Umowa powierzenia przetwarzania danych #
Data wejścia w życie: kwiecień 2026
Niniejsza Umowa powierzenia przetwarzania danych („DPA") stanowi część umowy między klientem („Administrator") a EthicsPortal („Podmiot przetwarzający") dotyczącej świadczenia usługi platformy zgłoszeniowej dla sygnalistów EthicsPortal („Usługa").
Potrzebujesz podpisanej kopii? Napisz na support@ethicsportal.eu, aby otrzymać kontrasygnowaną wersję PDF tej DPA do swoich akt.
1. Strony #
Administrator: Organizacja, która subskrybuje EthicsPortal i określa cele i sposoby przetwarzania danych osobowych za pośrednictwem Usługi.
Podmiot przetwarzający: EthicsPortal, prowadzony przez Yaroslav Shmarov, ul. Obrzeżna 1A, 02-691 Warszawa, Polska. Kontakt: support@ethicsportal.eu.
2. Zakres i cel przetwarzania #
Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora wyłącznie w celu świadczenia Usługi, co obejmuje:
- Odbieranie i przechowywanie zgłoszeń sygnalistów
- Umożliwienie bezpiecznej komunikacji między zgłaszającymi a osobami prowadzącymi sprawę
- Zarządzanie przepływami pracy dotyczącymi spraw (przypisywanie, śledzenie statusu, rozwiązywanie)
- Generowanie dzienników audytu i rejestrów zgodności
- Wysyłanie transakcyjnych powiadomień e-mail do osób prowadzących sprawy i administratorów organizacji
- Przetwarzanie płatności za Usługę
Podmiot przetwarzający nie przetwarza danych osobowych w żadnym innym celu niż świadczenie Usługi zgodnie z instrukcjami Administratora.
3. Rodzaje przetwarzanych danych osobowych #
| Kategoria danych | Przykłady | Szyfrowane w spoczynku |
|---|---|---|
| Tożsamość zgłaszającego (opcjonalnie) | Imię i nazwisko, adres e-mail, numer telefonu | Tak (niedeterministyczne) |
| Treść zgłoszenia | Opis zgłoszonego problemu | Tak (niedeterministyczne) |
| Treść komunikacji | Wiadomości między zgłaszającym a osobą prowadzącą sprawę | Tak (niedeterministyczne) |
| Załączniki | Dokumenty, obrazy, pliki audio, wideo przesłane przez zgłaszających | Przechowywane z usuniętymi metadanymi |
| Kody dostępu | Unikalne kody używane przez zgłaszających do dostępu do swoich zgłoszeń | Tak |
| Dane prowadzących i administratorów | Imię i nazwisko, adres e-mail, rola, przynależność do organizacji | Nie (dane operacyjne) |
| Wpisy dziennika audytu | Znaczniki czasu, tożsamość wykonawcy, typ akcji | Nie (rejestry krytyczne dla integralności) |
| Dane techniczne | Jednokierunkowe hasze adresów IP (nieodwracalne) wyłącznie do limitowania żądań | Nie dotyczy (hasz, nie dane osobowe) |
4. Kategorie osób, których dane dotyczą #
- Sygnaliści / zgłaszający — osoby, które składają zgłoszenia za pośrednictwem portalu (mogą być anonimowe)
- Osoby prowadzące sprawy — osoby wyznaczone przez Administratora do odbierania i zarządzania zgłoszeniami
- Administratorzy organizacji — osoby, które zarządzają kontem i ustawieniami EthicsPortal Administratora
5. Czas trwania przetwarzania #
Podmiot przetwarzający przetwarza dane osobowe przez okres trwania subskrypcji Administratora na Usługę. Po zakończeniu:
- Administrator może wyeksportować swoje dane przed zakończeniem subskrypcji.
- Dane zgłoszeń są przechowywane zgodnie ze skonfigurowanym przez Administratora okresem przechowywania (12, 24, 36 lub 60 miesięcy po zamknięciu zgłoszenia), a następnie trwale usuwane.
