Umowa powierzenia przetwarzania danych osobowych (DPA)

Aktualizacja: 4 kwietnia 2026

§1 Postanowienia ogólne

Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej jako „Umowa” lub „DPA”) określa zasady przetwarzania danych osobowych przez Krajowe Centrum Elektronicznego Bezpieczeństwa Sp. z o.o. z siedzibą w [DO UZUPEŁNIENIA], NIP: [DO UZUPEŁNIENIA] (dalej jako „Podmiot przetwarzający” lub „Procesor”) na rzecz podmiotu korzystającego z usług (dalej jako „Administrator danych”).

Umowa zawierana jest w związku z korzystaniem z usług świadczonych przez Podmiot przetwarzający.

§2 Przedmiot i zakres przetwarzania

Podmiot przetwarzający przetwarza dane osobowe wyłącznie w zakresie niezbędnym do świadczenia usług związanych z bezpieczeństwem cyfrowym, w szczególności:

  • analizy zagrożeń w ruchu sieciowym;
  • filtrowania zapytań DNS;
  • wykrywania potencjalnych zagrożeń i incydentów bezpieczeństwa.

Zakres danych może obejmować dane techniczne, identyfikatory urządzeń, adresy IP oraz inne dane związane z bezpieczeństwem systemów.

§3 Charakter i cel przetwarzania

Dane osobowe przetwarzane są w celu:

  • świadczenia usług bezpieczeństwa;
  • wykrywania i zapobiegania zagrożeniom;
  • utrzymania i rozwoju usług.

Przetwarzanie ma charakter ciągły i odbywa się wyłącznie na polecenie Administratora danych.

§4 Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się do:

  • przetwarzania danych wyłącznie zgodnie z niniejszą Umową oraz udokumentowanymi poleceniami Administratora;
  • zapewnienia poufności danych osobowych;
  • wdrożenia odpowiednich środków technicznych i organizacyjnych;
  • zapewnienia, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności;
  • wspierania Administratora w realizacji obowiązków wynikających z RODO.

§5 Środki bezpieczeństwa

Podmiot przetwarzający stosuje środki bezpieczeństwa odpowiadające ryzyku przetwarzania danych, w tym w szczególności:

  • szyfrowanie transmisji danych;
  • kontrolę dostępu;
  • zabezpieczenia infrastruktury serwerowej;
  • monitoring systemów.

§6 Podpowierzenie danych

Podmiot przetwarzający może powierzyć przetwarzanie danych dalszym podmiotom (subprocesorom), w szczególności dostawcom infrastruktury i usług technologicznych.

Administrator wyraża ogólną zgodę na korzystanie z podprocesorów, pod warunkiem zapewnienia odpowiedniego poziomu ochrony danych.

§7 Transfer danych poza EOG

Dane mogą być przekazywane poza Europejski Obszar Gospodarczy, przy zastosowaniu odpowiednich zabezpieczeń, w szczególności standardowych klauzul umownych.

§8 Naruszenia ochrony danych

W przypadku stwierdzenia naruszenia ochrony danych osobowych Podmiot przetwarzający zobowiązuje się do:

  • niezwłocznego poinformowania Administratora;
  • podjęcia działań ograniczających skutki naruszenia;
  • współpracy przy jego obsłudze.

§9 Wsparcie Administratora

Podmiot przetwarzający zobowiązuje się do wspierania Administratora w:

  • realizacji praw osób, których dane dotyczą;
  • przeprowadzaniu ocen skutków dla ochrony danych (DPIA);
  • konsultacjach z organem nadzorczym.

§10 Usunięcie danych

Po zakończeniu świadczenia usług Podmiot przetwarzający usuwa lub zwraca dane osobowe, chyba że obowiązujące przepisy prawa wymagają ich dalszego przechowywania.

§11 Audyty i kontrola

Administrator ma prawo do weryfikacji zgodności przetwarzania danych z niniejszą Umową, w uzasadnionym zakresie i po wcześniejszym uzgodnieniu.

§12 Odpowiedzialność

Strony ponoszą odpowiedzialność zgodnie z obowiązującymi przepisami prawa, w szczególności RODO.

Podmiot przetwarzający odpowiada wyłącznie w zakresie, w jakim naruszył obowiązki wynikające z niniejszej Umowy lub przepisów prawa.

§13 Postanowienia końcowe

Umowa obowiązuje przez okres świadczenia usług.

W sprawach nieuregulowanych zastosowanie mają przepisy RODO oraz prawa polskiego.