Dokument prawny
Umowa powierzenia przetwarzania danych (DPA)
Warunki powierzenia przetwarzania danych osobowych organizacji klienckich partnera oraz lista subprocesorów.
Wersja 0.1-draftTODO-LEGAL-REVIEW
Status tego dokumentu
To jest szkielet strony, nie zatwierdzona treść prawna. Każda sekcja niżej czeka na przegląd radcy prawnego (OP-6.2, blueprint-nis2-gtm-operations.md) - nic z poniższej listy nie jest jeszcze wiążącą treścią dla użytkownika.
Przedmiot i czas trwania powierzenia
TODO-LEGAL-REVIEW
TODO-LEGAL-REVIEW: określić przedmiot, czas trwania i charakter powierzenia przetwarzania zgodnie z art. 28 RODO.
Charakter i cel przetwarzania
TODO-LEGAL-REVIEW
TODO-LEGAL-REVIEW: opisać rodzaj danych osobowych i kategorie osób, których dane dotyczą, przetwarzanych w ramach usługi (rejestry SZBI organizacji klienckich partnera).
Obowiązki administratora i procesora
TODO-LEGAL-REVIEW
TODO-LEGAL-REVIEW: opisać obowiązki stron zgodnie z art. 28 ust. 3 RODO.
Podpowierzenie (subprocesorzy)
TODO-LEGAL-REVIEW
TODO-LEGAL-REVIEW: opisać zasady zgody na dalsze podpowierzenie i tryb informowania o zmianach listy subprocesorów. Aktualna lista renderowana jest poniżej wprost z kolekcji `subprocessors` (jedno źródło prawdy ze stroną /security).
Środki bezpieczeństwa
TODO-LEGAL-REVIEW
TODO-LEGAL-REVIEW: odesłać do pełnego opisu środków technicznych i organizacyjnych - patrz /security.
Zgłaszanie naruszeń ochrony danych
TODO-LEGAL-REVIEW
TODO-LEGAL-REVIEW: opisać tryb i termin informowania administratora (partnera) o naruszeniu ochrony danych osobowych.
Audyt i kontrola
TODO-LEGAL-REVIEW
TODO-LEGAL-REVIEW: opisać zasady realizacji prawa administratora do audytu procesora.
Lista subprocesorów
Aktualna, jawnie publikowana lista - ta sama, którą pełniej opisze strona /security (zadanie W3.T3). Element z brakującym dostawcą jest oznaczony TODO-CONTENT, nigdy nie wymyślamy nazwy dostawcy (blueprint-nis2-www.md sekcja 3.2).
| Podmiot | Kategoria | Cel przetwarzania | Lokalizacja |
|---|---|---|---|
| TODO-CONTENT: dostawca e-mail transakcyjny nie wybrany ostatecznie | Wysyłka e-maili transakcyjnych (powitalny, resety haseł, powiadomienia o terminach, dunning). | UE | |
| GlitchTip | monitoring | Śledzenie błędów aplikacji (error tracking) - diagnostyka awarii i wyjątków. | UE (self-host, ten sam VPS co monitoring) |
| Paddle | payments | Merchant of Record - obsługa checkoutu, rozliczenie VAT UE, wystawianie faktur partnerom, subskrypcje. | UE/Irlandia (Paddle.com Market Ltd) |
| Plausible (self-host) | analytics | Analityka odwiedzin strony publicznej - cookieless, zbiorcze statystyki bez profilowania. | UE (self-host) |
| TODO-CONTENT: dostawca VPS nie wybrany ostatecznie | hosting | Hosting aplikacji (VPS UE) - baza danych, pliki wygenerowanych dokumentów, backupy. | UE |