# Umowa powierzenia przetwarzania danych (DPA)

Ostatnia aktualizacja: 2026-07-13
Wersja HTML (kanoniczna): https://szbihub.pl/dpa/

---

## Preambuła - łańcuch powierzenia (mapa ról)

Model biznesowy platformy jest trójstronny (white-label). Dane osobowe płyną w następującym łańcuchu: Organizacja kliencka (administrator danych swojego personelu i rejestrów SZBI) -> Partner - firma IT (podmiot przetwarzający organizacji, świadczący jej usługę wdrożenia/opieki SZBI) -> Supremeware Ltd (dalszy podmiot przetwarzający, dostawca narzędzia SaaS) -> Podprocesorzy (infrastruktura: VPS UE, e-mail transakcyjny UE, backup UE).

Wariant równoległy: dla danych wprowadzanych do Organizacji Własnej Partnera (jego własne SZBI) Partner występuje jako administrator, a Supremeware Ltd jako podmiot przetwarzający pierwszego stopnia.

Poza łańcuchem powierzenia: (a) dane kont Partnera i rozliczeniowe - Supremeware Ltd jako administrator (Polityka prywatności), (b) dane kupujących w procesie płatności - Paddle jako odrębny administrator (Merchant of Record).

TODO-CONTENT (kluczowe pytanie konstrukcyjne do radcy): czy niniejsza DPA, zawierana między Usługodawcą a Partnerem, wystarczy do umocowania całego łańcucha (Partner oświadcza, że działa z upoważnienia Organizacji - § 2 ust. 3), czy potrzebny jest dodatkowo wzorzec DPA Partner-Organizacja (dostarczamy go w pakiecie sales enablement - dokument 10) oraz czy Organizacje z bezpośrednim dostępem do Platformy powinny akceptować własny egzemplarz powierzenia przy pierwszym logowaniu.

## § 1. Definicje i przedmiot

1. Terminy pisane wielką literą mają znaczenie nadane w Regulaminie platformy SZBIhub. Pojęcia "administrator", "podmiot przetwarzający", "przetwarzanie", "dane osobowe", "naruszenie ochrony danych osobowych" mają znaczenie z art. 4 RODO.
2. Strony: **Powierzający** - Partner (działający jako administrator lub jako podmiot przetwarzający Organizacji - § 2 ust. 2-3) oraz **Przetwarzający** - Supremeware Ltd (Usługodawca).
3. Przedmiot: Powierzający powierza Przetwarzającemu przetwarzanie danych osobowych opisanych w Załączniku A, wyłącznie w celu i zakresie niezbędnym do świadczenia Usługi zgodnie z Umową (art. 28 ust. 3 RODO).
4. Niniejsza DPA jest zawierana na czas obowiązywania Umowy i wygasa wraz z zakończeniem usuwania lub zwrotu danych zgodnie z § 8.

## § 2. Role stron i status Powierzającego

1. Charakter, cel i czas przetwarzania, rodzaje danych i kategorie osób określa Załącznik A.
2. Dla danych Organizacji Własnej Partnera: Partner = administrator, Usługodawca = podmiot przetwarzający.
3. Dla danych Organizacji klienckich: Partner oświadcza, że (a) łączy go z Organizacją umowa uprawniająca do przetwarzania jej danych w charakterze podmiotu przetwarzającego, (b) uzyskał zgodę Organizacji (ogólną lub szczegółową) na dalsze powierzenie przetwarzania Usługodawcy w zakresie niniejszej DPA, (c) przekaże Organizacji informacje o Usługodawcy i podprocesorach w zakresie wymaganym przez art. 28 RODO. W tym układzie Usługodawca działa jako dalszy podmiot przetwarzający, a obowiązki "administratora" opisane w DPA wykonuje wobec Usługodawcy Partner - w imieniu własnym lub Organizacji.
4. Partner ponosi odpowiedzialność za zgodność z prawem poleceń wydawanych Usługodawcy oraz za istnienie ważnej podstawy przetwarzania po stronie Organizacji.

