Rakomi

Umowa Powierzenia Przetwarzania Danych Osobowych

Podsumowanie

Data wejścia w życie: 2026-03-20 Wersja: 7

1. Definicje

Termin Znaczenie
Administrator Klient — osoba fizyczna lub prawna, która określa cele i sposoby przetwarzania danych osobowych Użytkowników końcowych
Podmiot przetwarzający CRE8EVE Sp. z o.o. — przetwarzający dane osobowe Użytkowników końcowych w imieniu Administratora
Dane osobowe Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przetwarzane za pośrednictwem platformy Rakomi
Przetwarzanie Każda operacja wykonywana na Danych osobowych (zbieranie, przechowywanie, odczytywanie, wykorzystywanie, ujawnianie, usuwanie)
Podwykonawca przetwarzania Podmiot trzeci zaangażowany przez Podmiot przetwarzający do przetwarzania Danych osobowych w imieniu Administratora
Osoba, której dane dotyczą Użytkownicy końcowi aplikacji Administratora, którzy uwierzytelniają się za pośrednictwem Rakomi
Umowa główna Regulamin regulujący korzystanie z Rakomi przez Administratora
Organ nadzorczy Właściwy organ ochrony danych, w szczególności Prezes Urzędu Ochrony Danych Osobowych (UODO)

2. Przedmiot, czas trwania i charakter przetwarzania

Zgodnie z art. 28 ust. 3 RODO:

3. Obowiązki Administratora

Administrator zobowiązuje się:

  1. Zapewnić posiadanie podstawy prawnej przetwarzania Danych osobowych oraz powierzenia przetwarzania CRE8EVE.
  2. Udostępnić swoim Użytkownikom końcowym własną politykę prywatności zgodną z art. 13/14 RODO.
  3. Odpowiadać na żądania podmiotów danych ze strony swoich Użytkowników końcowych (z pomocą CRE8EVE zgodnie z Sekcją 11).
  4. Powiadomić CRE8EVE o wszelkich ograniczeniach lub szczególnych wymogach dotyczących przetwarzania.
  5. Zapewnić, że dostęp do panelu Rakomi i kluczy API mają wyłącznie upoważnione osoby.
  6. Oświadczyć i zagwarantować, że dane Użytkowników końcowych nie obejmują danych szczególnych kategorii z art. 9 (Sekcja 9.1).
  7. Oświadczyć zapewnienie zgodności z wymogami weryfikacji wieku Użytkowników końcowych.

Synchronizacja katalogów korporacyjnych (SCIM)ma zastosowanie, gdy Administrator włączy synchronizację katalogów korporacyjnych:

  1. Oświadczyć i zagwarantować posiadanie podstawy prawnej (art. 6 RODO) do przekazywania danych osobowych pracowników Podmiotowi przetwarzającemu poprzez synchronizację katalogów korporacyjnych — w szczególności art. 6 ust. 1 lit. b (wykonanie umowy o pracę) lub art. 6 ust. 1 lit. f (prawnie uzasadniony interes w zakresie bezpieczeństwa IT i zarządzania dostępem). Zgoda pracownika nie stanowi ważnej podstawy dla provisioningu inicjowanego przez pracodawcę ze względu na nierównowagę stron w stosunku pracy.
  2. Oświadczyć i zagwarantować, że dane przekazywane poprzez synchronizację katalogów korporacyjnych nie obejmują danych szczególnych kategorii z art. 9. W przypadku wykrycia danych z art. 9 w magazynie provisioningu, Administrator ponosi odpowiedzialność i zobowiązany jest poinstruować Podmiot przetwarzający w zakresie środków zaradczych w ciągu 72 godzin od powiadomienia (zob. Sekcja 9.1).
  3. Poinformować pracowników provisionowanych przez SCIM o przetwarzaniu w ciągu 30 dni od provisioningu zgodnie z art. 14 ust. 3 lit. a RODO. Podmiot przetwarzający zapewnia komunikat przejrzystości przy pierwszym logowaniu jako pomoc techniczną na podstawie art. 28 ust. 3 lit. e, jednak to Administrator ponosi ostateczną odpowiedzialność za zgodność z art. 14.
  4. Dokonywać rotacji poświadczeń serwisowych synchronizacji katalogów korporacyjnych zgodnie z przypomnieniami o rotacji dostarczanymi przez Podmiot przetwarzający. Brak rotacji poświadczeń skutkujący awarią synchronizacji i utrzymaniem dostępu przez zwolnionych pracowników stanowi incydent bezpieczeństwa po stronie Administratora.
  5. Powiadamiać Podmiot przetwarzający o przejęciach, fuzjach lub zmianach podmiotowych wpływających na tożsamość Administratora w ramach niniejszej UPD. Przeniesienie połączenia synchronizacji katalogów korporacyjnych wymaga akceptacji niniejszej UPD przez podmiot przejmujący.
  6. Zapewnić zgodność z obowiązującym krajowym prawem pracy przed wdrożeniem synchronizacji katalogów korporacyjnych — w szczególności jurysdykcje z prawem współdecydowania pracowników (takie jak wymogi konsultacji z radą zakładową) mogą wymagać uprzedniego zatwierdzenia wdrożenia systemów zarządzania tożsamością. Podmiot przetwarzający zapewnia dokumentację pomocy technicznej, lecz nie jest w stanie ocenić krajowych zobowiązań Administratora wynikających z prawa pracy.
  7. Zapewnić zgodność z obowiązkami przejrzystości z art. 14 RODO wobec wszystkich użytkowników provisionowanych przez synchronizację katalogów korporacyjnych, którzy uwierzytelniają się wyłącznie przez API/SDK i nigdy nie korzystają z hostowanego interfejsu Podmiotu przetwarzającego — komunikat przejrzystości Podmiotu przetwarzającego przy pierwszym logowaniu nie dociera do tych użytkowników.

