Umowa powierzenia przetwarzania danych

Ostatnia aktualizacja: 2 lipca 2026

Niniejsza umowa powierzenia przetwarzania danych na podstawie art. 28 RODO obejmuje elementy obowiązkowe wraz z kompletnymi postanowieniami operacyjnymi. Nie stanowi porady prawnej; przed uruchomieniem wskazana jest ostateczna weryfikacja pod kątem Twoich konkretnych okoliczności. Umowa jest tak skonstruowana, aby została włączona przez odesłanie do warunków korzystania z usługi i stała się wiążąca z chwilą zaakceptowania tych warunków przez klienta.

Niniejsza umowa powierzenia przetwarzania danych („Umowa”) stanowi część warunków korzystania z usługi między SDHC AS, numer organizacji 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norwegia („Podmiot przetwarzający”, „my”) a klientem, który akceptuje warunki („Administrator”, „Ty”). Reguluje ona nasze przetwarzanie danych osobowych zawartych w treściach, które przesyłasz do Usługi, i ma zastosowanie tam i w takim zakresie, w jakim RODO ma zastosowanie do tego przetwarzania.

Tam, gdzie niniejsza Umowa jest sprzeczna z warunkami korzystania z usługi w zakresie przetwarzania danych osobowych, pierwszeństwo ma niniejsza Umowa.

Terminy pisane wielką literą użyte w niniejszej Umowie, a w niej niezdefiniowane, mają znaczenie nadane im w warunkach korzystania z usługi.


1. Role stron

W odniesieniu do danych osobowych zawartych w Twoich treściach (w tym zdjęć, które mogą przedstawiać możliwe do zidentyfikowania osoby i pojazdy) Ty jesteś Administratorem, a SDHC jest Podmiotem przetwarzającym. Ty określasz cele i sposoby tego przetwarzania; SDHC przetwarza dane wyłącznie w Twoim imieniu.

(W odniesieniu do danych konta, subskrypcji, rozliczeń i analityki strony SDHC jest niezależnym administratorem, zgodnie z opisem w polityce prywatności; dane te nie są objęte niniejszą Umową).


2. Przedmiot, czas trwania, charakter i cel


3. Rodzaje danych osobowych i kategorie osób, których dane dotyczą

Nie wolno Ci świadomie przesyłać szczególnych danych osobowych (art. 9 RODO) ani korzystać z Usługi w celu systematycznego przetwarzania takich danych, chyba że uzgodniono inaczej odrębnie i na piśmie. Nasze zautomatyzowane wykrywanie „obecności człowieka” nie identyfikuje osób i nie jest przeznaczone do przetwarzania danych biometrycznych ani innych szczególnych danych osobowych.


4. Instrukcje i obowiązki Administratora

Przetwarzamy dane osobowe wyłącznie na podstawie Twoich udokumentowanych instrukcji, w tym określonych w niniejszej Umowie oraz w Twoim korzystaniu z funkcji Usługi, chyba że jesteśmy zobowiązani do działania na mocy prawa norweskiego lub prawa EOG (w takim przypadku poinformujemy Cię, o ile nie zabrania tego prawo).

Gwarantujesz, że: (a) posiadasz ważną podstawę prawną dla przetwarzania, które zlecasz; (b) wypełniłeś wszystkie mające zastosowanie obowiązki informowania, oznaczania i uzyskania zgody wobec osób uchwyconych; oraz (c) Twoje instrukcje są zgodne z obowiązującym prawem. Odpowiadasz za zgodność z prawem danych osobowych i instrukcji, które przekazujesz.

Jeżeli stwierdzimy, że instrukcja narusza RODO lub inne obowiązujące przepisy o ochronie danych, poinformujemy Cię.


5. Poufność

Zapewniamy, że osoby upoważnione do przetwarzania danych osobowych są związane odpowiednim obowiązkiem zachowania poufności i zostały poinformowane o poufnym charakterze danych.


6. Bezpieczeństwo

Uwzględniając stan wiedzy technicznej, koszty oraz charakter, zakres, kontekst i cele przetwarzania, wdrażamy odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku (art. 32 RODO), w tym — zależnie od okoliczności:

Dokonujemy przeglądu tych środków w regularnych odstępach czasu i aktualizujemy je w miarę potrzeb. Aktualne zestawienie jest dostępne na żądanie.