## § 3. Obowiązki Przetwarzającego (art. 28 ust. 3 RODO)

Przetwarzający zobowiązuje się:

1. przetwarzać dane wyłącznie na udokumentowane polecenie Powierzającego - za udokumentowane polecenia strony uznają: Umowę, niniejszą DPA oraz dyspozycje wydawane przez uprawnionych Użytkowników za pomocą funkcji Platformy (utworzenie, edycja, eksport, usunięcie danych); dotyczy to również przekazywania danych do państwa trzeciego, chyba że obowiązek taki nakłada na Przetwarzającego prawo Unii lub prawo państwa członkowskiego - wówczas poinformuje Powierzającego przed przetwarzaniem, o ile prawo tego nie zabrania;
2. zapewnić, by osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy albo podlegały ustawowemu obowiązkowi zachowania tajemnicy;
3. wdrożyć środki techniczne i organizacyjne wymagane na mocy art. 32 RODO, co najmniej w zakresie opisanym w Załączniku C;
4. przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego (podpowierzenie - § 4);
5. w miarę możliwości i biorąc pod uwagę charakter przetwarzania, pomagać Powierzającemu - poprzez odpowiednie środki techniczne i organizacyjne (w tym funkcje eksportu, wyszukiwania, korekty i usuwania danych na Platformie [w zakresie trwałego usuwania docelowo: F4.E3.T1]) - w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą (rozdział III RODO); żądania skierowane bezpośrednio do Przetwarzającego będą przekazywane Powierzającemu bez zbędnej zwłoki;
6. pomagać Powierzającemu wywiązać się z obowiązków z art. 32-36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków), uwzględniając charakter przetwarzania i dostępne Przetwarzającemu informacje;
7. po zakończeniu świadczenia usług - zależnie od decyzji Powierzającego - usunąć lub zwrócić dane osobowe oraz usunąć istniejące kopie (tryb: § 8), chyba że prawo Unii lub państwa członkowskiego nakazuje ich przechowywanie;
8. udostępniać Powierzającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwiać audyty i przyczyniać się do nich (tryb: § 6);
9. niezwłocznie informować Powierzającego, jeżeli jego zdaniem wydane polecenie narusza RODO lub inne przepisy o ochronie danych.

## § 4. Podpowierzenie (podprocesorzy)

1. Powierzający wyraża ogólną zgodę (art. 28 ust. 2 RODO) na korzystanie przez Przetwarzającego z podprocesorów wymienionych w Załączniku B (lista publikowana także na stronie [/security](/security)).
2. O zamierzonych zmianach listy (dodanie lub zastąpienie podprocesora) Przetwarzający informuje Powierzającego co najmniej 30 dni przed zmianą (e-mail na adres Konta + aktualizacja strony [/security](/security)).
3. Powierzający może w terminie 30 dni od powiadomienia wnieść uzasadniony sprzeciw. Wobec architektury usługi (jedna wspólna infrastruktura dla wszystkich klientów) strony przyjmują następujący skutek sprzeciwu: jeżeli Przetwarzający nie zaproponuje rozwiązania alternatywnego, Powierzający może wypowiedzieć Umowę w zakresie objętym zmianą przed jej wejściem w życie, z proporcjonalnym zwrotem opłat za niewykorzystany okres; dalsze korzystanie po wejściu zmiany w życie oznacza jej akceptację.
4. Przetwarzający nakłada na każdego podprocesora - w drodze umowy - te same obowiązki ochrony danych, jakie przyjął w niniejszej DPA (w szczególności art. 32 RODO), i pozostaje w pełni odpowiedzialny wobec Powierzającego za wykonanie obowiązków przez podprocesorów (art. 28 ust. 4 RODO).

## § 5. Zgłaszanie naruszeń ochrony danych

1. Przetwarzający zawiadamia Powierzającego o stwierdzonym naruszeniu ochrony danych osobowych dotyczącym danych powierzonych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od stwierdzenia naruszenia (kanał: e-mail na adres Konta oraz - dla zdarzeń krytycznych - komunikat na Platformie, a po uruchomieniu publicznej strony statusu także na tej stronie [docelowo: OP-5.4 - strona statusu w przygotowaniu]). TODO-CONTENT: 48 h to decyzja biznesowa draftu (ma zostawić administratorowi zapas w ramach jego własnego terminu 72 h z art. 33 RODO) - radca potwierdzi lub skoryguje.
2. Zawiadomienie zawiera co najmniej informacje odpowiadające art. 33 ust. 3 RODO w zakresie znanym Przetwarzającemu: charakter naruszenia, kategorie i przybliżoną liczbę osób oraz wpisów danych, możliwe konsekwencje, środki zastosowane lub proponowane, punkt kontaktowy. Informacje mogą być przekazywane sukcesywnie (art. 33 ust. 4 RODO stosuje się odpowiednio).
3. Ocena obowiązku zgłoszenia naruszenia organowi (art. 33 RODO) i zawiadomienia osób (art. 34 RODO) należy do administratora; Przetwarzający nie zgłasza naruszeń organowi w imieniu Powierzającego, chyba że strony odrębnie tak uzgodnią na piśmie.
4. Przetwarzający dokumentuje naruszenia dotyczące danych powierzonych i współpracuje przy ich wyjaśnianiu.

