ZAUFANIE · DPA

Umowa Powierzenia
Przetwarzania Danych (DPA).

Jako klient Itamite jesteś administratorem danych (controller), a my jesteśmy podmiotem przetwarzającym (processor) zgodnie z RODO Art. 28. Tutaj wyjaśniamy standardową umowę DPA Itrion: role, wzajemne obowiązki, prawa klienta, podmioty podprzetwarzające oraz transfery międzynarodowe. Gotowa do podpisu bez wcześniejszych negocjacji.

Zobacz cennik Poproś o DPA

Dlaczego masz z nami DPA

Gdy korzystasz z Itamite, udostępniasz nam dane osobowe: imiona i nazwiska, adresy e-mail, adresy IP, identyfikatory pracowników, dzienniki aktywności ICT, audit logs, potencjalną zawartość sesji zdalnych. RODO Art. 28 wymaga wiążącej umowy z administratorami, która określa: przedmiot i czas trwania przetwarzania, jego charakter i cel, rodzaj danych osobowych i kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Nasze standardowe DPA jest wstępnie podpisane przez Itrion i dostępne do Twojego podpisu elektronicznego w trakcie rejestracji jako klient Business lub Professional. Dla Enterprise: DPA z dodatkowymi negocjowanymi klauzulami (klauzula audytu in-situ, prawo do nadzwyczajnej inspekcji, klauzule specyficzne dla Twojego sektora regulowanego, rozszerzona retencja, obowiązkowe BYOK). Czas przeglądu prawnego Enterprise: 1-3 tygodnie.

Dla Stanów Zjednoczonych, Wielkiej Brytanii oraz innych krajów bez decyzji stwierdzającej odpowiedni stopień ochrony: automatycznie dodajemy Standardowe Klauzule Umowne (SCC) Module 2 controller-to-processor + Aneks ze szczegółami transferu + Transfer Impact Assessment (TIA) na żądanie. Bez dodatkowych opłat za SCC. UK Addendum dostępny dla klientów UK.

TREŚĆ DPA

Co obejmuje DPA

Role i obowiązki

Ty = administrator danych (controller), określasz cele i sposoby. Itrion = podmiot przetwarzający (processor), przetwarza dane wyłącznie zgodnie z Twoimi udokumentowanymi instrukcjami. Itrion nie wykorzysta Twoich danych do innych celów (brak treningu AI, brak cross-marketingu, brak sprzedażnych anonimowych agregatów).

Rodzaj danych i kategorie

Przetwarzane dane osobowe: imiona i nazwiska, adresy e-mail, adresy IP, unikalne identyfikatory pracowników, dane techniczne endpointów (wersja systemu operacyjnego, zainstalowane oprogramowanie, hash plików krytycznych), audit logs (działania techniczne ze znacznikiem czasu). Kategorie szczególne (Art. 9): tylko jeśli Twoja organizacja wprowadza je w notatkach/komentarzach — Itamite ich nie żąda.

Podmioty podprzetwarzające

Lista publiczna na /sub-processors. Powiadomienie 30 dni przed jakimkolwiek dodaniem/zmianą/usunięciem. Itrion odpowiada za działania swoich podmiotów podprzetwarzających jak za własne. Umowa Art. 28 podpisana z każdym z nich.

Transfery międzynarodowe

Domyślnie: 100% UE (Madryt + Frankfurt + Roubaix). Jeśli aktywujesz opcjonalne podmioty podprzetwarzające poza UE (BYOK z AWS US, datacenter US): SCC Module 2 + TIA + uzupełniające środki techniczne (szyfrowanie at rest + in transit + BYOK). UK Addendum dla klientów UK. Decyzja stwierdzająca odpowiedni stopień ochrony NZ obowiązuje dla SMTP2GO.

Prawa klienta

Prawo do bezpłatnego rocznego audytu dokumentacyjnego. Prawo do audytu on-site dla Enterprise (koszty według umowy). Prawo do otrzymania kopii ocen skutków i certyfikacji. Prawo do wcześniejszego rozwiązania umowy bez kary, jeśli dodamy podmiot podprzetwarzający, którego nie akceptujesz.

