Umowa Powierzenia Przetwarzania Danych Osobowych

Strony Umowy

Administrator:

Klient końcowy korzystający z Platformy SocialPlate na podstawie Regulaminu, osoba fizyczna prowadząca działalność gospodarczą, osoba prawna lub jednostka organizacyjna, identyfikowana danymi podanymi w Koncie (dalej „Administrator" lub „Klient").

Podmiot przetwarzający (Procesor):

CraftedCottages spółka z ograniczoną odpowiedzialnością

• Siedziba: ul. Wolna 11, 42-202 Częstochowa
• Sąd rejestrowy: Sąd Rejonowy w Częstochowie, XVII Wydział Gospodarczy KRS
• KRS: 0001135848
• NIP: 9492272400
• REGON: 540044350
• Kapitał zakładowy: 5 000,00 zł
• Kontakt: kontakt@socialplate.pl

dalej „Procesor" lub „SocialPlate".

Administrator i Procesor zwani są łącznie „Stronami".

§ 1. Definicje i zasada akceptacji

1.1 Definicje

Pojęcia pisane wielką literą mają znaczenie nadane im w Regulaminie dostępnym pod adresem socialplate.pl/regulamin, w Polityce Prywatności oraz w RODO. Ponadto:

• RODO, rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
• Dane osobowe, informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w rozumieniu art. 4 pkt 1 RODO, przekazane Procesorowi przez Administratora w ramach korzystania z Usług
• Usługi, usługi świadczone przez Procesora na rzecz Administratora na podstawie Regulaminu Platformy SocialPlate
• Podprocesor, inny podmiot przetwarzający zaangażowany przez Procesora do wykonywania poszczególnych czynności przetwarzania w imieniu Administratora
• Naruszenie ochrony danych, naruszenie w rozumieniu art. 4 pkt 12 RODO
• Umowa Główna, umowa o świadczenie Usług zawarta na podstawie Regulaminu SocialPlate

1.2 Sposób zawarcia

Niniejsza Umowa stanowi integralną część Umowy Głównej i wchodzi w życie z chwilą akceptacji przez Administratora, poprzez aktywne potwierdzenie w panelu Konta, pisemną akceptację lub faktyczne rozpoczęcie korzystania z Usług po opublikowaniu Umowy. Strony mogą dodatkowo zawrzeć odrębną umowę pisemną lub podpisaną elektronicznie, w razie rozbieżności pierwszeństwo ma dokument podpisany jako ostatni.

§ 2. Przedmiot i cel powierzenia

2.1 Przedmiot powierzenia

Administrator powierza Procesorowi, a Procesor przyjmuje do przetwarzania Dane osobowe na zasadach określonych w niniejszej Umowie. Zakres powierzenia obejmuje operacje niezbędne do wykonania czynności wymienionych w § 2.2 (przechowywanie treści, generowanie opisów AI, publikacja w mediach społecznościowych, udostępnianie statystyk, utrzymanie Platformy). Procesor nie przetwarza Danych osobowych dla własnych celów wykraczających poza Umowę, z wyjątkiem czynności niezbędnych do świadczenia Usług, zapewnienia bezpieczeństwa, wykonywania obowiązków prawnych oraz obrony roszczeń.

2.2 Cel przetwarzania

Dane osobowe są przetwarzane wyłącznie w celu świadczenia Usług SocialPlate, w szczególności:

• Przechowywania przesłanych przez Administratora zdjęć i treści
• Generowania opisów postów przy użyciu modeli sztucznej inteligencji
• Publikowania treści w mediach społecznościowych wskazanych przez Administratora (Facebook, Instagram)
• Udostępniania statystyk i raportów dotyczących opublikowanych treści
• Utrzymania, zabezpieczenia i kopii zapasowych Platformy

2.3 Charakter przetwarzania i lokalizacja danych

Przetwarzanie ma charakter zautomatyzowany w środowisku informatycznym Procesora i jego Podprocesorów. Obejmuje operacje takie jak: zbieranie, utrwalanie, przechowywanie, przeglądanie, wykorzystywanie, ujawnianie przez transmisję, ograniczanie, usuwanie lub niszczenie.

