Umowa powierzenia przetwarzania danych osobowych (DPA)
Obowiązuje od 2 lipca 2026 r. Stanowi załącznik do regulaminu SafeDesk.pl.
Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej: Umowa lub DPA) zostaje zawarta na podstawie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej: RODO) z chwilą utworzenia konta w portalu SafeDesk.pl i akceptacji regulaminu, pomiędzy:
- Klientem — przedsiębiorcą, który utworzył konto w SafeDesk.pl, występującym jako Administrator danych osobowych swoich pracowników i współpracowników;
- VENTABE, ul. Zielona 24b, 42-140 Panki, NIP PL 5742073669 (dalej: Procesor) — dostawcą portalu SafeDesk.pl, występującym jako podmiot przetwarzający.
W zakresie danych konta Klienta (email, NIP, dane osoby rejestrującej) VENTABE pozostaje odrębnym administratorem — zasady opisuje polityka prywatności. Niniejsza Umowa dotyczy wyłącznie danych powierzonych przez Klienta.
§1. Przedmiot i czas trwania
Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu niezbędnym do świadczenia usług portalu SafeDesk.pl (ewidencja pracowników, szkoleń BHP, badań profilaktycznych, uprawnień, wyposażenia ŚOI, magazynu, zapytań ofertowych). Umowa obowiązuje przez czas korzystania z konta i wygasa z chwilą jego usunięcia, z zastrzeżeniem §7.
§2. Charakter, cel i rodzaj przetwarzania
Przetwarzanie obejmuje: zbieranie, przechowywanie, porządkowanie, modyfikowanie, przeglądanie, udostępnianie w ramach konta oraz usuwanie danych. Cel: realizacja funkcji portalu zleconych przez Administratora. Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora (którym jest korzystanie z funkcji portalu i niniejsza Umowa), w tym w zakresie transferu do państwa trzeciego — chyba że obowiązek taki nakłada prawo UE lub państwa członkowskiego.
§3. Kategorie osób i danych
- Osoby, których dane dotyczą: pracownicy i współpracownicy Administratora, osoby wskazane w dokumentacji BHP.
- Kategorie danych: dane identyfikacyjne (imię, nazwisko), dane zatrudnienia (stanowisko, dział), rozmiary odzieży/ obuwia, daty i terminy ważności szkoleń BHP oraz badań profilaktycznych, numery i terminy uprawnień, ewidencja wydań ŚOI.
- Portal nie jest przeznaczony do przetwarzania danych szczególnych kategorii (art. 9 RODO), w tym wyników badań lekarskich czy orzeczeń. Administrator zobowiązuje się nie wprowadzać takich danych do pól opisowych.
§4. Obowiązki Procesora
Procesor zobowiązuje się w szczególności do:
- przetwarzania danych wyłącznie na polecenie Administratora (art. 28 ust. 3 lit. a);
- zapewnienia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności (art. 28 ust. 3 lit. b);
- wdrożenia środków technicznych i organizacyjnych zapewniających bezpieczeństwo adekwatne do ryzyka (art. 32) — m.in. izolacja danych między firmami (RLS per firma), szyfrowanie transmisji (TLS), kontrola dostępu, uwierzytelnianie dwuskładnikowe, kopie zapasowe, rejestr zdarzeń (audit log);
- pomocy Administratorowi w realizacji żądań osób, których dane dotyczą (art. 28 ust. 3 lit. e) — poprzez funkcje eksportu i usuwania danych w portalu;
- pomocy w wywiązaniu się z obowiązków z art. 32–36 (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków) — w tym powiadomienia Administratora o naruszeniu ochrony danych bez zbędnej zwłoki (art. 28 ust. 3 lit. f, art. 33 ust. 2);
- udostępniania informacji niezbędnych do wykazania spełnienia obowiązków oraz umożliwienia audytów (art. 28 ust. 3 lit. h).
§5. Dalsze powierzenie (subprocessorzy)
Administrator wyraża ogólną zgodę na korzystanie przez Procesora z dalszych podmiotów przetwarzających (art. 28 ust. 2 i 4). Aktualna lista znajduje się na stronie podmioty przetwarzające. Procesor nakłada na subprocessorów obowiązki ochrony danych odpowiadające niniejszej Umowie i informuje o zamierzonych zmianach, umożliwiając Administratorowi wyrażenie sprzeciwu.
§6. Miejsce przetwarzania
Dane przechowywane są w Unii Europejskiej (Supabase, region Frankfurt eu-central-1). Ewentualny transfer do państwa trzeciego odbywa się wyłącznie na podstawie mechanizmów z rozdziału V RODO (m.in. standardowe klauzule umowne), co opisano w wykazie subprocessorów.
§7. Zakończenie przetwarzania
Po zakończeniu świadczenia usług (usunięcie konta) Procesor, zależnie od decyzji Administratora, usuwa lub zwraca dane osobowe i usuwa istniejące kopie (art. 28 ust. 3 lit. g), chyba że prawo UE lub państwa członkowskiego nakazuje ich przechowywanie (np. dokumenty transakcyjne objęte przepisami o rachunkowości — retencja do 5 lat, w formie pseudonimizowanej). Usunięcie konta w SafeDesk.pl uruchamia zautomatyzowane usunięcie danych osobowych pracowników.
§8. Odpowiedzialność
Każda ze stron odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO na zasadach art. 82. Procesor odpowiada za szkody wynikłe z niedopełnienia obowiązków nałożonych przez RODO na podmioty przetwarzające lub działania poza zgodnymi z prawem poleceniami Administratora.
§9. Postanowienia końcowe
Umowa zostaje zawarta z chwilą akceptacji regulaminu przy tworzeniu konta. W sprawach nieuregulowanych stosuje się RODO i przepisy krajowe. Pełny tekst na trwałym nośniku oraz pytania: [email protected].