- Na pisemne żądanie Podmiot przetwarzający usunie wszystkie pozostałe dane Administratora w ciągu 30 dni od zakończenia subskrypcji, chyba że przechowywanie jest wymagane przez obowiązujące prawo.
6. Obowiązki Podmiotu przetwarzającego #
6.1 Instrukcje przetwarzania #
Podmiot przetwarzający przetwarza dane osobowe wyłącznie na podstawie udokumentowanych instrukcji Administratora, chyba że jest do tego zobowiązany na mocy prawa UE lub państwa członkowskiego. Jeśli taki wymóg prawny zaistnieje, Podmiot przetwarzający poinformuje o tym Administratora przed przetwarzaniem, chyba że prawo zabrania takiego powiadomienia.
6.2 Poufność #
Wszystkie osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
6.3 Środki bezpieczeństwa #
Podmiot przetwarzający wdraża i utrzymuje środki techniczne i organizacyjne opisane na stronie Bezpieczeństwo, w tym:
- Szyfrowanie niedeterministyczne w spoczynku dla wszystkich wrażliwych danych zgłoszeń
- Brak przechowywania adresów IP (jednokierunkowe haszowanie wyłącznie do limitowania żądań)
- Automatyczne usuwanie metadanych plików (EXIF, GPS, dane autora)
- Kontrola dostępu oparta na rolach z politykami autoryzacji Pundit
- Niezmienny dziennik audytu dla wszystkich akcji
- Limitowanie żądań na wszystkich publicznych endpointach portalu
- HTTPS/TLS dla wszystkich połączeń
- Ochrona przed CSRF
6.4 Podwykonawcy przetwarzania #
Podmiot przetwarzający korzysta z podwykonawców przetwarzania wymienionych w sekcji 8. Podmiot przetwarzający powiadomi Administratora co najmniej 30 dni przed dodaniem lub zastąpieniem podwykonawcy. Administrator może zgłosić sprzeciw wobec zmiany; jeśli nie zostanie osiągnięte porozumienie, Administrator może rozwiązać umowę.
6.5 Prawa osób, których dane dotyczą #
Podmiot przetwarzający wspiera Administratora w odpowiadaniu na żądania osób, których dane dotyczą, korzystających ze swoich praw wynikających z RODO (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw), zapewniając niezbędne możliwości techniczne w ramach Usługi.
6.6 Powiadamianie o naruszeniu ochrony danych #
W przypadku naruszenia ochrony danych osobowych Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki, a w każdym przypadku w ciągu 72 godzin od uzyskania informacji o naruszeniu. Powiadomienie będzie zawierać:
- Opis charakteru naruszenia
- Kategorie i przybliżoną liczbę osób, których dane dotyczą
- Prawdopodobne konsekwencje naruszenia
- Środki podjęte lub zaproponowane w celu zaradzenia naruszeniu
6.7 Ocena skutków dla ochrony danych #
Podmiot przetwarzający wspiera Administratora w przeprowadzaniu ocen skutków dla ochrony danych i uprzednich konsultacji z organami nadzorczymi, w zakresie, w jakim działania przetwarzania Podmiotu przetwarzającego wymagają takiego wsparcia.
6.8 Usunięcie i zwrot danych #
Po zakończeniu Usługi Podmiot przetwarzający, zgodnie z wyborem Administratora:
- Zwróci wszystkie dane osobowe Administratorowi w ustrukturyzowanym, powszechnie używanym formacie (eksport PDF), lub
- Usunie wszystkie dane osobowe i potwierdzi usunięcie na piśmie
chyba że prawo UE lub państwa członkowskiego wymaga dalszego przechowywania.
6.9 Prawa audytu #
Podmiot przetwarzający udostępnia Administratorowi wszystkie informacje niezbędne do wykazania zgodności z obowiązkami wynikającymi z art. 28 RODO. Administrator może przeprowadzać audyty, w tym inspekcje, bezpośrednio lub za pośrednictwem upoważnionego audytora, pod warunkiem rozsądnego wcześniejszego powiadomienia (co najmniej 30 dni) i w godzinach pracy. Podmiot przetwarzający będzie współpracował przy takich audytach.