Lokalizacja danych: Podstawowa infrastruktura aplikacji SaaS (baza danych, magazyn plików, serwery aplikacyjne, kopie zapasowe) znajduje się w Unii Europejskiej. Dane nie opuszczają EOG, z wyjątkiem transferów do Podprocesorów spoza EOG wymienionych w Załączniku nr 1, dla których stosuje się zabezpieczenia z § 8.

2.4 Okres powierzenia

Umowa obowiązuje przez okres obowiązywania Umowy Głównej. Po jej zakończeniu zastosowanie ma § 14 (zwrot/usunięcie danych).

§ 3. Kategorie osób i rodzaje danych

3.1 Kategorie osób, których dane dotyczą

• Pracownicy i współpracownicy Administratora (osoby występujące na zdjęciach operacyjnych lokalu, np. kucharze, obsługa)
• Goście lokalu widoczni w tle zdjęć dokumentujących potrawy, wystrój lub atmosferę
• Osoby oznaczone w postach Administratora (np. partnerzy, influencerzy)
• Obserwujący i osoby wchodzące w interakcje z publikowanymi postami, w zakresie udostępnianych przez Meta statystyk

3.2 Rodzaje Danych osobowych

• Wizerunki (fotografie), dane biometryczne tylko w zakresie ogólnego wizerunku, bez elementów identyfikacji biometrycznej w rozumieniu art. 9 ust. 1 RODO
• Imiona, nazwiska, pseudonimy i identyfikatory z mediów społecznościowych, jeżeli podane w opisach
• Dane kontaktowe, jeżeli świadomie wprowadzone przez Administratora do treści posta
• Dane statystyczne dostarczane przez platformy Meta (zasięgi, wyświetlenia, interakcje, w postaci zagregowanej lub zidentyfikowanej)

Dane szczególnych kategorii (art. 9 RODO): Procesor nie świadczy Usług w odniesieniu do szczególnych kategorii danych (dane ujawniające pochodzenie, poglądy, dane o zdrowiu, orientacji seksualnej itd.). Administrator zobowiązuje się nie przesyłać do Platformy treści zawierających takie dane.

Dane osób małoletnich: Administrator zobowiązuje się nie przesyłać treści umożliwiających identyfikację osób poniżej 16 roku życia bez zgody ich rodziców/opiekunów prawnych.

§ 4. Obowiązki Procesora (art. 28 ust. 3 RODO)

Procesor zobowiązuje się w szczególności:

1. przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym w zakresie przekazywania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki nakłada na Procesora prawo Unii lub prawo państwa członkowskiego, któremu podlega; w takim przypadku Procesor informuje Administratora o tym obowiązku przed rozpoczęciem przetwarzania, chyba że prawo to zabrania udzielania takiej informacji ze względu na istotny interes publiczny
2. zapewnić, by osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy
3. podejmować wszelkie wymagane środki zgodnie z art. 32 RODO (zob. § 6 Umowy)
4. przestrzegać warunków korzystania z usług Podprocesorów zgodnie z § 5 Umowy
5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą (realizacja praw z rozdziału III RODO)
6. pomagać Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, zawiadamianie osób, których dane dotyczą, oceny skutków, uprzednie konsultacje)
7. po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji Administratora, usunąć lub zwrócić wszelkie Dane osobowe oraz usunąć wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie Danych osobowych (zob. § 14 Umowy)
8. udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów (zob. § 9 Umowy)
9. niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych
10. prowadzić rejestr kategorii czynności przetwarzania zgodnie z art. 30 ust. 2 RODO

§ 5. Podpowierzenie (Podprocesorzy)

5.1 Zgoda ogólna

Administrator udziela Procesorowi ogólnej uprzedniej zgody na korzystanie z podprocesorów w rozumieniu art. 28 ust. 2 zd. 1 RODO. Aktualna lista podprocesorów stanowi Załącznik nr 1 do Umowy i jest publikowana w Polityce Prywatności (§ 5.2).

5.2 Powiadomienia o zmianach

Procesor informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów z co najmniej 30-dniowym wyprzedzeniem, poprzez e-mail na adres Konta lub powiadomienie w panelu Konta. W tym okresie Administrator może wnieść uzasadniony sprzeciw.

