🌱 Horticum ← Powrót do strony głównej

Powierzenie przetwarzania

DEENITFRESPLROBGRUUKTR
Uwaga: To tłumaczenie ma charakter wyłącznie informacyjny. Wiążącą prawnie wersją jest oryginał niemiecki.

1. Przedmiot i czas trwania

Podmiot przetwarzający (Simon Kappelmeir – Dienstleistung, Weiherbachweg 6, 82216 Maisach, Niemcy, support@horticum.com) udostępnia administratorowi oprogramowanie „Horticum" jako aplikację SaaS i przetwarza dane osobowe wyłącznie w imieniu administratora zgodnie z art. 28 RODO. Niniejsza Umowa powierzenia przetwarzania (DPA) wchodzi w życie z chwilą zawarcia umowy głównej (umowy o korzystanie z aplikacji) i kończy się automatycznie wraz z jej rozwiązaniem. Przetwarzanie odbywa się wyłącznie w UE/EOG lub w państwach trzecich objętych decyzją o adekwatności bądź na podstawie standardowych klauzul umownych (SCC).

2. Charakter i cel przetwarzania

Celem przetwarzania jest świadczenie funkcji aplikacji, w szczególności: • Planowanie grządek, planowanie upraw, zarządzanie zadaniami i planami dnia • Ewidencja czasu pracy i nieobecności pracowników • Dokumentacja ochrony roślin i nawożenia • Książka pierwszej pomocy (zgodnie z DGUV) • Zarządzanie kontaktami (klienci, dostawcy, osoby kontaktowe) • Drukowanie etykiet i list (abonament Pro+) • Synchronizacja między urządzeniami • Zarządzanie kontem i abonamentem

3. Rodzaje danych osobowych

• Dane podstawowe i komunikacyjne (imię i nazwisko, adres, telefon, e-mail) • Dane logowania/konta (e-mail, hash hasła, token sesji, adresy IP) • Dane podstawowe firmy (NIP, VAT UE, IBAN/BIC) • Dane operacyjne dotyczące planowania i sterowania • Dane dotyczące ewidencji czasu pracy i nieobecności • Szczególne kategorie zgodnie z art. 9 RODO: dane dotyczące zdrowia pracowników w cyfrowej książce pierwszej pomocy (ustawowy okres przechowywania 5 lat zgodnie z DGUV) • Dane dotyczące stosowania środków ochrony roślin (kwalifikacje, nazwiska użytkowników, zastosowania — zgodnie z § 11 PflSchG, 3 lata) • Dane dotyczące nawożenia (zgodnie z DüV)

4. Kategorie osób, których dane dotyczą

• Właściciel lub kierownictwo administratora • Pracownicy i praktykanci administratora • Klienci, dostawcy i osoby kontaktowe administratora • Klienci końcowi administratora (o ile są zapisani w zarządzaniu kontaktami)

5. Obowiązki podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się przetwarzać dane osobowe wyłącznie w ramach niniejszej umowy i zgodnie z udokumentowanymi poleceniami administratora (art. 28 ust. 3 lit. a RODO). Wszystkie osoby uczestniczące w przetwarzaniu są zobowiązane do zachowania poufności (art. 28 ust. 3 lit. b, art. 29, art. 32 ust. 4 RODO). Podmiot przetwarzający wspiera administratora w realizacji praw osób, których dane dotyczą (art. 12–22 RODO) oraz w wypełnianiu obowiązków wynikających z art. 32–36 RODO (ocena skutków, uprzednie konsultacje, zgłaszanie naruszeń). Żądania w sposób widoczny skierowane do administratora są niezwłocznie przekazywane. Osoba kontaktowa ds. ochrony danych: Simon Kappelmeir, support@horticum.com. Powołanie inspektora ochrony danych nie jest obecnie wymagane prawnie.

6. Środki techniczne i organizacyjne (TOM)

Podmiot przetwarzający wdraża wszystkie niezbędne środki techniczne i organizacyjne zgodnie z art. 32 RODO, w szczególności: • Kontrola dostępu fizycznego: hosting w certyfikowanym centrum danych w Niemczech (ISO 27001), kontrola fizyczna i monitoring 24/7 • Kontrola dostępu do systemu: uwierzytelnianie e-mail/hasło, hashe Argon2id/Bcrypt, klucz SSH dla admina, ograniczanie prób, wygasanie sesji • Kontrola dostępu do danych: rozdzielenie najemców na firmę przez zespoły Appwrite, model uprawnień oparty na rolach • Kontrola przekazywania: wyłącznie TLS 1.2+ (HTTPS), włączone HSTS • Kontrola wprowadzania: ścieżka audytu (createdAt, updatedAt) na wszystkich istotnych rekordach • Kontrola zlecenia: DPA ze wszystkimi podprzetwarzającymi • Kontrola dostępności: codzienne kopie zapasowe (przechowywanie 14 dni), monitoring, RTO/RPO < 24 h, firewall, regularne aktualizacje bezpieczeństwa • Kontrola rozdziału: oddzielne środowiska test/dev/produkcja, rozdzielenie najemców na poziomie bazy danych • Pseudonimizacja: wewnętrzne identyfikatory kont zamiast prawdziwych nazwisk w logach serwera

