Umowa powierzenia przetwarzania danych #
Data wejścia w życie: 22 kwietnia 2026
Niniejsza Umowa powierzenia przetwarzania danych („DPA") stanowi część umowy między klientem („Administrator") a EthicsPortal („Podmiot przetwarzający") dotyczącej świadczenia usługi platformy zgłoszeniowej dla sygnalistów EthicsPortal („Usługa").
Potrzebujesz podpisanej kopii? Napisz na legal@ethicsportal.eu , aby otrzymać kontrasygnowaną wersję PDF tej DPA do swoich akt.
1. Strony #
Administrator: Organizacja, która subskrybuje EthicsPortal i określa cele i sposoby przetwarzania danych osobowych za pośrednictwem Usługi.
Podmiot przetwarzający: EthicsPortal, prowadzony przez Yaroslav Shmarov, z siedzibą pod adresem ul. Obrzeżna 1A, 02-691 Warszawa, Polska. Kontakt: legal@ethicsportal.eu .
2. Zakres i cel przetwarzania #
Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora wyłącznie w celu świadczenia Usługi, co obejmuje:
- Odbieranie i przechowywanie zgłoszeń sygnalistów
- Umożliwienie bezpiecznej komunikacji między zgłaszającymi a osobami prowadzącymi sprawę
- Zarządzanie przepływami pracy dotyczącymi spraw (przypisywanie, śledzenie statusu, rozwiązywanie)
- Generowanie dzienników audytu i rejestrów zgodności
- Wysyłanie transakcyjnych powiadomień e-mail do osób prowadzących sprawy i administratorów organizacji
- Przetwarzanie płatności za Usługę
Podmiot przetwarzający nie przetwarza danych osobowych w żadnym innym celu niż świadczenie Usługi zgodnie z instrukcjami Administratora.
3. Rodzaje przetwarzanych danych osobowych #
| Kategoria danych | Przykłady | Szyfrowane w spoczynku |
|---|---|---|
| Tożsamość zgłaszającego (opcjonalnie) | Imię i nazwisko, adres e-mail, numer telefonu | Tak (niedeterministyczne) |
| Treść zgłoszenia | Opis zgłoszonego problemu | Tak (niedeterministyczne) |
| Treść komunikacji | Wiadomości między zgłaszającym a osobą prowadzącą sprawę | Tak (niedeterministyczne) |
| Załączniki | Dokumenty, obrazy, pliki audio, wideo przesłane przez zgłaszających | Przechowywane z usuniętymi metadanymi |
| Kody dostępu | Unikalne kody używane przez zgłaszających do dostępu do swoich zgłoszeń | Tak |
| Dane prowadzących i administratorów | Imię i nazwisko, adres e-mail, rola, przynależność do organizacji | Nie (dane operacyjne) |
| Wpisy dziennika audytu | Znaczniki czasu, tożsamość wykonawcy, typ akcji | Nie (rejestry krytyczne dla integralności) |
| Dane techniczne | Jednokierunkowe hasze adresów IP (nieodwracalne) wyłącznie do limitowania żądań | Nie dotyczy (hasz, nie dane osobowe) |
4. Kategorie osób, których dane dotyczą #
- Sygnaliści / zgłaszający — osoby, które składają zgłoszenia za pośrednictwem portalu (mogą być anonimowe)
- Osoby prowadzące sprawy — osoby wyznaczone przez Administratora do odbierania i zarządzania zgłoszeniami
- Administratorzy organizacji — osoby, które zarządzają kontem i ustawieniami EthicsPortal Administratora
5. Czas trwania przetwarzania #
Podmiot przetwarzający przetwarza dane osobowe przez okres trwania subskrypcji Administratora na Usługę. Po zakończeniu:
- Administrator może wyeksportować swoje dane przed zakończeniem subskrypcji.
- Dane zgłoszeń są przechowywane zgodnie ze skonfigurowanym przez Administratora okresem przechowywania (12, 24, 36 lub 60 miesięcy po zamknięciu zgłoszenia), a następnie trwale usuwane.
- Na pisemne żądanie Podmiot przetwarzający usunie wszystkie pozostałe dane Administratora w ciągu 30 dni od zakończenia subskrypcji, chyba że przechowywanie jest wymagane przez obowiązujące prawo.
6. Obowiązki Podmiotu przetwarzającego #
6.1 Instrukcje przetwarzania #
Podmiot przetwarzający przetwarza dane osobowe wyłącznie na podstawie udokumentowanych instrukcji Administratora, chyba że jest do tego zobowiązany na mocy prawa UE lub państwa członkowskiego. Jeśli taki wymóg prawny zaistnieje, Podmiot przetwarzający poinformuje o tym Administratora przed przetwarzaniem, chyba że prawo zabrania takiego powiadomienia.