7. Dalsze podmioty przetwarzające

Udzielasz ogólnej zgody na korzystanie przez nas z dalszych podmiotów przetwarzających w celu świadczenia Usługi. Obecnie korzystamy z:

Dalszy podmiot przetwarzającyRolaLokalizacja
Hosting.comHosting / infrastrukturaNiemcy (EOG)
Cloudflare, Inc.DNS, CDN i bezpieczeństwoStany Zjednoczone
Mapbox, Inc.Interaktywna mapa (kafelki/style/czcionki)Stany Zjednoczone
Paddle.com Market LimitedRealizacja płatności (Merchant of Record)Wielka Brytania

Nakładamy na każdy dalszy podmiot przetwarzający obowiązki ochrony danych nie mniej chroniące niż określone w niniejszej Umowie. Informujemy Cię z co najmniej 30-dniowym wyprzedzeniem o każdym planowanym dodaniu lub zmianie dalszego podmiotu przetwarzającego. W tym okresie możesz wnieść sprzeciw z uzasadnionych względów ochrony danych; jeżeli nie będziemy mogli uwzględnić Twojego sprzeciwu, możesz — jako środek zaradczy — wypowiedzieć część Usługi, której to dotyczy.


8. Wsparcie dla Administratora

Uwzględniając charakter przetwarzania, wspieramy Cię za pomocą odpowiednich środków technicznych i organizacyjnych, w miarę możliwości:

Jeżeli otrzymamy żądanie bezpośrednio od osoby, której dane dotyczą, w związku z Twoimi treściami, nie odpowiadamy na nie samodzielnie (poza odpowiednim jego przekazaniem) i przekazujemy je Tobie bez zbędnej zwłoki.


9. Naruszenie ochrony danych osobowych

Powiadamiamy Cię bez zbędnej zwłoki po powzięciu wiadomości o naruszeniu ochrony danych osobowych dotyczącym danych osobowych przetwarzanych na podstawie niniejszej Umowy i przekazujemy rozsądnie dostępne nam informacje, aby pomóc Ci wypełnić obowiązki zgłoszeniowe wobec Datatilsynet (art. 33) oraz — gdy jest to wymagane — wobec osób, których dane dotyczą (art. 34). Zgłoszenie naruszenia nie stanowi uznania odpowiedzialności.


10. Usunięcie lub zwrot danych

Po zakończeniu Usługi lub na Twoje żądanie usuniemy lub zwrócimy wszystkie dane osobowe przetwarzane w Twoim imieniu oraz usuniemy istniejące kopie w ciągu 30 dni, chyba że prawo norweskie lub prawo EOG wymaga ich przechowywania. Możesz usunąć swoje zdjęcia i powiązane dane w Usłudze w dowolnym momencie. Na żądanie zgłoszone przed usunięciem zwracamy Ci dane w powszechnie używanym, nadającym się do odczytu maszynowego formacie.


11. Audyt i informacje

Udostępniamy Ci informacje rozsądnie niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwiamy audyty — w tym inspekcje — przeprowadzane przez Ciebie lub upoważnionego przez Ciebie audytora i się do nich przyczyniamy. Odpowiadamy na rozsądne pisemne żądanie audytu w ciągu 30 dni, najwyżej raz na okres 12 miesięcy (chyba że wymaga tego organ nadzorczy lub następuje to w wyniku naruszenia ochrony danych osobowych), z zastrzeżeniem co najmniej 14-dniowego wyprzedzenia, rozsądnych zobowiązań do zachowania poufności oraz zasady, że każda ze stron ponosi własne koszty. Audyty nie mogą w sposób nieuzasadniony zakłócać naszej działalności ani zagrażać poufności lub bezpieczeństwu danych innych klientów.


12. Przekazywanie międzynarodowe

Dane osobowe objęte niniejszą Umową są hostowane w obrębie EOG (Niemcy). Tam, gdzie dalszy podmiot przetwarzający znajduje się poza EOG (zob. sekcja 7):

Przekazujemy dane osobowe poza EOG wyłącznie w ramach takich zabezpieczeń.


13. Postanowienia ogólne

Niniejsza Umowa podlega prawu Norwegii. Jeżeli którekolwiek postanowienie zostanie uznane za nieważne, pozostałe postanowienia pozostają w mocy. W razie sprzeczności z warunkami korzystania z usługi w zakresie przetwarzania danych osobowych pierwszeństwo ma niniejsza Umowa.

SDHC AS — numer organizacji 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norwegia — [email protected]