Umowa Powierzenia Przetwarzania Danych

§Artykuł 1 — Strony i definicje

1.1 Administrator danych

Nazwa prawna: [ ]
Adres: [ ]
Kontakt: [ ]
(dalej "Administrator")

1.2 Podmiot przetwarzający (Procesor)

Nazwa: HumanKey (projekt ChainGuard)
Usługa: Platforma analityki crawlerów AI i detekcji botów
Strona: humankey.io
Siedziba danych: UE (Niemcy + Holandia)
(dalej "Procesor" lub "HumanKey")

1.3 Definicje

Terminy używane w tej umowie mają znaczenie nadane przez RODO (UE) 2016/679: "dane osobowe", "przetwarzanie", "podmiot danych", "organ nadzorczy", "administrator", "podmiot przetwarzający", "podprocesor". "Usługi" oznaczają usługi detekcji botów i analityki AI świadczone przez HumanKey na podstawie Regulaminu.

§Artykuł 2 — Przedmiot i czas trwania

2.1 Przedmiot

Procesor przetwarza dane osobowe w imieniu Administratora w celu świadczenia usług detekcji crawlerów AI, klasyfikacji botów i analityki ruchu webowego, zgodnie z Regulaminem HumanKey.

2.2 Czas trwania

Niniejsza umowa obowiązuje od [ ] i pozostaje w mocy przez okres aktywnej subskrypcji Administratora na usługi HumanKey, do chwili rozwiązania Regulaminu lub zakończenia relacji przetwarzania danych, w zależności od tego, co nastąpi wcześniej.

§Artykuł 3 — Charakter i cel przetwarzania

§Artykuł 4 — Rodzaje danych i kategorie podmiotów

4.1 Przetwarzane dane osobowe

Okresy retencji wg planu: Free = 7 dni, Pro = 30 dni, Business = 90 dni, Enterprise = 365 dni. Automatyczne usuwanie uruchamiane codziennie o 03:00 UTC.

4.2 Kategorie podmiotów danych

Odwiedzający (ludzie lub automaty) stronę(-y) internetową(-e) Administratora zarejestrowaną w HumanKey. Podmioty danych nie są identyfikowane imieniem ani danymi kontaktowymi — reprezentowane są wyłącznie przez pseudonimizowane pola wymienione powyżej.

§Artykuł 5 — Obowiązki Procesora (Art. 28(3) RODO)

5.1 Przetwarzanie wyłącznie na udokumentowane polecenie

Procesor przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora. Jeżeli prawo UE lub państwa członkowskiego wymaga przetwarzania wykraczającego poza polecenia Administratora, Procesor informuje o tym Administratora przed przetworzeniem, chyba że prawo to tego zabrania.

5.2 Poufność

Procesor zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.

5.3 Środki bezpieczeństwa

Aktualne środki techniczne i organizacyjne (Art. 32 RODO):

• Szyfrowanie transmisji: TLS 1.3 na wszystkich punktach końcowych
• Szyfrowanie w spoczynku: AES-256 (zarządzane przez Neon DB)
• Pseudonimizacja IP: hash SHA-256 z dobową rotacją soli (nieodwracalny)
• Bezpieczeństwo kluczy API: klucze tajne hashowane bcrypt, nigdy nie przechowywane w postaci jawnej
• Kontrola dostępu: tokeny JWT z 15-minutowym wygaśnięciem; 7-dniowe rotujące tokeny odświeżania
• Limitowanie żądań: wsparte Redis, obowiązkowe w środowisku produkcyjnym
• Automatyczne egzekwowanie retencji: cron dzienny o 03:00 UTC
• Monitoring błędów: Sentry z skonfigurowanym usuwaniem danych osobowych

5.4 Podprocesory

Procesor nie angażuje podprocesorów bez ogólnej pisemnej zgody Administratora. Aktualnie autoryzowani podprocesory:

Wszystkie podstawowe dane przechowywane są w UE. Żadne dane osobowe nie są przekazywane poza EOG. Procesor informuje Administratora o planowanych zmianach podprocesorów z co najmniej 14-dniowym wyprzedzeniem.

5.5 Wsparcie w realizacji praw podmiotów danych

Procesor wspiera Administratora w odpowiadaniu na żądania podmiotów danych (dostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie, sprzeciw) w zakresie technicznie możliwym. HumanKey udostępnia zautomatyzowane punkty końcowe eksportu i usuwania danych dostępne przez panel i API.

5.6 Wsparcie w obowiązkach bezpieczeństwa

Procesor wspiera Administratora w zapewnieniu zgodności z Art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, DPIA, uprzednie konsultacje). Publiczna Ocena Skutków dla Ochrony Danych (DPIA) dostępna jest pod adresem /pl/dpia.

5.7 Usunięcie lub zwrot danych po zakończeniu

Po zakończeniu świadczenia Usług Procesor, według wyboru Administratora, usuwa lub zwraca wszystkie dane osobowe i usuwa istniejące kopie, chyba że prawo UE lub państwa członkowskiego wymaga ich przechowywania. Administrator może eksportować dane przez panel w dowolnym momencie przed zakończeniem. Po usunięciu konta wszystkie dane osobowe są usuwane w ciągu 24 godzin.

5.8 Udostępnianie informacji i audyty

Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z Art. 28 RODO oraz umożliwia i wspiera audyty przeprowadzane przez Administratora lub upoważnionego audytora, z rozsądnym wyprzedzeniem (minimum 30 dni) i w godzinach pracy. Koszty audytu ponosi Administrator.

§Artykuł 6 — Obowiązki Administratora

Administrator zobowiązuje się do:

• Dostarczania zgodnych z prawem poleceń przetwarzania i ich aktualizacji w razie potrzeby
• Zapewnienia ważnej podstawy prawnej przetwarzania (Art. 6 RODO)
• Wypełniania obowiązków wobec podmiotów danych (klauzula informacyjna, obsługa żądań DSR)
• Niezwłocznego powiadamiania HumanKey o zmianach w poleceniach
• Zachowania poufności kluczy API i danych dostępowych

§Artykuł 7 — Odpowiedzialność

Każda ze stron ponosi odpowiedzialność za szkody spowodowane własnym naruszeniem niniejszej umowy i RODO. Procesor nie ponosi odpowiedzialności za przetwarzanie wykonane zgodnie z udokumentowanymi poleceniami Administratora. Odpowiedzialność podlega ograniczeniom określonym w Regulaminie HumanKey.

§Artykuł 8 — Prawo właściwe i jurysdykcja

Niniejsza umowa podlega prawu [ ] (jurysdykcja Administratora, pod warunkiem że jest to państwo członkowskie UE lub EOG). Spory rozstrzygają właściwe sądy [ ]. W zakresie stosowania RODO jurysdykcja organu nadzorczego określana jest na podstawie siedziby Administratora.

§Artykuł 9 — Podpisy