5.3 Skutki sprzeciwu

W przypadku wniesienia uzasadnionego sprzeciwu Strony podejmują próbę wypracowania rozwiązania alternatywnego w terminie 30 dni. Jeżeli osiągnięcie porozumienia nie będzie możliwe:

• Procesor może wycofać planowaną zmianę (kontynuując świadczenie Usług bez niej), lub
• Każda ze Stron może rozwiązać Umowę Główną w części, której dotyczy sprzeciw, z zachowaniem prawa Administratora do zwrotu proporcjonalnej części opłat za niewykorzystany okres

5.4 Odpowiedzialność za Podprocesorów

Procesor zapewnia, że na Podprocesorów zostały nałożone, w drodze umowy lub innego aktu prawnego, takie same obowiązki ochrony danych jak te, które wynikają z niniejszej Umowy. Jeżeli Podprocesor nie wywiąże się ze swoich obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego Podprocesora spoczywa na Procesorze.

§ 6. Bezpieczeństwo przetwarzania (art. 32 RODO)

Procesor wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania. W szczególności Procesor:

Procesor zapewnia także zdolność do szybkiego przywrócenia dostępności Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, oraz regularnie testuje i ocenia skuteczność stosowanych środków.

Szczegółowy opis aktualnych środków technicznych i organizacyjnych (TOM) stanowi Załącznik nr 2 do Umowy.

§ 7. Naruszenia ochrony danych

7.1 Zawiadomienie Administratora

Procesor zawiadamia Administratora o stwierdzonym Naruszeniu ochrony danych bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od powzięcia wiadomości o naruszeniu, tak aby Administrator mógł wywiązać się z własnego 72-godzinnego terminu zgłoszenia do Prezesa UODO (art. 33 ust. 1 RODO). W miarę możliwości Procesor dąży do zawiadomienia w krótszym terminie.

7.2 Zakres zawiadomienia

Zawiadomienie zawiera, w zakresie możliwym na moment zgłoszenia, informacje wymagane art. 33 ust. 3 RODO, w szczególności:

• Opis charakteru naruszenia, w tym (gdy możliwe) kategorie i przybliżoną liczbę osób oraz rekordów
• Imię, nazwisko i dane kontaktowe osoby, od której można uzyskać dodatkowe informacje
• Opis możliwych konsekwencji naruszenia
• Opis zastosowanych lub proponowanych środków zaradczych

Jeżeli pełne informacje nie są dostępne jednocześnie, Procesor przekazuje je etapami, w miarę uzyskiwania.

7.3 Obowiązek zgłoszenia do UODO

Obowiązek zgłoszenia Naruszenia do Prezesa Urzędu Ochrony Danych Osobowych (art. 33 RODO) oraz, w razie konieczności, zawiadomienia osób, których dane dotyczą (art. 34 RODO), spoczywa na Administratorze. Procesor udziela w tym zakresie odpowiedniej pomocy zgodnie z § 4 pkt 6 Umowy.

§ 8. Transfer danych poza EOG

Część Podprocesorów ma siedziby poza Europejskim Obszarem Gospodarczym, w szczególności w Stanach Zjednoczonych (szczegóły: Załącznik nr 1). Przekazywanie Danych osobowych do państw trzecich odbywa się wyłącznie przy zastosowaniu odpowiednich zabezpieczeń, tj.:

• decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (art. 45 RODO), np. EU-U.S. Data Privacy Framework dla certyfikowanych podmiotów, lub
• Standardowych Klauzul Umownych (SCC) przyjętych decyzją Komisji 2021/914 z 4 czerwca 2021 r. (art. 46 ust. 2 lit. c RODO), uzupełnionych, w razie potrzeby, środkami dodatkowymi zgodnie z wyrokiem TSUE C-311/18 (Schrems II)

Kopię odpowiednich zabezpieczeń Procesor udostępnia Administratorowi na żądanie.

