Umowa powierzenia przetwarzania danych (DPA)

§1. Strony

• Administrator — Klient korzystający z platformy Sygnalista24 (firma 50+ pracowników wdrażająca procedurę zgłoszeń wewnętrznych zgodnie z art. 23 ustawy 2024/928).
• Procesor — paragraf.biz Robert Yamprashek, NIP PL9720046070, operator platformy Sygnalista24.

§2. Przedmiot powierzenia

Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu niezbędnym do świadczenia Usługi Sygnalista24, w szczególności:

• dane sygnalistów (zaszyfrowane end-to-end — Procesor nie ma technicznej możliwości odczytu treści);
• pseudonimizowany hash IP i User-Agent sygnalistów (do wykrywania nadużyć);
• dane administratorów Klienta (email, imię, nazwisko, log akcji);
• metadane zgłoszeń (kategoria, status, daty terminów ack/decision).

Cel przetwarzania: realizacja obowiązków Administratora wynikających z ustawy z 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928).

§3. Czas trwania

Umowa obowiązuje przez czas trwania Umowy głównej. Po jej rozwiązaniu Procesor:

• na żądanie Administratora — eksportuje dane (CSV/PDF) i usuwa je w 30 dni;
• z mocy ustawy 2024/928 — zachowuje zaszyfrowane zgłoszenia przez 3 lata po zakończeniu działań następczych (art. 8 ust. 8 i art. 29 ust. 5);
• po upływie retencji — automatyczna nieodwracalna purge (cron 03:00 UTC dziennie).

§4. Obowiązki Procesora (RODO art. 28 ust. 3)

• Przetwarzanie wyłącznie na udokumentowane polecenie Administratora — udzielone w formie elektronicznej w panelu Sygnalista24.
• Zapewnienie poufności przez wszystkie osoby przetwarzające (zobowiązania umowne pracowników/współpracowników).
• Wdrożenie środków technicznych i organizacyjnych z art. 32 (E2E encryption, pseudonimizacja, audit log immutable).
• Wsparcie Administratora w realizacji praw osób, których dane dotyczą (art. 12–22 RODO) — eksport CSV/PDF z panelu, wycofanie danych w 30 dni.
• Wsparcie Administratora w obowiązkach z art. 32–36 (security, breach notification, DPIA).
• Po zakończeniu przetwarzania — usunięcie lub zwrot danych zgodnie z §3.
• Udostępnienie Administratorowi wszelkich informacji niezbędnych do wykazania zgodności z art. 28 oraz umożliwienie audytów (max 1×/rok, z 30-dniowym wyprzedzeniem).

§5. Sub-procesorzy

Administrator wyraża zgodę na korzystanie z następujących sub-procesorów:

• Supabase Inc. (USA, region eu-central-1 Frankfurt) — hosting bazy danych. SCC + Data Processing Addendum.
• Vercel Inc. (USA, region eu-fra1 Frankfurt) — hosting aplikacji. SCC + DPA.
• Resend, Inc. (USA, region EU) — transactional email. SCC + DPA.

Procesor zobowiązuje się informować Administratora email z 14-dniowym wyprzedzeniem o każdej zmianie sub-procesora. Administrator ma prawo sprzeciwić się — w przypadku sprzeciwu, prawo do natychmiastowego rozwiązania Umowy głównej z proporcjonalnym zwrotem opłat.

§6. Naruszenia ochrony danych (art. 33)

W przypadku naruszenia ochrony danych Procesor:

• powiadamia Administratora bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia;
• opisuje charakter naruszenia, kategorie danych, prawdopodobne konsekwencje, podjęte środki;
• wspiera Administratora w zgłoszeniu naruszenia do UODO (72h od stwierdzenia — art. 33 ust. 1).

§7. Lokalizacja przetwarzania

Wszystkie dane przetwarzane są wyłącznie w Unii Europejskiej (Frankfurt, Niemcy). Brak transferów do państw trzecich — wymogi RODO art. 44–49 nie mają zastosowania.

§8. Odpowiedzialność

Odpowiedzialność stron z tytułu naruszenia obowiązków RODO — zgodnie z art. 82 RODO oraz §5 Regulaminu (limit do wysokości opłat z 12 miesięcy). Niezależnie od limitu, odpowiedzialność za umyślne naruszenie obowiązków lub naruszenie tajemnicy przedsiębiorstwa pozostaje pełna (art. 558 KC).

§9. Akceptacja

DPA wchodzi w życie automatycznie z momentem akceptacji Regulaminu Sygnalista24 i rozpoczęcia korzystania z Usługi. Wersja PDF dostępna do pobrania w panelu administracyjnym. Klient otrzymuje również podpisany skan na żądanie: dpa@sygnalista24.com.