Skip to content

Umowa powierzenia przetwarzania danych (DPA)

Umowa powierzenia przetwarzania danych zgodnie z art. 28 RODO dla usługi Deratix.

Umowa powierzenia przetwarzania danych osobowych

Data wejścia w życie: 17 marca 2026

Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej „DPA") stanowi załącznik do Regulaminu usługi Deratix (dalej „Regulamin") i reguluje wzajemne prawa i obowiązki stron w zakresie przetwarzania danych osobowych zgodnie z art. 28 rozporządzenia (UE) 2016/679 (RODO).

1. Strony i ich role

1.1. Administrator (Klient): Osoba fizyczna lub prawna – przedsiębiorca, który zawarł z Dostawcą umowę zgodnie z Regulaminem i wprowadza dane osobowe do Usługi.
1.2. Podmiot przetwarzający (Dostawca): Deratix s. r. o., z siedzibą: Štúrova 1359/12, 900 28 Ivanka pri Dunaji, Republika Słowacka, NIP: 57512833.
1.3. Klient jest Administratorem danych osobowych wprowadzanych do Usługi. Dostawca przetwarza je wyłącznie zgodnie z instrukcjami Klienta.

2. Przedmiot i cel przetwarzania

2.1. Dostawca przetwarza dane osobowe wyłącznie w celu świadczenia Usługi:

  • obsługa aplikacji Deratix (SaaS),
  • przechowywanie i wyświetlanie protokołów DDD,
  • generowanie dokumentów PDF,
  • zarządzanie bazą klientów Klienta,
  • wysyłanie systemowych powiadomień e-mail.

3. Kategorie osób i danych osobowych

3.1. Osoby, których dane dotyczą:

  • klienci Klienta (odbiorcy usług DDD),
  • pracownicy i technicy Klienta.

3.2. Kategorie danych osobowych:

  • dane identyfikacyjne (imię, nazwisko, NIP, REGON),
  • dane kontaktowe (e-mail, telefon, adres),
  • dane lokalizacyjne (współrzędne GPS),
  • podpisy (elektroniczne, w dokumentach PDF),
  • dokumentacja fotograficzna,
  • dane o działalności DDD (rodzaj zabiegu, materiały, ustalenia).

4. Obowiązki Podmiotu przetwarzającego

  • 4.1. Przetwarzać dane wyłącznie na podstawie udokumentowanych instrukcji Administratora.
  • 4.2. Zapewnić, że osoby upoważnione są zobowiązane do zachowania poufności.
  • 4.3. Wdrożyć odpowiednie środki techniczne i organizacyjne (zob. pkt 7).
  • 4.4. Nie angażować innego podmiotu przetwarzającego bez zgody (zob. pkt 5).
  • 4.5. Pomagać Administratorowi w wypełnianiu obowiązków z art. 32–36 RODO.
  • 4.6. Niezwłocznie powiadomić Administratora o naruszeniu danych, nie później niż w ciągu 48 godzin.
  • 4.7. Usunąć dane osobowe w ciągu 30 dni po zakończeniu Usługi.
  • 4.8. Udostępnić informacje niezbędne do wykazania zgodności z art. 28 RODO i umożliwić audyty.

5. Podwykonawcy przetwarzania

5.1. Administrator udziela ogólnej pisemnej zgody na podwykonawców wymienionych poniżej. Dostawca poinformuje o zmianach z wyprzedzeniem 14 dni.

Podwykonawca Lokalizacja / Dane Cel
Hetzner Online GmbHNiemcy (UE)Hosting serwerów i baz danych
SFTPCloud.ioFrankfurt, Niemcy (UE)Szyfrowane kopie zapasowe
MechanicWeb Inc.USA → Dane: Niemcy (UE)Zarządzanie infrastrukturą
cPanel / SoftaculousUSA → Dane: Niemcy (UE)Zarządzanie środowiskiem serwera
Emailit (emailit.com)UEDostarczanie e-maili transakcyjnych

5.3. Dla podwykonawców z siedzibą w USA dane są przechowywane wyłącznie w UE (Niemcy). Transfery opierają się na Standardowych Klauzulach Umownych (SCC) zgodnie z art. 46 ust. 2 lit. c) RODO.

6. Obowiązki Administratora

  • 6.1. Zapewnić legalną podstawę prawną przetwarzania danych.
  • 6.2. Realizować obowiązek informacyjny wobec osób, których dane dotyczą.
  • 6.3. Reagować na wnioski osób o realizację ich praw.
  • 6.4. Nie wprowadzać szczególnych kategorii danych (art. 9 RODO) ponad to, co konieczne.

7. Środki techniczne i organizacyjne (TOMs)

Szyfrowanie i transfer:

  • komunikacja szyfrowana protokołem TLS 1.2+,
  • kopie zapasowe szyfrowane algorytmem AES-256,
  • bazy danych dostępne tylko z sieci wewnętrznej serwera.

Kontrola dostępu:

  • system ról i uprawnień (RBAC),
  • rejestrowanie każdego dostępu (audit trail),
  • hasła przechowywane wyłącznie w formie zahaszowanej (bcrypt).

Dostępność i odzyskiwanie:

  • automatyczne codzienne kopie zapasowe (SFTPCloud, Frankfurt),
  • monitoring dostępności 24/7,
  • gwarantowana dostępność 99,5% miesięcznie.

Środki organizacyjne:

  • personel zobowiązany do zachowania poufności,
  • regularne aktualizacje i łatki bezpieczeństwa,
  • procedury reagowania na incydenty.

8. Czas przetwarzania i usunięcie

8.1. Niniejsza DPA obowiązuje przez cały okres trwania umowy o świadczenie Usługi.
8.2. Po zakończeniu Usługi dane zostaną usunięte w ciągu 30 dni.
8.3. Klient jest zobowiązany do wyeksportowania danych przed zakończeniem Usługi.

9. Audyty

9.1. Administrator ma prawo do przeprowadzenia audytu raz w roku z 30-dniowym wyprzedzeniem.
9.2. Audyt może przeprowadzić Administrator lub niezależny audytor zobowiązany do poufności.
9.3. Koszty ponosi Administrator, chyba że audyt ujawni istotne naruszenie.

10. Postanowienia końcowe

10.1. Niniejsza DPA podlega prawu słowackiemu i RODO.
10.2. W przypadku sprzeczności z Regulaminem, DPA ma pierwszeństwo w zakresie ochrony danych.
10.3. Kontakt: support@deratix.com

Regulamin