4. Obowiązki Podmiotu przetwarzającego

4.1 Przetwarzanie na podstawie instrukcji — art. 28 ust. 3 lit. a

CRE8EVE przetwarza Dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym w odniesieniu do przekazywania danych do państw trzecich. Polecenia te są udokumentowane poprzez: (a) niniejszą UPD, (b) Umowę główną, (c) konfigurację funkcji Rakomi przez Administratora (np. włączenie Google OAuth), (d) wywołania API dokonywane przez Administratora.

Jeśli CRE8EVE jest zobowiązane na mocy prawa UE lub państwa członkowskiego do przetwarzania Danych osobowych wykraczającego poza instrukcje Administratora, CRE8EVE poinformuje Administratora o tym wymogu prawnym przed rozpoczęciem przetwarzania, chyba że prawo zabrania przekazania takiej informacji.

4.2 Poufność — art. 28 ust. 3 lit. b

CRE8EVE zapewnia, że wszystkie osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi poufności.

4.3 Środki bezpieczeństwa — art. 28 ust. 3 lit. c

CRE8EVE wdraża odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku, zgodnie z art. 32 RODO. Środki te są szczegółowo opisane w Załączniku 2 i obejmują:

4.4 Podwykonawcy przetwarzania — art. 28 ust. 3 lit. d / art. 28 ust. 2

CRE8EVE angażuje Podwykonawców przetwarzania w ramach modelu ogólnego upoważnienia zgodnie z art. 28 ust. 2.

Powiadomienie: CRE8EVE powiadomi Administratora drogą e-mailową z co najmniej 30-dniowym wyprzedzeniem o wszelkich planowanych zmianach Podwykonawców (dodanie lub zastąpienie).

Sprzeciw: Administrator ma 14 dni od powiadomienia na wniesienie sprzeciwu. W przypadku sprzeciwu CRE8EVE dołoży starań, aby świadczyć usługę bez kwestionowanego Podwykonawcy lub zaproponować alternatywę. Jeśli nie uda się osiągnąć porozumienia, Administrator może rozwiązać Umowę główną.

Kaskadowe zobowiązania: CRE8EVE nakłada na każdego Podwykonawcę te same obowiązki ochrony danych, jakie wynikają z niniejszej UPD, zgodnie z art. 28 ust. 4.

Aktualna lista Podwykonawców znajduje się w Załączniku 3 i jest publicznie dostępna na stronie UPD zgodnie z Opinią EDPB 22/2024.

4.5 Pomoc przy żądaniach podmiotów danych — art. 28 ust. 3 lit. e

CRE8EVE pomaga Administratorowi w odpowiadaniu na żądania osób, których dane dotyczą, na podstawie art. 15-22 RODO, uwzględniając charakter przetwarzania.

4.6 Pomoc przy DPIA — art. 28 ust. 3 lit. f

CRE8EVE pomaga Administratorowi w przeprowadzaniu ocen skutków dla ochrony danych (art. 35) i uprzednich konsultacji z organami nadzorczymi (art. 36).

4.7 Usuwanie i zwrot — art. 28 ust. 3 lit. g

Po rozwiązaniu Umowy głównej:

  1. Zwrot danych: Administrator może wyeksportować dane za pośrednictwem funkcji eksportu w panelu (format CSV) lub API przed usunięciem konta.
  2. Okres karencji: Po usunięciu konta obowiązuje 7-dniowy okres karencji na odzyskanie. (Uwaga: zostanie wydłużony w celu spełnienia wymogów art. 25 ust. 2 lit. g Aktu o Danych UE — minimum 30 dni.)
  3. Trwałe usunięcie: Po upływie okresu karencji wszystkie Dane osobowe są trwale usuwane w ciągu 30 dni.
  4. Czyszczenie kopii zapasowych: Kopie zapasowe usuwane w cyklu 7-dniowej rotacji.
  5. Zaświadczenie o usunięciu: CRE8EVE wydaje zaświadczenie o usunięciu, uczciwie ograniczone do danych w bezpośredniej kontroli CRE8EVE.

Kaskada usuwania u podwykonawców (art. 17 ust. 2): Przy usunięciu CRE8EVE podejmuje uzasadnione kroki, aby poinformować Podwykonawców (w szczególności Brevo, które może przechowywać adresy IP, user agenty i nazwy tenantów w logach e-maili transakcyjnych) o konieczności usunięcia Danych osobowych Administratora.

Według wyboru Administratora CRE8EVE usunie lub zwróci wszystkie Dane osobowe i usunie istniejące kopie, chyba że prawo UE lub państwa członkowskiego nakazuje przechowywanie.