7. Podprzetwarzający

Zawierając niniejszą umowę, administrator udziela ogólnej zgody na korzystanie z następujących podprzetwarzających (art. 28 ust. 2 RODO): • dogado GmbH (Dortmund, DE) — hosting www/mail, proxy serwera do walidacji VIES • dogado GmbH lub porównywalny dostawca (DE) — eksploatacja serwera Appwrite w Niemczech • Stripe Payments Europe Ltd. (Dublin, IE) — przetwarzanie płatności abonamentów Pro/Pro+ (przy transferze do USA: SCC + DPF) • Apple Distribution International Ltd. (Cork, IE) — przetwarzanie płatności iOS/macOS przez In-App Purchase • fintectura GmbH / openiban.com (Berlin, DE) — walidacja IBAN • Komisja Europejska, DG TAXUD (Bruksela, BE) — kontrola VAT UE VIES • komoot GmbH (Karlsruhe, DE) — geokodowanie Photon • zippopotam.us — wyszukiwanie kodu pocztowego → miasta Podmiot przetwarzający informuje administratora w formie tekstowej co najmniej 30 dni przed zamierzoną zmianą. Administrator może sprzeciwić się w ciągu 14 dni z ważnego powodu związanego z ochroną danych. Podmiot przetwarzający odpowiada za przestrzeganie obowiązków ochrony danych przez podprzetwarzających (art. 28 ust. 4 RODO).

8. Ocena skutków dla ochrony danych i uprzednie konsultacje

Podmiot przetwarzający wspiera administratora w miarę swoich możliwości w przeprowadzeniu oceny skutków dla ochrony danych (art. 35 RODO) oraz uprzednich konsultacji z organem nadzorczym (art. 36 RODO), w szczególności poprzez dostarczenie niezbędnych informacji o operacjach przetwarzania, TOM i podprzetwarzających.

9. Zgłaszanie naruszeń ochrony danych

Naruszenia ochrony danych są zgłaszane administratorowi niezwłocznie, najpóźniej w ciągu 48 godzin od ich stwierdzenia, e-mailem na podany adres kontaktowy — tak, aby administrator mógł dotrzymać swojego 72-godzinnego terminu z art. 33 RODO. Zgłoszenie zawiera charakter i zakres naruszenia, kategorie danych i przybliżoną liczbę osób, których dane dotyczą, prawdopodobne konsekwencje oraz podjęte lub proponowane środki.

10. Zakończenie przetwarzania

Po zakończeniu umowy głównej podmiot przetwarzający usuwa wszystkie dane osobowe administratora w ciągu 30 dni, chyba że istnieje ustawowy obowiązek przechowywania. Na żądanie administratora dane są wcześniej udostępniane w formacie nadającym się do odczytu maszynowego (eksport JSON). Dane podlegające ustawowemu obowiązkowi przechowywania (wpisy pierwszej pomocy: 5 lat wg DGUV; dane ochrony roślin: 3 lata wg PflSchG) są przechowywane zablokowane do upływu terminu, a następnie usuwane. Usunięcie potwierdzane jest na żądanie pisemnie.

11. Dowody i audyt

Administrator może sprawdzić przestrzeganie niniejszej umowy przez podmiot przetwarzający (art. 28 ust. 3 lit. h RODO). Weryfikacja odbywa się przede wszystkim przez żądanie aktualnych dowodów (koncepcja ochrony danych, TOM, lista podprzetwarzających, raporty audytu). Kontrole na miejscu są możliwe raz w roku w normalnych godzinach pracy po uprzednim ustaleniu terminu z co najmniej 4-tygodniowym wyprzedzeniem. Koszty asysty są zwracane według uprzednio uzgodnionej stawki godzinowej.

12. Postanowienia końcowe

Zmiany i uzupełnienia niniejszej umowy wymagają formy tekstowej; dotyczy to również zniesienia tej klauzuli. Jeśli poszczególne postanowienia są nieważne, skuteczność pozostałych postanowień pozostaje nienaruszona. Nieważne postanowienie zostanie zastąpione postanowieniem ważnym, najbliżej odpowiadającym celowi gospodarczemu. Obowiązuje prawo niemieckie. Sądem właściwym jest — o ile prawo to dopuszcza — Maisach (siedziba podmiotu przetwarzającego). Odpowiedzialność reguluje art. 82 RODO, a w pozostałym zakresie umowa główna.