6.2 Poufność #
Wszystkie osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
6.3 Środki bezpieczeństwa #
Podmiot przetwarzający wdraża i utrzymuje środki techniczne i organizacyjne opisane na stronie Bezpieczeństwo , w tym:
- Szyfrowanie niedeterministyczne w spoczynku dla wszystkich wrażliwych danych zgłoszeń
- Brak przechowywania adresów IP (jednokierunkowe haszowanie wyłącznie do limitowania żądań)
- Automatyczne usuwanie metadanych plików (EXIF, GPS, dane autora)
- Kontrola dostępu oparta na rolach z politykami autoryzacji Pundit
- Dziennik audytu tylko do dopisywania dla wszystkich akcji
- Limitowanie żądań na wszystkich publicznych endpointach portalu
- HTTPS/TLS dla wszystkich połączeń
- Ochrona przed CSRF
Zgłoszenia o lukach bezpieczeństwa i incydentach można przesyłać na security@ethicsportal.eu . Pytania dotyczące praw osób, których dane dotyczą, oraz zapytania związane z Inspektorem Ochrony Danych można kierować na privacy@ethicsportal.eu lub dpo@ethicsportal.eu .
6.4 Podwykonawcy przetwarzania #
Podmiot przetwarzający korzysta z podwykonawców przetwarzania wymienionych w sekcji 8. Podmiot przetwarzający powiadomi Administratora co najmniej 30 dni przed dodaniem lub zastąpieniem podwykonawcy. Administrator może zgłosić sprzeciw wobec zmiany; jeśli nie zostanie osiągnięte porozumienie, Administrator może rozwiązać umowę.
6.5 Prawa osób, których dane dotyczą #
Podmiot przetwarzający wspiera Administratora w odpowiadaniu na żądania osób, których dane dotyczą, korzystających ze swoich praw wynikających z RODO (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw), zapewniając niezbędne możliwości techniczne w ramach Usługi.
6.6 Powiadamianie o naruszeniu ochrony danych #
W przypadku naruszenia ochrony danych osobowych Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki, a w każdym przypadku w ciągu 72 godzin od uzyskania informacji o naruszeniu. Powiadomienie będzie zawierać:
- Opis charakteru naruszenia
- Kategorie i przybliżoną liczbę osób, których dane dotyczą
- Prawdopodobne konsekwencje naruszenia
- Środki podjęte lub zaproponowane w celu zaradzenia naruszeniu
6.7 Ocena skutków dla ochrony danych #
Podmiot przetwarzający wspiera Administratora w przeprowadzaniu ocen skutków dla ochrony danych i uprzednich konsultacji z organami nadzorczymi, w zakresie, w jakim działania przetwarzania Podmiotu przetwarzającego wymagają takiego wsparcia.
6.8 Usunięcie i zwrot danych #
Po zakończeniu Usługi Podmiot przetwarzający, zgodnie z wyborem Administratora:
- Zwróci wszystkie dane osobowe Administratorowi w formatach eksportu dostępnych w Usłudze w chwili zakończenia, w tym eksporty PDF spraw i powiązane załączniki, lub
- Usunie wszystkie dane osobowe i potwierdzi usunięcie na piśmie
chyba że prawo UE lub państwa członkowskiego wymaga dalszego przechowywania.
Jeżeli Administrator w uzasadniony sposób potrzebuje dodatkowego formatu przenoszalności na potrzeby migracji lub przeglądu regulacyjnego, Podmiot przetwarzający oceni taki wniosek w dobrej wierze i, jeśli będzie to technicznie możliwe, udostępni go na podstawie odrębnego pisemnego wniosku.
6.9 Prawa audytu #
Podmiot przetwarzający udostępnia Administratorowi wszystkie informacje niezbędne do wykazania zgodności z obowiązkami wynikającymi z art. 28 RODO. Administrator może przeprowadzać audyty, w tym inspekcje, bezpośrednio lub za pośrednictwem upoważnionego audytora, pod warunkiem rozsądnego wcześniejszego powiadomienia (co najmniej 30 dni) i w godzinach pracy. Podmiot przetwarzający będzie współpracował przy takich audytach.