4.8 Audyt — art. 28 ust. 3 lit. h

CRE8EVE udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami z art. 28 oraz umożliwia przeprowadzanie audytów, w tym inspekcji, przez Administratora lub upoważnionego przez niego audytora.

Dwupoziomowy model audytu:

  1. Pasywny (roczny): CRE8EVE nieodpłatnie udostępnia roczne podsumowanie certyfikacji bezpieczeństwa, w tym dokumentację zgodności i pakiet audytu zgodności (Story 7.3).
  2. Aktywny (na żądanie): Inspekcje na miejscu lub zdalne dostępne na następujących warunkach:
    • 30 dni pisemnego wyprzedzenia.
    • Audytor musi podpisać umowę o poufności.
    • Preferowany audyt zdalny z wykorzystaniem pakietu audytu zgodności.
    • Audyt na miejscu na uzasadnionych warunkach.
    • Koszty audytu ponosi Administrator.
    • Maksymalnie 1 audyt rocznie, chyba że wystąpiło naruszenie ochrony danych lub incydent bezpieczeństwa.
    • Gdy będzie dostępny, raport SOC 2 Type II może spełnić wymóg aktywnego audytu.

CRE8EVE niezwłocznie poinformuje Administratora, jeśli uzna, że instrukcja Administratora narusza RODO lub inne przepisy o ochronie danych UE/państwa członkowskiego.

5. Przetwarzanie jako Niezależny Administrator

CRE8EVE pełni również rolę Niezależnego Administratora w zakresie operacji bezpieczeństwa platformy, w szczególności wykrywania credential stuffing (korelacja IP między tenantami). To przetwarzanie:

Pełne ujawnienie tego przetwarzania jako Niezależnego Administratora, w tym trzyczęściowy test prawnie uzasadnionego interesu, znajduje się w Polityce Prywatności Sekcje 4.3 i 8.2.

Przetwarzanie w ramach synchronizacji katalogów korporacyjnych (SCIM) odbywa się wyłącznie w roli Podmiotu przetwarzającego na podstawie art. 28. Żadne dane z synchronizacji katalogów korporacyjnych nie są przetwarzane w roli Niezależnego Administratora.

6. Powiadomienie o naruszeniu

W przypadku naruszenia ochrony Danych osobowych Administratora:

  1. CRE8EVE powiadamia Administratora bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od powzięcia wiadomości o naruszeniu.
  2. Powiadomienie obejmuje, w dostępnym zakresie: (a) charakter naruszenia, (b) kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rekordów, (c) prawdopodobne konsekwencje, (d) podjęte lub proponowane środki zaradcze.
  3. CRE8EVE pomaga Administratorowi w wypełnieniu obowiązków z art. 33 (powiadomienie organu nadzorczego w ciągu 72 godzin) i art. 34 (powiadomienie osób, których dane dotyczą, w przypadku wysokiego ryzyka).
  4. Scenariusze naruszenia dotyczące synchronizacji katalogów korporacyjnych (ma zastosowanie, gdy Administrator włączy synchronizację katalogów korporacyjnych): kompromitacja poświadczeń serwisowych, nieautoryzowane operacje provisioningu lub deprovisioningu oraz wykrycie danych szczególnych kategorii z art. 9 w magazynie provisioningu są klasyfikowane jako kategorie naruszeń podlegające niniejszemu obowiązkowi powiadomienia. Podmiot przetwarzający utrzymuje wewnętrzne procedury reagowania na incydenty dotyczące kompromitacji poświadczeń serwisowych, w tym zautomatyzowane środki wykrywania i ograniczania skutków.
  5. Pomoc w ramach DORA Art. 19 (ma zastosowanie wobec Administratorów podlegających Rozporządzeniu o Cyfrowej Odporności Operacyjnej): Podmiot przetwarzający zapewni ustrukturyzowane dane o incydencie (liczba dotkniętych użytkowników, oś czasu, środki ograniczające) w celu pomocy Administratorowi w wypełnieniu obowiązków raportowania incydentów ICT na podstawie art. 19 DORA.

7. Przekazywanie danych do państw trzecich

Zasadnicze przetwarzanie odbywa się na terenie Unii Europejskiej (Hetzner, Niemcy; Brevo, Francja).

Przekazanie do Google LLC (USA): Następuje wyłącznie, gdy Administrator włączy federację Google OAuth. Przekazanie opiera się na decyzji stwierdzającej odpowiedni stopień ochrony EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie.

Klauzula awaryjna DPF: W przypadku unieważnienia decyzji o adekwatności DPF, przekazywanie do Google LLC będzie kontynuowane na podstawie Standardowych Klauzul Umownych (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) zgodnie z Decyzją Wykonawczą Komisji (UE) 2021/914, już obowiązujących jako mechanizm uzupełniający.

Przekazanie do GitHub, Inc. (USA): Następuje wyłącznie, gdy Administrator włączy federację GitHub OAuth. GitHub, Inc. uczestniczy w EU-US Data Privacy Framework jako spółka zależna Microsoft Corporation. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie.

Przekazanie do Microsoft Corporation (USA): Następuje wyłącznie, gdy Administrator włączy federację Microsoft OAuth lub LinkedIn OAuth. Microsoft Corporation jest bezpośrednim uczestnikiem EU-US Data Privacy Framework. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie, z Standardowymi Klauzulami Umownymi (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) jako zabezpieczeniem awaryjnym.

