Umowa powierzenia przetwarzania danych osobowych (DPA)

Ostatnia aktualizacja: 12 maja 2026

1. Przedmiot i cel umowy

Niniejsza Umowa zawarta zgodnie z art. 28 RODO określa zasady powierzenia przetwarzania danych osobowych klientów Użytkownika (jako Administratora) przez ProtoSmart (jako Procesora). Administratorem jest Użytkownik — osoba lub firma wykonująca pomiary elektryczne i sporządzająca protokoły pomiarowe. Procesorem jest Erdano Sp. z o.o., ul. Złota 75A/7, 00-819 Warszawa, NIP: 7182153781. Dane są przetwarzane wyłącznie w celu świadczenia usług aplikacji ProtoSmart.

2. Czas i zakres przetwarzania

Powierzenie następuje na czas obowiązywania umowy o świadczenie usług ProtoSmart. Zakres operacji: przechowywanie, organizowanie, utrwalanie, modyfikowanie, udostępnianie w ramach aplikacji, usuwanie. Charakter przetwarzania: zautomatyzowany, w chmurze obliczeniowej, z możliwością pracy offline na urządzeniu końcowym Administratora.

3. Kategorie osób, których dane dotyczą

  • Klienci Użytkownika (osoby fizyczne lub przedstawiciele firm zlecających pomiary) — pracownicy, właściciele obiektów, reprezentanci firm zlecających.
  • Wykonawcy przypisani do konta Użytkownika (członkowie zespołu, jeśli plan na to pozwala).

4. Rodzaje danych osobowych

Procesor przetwarza następujące kategorie danych:

  • Dane identyfikacyjne: imię, nazwisko, nazwa firmy, NIP.
  • Dane kontaktowe: adres pocztowy, numer telefonu, adres e-mail.
  • Dane techniczne protokołów: adresy obiektów, numery instalacji, wyniki pomiarów.
  • Dane o uprawnieniach wykonawców: numery świadectw SEP / kwalifikacyjnych.
  • Procesor nie przetwarza danych szczególnej kategorii (art. 9 RODO) ani danych o wyrokach skazujących (art. 10 RODO).

5. Obowiązki Procesora (ProtoSmart)

Procesor zobowiązuje się do:

  • przetwarzania danych wyłącznie na udokumentowane polecenie Administratora (wprowadzenie danych do aplikacji traktowane jest jak polecenie);
  • zapewnienia poufności przez osoby upoważnione do przetwarzania;
  • zastosowania środków technicznych i organizacyjnych zapewniających bezpieczeństwo (art. 32 RODO) — szczegóły w § 7;
  • pomocy Administratorowi w realizacji żądań osób, których dane dotyczą;
  • zgłaszania naruszeń ochrony danych w ciągu 72 godzin od ich stwierdzenia;
  • po zakończeniu świadczenia usług — zwrotu lub usunięcia wszystkich danych (opcja eksportu w aplikacji + automatyczne usunięcie po 30 dniach od zamknięcia konta).

6. Podpowierzenie (subprocesorzy)

Administrator wyraża ogólną zgodę na podpowierzenie przetwarzania następującym subprocesorom:

  • OVH Sp. z o.o., ul. Szkocka 5, 54-402 Wrocław — hosting serwerowy, serwery w EOG.
  • Krajowy Integrator Płatności S.A. (TPay), Plac Andersa 3, 61-894 Poznań, KRS 0000412357 — obsługa płatności.
  • Infakt sp. z o.o., ul. Szlak 49, 31-153 Kraków, KRS 0000325878 — wystawianie faktur VAT.
  • Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 — logowanie OAuth (dla użytkowników korzystających z tej opcji).
  • OVH Sp. z o.o., ul. Szkocka 5, 54-402 Wrocław — wysyłka wiadomości e-mail.
  • MailerLite UAB, J. Basanavičiaus g. 15, LT-03108 Wilno, Litwa — automatyzacja marketingu emailowego (newsletter, kampanie informacyjne). Dotyczy wyłącznie użytkowników, którzy wyrazili zgodę marketingową. Nie przetwarza danych klientów ani wykonawców Administratora — wyłącznie adres e-mail Administratora oraz metadane zgody marketingowej.
  • Functional Software Inc. d/b/a Sentry — monitoring błędów.
  • Każdy z subprocesorów związany jest z Procesorem odrębną umową o ochronie danych. O istotnych zmianach (dodanie nowego subprocesora) Administrator zostanie powiadomiony z 14-dniowym wyprzedzeniem i ma prawo sprzeciwu równoznaczne z rozwiązaniem umowy.

7. Środki techniczne i organizacyjne

Procesor stosuje następujące zabezpieczenia:

  • Szyfrowanie w tranzycie: TLS 1.2 lub wyższy.
  • Szyfrowanie danych lokalnych w przeglądarce: AES na bazie IndexedDB z kluczem per-user w localStorage.
  • Haszowanie haseł: bcrypt.
  • Uwierzytelnianie: JWT z tokenami odświeżania i rotacją.
  • Kontrola dostępu oparta na rolach (ADMIN / MANAGER / TECHNICIAN).
  • Kopie zapasowe: codzienne, retencja 30 dni, szyfrowane.
  • Logi dostępu: 90 dni.
  • Monitoring naruszeń: Sentry z alertowaniem.
  • Szkolenia personelu: obowiązkowe przy dołączeniu do zespołu.

8. Pomoc Procesora w realizacji obowiązków Administratora

Procesor pomaga Administratorowi w:

  • odpowiedziach na żądania osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przenoszenie — dostępne w aplikacji);
  • zgłaszaniu naruszeń do PUODO;
  • przeprowadzaniu oceny skutków dla ochrony danych (DPIA) na uzasadniony wniosek;
  • uprzednich konsultacjach z organem nadzorczym.

9. Zwrot i usunięcie danych

Po zakończeniu świadczenia usług (wygaśnięcie subskrypcji, rezygnacja, rozwiązanie umowy) Administrator ma 30 dni na:

  • eksport danych (zakładka Profil → Prywatność → Pobierz moje dane);
  • ewentualne przywrócenie konta.
  • Po 30 dniach dane są trwale usuwane z aktywnej bazy. Dane rozliczeniowe (faktury) przechowywane są przez 5 lat zgodnie z art. 86 Ordynacji podatkowej, niezależnie od rozwiązania umowy.

10. Audyt

Procesor udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwia audyty — w uzgodnionym terminie, na koszt Administratora, pod warunkiem zachowania poufności i niezakłócania świadczenia usług. W miejsce audytu Administrator może zaakceptować certyfikaty lub raporty (SOC 2, ISO 27001), jeśli Procesor je uzyska.

11. Zgłaszanie naruszeń

Procesor zgłasza Administratorowi naruszenie ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia, na adres e-mail podany w profilu rozliczeniowym. Zgłoszenie zawiera:

  • charakter naruszenia;
  • kategorie i liczbę osób, których dane dotyczą;
  • prawdopodobne konsekwencje;
  • zastosowane lub proponowane środki zaradcze.

12. Postanowienia końcowe

Umowa wchodzi w życie z chwilą jej akceptacji przez Użytkownika (checkbox przy rejestracji lub akceptacja nowej wersji po powiadomieniu). W kwestiach nieuregulowanych stosuje się RODO, ustawę o ochronie danych osobowych z 10 maja 2018 r. oraz Kodeks cywilny. Spory rozstrzyga sąd właściwy dla siedziby Procesora.