7. Obowiązki Administratora #
Administrator jest odpowiedzialny za:
- Zapewnienie podstawy prawnej przetwarzania danych osobowych za pośrednictwem Usługi
- Dostarczenie wymaganych informacji o ochronie prywatności osobom, których dane dotyczą (EthicsPortal wyświetla informację o ochronie prywatności w formularzu zgłoszenia)
- Skonfigurowanie odpowiednich okresów przechowywania danych w ramach Usługi
- Wyznaczenie upoważnionych prowadzących i administratorów
- Odpowiadanie na żądania osób, których dane dotyczą, z pomocą Podmiotu przetwarzającego opisaną powyżej
8. Podwykonawcy przetwarzania #
Następujący podwykonawcy przetwarzania są upoważnieni na dzień wejścia w życie niniejszej DPA:
| Podwykonawca | Cel | Lokalizacja | Zabezpieczenia |
|---|---|---|---|
| Hetzner Online GmbH | Hosting aplikacji, baza danych | Norymberga, Niemcy (UE) | Dane przetwarzane w całości w UE |
| Stripe, Inc. | Przetwarzanie płatności | UE | Podmiot przetwarzający nie przechowuje danych uwierzytelniających płatności; Stripe posiada certyfikat PCI DSS Level 1 |
| Postmark (ActiveCampaign) | Dostarczanie e-maili transakcyjnych | USA (z przetwarzaniem w UE) | Standardowe klauzule umowne (SCC) |
| Cloudflare, Inc. (R2) | Przechowywanie załączników | UE | Dane przechowywane w regionie UE |
Podmiot przetwarzający nie korzysta z żadnych innych podwykonawców przetwarzania danych osobowych. Analityka marketingowa (Cloudflare Web Analytics) nie używa ciasteczek i nie przetwarza danych osobowych.
9. Międzynarodowe transfery danych #
Całe przetwarzanie danych osobowych odbywa się w Unii Europejskiej (Hetzner, Niemcy). Przechowywanie plików odbywa się w UE (Cloudflare R2). Przetwarzanie płatności odbywa się w UE (Stripe).
Postmark (e-maile transakcyjne) przetwarza dane w Stanach Zjednoczonych. Transfer ten jest regulowany przez standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską. Postmark jest używany wyłącznie do powiadomień prowadzących/administratorów — strony portalu przeznaczone dla sygnalistów nie uruchamiają dostarczania e-maili do podmiotów przetwarzających z siedzibą w USA.
Żadne dane osobowe nie są przekazywane do żadnego kraju poza UE/EOG bez odpowiednich zabezpieczeń wymaganych przez rozdział V RODO.
10. Odpowiedzialność #
Odpowiedzialność każdej ze stron na mocy niniejszej DPA podlega ograniczeniom odpowiedzialności określonym w głównej umowie o świadczenie usług między stronami.
11. Okres obowiązywania i rozwiązanie #
Niniejsza DPA wchodzi w życie w momencie rozpoczęcia korzystania z Usługi przez Administratora i obowiązuje tak długo, jak Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora. Zobowiązania wynikające z niniejszej DPA obowiązują po jej rozwiązaniu w zakresie niezbędnym do zakończenia usuwania lub zwrotu danych osobowych.
12. Prawo właściwe #
Niniejsza DPA podlega prawu Rzeczypospolitej Polskiej, z wyłączeniem norm kolizyjnych. Sądy właściwe w Warszawie, Polska mają wyłączną jurysdykcję w sporach wynikających z niniejszej DPA.
Kontakt #
W sprawie pytań dotyczących niniejszej DPA lub prośby o podpisaną kopię:
EthicsPortal Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Warszawa, Polska support@ethicsportal.eu