Dokumenty prawnePowierzenie przetwarzania danych

Powierzenie przetwarzania danych

Warunki powierzenia przetwarzania danych zgodne z art. 28 RODO obowiązujące, gdy Konfi Cloud przetwarza dane osobowe w imieniu klienta biznesowego.

Ostatnia aktualizacja: 18 maja 2026

Strony i zakres

Niniejsze warunki powierzenia („DPA”) stanowią zobowiązania z art. 28 RODO między Dawidem Sobolewskim, świadczącym Konfi Cloud jako indywidualny dostawca usługi w Polsce (podmiot przetwarzający), a klientem biznesowym, który zaakceptował regulamin Konfi Cloud (administrator).

Warunki te obowiązują automatycznie wobec wszystkich danych osobowych, które klient lub jego użytkownicy wprowadzają, wgrywają lub w inny sposób przetwarzają w przestrzeni Konfi Cloud. Kopia z kontrasygnatą jest dostępna na żądanie pod adresem support@getkonfi.com; wersja produktowa poniżej jest standardową ofertą obowiązującą do podpisania wariantu z kontrasygnatą.

Przedmiot, czas trwania i kategorie

  • Przedmiot: świadczenie usługi SaaS Konfi Cloud oraz powiązanego wsparcia operatorskiego.
  • Czas trwania: tak długo, jak klient ma aktywne konto lub przestrzeń Konfi Cloud, oraz przez ewentualny okres retencji po rozwiązaniu uzgodniony pisemnie.
  • Charakter i cel przetwarzania: hosting, przechowywanie, porządkowanie, wyświetlanie, przesyłanie i inne czynności na danych klienta, aby klient i jego użytkownicy mogli korzystać z Konfi Cloud.
  • Kategorie osób, których dane dotyczą: pracownicy, współpracownicy, klienci końcowi, dostawcy oraz inne osoby, których dane osobowe klient zdecyduje się umieścić w przestrzeni.
  • Kategorie danych: dane identyfikacyjne i kontaktowe, dane uwierzytelniania, dane biznesowe i zamówień, dane rozliczeniowe i podatkowe, komunikacja wsparcia oraz inne dane osobowe wybrane przez klienta.

Polecenia przetwarzania

Konfi Cloud przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, którym są niniejsze warunki DPA, główny regulamin Konfi Cloud, polityka prywatności, konfiguracja wybrana przez klienta w przestrzeni roboczej oraz pisemne polecenia zaakceptowane przez dostawcę.

Jeżeli przepisy prawa wymagają innego przetwarzania, dostawca poinformuje administratora przed rozpoczęciem przetwarzania, chyba że prawo to zakazuje takiej informacji z ważnych względów interesu publicznego.

Podwykonawcy

Administrator upoważnia dostawcę do korzystania z podwykonawców wymienionych na stronie Podwykonawcy. Dostawca utrzymuje tę listę na bieżąco i informuje z wyprzedzeniem o zamiarze dodania lub zmiany podwykonawcy poprzez stronę WWW, komunikat w produkcie albo e-mail do administratorów przestrzeni.

Administrator może zgłosić uzasadniony sprzeciw (z powodów związanych z RODO) wobec nowego podwykonawcy w ciągu 30 dni od powiadomienia. Jeżeli strony nie rozwiążą sporu, administrator może rozwiązać dotknięte usługi i otrzymać proporcjonalny zwrot wniesionych, niewykorzystanych opłat za te usługi.

Środki bezpieczeństwa

  • Szyfrowanie danych osobowych w tranzycie (TLS) oraz w spoczynku, gdy dostawcy infrastruktury to oferują.
  • Zarządzanie tożsamością i dostępem z rolami, wymuszanie MFA dla ról operatora i administratora oraz logowanie operacji uprzywilejowanych.
  • Zabezpieczenia sieci i aplikacji, w tym Firebase App Check, limity ruchu, podpisane webhooki oraz oddzielenie danych control plane i tenant runtime.
  • Środki operacyjne: dostęp produkcyjny zgodny z zasadą najmniejszych uprawnień, okresowa rotacja poświadczeń, monitorowanie podatności, kopie zapasowe i reakcja na incydenty.
  • Osoby działające z upoważnienia dostawcy są zobowiązane do zachowania poufności.

Żądania osób, których dane dotyczą

Dostawca będzie wspierać administratora, uwzględniając charakter przetwarzania i dostępne informacje, w wykonaniu obowiązków odpowiedzi na żądania osób, których dane dotyczą, z Rozdziału III RODO.

Jeżeli osoba, której dane dotyczą, skontaktuje się bezpośrednio z dostawcą w sprawie danych w przestrzeni klienta, dostawca, w miarę możliwości, odeśle ją do właściwego administratora albo przekaże mu wniosek.

Incydenty i wsparcie

Dostawca będzie wspierać administratora w zapewnieniu zgodności z art. 32–36 RODO (bezpieczeństwo przetwarzania, zgłaszanie naruszeń, ocena skutków, uprzednie konsultacje), uwzględniając charakter przetwarzania i dostępne informacje.

Dostawca powiadomi administratora bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych klienta i przekaże informacje potrzebne do wypełnienia obowiązków zgłoszeniowych administratora.

Audyty

Dostawca udostępni administratorowi informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwi audyty, w tym inspekcje, prowadzone przez administratora lub upoważnionego audytora, z zachowaniem rozsądnych ograniczeń poufności i bezpieczeństwa.

Pierwszy poziom audytu zazwyczaj stanowią dokumentacja i certyfikacje dostępne od podwykonawców. Bezpośrednie audyty na miejscu mogą być uzgodnione z odpowiednim wyprzedzeniem i na koszt administratora, chyba że audyt wykaże istotne naruszenie po stronie dostawcy.

Transfery międzynarodowe

Część podwykonawców przetwarza dane osobowe poza EOG, głównie w USA. Transfery opierają się na decyzjach Komisji Europejskiej stwierdzających odpowiedni poziom ochrony (w tym EU-US Data Privacy Framework, gdy dostawca jest certyfikowany) oraz na standardowych klauzulach umownych z dodatkowymi środkami bezpieczeństwa, gdy decyzja nie ma zastosowania.

Szczegóły lokalizacji przetwarzania i mechanizmu transferu dla każdego podwykonawcy znajdują się na stronie Podwykonawcy.

Czas trwania, rozwiązanie i usunięcie

Po zakończeniu usług dostawca, według wyboru administratora, usunie lub zwróci dane osobowe przetwarzane w imieniu administratora oraz usunie istniejące kopie, chyba że prawo wymaga ich dalszego przechowywania. Standardowe okresy retencji są opisane w polityce prywatności.

Niniejsze DPA obowiązuje przez cały okres, w którym dostawca przetwarza dane osobowe w imieniu administratora.

Kontakt

Pytania dotyczące DPA oraz prośby o kopię z kontrasygnatą można kierować na support@getkonfi.com.