Umowa powierzenia przetwarzania danych osobowych (DPA)

Obowiązuje od 2 lipca 2026 r. Stanowi załącznik do regulaminu SafeDesk.pl.

Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej: Umowa lub DPA) zostaje zawarta na podstawie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej: RODO) z chwilą utworzenia konta w portalu SafeDesk.pl i akceptacji regulaminu, pomiędzy:

  • Klientem — przedsiębiorcą, który utworzył konto w SafeDesk.pl, występującym jako Administrator danych osobowych swoich pracowników i współpracowników;
  • VENTABE, ul. Zielona 24b, 42-140 Panki, NIP PL 5742073669 (dalej: Procesor) — dostawcą portalu SafeDesk.pl, występującym jako podmiot przetwarzający.

W zakresie danych konta Klienta (email, NIP, dane osoby rejestrującej) VENTABE pozostaje odrębnym administratorem — zasady opisuje polityka prywatności. Niniejsza Umowa dotyczy wyłącznie danych powierzonych przez Klienta.

§1. Przedmiot i czas trwania

Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu niezbędnym do świadczenia usług portalu SafeDesk.pl (ewidencja pracowników, szkoleń BHP, badań profilaktycznych, uprawnień, wyposażenia ŚOI, magazynu, zapytań ofertowych). Umowa obowiązuje przez czas korzystania z konta i wygasa z chwilą jego usunięcia, z zastrzeżeniem §7.

§2. Charakter, cel i rodzaj przetwarzania

Przetwarzanie obejmuje: zbieranie, przechowywanie, porządkowanie, modyfikowanie, przeglądanie, udostępnianie w ramach konta oraz usuwanie danych. Cel: realizacja funkcji portalu zleconych przez Administratora. Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora (którym jest korzystanie z funkcji portalu i niniejsza Umowa), w tym w zakresie transferu do państwa trzeciego — chyba że obowiązek taki nakłada prawo UE lub państwa członkowskiego.

§3. Kategorie osób i danych

  • Osoby, których dane dotyczą: pracownicy i współpracownicy Administratora, osoby wskazane w dokumentacji BHP.
  • Kategorie danych: dane identyfikacyjne (imię, nazwisko), dane zatrudnienia (stanowisko, dział), rozmiary odzieży/ obuwia, daty i terminy ważności szkoleń BHP oraz badań profilaktycznych, numery i terminy uprawnień, ewidencja wydań ŚOI.
  • Portal nie jest przeznaczony do przetwarzania danych szczególnych kategorii (art. 9 RODO), w tym wyników badań lekarskich czy orzeczeń. Administrator zobowiązuje się nie wprowadzać takich danych do pól opisowych.

§4. Obowiązki Procesora

Procesor zobowiązuje się w szczególności do:

  • przetwarzania danych wyłącznie na polecenie Administratora (art. 28 ust. 3 lit. a);
  • zapewnienia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności (art. 28 ust. 3 lit. b);
  • wdrożenia środków technicznych i organizacyjnych zapewniających bezpieczeństwo adekwatne do ryzyka (art. 32) — m.in. izolacja danych między firmami (RLS per firma), szyfrowanie transmisji (TLS), kontrola dostępu, uwierzytelnianie dwuskładnikowe, kopie zapasowe, rejestr zdarzeń (audit log);
  • pomocy Administratorowi w realizacji żądań osób, których dane dotyczą (art. 28 ust. 3 lit. e) — poprzez funkcje eksportu i usuwania danych w portalu;
  • pomocy w wywiązaniu się z obowiązków z art. 32–36 (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków) — w tym powiadomienia Administratora o naruszeniu ochrony danych bez zbędnej zwłoki (art. 28 ust. 3 lit. f, art. 33 ust. 2);
  • udostępniania informacji niezbędnych do wykazania spełnienia obowiązków oraz umożliwienia audytów (art. 28 ust. 3 lit. h).

§5. Dalsze powierzenie (subprocessorzy)

Administrator wyraża ogólną zgodę na korzystanie przez Procesora z dalszych podmiotów przetwarzających (art. 28 ust. 2 i 4). Aktualna lista znajduje się na stronie podmioty przetwarzające. Procesor nakłada na subprocessorów obowiązki ochrony danych odpowiadające niniejszej Umowie i informuje o zamierzonych zmianach, umożliwiając Administratorowi wyrażenie sprzeciwu.

§6. Miejsce przetwarzania

Dane przechowywane są w Unii Europejskiej (Supabase, region Frankfurt eu-central-1). Ewentualny transfer do państwa trzeciego odbywa się wyłącznie na podstawie mechanizmów z rozdziału V RODO (m.in. standardowe klauzule umowne), co opisano w wykazie subprocessorów.

§7. Zakończenie przetwarzania

Po zakończeniu świadczenia usług (usunięcie konta) Procesor, zależnie od decyzji Administratora, usuwa lub zwraca dane osobowe i usuwa istniejące kopie (art. 28 ust. 3 lit. g), chyba że prawo UE lub państwa członkowskiego nakazuje ich przechowywanie (np. dokumenty transakcyjne objęte przepisami o rachunkowości — retencja do 5 lat, w formie pseudonimizowanej). Usunięcie konta w SafeDesk.pl uruchamia zautomatyzowane usunięcie danych osobowych pracowników.

§8. Odpowiedzialność

Każda ze stron odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO na zasadach art. 82. Procesor odpowiada za szkody wynikłe z niedopełnienia obowiązków nałożonych przez RODO na podmioty przetwarzające lub działania poza zgodnymi z prawem poleceniami Administratora.

§9. Postanowienia końcowe

Umowa zostaje zawarta z chwilą akceptacji regulaminu przy tworzeniu konta. W sprawach nieuregulowanych stosuje się RODO i przepisy krajowe. Pełny tekst na trwałym nośniku oraz pytania: [email protected].