Przekazanie do Apple Inc. (USA): Następuje wyłącznie, gdy Administrator włączy federację Apple Sign In. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie.

Przekazanie do Discord, Inc. (USA): Następuje wyłącznie, gdy Administrator włączy federację Discord OAuth. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie, pod warunkiem potwierdzenia aktualnego uczestnictwa Discord, Inc. w DPF. W przypadku braku potwierdzenia statusu DPF, zastosowanie mają Standardowe Klauzule Umowne (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) jako mechanizm przekazania.

Przekazanie do Meta Platforms, Inc. (USA): Następuje wyłącznie, gdy Administrator włączy federację Facebook OAuth. Meta Platforms, Inc. uczestniczy w EU-US Data Privacy Framework. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie, z Standardowymi Klauzulami Umownymi (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) jako zabezpieczeniem awaryjnym.

Przekazanie do Salesforce, Inc. / Slack Technologies (USA): Następuje wyłącznie, gdy Administrator włączy federację Slack OAuth. Salesforce, Inc. uczestniczy w EU-US Data Privacy Framework. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie.

Przekazanie do X Corp. (USA): Następuje wyłącznie, gdy Administrator włączy federację X (Twitter) OAuth. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie, pod warunkiem potwierdzenia aktualnego uczestnictwa X Corp. w DPF. W przypadku braku potwierdzenia statusu DPF, zastosowanie mają Standardowe Klauzule Umowne (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) jako mechanizm przekazania.

Przekazanie do GitLab Inc. (USA): Następuje wyłącznie, gdy Administrator włączy federację GitLab OAuth. GitLab Inc. uczestniczy w EU-US Data Privacy Framework. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie.

Przekazywanie do Stripe, Inc. (USA + Irlandia): Ma miejsce gdy Administrator aktywuje płatną subskrypcję. Dane zarządzania subskrypcją są przetwarzane przez Stripe, Inc. Przepływy płatności UE są przetwarzane przez Stripe Technology Europe, Ltd (Irlandia). Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony EU-US Data Privacy Framework (DPF) jako głównym mechanizmie, z Standardowymi Klauzulami Umownymi (SKU) Moduł 2 (Administrator — Podmiot przetwarzający) jako zabezpieczeniem awaryjnym.

Żadne inne międzynarodowe przekazywanie Danych osobowych nie ma miejsca. CRE8EVE nie przekaże Danych osobowych do państwa trzeciego ani organizacji międzynarodowej bez uprzedniej zgody Administratora i odpowiednich zabezpieczeń.

8. Środki uzupełniające

Zgodnie z najlepszymi praktykami po wyroku Schrems II:

  1. Brak tylnych furtek: CRE8EVE nie wprowadza celowo tworzonych tylnych furtek, pułapek ani podobnych mechanizmów w swojej infrastrukturze lub oprogramowaniu.
  2. Żądania organów władzy: CRE8EVE posiada procedury obsługi żądań dostępu do danych ze strony organów władzy publicznej, obejmujące: (a) ocenę legalności żądań na gruncie prawa UE, (b) kwestionowanie nieproporcjonalnych lub niezgodnych z prawem żądań, (c) powiadamianie Administratora o żądaniach, chyba że prawo tego zabrania.
  3. Przejrzystość: CRE8EVE zobowiązuje się do raportowania przejrzystości dotyczącego żądań organów władzy. Do dnia dzisiejszego nie otrzymano żadnych takich żądań.

9. Dane zabronione

9.1 Dane szczególnych kategorii z art. 9

Administrator nie może przesyłać danych szczególnych kategorii (art. 9 RODO) za pośrednictwem platformy Rakomi. Obejmuje to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu identyfikacji, dane dotyczące zdrowia, życia seksualnego lub orientacji seksualnej. Rakomi przetwarza wyłącznie dane uwierzytelniające — dane z art. 9 nie są oczekiwane ani dozwolone.

9.2 Zakaz AI/ML

CRE8EVE nie będzie wykorzystywać Danych osobowych Administratora do trenowania modeli AI/ML, dostrajania, analityki ani ulepszania. Dotyczy to wszystkich danych przetwarzanych na podstawie niniejszej UPD.

10. Odpowiedzialność

10.1 Zakres odpowiedzialności Podmiotu przetwarzającego — art. 82 ust. 2

CRE8EVE ponosi odpowiedzialność za szkody spowodowane przetwarzaniem wyłącznie wtedy, gdy nie spełniło obowiązków RODO skierowanych konkretnie do podmiotów przetwarzających lub gdy działało poza zakresem zgodnych z prawem instrukcji Administratora lub wbrew nim.

10.2 Zwolnienie — art. 82 ust. 3

CRE8EVE jest zwolnione z odpowiedzialności, jeśli wykaże, że w żaden sposób nie jest odpowiedzialne za zdarzenie powodujące szkodę.

10.3 Odpowiedzialność solidarna — art. 82 ust. 4

W przypadku gdy CRE8EVE i Administrator uczestniczą w tym samym przetwarzaniu powodującym szkodę, każdy z nich może ponosić odpowiedzialność za całość szkody w celu zapewnienia skutecznego odszkodowania dla osoby, której dane dotyczą. Odpowiedzialność solidarna nie podlega wyłączeniu umownemu.

