grafik psp
Polityka rodo
Wersja: 1.0 | Podstawa prawna: art. 28 RODO | Data: 30.01.2026
Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa DPA”) stanowi integralny załącznik do Regulaminu świadczenia usług Grafik PSP – GPSP.PL i wchodzi w życie z chwilą zawarcia Umowy o świadczenie usług, tj. z momentem akceptacji Regulaminu przez Klienta. Określa zasady i warunki powierzenia przetwarzania danych osobowych pomiędzy Klientem (Administratorem) a Dostawcą (Podmiotem Przetwarzającym).
§ 1. Strony Umowy
Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa DPA”) reguluje zasady przetwarzania danych osobowych pomiędzy:
ADMINISTRATOREM DANYCH:
Klientem — podmiotem prowadzącym działalność gospodarczą lub jednostką organizacyjną sektora publicznego, który zawarł Umowę o świadczenie usług Grafik PSP – GPSP.PL z Dostawcą poprzez akceptację Regulaminu świadczenia usług
(dalej: „Administrator”)
— a —
PODMIOTEM PRZETWARZAJĄCYM:
Algorytm Joanna Bliźniuk-Makarewicz, z siedzibą ul. Rubinowa 8, 22-200 Włodawa, NIP: 7122951993, REGON: 526301148
(dalej: „Podmiot Przetwarzający”)
§ 2. Przedmiot i cel powierzenia
1. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych w celu świadczenia usługi Grafik PSP – GPSP.PL — w szczególności funkcjonalności zarządzania grafikami pracy — na podstawie Regulaminu świadczenia usług zaakceptowanego przez Administratora.
2. Podmiot Przetwarzający przetwarza powierzone dane osobowe wyłącznie na udokumentowane polecenie Administratora, w zakresie i celu niezbędnym do świadczenia Usługi.
3. Podmiot Przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
§ 3. Zakres powierzonych danych
3.1. Kategorie przetwarzanych danych osobowych
Powierzeniu podlegają wyłącznie następujące dane osobowe Pracowników Klienta:
| Kategoria danych | Charakter | Uwagi |
|---|---|---|
| Imię i nazwisko | Obowiązkowe | Niezbędne do identyfikacji w grafiku pracy |
| Adres e-mail | Opcjonalne | Podawane według uznania Administratora; służy do logowania i komunikacji |
| Hasło dostępowe | Obowiązkowe (jeśli dotyczy) | Przechowywane wyłącznie w postaci jednokierunkowego skrótu kryptograficznego; forma jawna nigdy nie jest zapisywana |
| Dane aktywności w Systemie | Automatyczne | Logi operacji w Systemie, dane grafiku pracy przypisane do konta |
3.2. Kategorie osób, których dane dotyczą
- Pracownicy Administratora (osoby zatrudnione na podstawie umowy o pracę),
- Współpracownicy Administratora (osoby zatrudnione na podstawie umów cywilnoprawnych),
- inne osoby, których dane Administrator wprowadził do Systemu w związku z zarządzaniem grafikami pracy.
3.3. Czas trwania przetwarzania
Podmiot Przetwarzający przetwarza dane osobowe przez czas trwania Umowy o świadczenie usług. Po jej zakończeniu dane są usuwane zgodnie z procedurą opisaną w § 8 niniejszej Umowy.
§ 4. Obowiązki Podmiotu Przetwarzającego
Podmiot Przetwarzający zobowiązuje się do:
- Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, w tym w zakresie przekazywania danych do państw trzecich.
- Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub podlegają ustawowemu obowiązkowi zachowania tajemnicy.
- Wdrożenia i utrzymywania odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO, obejmujących w szczególności:
- szyfrowanie danych w transmisji (TLS 1.2 lub wyższy),
- przechowywanie haseł wyłącznie w postaci jednokierunkowego skrótu kryptograficznego (hasło w formie jawnej nie jest nigdy zapisywane ani dostępne),
- kontrolę dostępu opartą na zasadzie minimalnych uprawnień,
- regularne kopie zapasowe danych,
- procedury zarządzania incydentami bezpieczeństwa.
- Przestrzegania warunków korzystania z usług dalszych podmiotów przetwarzających (podpowierzenie), o których mowa w § 5.
- Powiadomienia Administratora o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 36 godzin od wykrycia naruszenia — w zakresie umożliwiającym Administratorowi wywiązanie się z obowiązku zgłoszenia do Prezesa UODO w terminie 72 godzin.
- Udzielania pomocy Administratorowi w realizacji praw osób, których dane dotyczą (prawo dostępu, sprostowania, ograniczenia, sprzeciwu) — w zakresie technicznie możliwym.
- Realizacji żądań anonimizacji kont Pracowników Klienta zgodnie z procedurą określoną w § 6.
- Udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków oraz umożliwienia przeprowadzania audytów (nie częściej niż raz w roku, po 14-dniowym powiadomieniu).
§ 5. Podpowierzenie przetwarzania
1. Podmiot Przetwarzający może powierzyć przetwarzanie danych dalszym podmiotom przetwarzającym wyłącznie za uprzednią pisemną zgodą Administratora.
2. Administrator, akceptując Regulamin świadczenia usług, wyraża ogólną zgodę na korzystanie przez Podmiot Przetwarzający z następujących dalszych podmiotów przetwarzających:
| Podmiot | Siedziba | Cel przetwarzania |
|---|---|---|
| OVH sp. z o.o. | Polska (Warszawa) — EOG | Hosting infrastruktury i przechowywanie danych; tworzenie i przechowywanie kopii zapasowych |
3. Podmiot Przetwarzający powiadomi Administratora z co najmniej 14-dniowym wyprzedzeniem o planowanych zmianach dotyczących dalszych podmiotów przetwarzających. Administrator może wyrazić sprzeciw w tym terminie.