Okres i rozwiązanie

DPA obowiązuje, dopóki masz aktywny tenant. Po rozwiązaniu: 90 dni okresu karencji na pobranie danych. Następnie: bezpieczne usunięcie NIST 800-88 z weryfikowalnym certyfikatem. Audit logs przechowywane zgodnie z polityką Twojego tenanta (domyślnie 12 miesięcy, do 10 lat dla Enterprise).

Dodatkowe klauzule Enterprise

Dla klientów Enterprise: klauzula audytu in-situ z 30-dniowym wyprzedzeniem i kosztem według umowy. Klauzula nadzwyczajnej inspekcji bez uprzedzenia w przypadku potwierdzonego incydentu bezpieczeństwa. Klauzula rozszerzonej retencji do 10 lat dla sektorów regulowanych (bankowość, ochrona zdrowia, administracja publiczna). Obowiązkowe BYOK (Itrion nie ma dostępu do kluczy szyfrujących). Klauzula ograniczonej lokalizacji geograficznej (datacenter w określonym kraju). Klauzula exit plan z wydłużonym terminem i audytowalnym formatem eksportu. Dodatkowo dla sektorów regulowanych: BAA HIPAA, jeśli przetwarzasz amerykańskie PHI. Klauzule DORA Art. 30, jeśli jesteś podmiotem finansowym pod DORA. Klauzule ENS Kategoria Wysoka dla hiszpańskiej administracji publicznej. Aneks CCN-STIC 105 dla administracji publicznej z danymi niejawnymi.

Standardowe DPA wstępnie podpisane, gotowe do podpisu elektronicznego
SCC Module 2 + automatyczne TIA dla transferów poza UE
UK Addendum dla klientów UK, bez kosztów
BAA HIPAA dostępne dla amerykańskich podmiotów ochrony zdrowia
Klauzule DORA Art. 30 + ENS Wysoka + CCN-STIC 105 dla sektorów regulowanych

FAQ

Pytania o DPA

Czy muszę podpisać DPA?

Tak, jest obowiązkowa dla wszystkich klientów (Business, Professional, Enterprise) zgodnie z wymogami RODO. Bez podpisanej DPA nie możemy świadczyć usługi. Dla Business i Professional: standardowa DPA podpisana elektronicznie podczas onboardingu. Dla Enterprise: negocjowalna DPA z dodatkowymi klauzulami.

Czy mogę zmodyfikować standardową DPA?

Dla Business/Professional: nie. Standardowa DPA zawiera klauzule niezbędne i wystarczające dla RODO. Modyfikacje wymagają negocjacji prawnych możliwych tylko dla Enterprise. Dla Enterprise: tak, dodatkowe negocjowalne klauzule z Twoim zespołem prawnym.

Czy Itrion jest administratorem czy podmiotem przetwarzającym?

Dla danych TWOICH pracowników/endpointów: Itrion jest podmiotem przetwarzającym (Ty jesteś administratorem). Dla danych TWOJEJ firmy jako klienta Itamite (dane fakturowe, kontakty handlowe): Itrion jest współadministratorem z Tobą (joint controllers zgodnie z RODO Art. 26 w niektórych przypadkach). DPA obejmuje obie role.

Co dzieje się z danymi po zakończeniu umowy?

90 dni okresu karencji po rozwiązaniu na pobranie poprzez API. Po 90 dniach: bezpieczne usunięcie NIST 800-88 Purge z weryfikowalnym certyfikatem. Audit logs przechowywane zgodnie ze skonfigurowaną polityką Twojego tenanta (domyślnie 12 miesięcy, do 10 lat dla Enterprise). Kopie zapasowe usunięte ze wszystkich datacenters po 90 dniach karencji.

Poproś o standardową DPA

Wysyłamy Ci DPA Itamite-Itrion v2.1 w 24h. Dostępna w języku polskim, hiszpańskim i angielskim.