10.4 Prawo regresu — art. 82 ust. 5

W przypadku gdy CRE8EVE zapłaciło pełne odszkodowanie za szkodę, przysługuje mu prawo dochodzenia od Administratora tej części odszkodowania, która odpowiada części odpowiedzialności Administratora za szkodę. I odwrotnie.

Strony współpracują w dobrej wierze w sprawach roszczeń związanych z naruszeniami, w tym w zakresie wzajemnych obowiązków powiadamiania po otrzymaniu roszczenia odszkodowawczego od osoby, której dane dotyczą.

11. Zmiana statusu Podmiotu przetwarzającego — art. 28 ust. 10

Jeśli CRE8EVE przetwarza Dane osobowe z naruszeniem niniejszej UPD, określając cele i sposoby przetwarzania, CRE8EVE uznawane jest za Administratora w odniesieniu do tego przetwarzania i podlega obowiązkom Administratora na gruncie RODO.

12. Akceptacja i forma

Niniejsza UPD zostaje zaakceptowana z chwilą utworzenia konta Rakomi przez Administratora i akceptacji Umowy głównej, co stanowi formę pisemną zgodnie z art. 28 ust. 9 RODO (forma elektroniczna jest wystarczająca).

W celu uzyskania UPD specyficznej dla Twojego tenanta z aktualną listą podwykonawców i czynnościami przetwarzania, skorzystaj z UPD w panelu lub przez endpoint API GET /v1/compliance/dpa.

Bardziej wyraźny mechanizm akceptacji (akceptacja UPD za pomocą pola wyboru podczas onboardingu w panelu) jest planowany jako przyszłe usprawnienie.

13. Okres obowiązywania i rozwiązanie

Niniejsza UPD obowiązuje przez czas trwania Umowy głównej. Po rozwiązaniu:

Postanowienia, które ze swej natury przetrwają rozwiązanie (poufność, odpowiedzialność, postępowanie z danymi po rozwiązaniu), pozostają w mocy.

14. Dobrowolna zgodność z NIS2

CRE8EVE jest obecnie poniżej progu wielkościowego NIS2 (Dyrektywa (UE) 2022/2555; polska transpozycja KSC obowiązująca od 2 kwietnia 2026 r.). NIS2 nie ma bezpośredniego zastosowania. CRE8EVE dobrowolnie dostosowuje jednak swoje środki bezpieczeństwa do wymogów art. 21 NIS2 jako zobowiązanie w zakresie bezpieczeństwa łańcucha dostaw wobec Administratorów będących podmiotami regulowanymi przez NIS2.

Zmiany w niniejszej umowie

O zmianach niniejszej UPD poinformujemy drogą e-mailową z co najmniej 30-dniowym wyprzedzeniem. Istotne zmiany zakresu przetwarzania, środków bezpieczeństwa lub warunków podwykonawstwa wymagają akceptacji Administratora. Dla uniknięcia wątpliwości, zmiany środków bezpieczeństwa w Załączniku 2 — w tym dodanie zabezpieczeń dla nowych czynności przetwarzania, takich jak synchronizacja katalogów korporacyjnych — stanowią zmiany istotne podlegające wymogowi powiadomienia.

Poprzednie wersje są dostępne na życzenie pod adresem dpo@rakomi.com.

Rejestr zmian v7 (2026-04-04): Dodano synchronizację katalogów korporacyjnych (SCIM 2.0) jako nową czynność przetwarzania w Sekcji 2 (kategoria Przetwarzanie inicjowane przez dostawcę tożsamości). Dodano obowiązki Administratora dotyczące provisioningu korporacyjnego (Sekcja 3, punkty 8-14). Dodano scenariusze naruszeń synchronizacji katalogów korporacyjnych w Sekcji 6. Dodano środki bezpieczeństwa SCIM w Załączniku 2. Dodano unieważnienie poświadczeń serwisowych po rozwiązaniu umowy w Sekcji 13. Doprecyzowano zakres Sekcji 5 (Niezależny Administrator) wykluczający SCIM. Dodano oświadczenie o braku dodatkowych Podwykonawców dla przetwarzania SCIM w Załączniku 3. Rozszerzono opis przetwarzania w Załączniku 1 o kategorie danych provisioningu korporacyjnego. Wszystkie dodatki dotyczące SCIM mają zastosowanie warunkowo, gdy Administrator włączy synchronizację katalogów korporacyjnych.