§ 9. Audyty i kontrole

9.1 Prawo do audytu

Administrator ma prawo do przeprowadzenia audytu zgodności Procesora z Umową nie częściej niż raz w roku kalendarzowym, z zachowaniem co najmniej 30-dniowego uprzedzenia na piśmie lub mailowo, w godzinach pracy Procesora i w sposób nie zakłócający prowadzonej działalności.

9.2 Audyt nadzwyczajny

Niezależnie od ust. 9.1 audyt może być przeprowadzony w każdym czasie w przypadku wystąpienia uzasadnionych podejrzeń naruszenia Umowy lub wystąpienia Naruszenia ochrony danych.

9.3 Alternatywa, dokumentacja i certyfikaty

W celu ograniczenia kosztów obu Stron Administrator może zamiast audytu zapoznać się z:

• aktualnym raportem wewnętrznym lub zewnętrznym z przeglądu środków bezpieczeństwa
• certyfikatami posiadanymi przez Procesora (np. ISO 27001, SOC 2)
• wypełnionymi kwestionariuszami bezpieczeństwa

9.4 Koszty audytu

Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenia po stronie Procesora, wówczas koszty ponosi Procesor. Procesor może obciążyć Administratora rozsądnymi kosztami zaangażowania swojego personelu w związku z audytem, zgodnie ze standardowym cennikiem.

9.5 Poufność

Osoby uczestniczące w audycie zobowiązują się do zachowania poufności informacji uzyskanych w trakcie audytu i nie mogą pozyskiwać informacji stanowiących tajemnicę przedsiębiorstwa Procesora oraz Danych innych administratorów.

§ 10. Obowiązki Administratora

Administrator zobowiązuje się:

• posiadać ważną podstawę prawną (art. 6 i ew. art. 9 RODO) dla przetwarzania Danych przekazywanych Procesorowi oraz dla powierzenia ich przetwarzania
• spełniać obowiązki informacyjne wobec osób, których dane dotyczą (art. 13–14 RODO), w tym poinformować je o powierzeniu danych Procesorowi
• nie przekazywać Procesorowi szczególnych kategorii danych (art. 9 RODO) ani danych dotyczących wyroków skazujących (art. 10 RODO), chyba że uzgodniono to z Procesorem w odrębnej formie pisemnej
• wydawać Procesorowi polecenia zgodne z RODO i innymi przepisami
• niezwłocznie reagować na zawiadomienia Procesora, w szczególności dotyczące Naruszeń
• zapewnić, że osoby uwidocznione na zdjęciach (pracownicy, goście) wyraziły niezbędną zgodę na wykorzystanie wizerunku (art. 81 ust. 1 ustawy o prawie autorskim i prawach pokrewnych), o ile takie zgody są wymagane

§ 11. Odpowiedzialność

11.1 Zasada ogólna

Każda ze Stron odpowiada za własne działania i zaniechania zgodnie z art. 82 RODO oraz przepisami powszechnie obowiązującego prawa. Żadne postanowienie Umowy nie ogranicza odpowiedzialności wynikającej z bezwzględnie obowiązujących przepisów.

11.2 Ograniczenie odpowiedzialności Procesora

Z zastrzeżeniem ust. 11.1 oraz przypadków winy umyślnej lub rażącego niedbalstwa, całkowita odpowiedzialność Procesora z tytułu niniejszej Umowy oraz Umowy Głównej, bez względu na tytuł prawny (odpowiedzialność kontraktowa, deliktowa, rękojmia), ograniczona jest do kwoty opłat abonamentowych zapłaconych przez Administratora w ciągu 6 miesięcy bezpośrednio poprzedzających zdarzenie powodujące szkodę.

Ograniczenie to nie dotyczy odpowiedzialności wobec Administratora będącego konsumentem lub Przedsiębiorcą na prawach konsumenta (w zakresie, w jakim takie ograniczenie nie byłoby skuteczne wobec tych podmiotów).

Administracyjne kary pieniężne (art. 83 RODO): w przypadku nałożenia kary pieniężnej przez organ nadzorczy, odpowiedzialność Strony, po której wystąpiło naruszenie, nie podlega ograniczeniu z niniejszego ustępu, rozliczana jest zgodnie z § 11.3 (regres), przy zachowaniu zasady proporcjonalności wynikającej z art. 83 ust. 2 RODO. Klienci wymagający szerszych gwarancji (indemnification) mogą uzgodnić dodatkową umowę indywidualnie.

11.3 Regres

W przypadku nałożenia administracyjnej kary pieniężnej (art. 83 RODO) lub wypłaty odszkodowania (art. 82 RODO), Strony rozliczają odpowiedzialność proporcjonalnie do stopnia przyczynienia się każdej z nich do naruszenia.

§ 12. Poufność

Strony zobowiązują się do zachowania w tajemnicy wszelkich informacji poufnych uzyskanych w związku z wykonywaniem Umowy, w tym Danych osobowych, przez czas obowiązywania Umowy oraz przez okres 5 lat po jej zakończeniu. Zobowiązanie to obejmuje w szczególności pracowników i współpracowników Stron.

§ 13. Okres obowiązywania i rozwiązanie

13.1 Okres obowiązywania

Umowa obowiązuje przez okres obowiązywania Umowy Głównej i wygasa wraz z jej zakończeniem.

13.2 Rozwiązanie w trybie natychmiastowym

Każda ze Stron może rozwiązać Umowę ze skutkiem natychmiastowym w przypadku istotnego naruszenia Umowy przez drugą Stronę, jeżeli naruszenie nie zostało usunięte w terminie 14 dni od pisemnego wezwania.

§ 14. Zwrot / usunięcie Danych

Po zakończeniu świadczenia Usług (wygaśnięcie, rozwiązanie, odstąpienie od Umowy Głównej), Procesor, w zależności od decyzji Administratora wyrażonej na piśmie lub poprzez mechanizm w panelu Konta w terminie 30 dni od zakończenia:

• Zwraca Dane osobowe Administratorowi w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. JSON, CSV, ZIP z plikami graficznymi), lub
• Usuwa Dane osobowe wraz z kopiami

W braku wskazania Procesor dokonuje usunięcia danych po upływie 30 dni od zakończenia Umowy Głównej.

Wyjątki od usunięcia: Procesor jest uprawniony do zachowania Danych w zakresie i przez okres, w jakim obowiązek przechowywania wynika z bezwzględnie obowiązujących przepisów prawa (w szczególności przepisów podatkowych, ordynacji podatkowej, przepisów o rachunkowości oraz dochodzenia lub obrony roszczeń do upływu terminu ich przedawnienia). Po ustaniu tych podstaw dane zostają usunięte.

Procesor potwierdza usunięcie Danych w wiadomości e-mail.

§ 15. Postanowienia końcowe

15.1 Zmiany Umowy

Zmiany Umowy wymagają formy dokumentowej (e-mail lub powiadomienie w panelu Konta) pod rygorem nieważności. Procesor informuje Administratora o planowanej zmianie z co najmniej 30-dniowym wyprzedzeniem. Brak sprzeciwu wyrażonego w terminie 30 dni od powiadomienia uznaje się za akceptację zmian.

15.2 Klauzula salwatoriańska

Nieważność któregokolwiek z postanowień Umowy nie wpływa na ważność pozostałych postanowień. Strony zastąpią postanowienie nieważne postanowieniem ważnym, odzwierciedlającym pierwotną intencję.

15.3 Pierwszeństwo

W razie rozbieżności między niniejszą Umową a Umową Główną, w kwestiach ochrony danych osobowych pierwszeństwo ma niniejsza Umowa. W pozostałych kwestiach pierwszeństwo ma Umowa Główna.

15.4 Prawo właściwe i jurysdykcja

Umowa podlega prawu polskiemu. Sądem właściwym do rozstrzygania sporów jest sąd miejscowo właściwy dla siedziby Procesora, z zastrzeżeniem bezwzględnie obowiązujących przepisów dotyczących konsumentów.

15.5 Język

Umowa sporządzona została w języku polskim. W razie tłumaczenia na inne języki wiążąca jest wersja polska.

15.6 Całość porozumienia (entire agreement)

Niniejsza Umowa wraz z Umową Główną (Regulaminem), Polityką Prywatności oraz Załącznikami stanowi całość porozumienia Stron w zakresie powierzenia przetwarzania Danych osobowych i zastępuje wszelkie wcześniejsze ustne i pisemne ustalenia w tym zakresie.