## § 6. Audyt i kontrola

1. Powierzający może realizować prawo audytu (art. 28 ust. 3 lit. h RODO) w następującej kolejności środków: (a) pisemne pytania i kwestionariusze (odpowiedź do 14 Dni Roboczych), (b) udostępnienie dokumentacji środków (Załącznik C, opis architektury [/security](/security), wyniki testów odtwarzania kopii), (c) audyt bezpośredni - zapowiedziany co najmniej 14 dni wcześniej, w Dni Robocze, nie częściej niż raz na 12 miesięcy (chyba że audyt jest następstwem naruszenia), prowadzony w sposób nienaruszający danych innych klientów Przetwarzającego i tajemnic jego przedsiębiorstwa; audytor podpisuje zobowiązanie poufności.
2. Koszty audytu bezpośredniego ponosi Powierzający; Przetwarzający może obciążyć Powierzającego udokumentowanym, rozsądnym kosztem zaangażowania przekraczającego 8 roboczogodzin. TODO-CONTENT: dopuszczalność ograniczeń audytu (częstotliwość, koszty) do potwierdzenia przez radcę.
3. Audyt u podprocesora odbywa się w granicach, jakie umowa Przetwarzającego z podprocesorem przewiduje dla klientów Przetwarzającego.

## § 7. Transfery poza EOG

1. Dane powierzone są przechowywane w Unii Europejskiej (Załącznik B - lokalizacje).
2. Dostęp administracyjny do systemów może następować z Polski i ze Zjednoczonego Królestwa (siedziba Przetwarzającego). Transfer do Zjednoczonego Królestwa opiera się na decyzji adekwatności Komisji Europejskiej (art. 45 RODO; decyzja odnowiona 19.12.2025, ważna do 27.12.2031 - wykaz: [https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en)).
3. Inne transfery poza EOG nie następują; ewentualne przyszłe wymagałyby mechanizmu z art. 46 RODO (np. standardowe klauzule umowne) i trybu zmiany listy podprocesorów z § 4.

## § 8. Zakończenie przetwarzania

1. Po zakończeniu Umowy Przetwarzający: (a) utrzymuje dane w trybie tylko-do-odczytu przez 90 dni w celu umożliwienia Powierzającemu (lub - za jego pośrednictwem - Organizacjom) eksportu danych (ZIP), (b) po upływie tego okresu trwale usuwa dane powierzone ze środowisk produkcyjnych, (c) usuwa dane z kopii zapasowych w cyklu ich rotacji zgodnie z Polityką retencji danych, do czasu usunięcia utrzymując ochronę kopii. W ścieżce zaległości płatniczych okres 90 dni liczy się od dnia zawieszenia Konta i nie sumuje się z okresem zawieszenia (jedna drabinka retencji - § 18 ust. 1 pkt 5 i § 20 ust. 3 Regulaminu). [docelowo: F4.E3.T1 (eksport ZIP, purge) + F4.E1.T3 (automatyka kopii)]
2. Na pisemne żądanie Powierzającego złożone przed upływem 90 dni Przetwarzający usunie dane wcześniej. [docelowo: F4.E3.T1 - do czasu zbudowania mechaniki realizacja ręczna przez Przetwarzającego]
3. Przetwarzający może zachować dane, których przechowywania wymaga prawo Unii lub państwa członkowskiego - wyłącznie w wymaganym zakresie i czasie oraz z zachowaniem poufności.
4. Na żądanie Powierzający otrzyma pisemne potwierdzenie usunięcia.

## § 9. Odpowiedzialność i wynagrodzenie

1. Odpowiedzialność stron z tytułu niniejszej DPA podlega ograniczeniom z § 16 Regulaminu, z zastrzeżeniem bezwzględnie obowiązujących przepisów (w tym art. 82 RODO w relacji do osób, których dane dotyczą). TODO-CONTENT: pytanie do radcy - czy roszczenia związane z ochroną danych objąć osobnym limitem (super-cap), oraz jak ukształtować regres między stronami przy odpowiedzialności z art. 82 RODO.
2. Wynagrodzenie za przetwarzanie jest zawarte w opłacie za Usługę; pomoc wykraczającą poza standardowe funkcje Platformy i obowiązki z § 3 (np. niestandardowe analizy na potrzeby DPIA Powierzającego) strony mogą odrębnie uzgodnić za wynagrodzeniem.

## § 10. Postanowienia końcowe

1. W razie sprzeczności DPA z Regulaminem, w zakresie ochrony danych pierwszeństwo ma DPA.
2. Zmiany DPA następują w trybie § 21 Regulaminu, z zastrzeżeniem trybu zmiany listy podprocesorów (§ 4).
3. Prawo właściwe: jak w Regulaminie (ZAŁOŻENIE ROBOCZE: prawo polskie; do decyzji z radcą). TODO-CONTENT: radca potwierdzi, czy wybór prawa dla DPA powinien podążać za Regulaminem.

## Załącznik A - opis przetwarzania (art. 28 ust. 3 RODO)

| Element                 | Opis                                                                                                                                                                                                                                                                                                                     |
| ----------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Przedmiot przetwarzania | Hosting i obsługa danych wprowadzanych do Platformy w środowiskach Organizacji (Własnych i klienckich)                                                                                                                                                                                                                   |
| Czas trwania            | Okres obowiązywania Umowy + okres eksportu i usuwania (§ 8)                                                                                                                                                                                                                                                              |
| Charakter przetwarzania | Zbieranie (poprzez formularze Platformy), przechowywanie, porządkowanie, wyświetlanie, modyfikowanie, generowanie dokumentów, eksport, usuwanie; kopie zapasowe                                                                                                                                                          |
| Cel przetwarzania       | Świadczenie Usługi: prowadzenie dokumentacji i rejestrów SZBI, obsługa terminów, szkoleń i raportów zgodności                                                                                                                                                                                                            |
| Kategorie osób          | Personel i współpracownicy Organizacji; osoby kontaktowe dostawców Organizacji; osoby wskazane w rejestrach (np. zgłaszający incydent, właściciele aktywów i ryzyk); uczestnicy szkoleń                                                                                                                                  |
| Rodzaje danych          | Dane identyfikacyjne i kontaktowe (imię, nazwisko, służbowy e-mail, telefon), stanowisko i rola, przypisania w rejestrach (aktywa, ryzyka, incydenty, dostawcy), dane szkoleniowe (status, wyniki, certyfikaty), wpisy dziennika zdarzeń, treści dokumentów w zakresie wprowadzonym przez Powierzającego lub Organizację |
| Dane wyłączone          | Dane szczególnych kategorii (art. 9 RODO) i dane karne (art. 10 RODO) - ich wprowadzanie jest umownie zabronione (§ 11 ust. 1 pkt 7 Regulaminu); Platforma nie jest do nich przeznaczona                                                                                                                                 |

## Załącznik B - lista podprocesorów (stan na 2026-07-13; wybór dostawców: decyzje D-R2-10 [poz. 1-2] i D-R3-4 [poz. 3] na podstawie rekomendacji `docs/paddle-kyb/06-decyzja-subprocesorzy.md`)

Zasada: hosting danych w UE; zmiany listy w trybie § 4 (30 dni uprzedzenia); lista publikowana także na stronie [/security](/security).

Lista podprocesorów (poz. 1-4) jest renderowana w tabeli na końcu tej strony - ta sama, jedna kolekcja `subprocessors` zasila tę tabelę i stronę [/security](/security). Poz. 1 (hosting - OVHcloud, Warszawa), poz. 2 (e-mail transakcyjny - Scaleway TEM) i poz. 3 (storage kopii zapasowych - Scaleway Object Storage) są wybrane/zatwierdzone (poz. 1-2: D-R2-10, 2026-07-12; poz. 3: D-R3-4, 2026-07-13) - zawarcie DPA z dostawcami i wdrożenie kopii zapasowych pozostają zadaniem człowieka przed startem produkcyjnym; kopie zapasowe NIE są jeszcze wykonywane. Poz. 4 (Cloudflare) czeka na potwierdzenie architektoniczne, czy ruch aplikacji przejdzie przez proxy CF.