6.10 Brak przetwarzania przez AI lub LLM danych objętych umową #
Podmiot przetwarzający zobowiązuje się, że dane osobowe przetwarzane na podstawie niniejszej DPA — w tym treść zgłoszeń, tożsamość sygnalistów, wiadomości prowadzących sprawy, załączniki oraz wpisy w dzienniku audytu — nie są przekazywane do żadnego dużego modelu językowego, usługi generatywnej AI ani klasyfikatora opartego na AI, niezależnie od tego, czy są one obsługiwane przez Podmiot przetwarzający, czy przez stronę trzecią (w tym między innymi OpenAI, Anthropic, Google i Mistral). Usługa nie prowadzi kategoryzacji, segregacji, streszczania, tłumaczenia ani sugerowania odpowiedzi z wykorzystaniem AI na danych osobowych. Administrator może powołać się na to zobowiązanie przy ocenie obowiązków dotyczących zautomatyzowanego podejmowania decyzji wynikających z art. 22 RODO oraz przy określaniu zakresu ujawnienia podwykonawców we własnych klauzulach informacyjnych i ocenach skutków (DPIA). Jakakolwiek zmiana tego zobowiązania byłaby istotną zmianą Usługi i zostałaby zgłoszona Administratorowi zgodnie z sekcją 6.4 (Podwykonawcy przetwarzania) i sekcją 11 (Okres obowiązywania i rozwiązanie).
Samodzielnie hostowane statystyczne tłumaczenie maszynowe, działające w całości na infrastrukturze kontrolowanej przez Podmiot przetwarzający (dane nie opuszczają tej infrastruktury, brak zewnętrznego wywołania inferencji), nie wchodzi w zakres tego ograniczenia i może być wykorzystywane do tłumaczenia wiadomości sygnalistów lub prowadzących sprawy, jeśli Administrator je włączył.
To zobowiązanie podlega corocznemu przeglądowi. Data „Ostatnia aktualizacja" na początku niniejszej DPA odzwierciedla ostatnie potwierdzenie. Jeżeli w którymkolwiek momencie Podmiot przetwarzający zamierza wprowadzić przetwarzanie danych osobowych objętych niniejszą DPA przez AI lub LLM, powiadomi o tym Administratora zgodnie z sekcją 6.4, a zmiana wejdzie w życie nie wcześniej niż po upływie określonego tam okresu powiadomienia.
6.11 Klucze szyfrowania zarządzane przez klienta (BYOK) #
Usługa nie obsługuje kluczy szyfrowania zarządzanych przez klienta — niezależnie od tego, czy są one określane jako bring-your-own-key (BYOK), hold-your-own-key (HYOK) czy integracja z zewnętrzną usługą zarządzania kluczami (KMS). Jest to świadomy wybór architektoniczny, a nie ograniczenie operacyjne, oparty na dwóch gwarancjach poufności i cyklu życia, które Podmiot przetwarzający przyjmuje w innych miejscach niniejszej DPA:
- Granica klucza między sygnalistą a prowadzącym sprawę. Dane osobowe objęte niniejszą DPA są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez Podmiot przetwarzający i przechowywanych wewnątrz Usługi. Granica szyfrowania, która chroni tożsamość sygnalisty i treść zgłoszenia przed osobami trzecimi, jest tą samą granicą, która chroni je przed administratorami IT samego Administratora. Przekazanie pieczy nad kluczem Administratorowi przesunęłoby tę granicę do środowiska Administratora, gdzie administratorzy po stronie Administratora staliby się co do zasady zdolni do odszyfrowania tożsamości sygnalisty — odwracając model poufności wymagany przez Art. 16 Dyrektywy 2019/1937.
- Gwarancja usunięcia od końca do końca. Usunięcie wynikające z okresu przechowywania (Art. 5(1)(e) RODO) oraz umowne usunięcie po rozwiązaniu (sekcja 6.8 powyżej) opierają się na zdolności Podmiotu przetwarzającego do kryptograficznego i fizycznego zniszczenia danych zabezpieczonych kluczem niezależnie od Administratora. Klucz w posiadaniu Administratora stworzyłby klasę awarii, w której Podmiot przetwarzający nie mógłby samodzielnie zagwarantować całkowitego usunięcia w umownym terminie.
Schemat szyfrowania w spoczynku, niedeterministyczne właściwości szyfrowania oraz izolacja kluczy Podmiotu przetwarzającego są udokumentowane na stronie Bezpieczeństwo . Zmiana tego stanowiska byłaby istotną zmianą Usługi i zostałaby zgłoszona Administratorowi zgodnie z sekcją 6.4 (Podwykonawcy przetwarzania) i sekcją 11 (Okres obowiązywania i rozwiązanie).