Załącznik 1: Opis przetwarzania

A. Przetwarzanie inicjowane przez użytkownika

Element Opis
Przedmiot Usługi uwierzytelniania dla Użytkowników końcowych Administratora
Czas trwania Okres obowiązywania Umowy głównej
Charakter Zautomatyzowane przetwarzanie: przechowywanie, odczytywanie, pseudonimizacja, usuwanie
Cel Rejestracja użytkowników, uwierzytelnianie, zarządzanie sesjami, autoryzacja OAuth, federacja logowania społecznościowego, rejestrowanie zdarzeń audytowych, dostarczanie webhooków, eksport danych, raportowanie zgodności, zarządzanie subskrypcjami, koordynacja przetwarzania płatności, personalizacja interfejsu najemcy
Rodzaj Danych osobowych E-mail, hash hasła (algorytm odporny na pamięć), kryptograficzny hash IP, kryptograficzny hash UA, identyfikatory OAuth (dostawca, sub, email), dane sesji, zdarzenia uwierzytelniania, kody autoryzacyjne, znaczniki czasu, identyfikatory planów subskrypcyjnych, status rozliczeniowy, identyfikatory klientów procesora płatności, zasoby brandingowe najemcy (obrazy logo, preferencje kolorów)
Kategorie osób Użytkownicy końcowi aplikacji Administratora, którzy tworzą konta lub uwierzytelniają się za pośrednictwem Rakomi
Obowiązki Administratora Podstawa prawna, polityka prywatności dla Użytkowników końcowych (art. 13), odpowiadanie na żądania podmiotów danych, zarządzanie dostępem
Obowiązki Podmiotu przetwarzającego Przetwarzanie zgodnie z instrukcjami, środki bezpieczeństwa, poufność, powiadomienie o naruszeniu, wsparcie audytowe, usunięcie/zwrot

B. Przetwarzanie inicjowane przez dostawcę tożsamości (ma zastosowanie, gdy Administrator włączy synchronizację katalogów korporacyjnych)

Element Opis
Przedmiot Synchronizacja katalogów korporacyjnych dla pracowników/członków organizacji Administratora
Czas trwania Okres obowiązywania Umowy głównej i aktywnego połączenia synchronizacji katalogów korporacyjnych
Charakter Zautomatyzowane przetwarzanie: odbiór danych od dostawcy tożsamości Administratora, przechowywanie, odczytywanie, synchronizacja, deprovisioning, usuwanie
Cel Synchronizacja katalogów korporacyjnych (provisioning i deprovisioning SCIM 2.0), zarządzanie cyklem życia tożsamości, kontrola dostępu przez mapowanie grup na role, rejestrowanie audytowe operacji
Rodzaj Danych osobowych Adresy e-mail, identyfikatory zewnętrzne, nazwy wyświetlane, atrybuty profilu użytkownika skonfigurowane przez Administratora (np. dział, numer pracownika, centrum kosztów, przełożony), dane o przynależności organizacyjnej, przynależność do grup, status konta, zapisy audytowe operacji, rozszerzone przechowywanie atrybutów
Kategorie osób Pracownicy, zleceniobiorcy lub członkowie organizacji Administratora provisionowani poprzez synchronizację katalogów korporacyjnych
Obowiązki Administratora Podstawa prawna (art. 6 ust. 1 lit. b lub f), przejrzystość art. 14 wobec provisionowanych pracowników w ciągu 30 dni, gwarancja zakazu art. 9, rotacja poświadczeń serwisowych, zgodność z krajowym prawem pracy (Sekcja 3, punkty 8-14)
Obowiązki Podmiotu przetwarzającego Przetwarzanie zgodnie z instrukcjami, wielopoziomowa izolacja najemców, bezpieczeństwo poświadczeń serwisowych, zapisy audytowe operacji (retencja 30 dni), zarządzanie cyklem deprovisioningu, powiadomienie o naruszeniu, pomoc techniczna art. 28 ust. 3 lit. e (komunikat przejrzystości przy pierwszym logowaniu)

Załącznik 2: Środki bezpieczeństwa

Poniższe środki techniczne i organizacyjne są wdrożone zgodnie z art. 32 RODO:

Szyfrowanie

Środek Implementacja Odniesienie do standardu
Szyfrowanie w spoczynku (klucze podpisujące) Szyfrowanie uwierzytelnione BSI TR-02102-1 (2026-01)
Szyfrowanie w spoczynku (baza danych) Szyfrowanie dysku przez infrastrukturę hostingową
Szyfrowanie w transmisji Szyfrowanie TLS BSI TR-02102-1 (2026-01)
Podpisywanie JWT Asymetryczne podpisywanie kryptograficzne BSI TR-02102-1, NIST SP 800-131A

Uwierzytelnianie i kontrola dostępu

Środek Implementacja Odniesienie do standardu
Hashowanie haseł Algorytm odporny na pamięć zgodny ze standardem branżowym NIST SP 800-63B-4 (2025)
Zarządzanie sesjami Sesje po stronie serwera, ciasteczka HTTP-only Secure, SameSite=Lax OWASP ASVS 4.0 L2
Ochrona CSRF Atrybut SameSite ciasteczka + uwierzytelnianie API oparte na tokenach OWASP ASVS 4.0 L2
Kontrola dostępu oparta na rolach Role Owner/Member, uprawnienia kluczy API
OAuth PKCE S256 obowiązkowe, plain odrzucane RFC 7636

Izolacja danych i integralność

Środek Implementacja
Izolacja multi-tenant Izolacja na poziomie bazy danych + kontrole na poziomie aplikacji + automatyczne testy cross-tenant
Pseudonimizacja Kluczowane hashowanie kryptograficzne adresów IP i user agentów (Wytyczne EDPB 01/2025)
TTL kodów autoryzacyjnych 10 minut funkcjonalnego czasu życia

Bezpieczeństwo sieci

Środek Implementacja
Ograniczanie szybkości Per-endpoint, per-IP z progresywnym opóźnieniem
Wykrywanie credential stuffing Korelacja IP między tenantami (w pamięci operacyjnej, okno 1h)
Ochrona SSRF webhooków Blokowanie prywatnych IP, wyłącznie HTTPS, brak przekierowań
Sanityzacja błędów Brak śladów stosu, ścieżek plików, wewnętrznych IP czy wersji zależności w odpowiedziach

