Umowa Powierzenia Przetwarzania Danych

1. Strony Umowy

1.1. Administrator Danych

Użytkownik (organizator wydarzenia) - podmiot, który wprowadza dane uczestników do platformy CheckInXpress i decyduje o celach oraz środkach przetwarzania tych danych.

1.2. Podmiot Przetwarzający

2. Przedmiot i Czas Trwania

2.1. Przedmiot umowy

Podmiot Przetwarzający przetwarza dane osobowe w imieniu i na zlecenie Administratora w celu świadczenia usług platformy CheckInXpress obejmujących zarządzanie uczestnikami wydarzeń.

2.2. Czas trwania

Umowa obowiązuje przez cały okres korzystania przez Administratora z platformy CheckInXpress. Po zakończeniu umowy głównej, dane zostaną przetworzone zgodnie z sekcją 10 niniejszej Umowy DPA.

3. Charakter i Cel Przetwarzania

Podmiot Przetwarzający wykonuje następujące operacje na danych:

• Przechowywanie danych uczestników w bazie danych
• Generowanie kodów QR zawierających zaszyfrowane identyfikatory
• Walidacja i rejestracja check-inów uczestników
• Synchronizacja danych między urządzeniami (online/offline)
• Generowanie raportów i statystyk frekwencji
• Eksport danych na żądanie Administratora
• Usuwanie danych na żądanie Administratora

4. Rodzaje Danych Osobowych

Przetwarzane dane osobowe uczestników wydarzeń obejmują:

5. Kategorie Osób, Których Dane Dotyczą

Dane dotyczą uczestników wydarzeń organizowanych przez Administratora, tj. osób:

• Zarejestrowanych na wydarzenia (konferencje, spotkania, szkolenia)
• Których dane zostały wprowadzone przez Administratora (ręcznie lub poprzez import CSV)
• Które uczestniczą w procesie check-in na wydarzeniach

6. Obowiązki Podmiotu Przetwarzającego

Podmiot Przetwarzający zobowiązuje się do:

6.1. Przetwarzanie wyłącznie na polecenie

• Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, w tym w zakresie przekazywania danych do państw trzecich
• Informowania Administratora, jeśli polecenie narusza przepisy o ochronie danych

6.2. Poufność

• Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy
• Ograniczenia dostępu do danych tylko do osób, którym jest to niezbędne do wykonania usług

6.3. Środki bezpieczeństwa

• Wdrożenia odpowiednich środków technicznych i organizacyjnych (szczegóły w sekcji 8)
• Regularnego testowania i oceniania skuteczności tych środków

6.4. Pomoc Administratorowi

• Wsparcia w odpowiadaniu na żądania osób, których dane dotyczą
• Pomocy w wywiązywaniu się z obowiązków z art. 32-36 RODO (bezpieczeństwo, naruszenia, ocena skutków)

6.5. Audyty

• Udostępniania Administratorowi informacji niezbędnych do wykazania zgodności z art. 28 RODO
• Umożliwienia przeprowadzenia audytów zgodnie z sekcją 11

7. Dalsze Podmioty Przetwarzające (Sub-procesorzy)

7.1. Autoryzowani sub-procesorzy

Administrator wyraża zgodę na korzystanie z następujących sub-procesorów:

SCCs = Standardowe Klauzule Umowne zatwierdzone przez Komisję Europejską

7.2. Procedura angażowania nowych sub-procesorów

• Podmiot Przetwarzający powiadomi Administratora o zamiarze dodania/zmiany sub-procesora z co najmniej 30-dniowym wyprzedzeniem
• Administrator może zgłosić uzasadniony sprzeciw w ciągu 14 dni
• W przypadku braku sprzeciwu, zmiana uznawana jest za zaakceptowaną

7.3. Odpowiedzialność

Podmiot Przetwarzający pozostaje w pełni odpowiedzialny wobec Administratora za działania sub-procesorów i zapewnia, że zawarte z nimi umowy nakładają równoważne obowiązki ochrony danych.

8. Środki Bezpieczeństwa

Podmiot Przetwarzający wdrożył następujące środki techniczne i organizacyjne:

8.1. Środki techniczne

• Szyfrowanie w transmisji: TLS 1.2+ dla wszystkich połączeń
• Szyfrowanie w spoczynku: AES-256 dla danych w bazie
• Szyfrowanie kodów QR: Zaszyfrowane identyfikatory uczestników
• Kontrola dostępu: RBAC (Role-Based Access Control)
• Izolacja danych: Architektura multi-tenant z separacją danych
• Kopie zapasowe: Automatyczne backup z retencją 30 dni
• Monitoring: Logi audytowe i alertowanie o anomaliach

8.2. Środki organizacyjne

• Polityka minimalnych uprawnień (principle of least privilege)
• Regularne przeglądy uprawnień dostępu
• Procedury reagowania na incydenty bezpieczeństwa
• Szkolenia personelu w zakresie ochrony danych

9. Naruszenia Ochrony Danych

9.1. Powiadomienie

W przypadku naruszenia ochrony danych osobowych, Podmiot Przetwarzający powiadomi Administratora:

• Bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od wykrycia naruszenia
• Powiadomienie będzie zawierać informacje wymagane art. 33 ust. 3 RODO lub informację o przyczynach opóźnienia w ich przekazaniu

9.2. Treść powiadomienia

Powiadomienie będzie zawierać co najmniej:

• Opis charakteru naruszenia
• Kategorie i przybliżoną liczbę osób, których dotyczy naruszenie
• Kategorie i przybliżoną liczbę wpisów danych
• Możliwe konsekwencje naruszenia
• Podjęte lub proponowane środki zaradcze

9.3. Współpraca

Podmiot Przetwarzający będzie współpracować z Administratorem w zakresie dokumentowania naruszenia, komunikacji z organem nadzorczym i osobami, których dane dotyczą.

10. Obowiązki po Zakończeniu Umowy

10.1. Usunięcie lub zwrot danych

Po zakończeniu umowy głównej, Podmiot Przetwarzający, zgodnie z wyborem Administratora:

• Usunie wszystkie dane osobowe w ciągu 30 dni, lub
• Zwróci dane w formacie umożliwiającym odczyt (CSV/JSON) przed ich usunięciem

10.2. Potwierdzenie usunięcia

Na żądanie Administratora, Podmiot Przetwarzający przekaże pisemne potwierdzenie usunięcia danych.

10.3. Wyjątki

Obowiązek usunięcia nie dotyczy danych, których przechowywanie jest wymagane przepisami prawa (np. dane rozliczeniowe).

11. Audyty

11.1. Prawo do audytu

Administrator ma prawo do przeprowadzenia audytu lub inspekcji w celu weryfikacji zgodności z niniejszą Umową DPA, po uprzednim uzgodnieniu terminu (z co najmniej 30-dniowym wyprzedzeniem).

11.2. Zakres audytu

• Audyty będą przeprowadzane w godzinach pracy
• Audytor musi zachować poufność informacji uzyskanych podczas audytu
• Audyt nie może zakłócać normalnego funkcjonowania usług ani naruszać bezpieczeństwa danych innych klientów

11.3. Raporty i certyfikaty

Podmiot Przetwarzający udostępni na żądanie raporty z audytów bezpieczeństwa lub certyfikaty (jeśli są dostępne) jako alternatywę dla audytu przeprowadzanego przez Administratora.

12. Obowiązki Administratora

Administrator zobowiązuje się do:

• Posiadania podstawy prawnej do przetwarzania danych wprowadzanych do platformy
• Wypełnienia obowiązku informacyjnego wobec uczestników wydarzeń zgodnie z art. 13/14 RODO
• Uzyskania wymaganych zgód, jeśli zgoda jest podstawą przetwarzania
• Niewprowadzania szczególnych kategorii danych (art. 9 RODO) bez odpowiedniej podstawy prawnej
• Wydawania udokumentowanych poleceń dotyczących przetwarzania danych

13. Odpowiedzialność

Każda ze stron odpowiada za naruszenia RODO zgodnie z art. 82 RODO:

• Administrator odpowiada za naruszenia wynikające z jego poleceń lub braku zapewnienia odpowiedniej podstawy prawnej przetwarzania
• Podmiot Przetwarzający odpowiada za naruszenia wynikające z niewypełnienia obowiązków określonych w RODO lub niniejszej Umowie

14. Postanowienia Końcowe

14.1. Pierwszeństwo

W przypadku sprzeczności między niniejszą Umową DPA a Regulaminem Usługi, w zakresie ochrony danych osobowych pierwszeństwo ma Umowa DPA.

14.2. Zmiany

Wszelkie zmiany niniejszej Umowy DPA wymagają formy pisemnej. Użytkownicy zostaną powiadomieni o zmianach zgodnie z procedurą określoną w Regulaminie.

14.3. Prawo właściwe

Niniejsza Umowa DPA podlega prawu polskiemu oraz przepisom RODO.

14.4. Kontakt

Wszelkie powiadomienia i żądania wynikające z niniejszej Umowy DPA należy kierować na adres: prywatnosc@itpotwojemu.pl