4. Z każdym dalszym podmiotem przetwarzającym Podmiot Przetwarzający zawrze umowę nakładającą co najmniej takie same obowiązki ochrony danych, jak wynikające z niniejszej Umowy.
§ 6. Anonimizacja kont Pracowników — procedura realizacji prawa do usunięcia danych
1. Ze względu na specyfikę techniczną Systemu (konieczność zachowania integralności historycznych grafików pracy), fizyczne usunięcie konta Pracownika z Systemu jest niemożliwe bez naruszenia spójności danych historycznych Klienta.
2. W związku z powyższym, w odpowiedzi na żądanie usunięcia danych osobowych Pracownika (art. 17 RODO), Podmiot Przetwarzający stosuje procedurę anonimizacji, która:
- usuwa wszystkie dane identyfikujące osobę (imię, nazwisko, adres e-mail),
- zastępuje dane identyfikacyjne anonimowym identyfikatorem technicznym (np. „[USUNIĘTO #ID]”),
- uniemożliwia dalsze powiązanie wpisów historycznych z konkretną osobą fizyczną,
- zachowuje historyczne wpisy grafiku pracy w formie zanonimizowanej, niezbędne do prawidłowego funkcjonowania Systemu po stronie Klienta.
3. Żądanie anonimizacji może złożyć wyłącznie Administrator (Klient jako pracodawca), przesyłając wiadomość e-mail na adres: kontakt@gpsp.pl. Żądanie złożone bezpośrednio przez Pracownika nie będzie rozpatrywane — Podmiot Przetwarzający poinformuje Pracownika o konieczności złożenia żądania za pośrednictwem pracodawcy.
4. Żądanie anonimizacji powinno zawierać:
- jednoznaczne wskazanie konta (imię i nazwisko lub identyfikator w Systemie),
- nazwę organizacji Administratora,
- oświadczenie osoby upoważnionej do reprezentowania Administratora.
5. Anonimizacja zostanie wykonana w terminie 30 dni od daty otrzymania prawidłowego żądania. Po jej wykonaniu Podmiot Przetwarzający wyśle potwierdzenie na adres e-mail, z którego złożono żądanie.
6. Dane po anonimizacji nie stanowią danych osobowych w rozumieniu art. 4 pkt 1 RODO i nie podlegają dalszym ograniczeniom wynikającym z RODO.
§ 7. Transfer danych do państw trzecich
1. Podmiot Przetwarzający nie przekazuje danych osobowych poza Europejski Obszar Gospodarczy (EOG) bez uprzedniej pisemnej zgody Administratora.
2. Wszystkie dane osobowe przechowywane są wyłącznie na serwerach firmy OVH sp. z o.o. zlokalizowanych w Warszawie (Polska), na terytorium Europejskiego Obszaru Gospodarczego. Dane nie są replikowane ani przechowywane poza EOG.
3. W przypadku konieczności transferu poza EOG Podmiot Przetwarzający zapewni odpowiedni poziom ochrony, w szczególności poprzez standardowe klauzule umowne zatwierdzone przez Komisję Europejską.
§ 8. Postępowanie z danymi po zakończeniu Umowy
1. Po rozwiązaniu lub wygaśnięciu Umowy o świadczenie usług wszystkie dane osobowe Administratora i jego Pracowników zgromadzone w Systemie — wraz z kontami użytkowników i powiązanymi danymi grafików pracy — zostaną trwale i bezpowrotnie usunięte w ciągu 30 dni od daty zakończenia Umowy.
2. Usunięcie obejmuje:
- konta wszystkich Użytkowników (Pracowników Klienta) wraz z danymi identyfikacyjnymi,
- historyczne dane grafików pracy powiązane z kontem Klienta,
- dane z systemów produkcyjnych oraz kopii zapasowych.
3. Usunięcie danych jest nieodwracalne — po jego dokonaniu przywrócenie jakichkolwiek danych nie jest możliwe. Administrator powinien przed zakończeniem Umowy pobrać wszelkie dane, które chce zachować, korzystając z funkcji eksportu dostępnej w Systemie.
4. Po wykonaniu usunięcia Podmiot Przetwarzający prześle Administratorowi pisemne potwierdzenie na adres e-mail wskazany w Umowie.
§ 9. Odpowiedzialność
1. Podmiot Przetwarzający ponosi odpowiedzialność za szkody spowodowane przetwarzaniem danych osobowych, gdy nie wypełnił obowiązków ciążących na nim na mocy RODO lub gdy działał poza lub wbrew zgodnym z prawem poleceniom Administratora.
2. Podmiot Przetwarzający jest zwolniony z odpowiedzialności, jeżeli udowodni, że nie ponosi winy za zdarzenie będące przyczyną szkody.
§ 10. Postanowienia końcowe
1. Umowa DPA wchodzi w życie z chwilą akceptacji Regulaminu świadczenia usług przez Klienta i obowiązuje przez czas trwania Umowy o świadczenie usług.
2. Wszelkie zmiany niniejszej Umowy DPA będą komunikowane Klientom zgodnie z procedurą zmian Regulaminu świadczenia usług.
3. W sprawach nieuregulowanych zastosowanie mają przepisy RODO i Kodeksu cywilnego.
4. Właściwość sądu i prawo właściwe — zgodnie z Regulaminem świadczenia usług.
Data ostatniej aktualizacji: 16.03.2026