Bezpieczeństwo operacyjne

Środek Implementacja
Zarządzanie sekretami Dedykowany sejf sekretów — sekrety nigdy na dysku
Logowanie audytowe Strukturalne logowanie JSON
Rotacja kluczy Okresowa rotacja kluczy JWT z zerowym przestojem
Kaskada powiadomień o naruszeniu 24h do Administratorów, 72h do UODO
Rotacja kopii zapasowych Cykl 7-dniowy

Bezpieczeństwo synchronizacji katalogów korporacyjnych (SCIM) (ma zastosowanie, gdy Administrator włączy synchronizację katalogów korporacyjnych)

Środek Implementacja Odniesienie do standardu
Bezpieczeństwo poświadczeń serwisowych Długoterminowe poświadczenie serwisowe z hashowaniem odpornym na pamięć i wieloetapową walidacją NIST SP 800-63B-4, RFC 6819 §4.6.2
Izolacja najemców per połączenie Każde połączenie synchronizacji katalogów korporacyjnych jest kryptograficznie ograniczone do jednego najemcy SOC 2 CC6.1
Zapisy audytowe operacji Niezmienne zapisy typu append-only wszystkich operacji provisioningu SOC 2 CC6.2, wzorzec provisioningu Microsoft Entra
Automatyczny bezpiecznik Zabezpieczenie przed masową dezaktywacją — operacje dotykające nieproporcjonalnej liczby provisionowanych użytkowników wymagają ręcznego potwierdzenia SOC 2 CC7.2
Zabezpieczenie eskalacji ról Przypisanie ról uprzywilejowanych przez synchronizację katalogów wymaga domyślnie jawnego zatwierdzenia przez administratora najemcy ISO 27001 A.8.2
Konfigurowalna kontrola atrybutów provisioningu Administrator może ograniczyć, które atrybuty tożsamości są akceptowane od dostawcy tożsamości, wspierając art. 25 RODO (ochrona danych w fazie projektowania) i minimalizację danych Wytyczne EDPB 4/2019
Monitorowanie aktywności poświadczeń serwisowych Alert w panelu, gdy poświadczenia serwisowe nie były używane przez ponad 24 godziny, wskazujący na potencjalną awarię synchronizacji i ryzyko osieroconych kont CSA IAM-07, ISO 27001 A.5.16
Natychmiastowe unieważnienie sesji przy deprovisioningu Dezaktywacja użytkownika przez synchronizację katalogów natychmiast unieważnia wszystkie aktywne sesje i tokeny odświeżania SOC 2 CC6.3, NIST SP 800-63B §5.1.1
Zakaz danych z art. 9 Synchronizacja katalogów korporacyjnych nie przetwarza danych szczególnych kategorii; gwarancja Administratora zgodnie z Sekcją 3 punkt 9 RODO art. 9

Benchmark bezpieczeństwa aplikacji

CRE8EVE jest zgodne z OWASP ASVS 4.0 Poziom 2 (standardowa weryfikacja bezpieczeństwa aplikacji).

Załącznik 3: Lista Podwykonawców przetwarzania

Aktualna na dzień 2026-04-04. Publicznie dostępna zgodnie z Opinią EDPB 22/2024.

Podwykonawca Usługa Kategorie danych Lokalizacja UE/Poza UE Certyfikaty UPD
Hetzner Online GmbH Hosting infrastruktury i bazy danych Wszystkie Dane osobowe Niemcy UE ISO 27001, BSI C5 Type 2, EMAS UPD Hetzner
Brevo (Sendinblue SAS) E-mail transakcyjny Adresy e-mail, adresy IP, user agenty, nazwy tenantów (w treści HTML e-maili) Francja UE ISO 27001:2022 UPD Brevo
Google LLC Federacja OAuth (warunkowo) Adres e-mail, identyfikator podmiotu USA Poza UE (DPF + SKU) SOC 2, ISO 27001/27017/27018 UPD Google
GitHub, Inc. (spółka zależna Microsoft Corporation) Federacja OAuth (warunkowo) Adres e-mail, identyfikator podmiotu USA Poza UE (DPF) SOC 2 Type II, ISO 27001 UPD GitHub
Microsoft Corporation Federacja OAuth (warunkowo) — Microsoft + LinkedIn Adres e-mail, identyfikator uwierzytelniania (identyfikator obiektu), identyfikator tenanta (metadane forensyczne) USA Poza UE (DPF + SKU) ISO 27001, SOC 2 Type II, DPF UPD Microsoft
Apple Inc. Federacja OAuth (warunkowo) Adres e-mail, identyfikator podmiotu USA Poza UE (DPF) UPD Apple Business
Discord, Inc. Federacja OAuth (warunkowo) Adres e-mail, identyfikator podmiotu USA Poza UE (DPF, weryfikacja w toku; SKU awaryjnie)
Meta Platforms, Inc. Federacja OAuth (warunkowo) Adres e-mail (gdy udostępniony), identyfikator podmiotu USA Poza UE (DPF + SKU) ISO 27001, SOC 2 UPD Meta
Salesforce, Inc. / Slack Technologies Federacja OAuth (warunkowo) Adres e-mail, identyfikator podmiotu, identyfikator przestrzeni roboczej USA Poza UE (DPF) ISO 27001, SOC 2 Type II UPD Slack
X Corp. Federacja OAuth (warunkowo) Adres e-mail, identyfikator podmiotu USA Poza UE (DPF, weryfikacja w toku; SKU awaryjnie)
GitLab Inc. Federacja OAuth (warunkowo) Adres e-mail, identyfikator podmiotu USA Poza UE (DPF) SOC 2 Type II, ISO 27001 UPD GitLab
Cloudflare, Inc. Ochrona przed botami / alternatywa CAPTCHA (Turnstile) — wyłącznie formularz rejestracji publicznej Adresy IP (weryfikacja tokenu po stronie serwera; brak ciasteczek, brak trwałych identyfikatorów) USA Poza UE (DPF) ISO 27001:2023, SOC 2 Type II UPD Cloudflare
Stripe, Inc. Przetwarzanie płatności Identyfikatory subskrypcji, status płatności, metadane rozliczeniowe USA + Irlandia Poza UE (DPF + SKU) PCI DSS Level 1, SOC 2, ISO 27001 UPD Stripe

