Umowa powierzenia przetwarzania danych (DPA)

1. Przedmiot i czas trwania

Przedmiot: przetwarzanie danych osobowych w celu świadczenia Usługi.

Czas trwania: DPA obowiązuje, dopóki Sycrion przetwarza dane osobowe w imieniu Klienta na podstawie Warunków świadczenia usługi.

2. Charakter i cel przetwarzania

• Wykonywanie skanów publicznych źródeł dla domen wskazanych przez Klienta
• Przechowywanie wyników skanów i znalezisk dla dostępu Klienta
• Generowanie raportów i alertów e-mail
• Uwierzytelnianie użytkowników i zarządzanie kontami
• Wsparcie klienta i administracja rozliczeniami

3. Rodzaj danych osobowych

• Identyfikacja użytkownika: imię, służbowy e-mail, nazwa organizacji, stanowisko
• Dane uwierzytelniania: hash hasła, tokeny sesji
• Dane wejściowe Usługi: domeny, wzorce e-maili, identyfikatory projektów do monitoringu
• Komunikacja: tickety wsparcia, formularze kontaktowe
• Metadane techniczne: adres IP, przeglądarka, identyfikatory urządzeń, znaczniki czasu

4. Kategorie osób, których dane dotyczą

• Pracownicy Klienta i upoważnieni użytkownicy Usługi
• Kontakty organizacyjne Klienta wskazane w konfiguracji skanu
• Osoby możliwe do identyfikacji na podstawie publicznie dostępnych informacji indeksowanych przez Usługę (np. e-maile pojawiające się w publicznych wyciekach)

5. Obowiązki Procesora

Sycrion zobowiązuje się:

• Przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Klienta, w tym niniejszego DPA
• Zapewnić, że osoby upoważnione do przetwarzania są zobowiązane do poufności
• Wdrożyć odpowiednie środki techniczne i organizacyjne (Załącznik II)
• Wspierać Klienta w obsłudze żądań osób, których dane dotyczą
• Wspierać Klienta w ocenie skutków dla ochrony danych i uprzednich konsultacjach
• Powiadomić Klienta bez zbędnej zwłoki (w ciągu 72 godzin) po wykryciu naruszenia ochrony danych
• Udostępnić wszelkie informacje konieczne do wykazania zgodności z art. 28

6. Podpowierzający

Klient upoważnia Sycrion do korzystania z podpowierzających wymienionych w Załączniku III. Sycrion poinformuje Klienta co najmniej 30 dni wcześniej o zamierzonych zmianach; Klient może zgłosić sprzeciw z uzasadnionych przyczyn ochrony danych.

7. Transfery międzynarodowe

Gdy dane osobowe są przekazywane poza EOG, transfery opierają się na Standardowych Klauzulach Umownych (Decyzja Komisji 2021/914) i stosownych dodatkowych zabezpieczeniach.

8. Audyt

Na uzasadnione pisemne żądanie, nie częściej niż raz w roku kalendarzowym (lub gdy żąda tego organ nadzorczy), Sycrion udostępni informacje konieczne do wykazania zgodności z DPA. Koszt audytu on-site ponosi Klient, chyba że wykryto istotną niezgodność.

9. Zwrot lub usunięcie

Po zakończeniu Usługi Sycrion, według wyboru Klienta, zwróci lub usunie dane osobowe w ciągu 90 dni, chyba że obowiązek przechowywania wynika z prawa.

10. Odpowiedzialność

Odpowiedzialność w ramach niniejszego DPA regulowana jest klauzulą ograniczenia odpowiedzialności w Warunkach świadczenia usługi, z wyjątkiem zakresu, w którym prawo nie dopuszcza takiego ograniczenia.

Załącznik I — Opis przetwarzania

Zgodnie z sekcjami 2–4 powyżej.

Załącznik II — Środki techniczne i organizacyjne

• TLS 1.2+ dla wszystkich danych w transmisji
• Szyfrowanie AES-256 in-rest dla zapisanych wyników skanów
• Kontrola dostępu oparta na rolach (least-privilege)
• Logowanie wszystkich działań administracyjnych
• Uwierzytelnianie wieloskładnikowe dla kont administracyjnych
• Regularne skanowanie podatności własnej infrastruktury
• Udokumentowana procedura reakcji na incydent
• Coroczne szkolenia bezpieczeństwa dla pracowników
• Hosting w regionie EU (Vercel + Neon)

Załącznik III — Zatwierdzeni podpowierzający

• Vercel Inc. — hosting aplikacji
• Neon, Inc. — zarządzana baza PostgreSQL
• Resend — wysyłka e-maili transakcyjnych
• [Operator płatności]
• [Narzędzie wsparcia klienta]