7. Obowiązki Administratora #
Administrator jest odpowiedzialny za:
- Zapewnienie podstawy prawnej przetwarzania danych osobowych za pośrednictwem Usługi
- Dostarczenie wymaganych informacji o ochronie prywatności osobom, których dane dotyczą (EthicsPortal wyświetla informację o ochronie prywatności w formularzu zgłoszenia)
- Skonfigurowanie odpowiednich okresów przechowywania danych w ramach Usługi
- Wyznaczenie upoważnionych prowadzących i administratorów
- Odpowiadanie na żądania osób, których dane dotyczą, z pomocą Podmiotu przetwarzającego opisaną powyżej
8. Podwykonawcy przetwarzania #
Następujący podwykonawcy przetwarzania są upoważnieni na dzień wejścia w życie niniejszej DPA:
| Podwykonawca | Cel | Lokalizacja | Zabezpieczenia |
|---|---|---|---|
| Hetzner Online GmbH | Hosting aplikacji, baza danych i przechowywanie załączników | Norymberga, Niemcy (UE) | Dane przetwarzane w całości w UE |
| Stripe Payments Europe, Ltd | Przetwarzanie płatności | Irlandia (UE) | Podmiot przetwarzający nie przechowuje danych uwierzytelniających płatności; Stripe posiada certyfikat PCI DSS Level 1 |
| Mailjet (Sinch) | Dostarczanie e-maili transakcyjnych | Francja (UE) | Dane przetwarzane w całości w UE |
| Cloudflare, Inc. | CDN i dostarczanie treści na brzegu sieci dla strony marketingowej | Stany Zjednoczone | Transfery, jeśli obejmują dane osobowe, opierają się na Standardowych Klauzulach Umownych i dodatkowych zabezpieczeniach |
| AppSignal B.V. | Monitoring błędów i wydajności aplikacji dla interfejsów administratora i prowadzących | Holandia (UE) | Dane przetwarzane w całości w UE; adresy IP sygnalistów nigdy nie są logowane |
| Crisp IM SARL | Wbudowany czat dla prowadzących sprawy i wsparcie weryfikacji tożsamości | Francja (UE) | Ładowany wyłącznie w portalu prowadzących sprawy; nie jest obecny ani na stronie marketingowej, ani na stronach dla sygnalistów |
Analityka marketingowa (Cloudflare Web Analytics) nie używa ciasteczek i nie przetwarza danych osobowych.
Brak podwykonawcy AI lub LLM. Żaden duży model językowy, usługa generatywnej AI ani klasyfikator oparty na AI nie jest podwykonawcą przetwarzania Podmiotu przetwarzającego. Dane osobowe przetwarzane na podstawie niniejszej DPA nie są przekazywane do OpenAI, Anthropic, Google, Mistral ani innego dostawcy inferencji AI. Patrz sekcja 6.10.
9. Międzynarodowe transfery danych #
Główne dane zgłoszeń sygnalistów, w tym treść spraw i przechowywanie załączników, są hostowane w Unii Europejskiej (Hetzner, Niemcy). Przetwarzanie płatności odbywa się w UE (Stripe), a e-maile transakcyjne są dostarczane z UE (Mailjet, Francja).
Żądania kierowane do strony marketingowej są przesyłane przez Cloudflare (CDN, USA), który przetwarza metadane sieciowe (adresy IP odwiedzających i nagłówki żądań) na potrzeby dostarczania treści i ochrony przed DDoS. Żadne zgłoszenia, dane prowadzących ani dane konta nie są udostępniane Cloudflare. Transfery opierają się na Standardowych Klauzulach Umownych i dodatkowych zabezpieczeniach. Portal zgłoszeniowy i portal prowadzących nie ładują Cloudflare. AppSignal (Holandia) i Crisp (Francja) mają siedzibę w UE; Crisp jest ładowany wyłącznie w portalu prowadzących sprawy.
10. Odpowiedzialność #
Odpowiedzialność każdej ze stron na mocy niniejszej DPA podlega ograniczeniom odpowiedzialności określonym w głównej umowie o świadczenie usług między stronami. W maksymalnym zakresie dozwolonym przez prawo roszczenia wynikające z niniejszej DPA lub z nią związane stanowią część tego samego łącznego limitu odpowiedzialności, który ma zastosowanie do Usługi.
11. Okres obowiązywania i rozwiązanie #
Niniejsza DPA wchodzi w życie w momencie rozpoczęcia korzystania z Usługi przez Administratora i obowiązuje tak długo, jak Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora. Zobowiązania wynikające z niniejszej DPA obowiązują po jej rozwiązaniu w zakresie niezbędnym do zakończenia usuwania lub zwrotu danych osobowych.
12. Prawo właściwe #
Niniejsza DPA podlega prawu Rzeczypospolitej Polskiej, z wyłączeniem norm kolizyjnych. Sądy właściwe w Warszawie, Polska mają wyłączną jurysdykcję w sporach wynikających z niniejszej DPA.
Kontakt #
W sprawie pytań dotyczących niniejszej DPA lub prośby o podpisaną kopię:
EthicsPortal Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Warszawa, Polska legal@ethicsportal.eu
Ostatnia aktualizacja: