Umowa powierzenia przetwarzania danych (DPA)
Ostatnia aktualizacja:
Status dokumentu: wersja 1.0, do walidacji prawniczej przed publikacją produkcyjną. Każda Firma korzystająca z Platformy MUSI zaakceptować tę umowę przed otrzymaniem dostępu do danych kandydatów (akceptacja przy rejestracji konta).
Strony umowy
Niniejsza umowa zostaje zawarta pomiędzy:
- Administratorem: Firmą Klienta — przedsiębiorcą rejestrującym konto na Platformie Gorilla HR
- Procesorem: Softgorillas Sp. z o.o., NIP [TBD], z siedzibą Warszawa, ul. Przykładowa 1, 00-001
zwanymi dalej łącznie „Stronami”.
§1. Przedmiot umowy
- Niniejsza umowa określa zasady, na jakich Procesor (Softgorillas) przetwarza dane osobowe kandydatów w imieniu Administratora w ramach platformy Gorilla HR.
- Uwaga: Strony pełnią różne role w zależności od scenariusza:
- Wobec danych kandydatów na opublikowanych briefach Firmy — Firma jest Współadministratorem (joint controller) wraz z Gorilla HR (Art. 26 RODO).
- Wobec danych kandydatów przed akceptacją zaproszenia od Firmy — Gorilla HR jest Samodzielnym Administratorem danych.
- Wobec danych Firmy (członkowie zespołu, faktury) — Gorilla HR jest Administratorem.
§2. Zakres przetwarzania
| Atrybut | Wartość |
|---|---|
| Czas trwania | Czas obowiązywania umowy korzystania z Platformy |
| Charakter | Pośrednictwo w rekrutacji + AI matching |
| Cel | Łączenie kandydatów z briefami Firmy |
| Rodzaj danych | Imię, nazwisko, e-mail, dane zawodowe (CV), preferencje |
| Kategorie podmiotów danych | Kandydaci akceptujący zaproszenia Firmy |
§3. Obowiązki Procesora
Procesor zobowiązuje się:
- Przetwarzać dane wyłącznie na udokumentowane polecenie Administratora (Art. 28 ust. 3 lit. a RODO).
- Zapewnić, że osoby uprawnione do przetwarzania zobowiązały się do zachowania poufności (NDA z pracownikami).
- Wdrożyć środki bezpieczeństwa odpowiednie do ryzyka (Art. 32 RODO):
- Szyfrowanie at-rest (AES-256) i w tranzycie (TLS 1.3)
- Audit logging dostępów
- Regularne kopie zapasowe (codziennie, 30-dniowa retencja)
- 2FA dla pracowników z dostępem do PII
- Roczne testy penetracyjne
- Pomagać Administratorowi w realizacji praw podmiotów danych (rozdział III RODO).
- Pomagać Administratorowi w wypełnieniu obowiązków z Art. 32-36 RODO (bezpieczeństwo, naruszenia, ocena skutków).
- Po zakończeniu świadczenia usług usunąć lub zwrócić wszystkie dane osobowe (do wyboru Administratora).
§4. Subprocesory
Procesor jest uprawniony do korzystania z dalszych podmiotów przetwarzających (subprocesorów) wymienionych poniżej. Lista jest aktualizowana 30 dni przed zmianą — Administrator może wyrazić sprzeciw.
| Podmiot | Funkcja | Lokalizacja | Mechanizm transferu |
|---|---|---|---|
| Hetzner Online GmbH | Hosting infrastruktury | Niemcy (EU) | — (EU) |
| Postmark (Wildbit LLC) | Wysyłka e-maili transakcyjnych | USA | EU-US DPF |
| Cloudflare Inc. | DDoS / CDN | EU + globalne | SCC |
| Sentry (Functional Software Inc.) | Śledzenie błędów | EU | EU-US DPF |
| OpenAI (jeśli aktywne) | Generacja wektorów AI | USA | SCC + DPA OpenAI |
§5. Naruszenia ochrony danych
- Procesor zgłasza Administratorowi każde stwierdzone naruszenie ochrony danych w ciągu 24 godzin od jego wykrycia.
- Zgłoszenie zawiera: charakter naruszenia + kategorie danych, liczbę dotkniętych podmiotów, skutki, środki zaradcze.
- Administrator jest odpowiedzialny za ewentualne zgłoszenie naruszenia do UODO (Art. 33 RODO) i do podmiotów danych (Art. 34 RODO).
§6. Prawa podmiotów danych
- Procesor pomaga Administratorowi obsłużyć żądania kandydatów dotyczące ich praw RODO (dostęp, sprostowanie, usunięcie, przenoszenie).
- Procesor udostępnia Administratorowi panel z którego Administrator może samodzielnie:
- Eksportować dane konkretnego kandydata
- Skasować dane na żądanie kandydata
- Wyeksportować audit log
- SLA odpowiedzi na żądania: 72 godziny od zgłoszenia.
§7. Audyt
Administrator ma prawo do audytu zgodności Procesora z niniejszą umową 1 raz w roku z 30-dniowym wyprzedzeniem. Koszt audytu pokrywa Administrator. W przypadku audytu prowadzonego przez UODO, Procesor współpracuje bez warunków.
§8. Lokalizacja przetwarzania
- Główne przetwarzanie odbywa się w EU (Niemcy — Hetzner / Frankfurt).
- Wybrane usługi pomocnicze wykorzystują dostawców z USA (Postmark, Sentry) — patrz §4. Transfery oparte na EU-US Data Privacy Framework lub Standardowych Klauzulach Umownych (SCC).
§9. Czas trwania i zakończenie
- Umowa obowiązuje przez czas korzystania Firmy z Platformy.
- Po zakończeniu, Procesor:
- W ciągu 30 dni eksportuje wszystkie dane Firmy w formacie JSON na żądanie
- W ciągu 90 dni anonimizuje dane PII (zachowując faktury — wymóg prawny 7 lat)
§10. Postanowienia końcowe
- Umowa wchodzi w życie z dniem akceptacji przy rejestracji konta.
- Zmiany wymagają formy pisemnej (e-mail + akceptacja administratora konta wystarczy w ramach Platformy).
- W zakresie nieuregulowanym stosuje się RODO + ustawę o ochronie danych osobowych (PL).
- Sądem właściwym jest sąd w Warszawie.
Powiązane dokumenty: Polityka prywatności · Regulamin · Twoje prawa RODO