Poza listą podprocesorów:

- **Paddle.com Market Limited (Londyn)** - Merchant of Record; przetwarza dane rozliczeniowe kupującego jako ODRĘBNY ADMINISTRATOR ([paddle.com/privacy](https://www.paddle.com/privacy)); nie przetwarza danych Organizacji. TODO-CONTENT: kwalifikację potwierdzi radca.
- **Plausible (self-host)** i **GlitchTip (self-host)** - planowane narzędzia analityki odwiedzin i monitoringu błędów. Na dzień tej wersji ŻADNE z tych narzędzi nie działa - dziś nie zbieramy statystyk. Możemy je w przyszłości uruchomić wyłącznie jako oprogramowanie self-host na własnej infrastrukturze Usługodawcy (na VPS z poz. 1) - wtedy wcześniej zaktualizujemy odpowiednie polityki (prywatności, cookies). Kwalifikacja prawna pozostaje bez zmian: narzędzia utrzymywane samodzielnie na naszej infrastrukturze nie będą odrębnymi podmiotami przetwarzającymi i nie wejdą na listę podprocesorów. Założenie projektowe dla error-trackingu: bez danych osobowych w zdarzeniach.

## Załącznik C - środki techniczne i organizacyjne (art. 32 RODO)

1. **Izolacja klientów**: architektura multi-tenant z separacją danych per partner i per organizacja, wymuszaną w warstwie aplikacji (globalne filtry zapytań, blokada zapisu między najemcami, automatyczne testy izolacji); docelowo dodatkowo zabezpieczenia na poziomie wierszy bazy danych (row-level security) zgodnie z harmonogramem wdrożenia fazy hardeningu [docelowo: F4.E2.T3]; alarmowanie prób zapisu między najemcami [docelowo: F4.E4.T2 - dziś próba zapisu jest blokowana wyjątkiem, alerting w budowie].
2. **Szyfrowanie**: TLS dla transmisji; szyfrowanie danych w spoczynku (dyski/wolumeny) oraz kopie zapasowe szyfrowane przed przekazaniem do storage [docelowo: F4.E1.T3 / konfiguracja środowiska produkcyjnego].
3. **Kontrola dostępu**: dostęp rolowy (RBAC) na Platformie; uwierzytelnianie wieloskładnikowe; zasada minimalnych uprawnień dla dostępu administracyjnego; imienny dostęp administracyjny wyłącznie dla personelu Przetwarzającego; sekrety w magazynie konfiguracji, rotowane.
4. **Rozliczalność**: dziennik zdarzeń (audit log) w trybie tylko-do-dopisywania, obejmujący operacje na danych i działania administracyjne; rejestrowanie akceptacji dokumentów prawnych (kto, kiedy, wersja) [docelowo: F4.E3.T2 - mechanizm akceptacji w budowie].
5. **Ciągłość działania**: kopie zapasowe wykonywane automatycznie z monitorowaniem skuteczności (alarm przy braku kopii) [docelowo: F4.E1.T3 + F4.E4.T2]; okresowe testy odtwarzania [docelowo: F4.E1.T3]; infrastruktura statusowa niezależna od produkcyjnej [docelowo: OP-5.4].
6. **Bezpieczeństwo wytwarzania**: środowiska produkcyjne oddzielone od testowych; przegląd zależności; monitorowanie błędów bez danych osobowych w zdarzeniach; zarządzanie podatnościami i polityka zgłaszania podatności ([/security](/security), security.txt).
7. **Organizacja**: jednoosobowy operator z udokumentowanymi procedurami (runbook), listą operacji zastrzeżonych dla człowieka i sealed instructions na wypadek niedostępności; personel i współpracownicy zobowiązani do poufności.
8. **Minimalizacja**: zakaz danych szczególnych kategorii; retencja zgodnie z Polityką retencji danych; eksport i usuwanie danych dostępne jako funkcje Platformy.

TODO-CONTENT: Załącznik C opisuje stan docelowy zgodny z blueprintem technicznym; przed publikacją produkcyjną founder potwierdza, które środki są już wdrożone (część fazy F4 - hardening, RLS, retencja - nie jest jeszcze zbudowana). Publikacja opisu środków niewdrożonych jako "wdrożonych" byłaby wprowadzeniem w błąd - wersję publikowaną należy zsynchronizować ze stanem faktycznym.