Umowa powierzenia przetwarzania danych (DPA)

Dlaczego DPA

Gdy klient (administrator) korzysta z NavyFlame do przetwarzania danych osobowych swoich klientów końcowych (zamówienia, fakturowanie, wysyłki itp.), NavyFlame występuje jako podmiot przetwarzający. Art. 28 RODO wymaga pisemnej umowy między administratorem a podmiotem przetwarzającym.

Standardowa umowa NavyFlame obejmuje:

• Przedmiot i czas trwania przetwarzania
• Charakter i cel przetwarzania
• Kategorie danych osobowych i podmiotów
• Obowiązki i prawa administratora
• Obowiązki podmiotu przetwarzającego (art. 28 ust. 3)
• Korzystanie z podwykonawców (sub-processors)
• Zwrot i usuwanie danych po zakończeniu współpracy
• Środki bezpieczeństwa (art. 32 RODO)
• Współpraca przy audytach administratora
• Zgłaszanie naruszeń danych w ciągu 24h

Jak otrzymać DPA

Klienci planów Pro i Enterprise otrzymują wzór DPA do podpisu w procesie onboardingu. Klienci planu Starter mogą podpisać DPA na życzenie (kontakt: legal@navyflame.com).

Przekierowujemy do zespołu prawnego klienta wraz z wzorem oraz listą podwykonawców (/subprocessors). Negocjacje + podpis e-DocuSign — typowo zamknięte w ciągu 5-10 dni roboczych.

Modyfikacje (rider)

Wzór DPA obejmuje opcjonalne modyfikacje:

• Rozszerzona retencja audit logów — domyślnie 90 dni, dla branż regulowanych (np. finansowa) do 7 lat
• Wybór regionu danych — domyślnie UE (Polska / Niemcy), na życzenie inny region wspierany przez naszego providera VPS
• Skrócony czas powiadomienia o naruszeniu — domyślnie 24h, możliwe skrócenie na podstawie side-letter
• Częstsze audyty — domyślnie raz w roku, możliwe rozszerzenie

Dokumenty powiązane

• Polityka prywatności — informacja publiczna dla klientów końcowych
• Lista podwykonawców — pełna lista subprocesorów + mechanizmy transferu
• Regulamin — warunki świadczenia usługi (master agreement)