15.7 Zawiadomienia (Notices)

Zawiadomienia wymagane Umową uważa się za skutecznie doręczone, gdy zostały przesłane:

• na adres e-mail Procesora: kontakt@socialplate.pl, oraz odpowiednio na adres e-mail Administratora wskazany w panelu Konta, lub
• za pośrednictwem powiadomień w panelu Konta (dla komunikatów kierowanych przez Procesora), lub
• listem poleconym lub przesyłką kurierską z potwierdzeniem odbioru, na adres siedziby odpowiedniej Strony.

Zawiadomienia dotyczące Naruszeń ochrony danych oraz istotnych zmian Podprocesorów przesyłane są równolegle e-mailem i poprzez panel Konta.

15.8 Cesja

Przeniesienie praw i obowiązków z Umowy wymaga uprzedniej pisemnej zgody drugiej Strony, z zastrzeżeniem przypadku przeniesienia przez Procesora praw i obowiązków w ramach zbycia przedsiębiorstwa lub jego zorganizowanej części, o czym Procesor informuje Administratora z co najmniej 30-dniowym wyprzedzeniem, z prawem Administratora do wypowiedzenia.

Załącznik nr 1, Lista Podprocesorów

Aktualna lista podprocesorów znajduje się w Polityce Prywatności §5.2 (socialplate.pl/polityka-prywatnosci). Na dzień wejścia Umowy w życie obejmuje:

Szczegóły każdego Podprocesora dostępne na żądanie: kontakt@socialplate.pl.

Załącznik nr 2, Środki techniczne i organizacyjne (TOM)

1. Pseudonimizacja i szyfrowanie

• Szyfrowanie transmisji TLS 1.2+ dla wszystkich połączeń
• Szyfrowanie plików na dyskach storage (at-rest encryption) po stronie dostawców infrastruktury
• Haszowanie haseł funkcją bcrypt lub Argon2 z unikalną solą
• Tokenizacja i izolacja kluczy dostępu do API platform zewnętrznych

2. Poufność, integralność, dostępność i odporność systemów

• Kontrola dostępu oparta o role (RBAC) i zasada najmniejszych uprawnień
• Uwierzytelnianie dwuskładnikowe (2FA) dla dostępu administracyjnego
• Rozdzielone środowiska (dev / staging / prod)
• Zabezpieczenia sieciowe: firewalle, DDoS protection u dostawców
• Monitoring bezpieczeństwa i alertowanie
• Logi dostępu z retencją ≥ 12 miesięcy

3. Przywracanie dostępności

• Regularne kopie zapasowe (dobowe dla bazy, ciągłe dla plików)
• Redundancja infrastruktury chmurowej dostawców
• Plan ciągłości działania i procedury odtworzeniowe

4. Testowanie i ocena skuteczności

• Okresowe testy odtworzeniowe kopii zapasowych
• Przegląd uprawnień co najmniej raz w roku
• Aktualizacje zabezpieczeń i patche systemowe
• Zarządzanie podatnościami w zależnościach (dependency scanning)

5. Środki organizacyjne

• Upoważnienia do przetwarzania dla każdej osoby mającej dostęp do danych
• Pisemne zobowiązania do zachowania poufności (NDA) pracowników i podwykonawców
• Szkolenia z zakresu RODO i bezpieczeństwa informacji
• Polityka zgłaszania incydentów (internal whistleblowing)
• Rejestr czynności przetwarzania (art. 30 RODO)

Akceptacja Umowy

Administrator akceptuje niniejszą Umowę poprzez:

• potwierdzenie w panelu Konta (checkbox „Akceptuję Umowę Powierzenia"), lub
• podpisanie pisemnej wersji Umowy (dostępnej na żądanie w formacie PDF), lub
• faktyczne rozpoczęcie powierzania Danych poprzez korzystanie z Usług po dacie wejścia Umowy w życie

W celu uzyskania pisemnej wersji Umowy prosimy o kontakt: kontakt@socialplate.pl z tematem „Wniosek o DPA".