. 3 RODO)

Procesor zobowiązuje się do:

  1. Przetwarzania danych wyłącznie na udokumentowane polecenie Administratora — z wyjątkiem przypadków wymaganych prawem unijnym lub państwa członkowskiego; w takim wypadku Procesor poinformuje Administratora przed przystąpieniem do przetwarzania (chyba że prawo zakazuje takiego powiadomienia z uwagi na ważny interes publiczny).
  2. Zapewnienia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy.
  3. Wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32 RODO) — zob. załącznik A poniżej (TOM).
  4. Pomagania Administratorowi w spełnianiu obowiązków odpowiadania na żądania osób, których dane dotyczą (art. 12-22 RODO), w terminie ≤72 godziny od otrzymania żądania.
  5. Pomagania Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO (bezpieczeństwo, zgłaszanie naruszeń, DPIA, konsultacje z UODO).
  6. Zgłaszania naruszeń ochrony danych Administratorowi bez zbędnej zwłoki, nie później niż w 48h od ich wykrycia, na adres email Administratora wskazany w portalu.
  7. Po zakończeniu świadczenia usług — wedle wyboru Administratora — usunięcia lub zwrotu wszystkich danych oraz usunięcia kopii (chyba że prawo wymaga ich przechowywania). Standardowo dane są usuwane 30 dni po wygaśnięciu Umowy głównej.
  8. Udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków DPA oraz umożliwienia audytów (na uprzednie pisemne powiadomienie z 14-dniowym wyprzedzeniem, nie częściej niż raz w roku, na koszt Administratora).

§4. Dalsze powierzenie (podprocesorzy) — art. 28 ust. 2 i 4 RODO

  1. Administrator udziela ogólnego zezwolenia Procesorowi na korzystanie z podprocesorów wskazanych w aktualnej liście na stronie /podprocesorzy.
  2. Procesor poinformuje Administratora o zamierzonych zmianach w liście podprocesorów na adres email Administratora z 30-dniowym wyprzedzeniem. W tym czasie Administrator ma prawo wnieść sprzeciw. W razie sprzeciwu strony podejmą negocjacje; jeżeli nie dojdą do porozumienia — Administratorowi przysługuje prawo rozwiązania Umowy z zachowaniem 30-dniowego okresu wypowiedzenia.
  3. Procesor zobowiązuje się nakładać na podprocesorów obowiązki ochrony danych nie łagodniejsze niż te w niniejszej DPA, w drodze umowy lub innego instrumentu prawnego.

§5. Transfery poza Europejski Obszar Gospodarczy

Transfer danych do państw trzecich odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych decyzją wykonawczą Komisji (UE) 2021/914, decyzji o adekwatności (EU-U.S. Data Privacy Framework dla certyfikowanych dostawców z USA), bądź innych właściwych zabezpieczeń z rozdziału V RODO. Szczegóły — patrz lista podprocesorów.

§6. Odpowiedzialność

Każda ze stron odpowiada za szkody wyrządzone przetwarzaniem na zasadach określonych w art. 82 RODO oraz w Umowie głównej. Odpowiedzialność Procesora jest ograniczona do łącznej kwoty wynagrodzenia netto otrzymanego od Administratora w okresie 12 miesięcy poprzedzających zdarzenie, z zastrzeżeniem bezwzględnie obowiązujących przepisów.

§7. Akceptacja DPA

Korzystanie przez Administratora z Usług po wejściu w życie niniejszej DPA stanowi jej akceptację. Klient może zażądać podpisanej (kwalifikowanym podpisem elektronicznym lub formą pisemną) wersji DPA — w tym celu prosimy o kontakt na damian@aeropro-inspekcje.pl.

Załącznik A — Środki techniczne i organizacyjne (TOM)

A.1 Bezpieczeństwo infrastruktury

  • Hosting w certyfikowanych centrach danych (OVH, ISO 27001, SOC 2)
  • Szyfrowanie w tranzycie: TLS 1.2/1.3 (HSTS, preload)
  • Szyfrowanie at-rest: AES-256 (baza danych PostgreSQL, backupy GPG)
  • Firewall (UFW), Fail2Ban (5 jails), IDS na poziomie OVH
  • Konteneryzacja z cap_drop ALL + no-new-privileges (Docker)
  • Baza danych w sieci wewnętrznej (brak ekspozycji na internet)

A.2 Bezpieczeństwo aplikacji

  • Uwierzytelnianie dwuskładnikowe (2FA TOTP) dostępne dla wszystkich kont
  • Hashowanie haseł bcrypt (cost 12), wymuszony reset przy podejrzeniu naruszenia
  • Rate limiting (DB-backed): 5 prób / 15 min na login, 5 / 15 min na formularze
  • Walidacja plików (magic bytes + blocklist: .exe, .svg, .html)
  • Content Security Policy, X-Frame-Options, X-Content-Type-Options
  • Walidacja danych wejściowych (zod-like + DOMPurify dla HTML)

A.3 Bezpieczeństwo organizacyjne

  • Dostęp do produkcyjnej infrastruktury: tylko klucz SSH ED25519, brak haseł
  • Zasada najmniejszych uprawnień (least privilege) — role w aplikacji
  • Audyt log wszystkich operacji administracyjnych (model AuditLog, retencja 12m)
  • Okresowe audyty bezpieczeństwa (SECURITY-AUDIT-{date}.md w repo)

A.4 Kopie zapasowe i odzyskiwanie

  • Dzienne kopie bazy danych szyfrowane GPG
  • Retencja kopii: 7 dni dziennych + 4 tygodniowe + 6 miesięcznych
  • RPO: 24h, RTO: ≤4h
  • Testy odzyskiwania: kwartalne

A.5 Procedura naruszenia

  1. Wykrycie → izolacja (≤1h)
  2. Ocena charakteru i skali (≤24h)
  3. Powiadomienie Administratora (≤48h)
  4. Powiadomienie UODO przez Administratora (≤72h od chwili powzięcia wiedzy)
  5. Analiza powłamaniowa i raport — w ciągu 14 dni