Synchronizacja katalogów korporacyjnych (SCIM): Żadni dodatkowi Podwykonawcy przetwarzania nie są angażowani do przetwarzania w ramach synchronizacji katalogów korporacyjnych. Synchronizacja katalogów korporacyjnych jest protokołem wyłącznie przychodzącym — Podmiot przetwarzający odbiera dane od dostawcy tożsamości Administratora; żadne dane nie są przekazywane do zewnętrznych usług.

Gwarancja danych UE Hetzner: „Jeżeli wybrałeś lokalizację serwera na terenie UE, Twoje dane będą przetwarzane wyłącznie na terenie UE."

Powiadomienie o naruszeniu Brevo: 72 godziny (wąskie gardło łańcucha podwykonawców). Zobowiązanie CRE8EVE do 24h wobec Administratorów jest osiągalne, ponieważ CRE8EVE wykrywa naruszenia niezależnie.

Google: Warunkowy podwykonawca — angażowany wyłącznie, gdy Administrator włączy federację Google OAuth dla swojego tenanta.

Microsoft Corporation: Warunkowy podwykonawca — angażowany wyłącznie, gdy Administrator włączy federację Microsoft OAuth lub LinkedIn OAuth dla swojego tenanta. Microsoft prowadzi własną listę podwykonawców dostępną pod adresem servicetrust.microsoft.com. Microsoft zapewnia 6-miesięczne wyprzedzające powiadomienie o zmianach podwykonawców zgodnie z Umową o Przetwarzaniu Danych dotyczącą Produktów i Usług Microsoft.

Apple Inc.: Warunkowy podwykonawca — angażowany wyłącznie, gdy Administrator włączy federację Apple Sign In dla swojego tenanta. Apple uczestniczy w EU-US Data Privacy Framework. Apple może przekazywać prywatny adres e-mail, gdy użytkownik zdecyduje się ukryć swój rzeczywisty adres.

Discord, Inc.: Warunkowy podwykonawca — angażowany wyłącznie, gdy Administrator włączy federację Discord OAuth dla swojego tenanta. Discord uczestniczy w EU-US Data Privacy Framework.

Meta Platforms, Inc.: Warunkowy podwykonawca — angażowany wyłącznie, gdy Administrator włączy federację Facebook OAuth dla swojego tenanta. Meta uczestniczy w EU-US Data Privacy Framework ze Standardowymi Klauzulami Umownymi jako mechanizmem uzupełniającym. Dostępność adresu e-mail zależy od uprawnień przyznanych przez użytkownika podczas procesu OAuth.

Salesforce, Inc. / Slack Technologies: Warunkowy podwykonawca — angażowany wyłącznie, gdy Administrator włączy federację Slack OAuth dla swojego tenanta. Salesforce uczestniczy w EU-US Data Privacy Framework. Identyfikator przestrzeni roboczej jest przekazywany w ramach procesu OAuth w celu identyfikacji kontekstu przestrzeni roboczej Slack.

X Corp.: Warunkowy podwykonawca — angażowany wyłącznie, gdy Administrator włączy federację X (Twitter) OAuth dla swojego tenanta. X Corp. uczestniczy w EU-US Data Privacy Framework.

GitLab Inc.: Warunkowy podwykonawca — angażowany wyłącznie, gdy Administrator włączy federację GitLab OAuth dla swojego tenanta. GitLab uczestniczy w EU-US Data Privacy Framework.

Cloudflare: Angażowany dla wszystkich odwiedzających formularz rejestracji publicznej. Przekazywane są wyłącznie adresy IP; Turnstile nie używa ciasteczek ani trwałych identyfikatorów. Mechanizm przekazywania: EU-US Data Privacy Framework (DPF).

Stripe: Zaangażowany gdy Administrator aktywuje płatną subskrypcję. Przepływy płatności UE kierowane przez Stripe Technology Europe, Ltd (Irlandia). Mechanizm przekazywania: EU-US Data Privacy Framework (DPF) + Standardowe Klauzule Umowne (SKU) Moduł 2 (Administrator — Podmiot przetwarzający).