Umowa powierzenia przetwarzania danych
Ostatnia aktualizacja: 2 lipca 2026
Niniejsza umowa powierzenia przetwarzania danych na podstawie art. 28 RODO obejmuje elementy obowiązkowe wraz z kompletnymi postanowieniami operacyjnymi. Nie stanowi porady prawnej; przed uruchomieniem wskazana jest ostateczna weryfikacja pod kątem Twoich konkretnych okoliczności. Umowa jest tak skonstruowana, aby została włączona przez odesłanie do warunków korzystania z usługi i stała się wiążąca z chwilą zaakceptowania tych warunków przez klienta.
Niniejsza umowa powierzenia przetwarzania danych („Umowa”) stanowi część warunków korzystania z usługi między SDHC AS, numer organizacji 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norwegia („Podmiot przetwarzający”, „my”) a klientem, który akceptuje warunki („Administrator”, „Ty”). Reguluje ona nasze przetwarzanie danych osobowych zawartych w treściach, które przesyłasz do Usługi, i ma zastosowanie tam i w takim zakresie, w jakim RODO ma zastosowanie do tego przetwarzania.
Tam, gdzie niniejsza Umowa jest sprzeczna z warunkami korzystania z usługi w zakresie przetwarzania danych osobowych, pierwszeństwo ma niniejsza Umowa.
Terminy pisane wielką literą użyte w niniejszej Umowie, a w niej niezdefiniowane, mają znaczenie nadane im w warunkach korzystania z usługi.
1. Role stron
W odniesieniu do danych osobowych zawartych w Twoich treściach (w tym zdjęć, które mogą przedstawiać możliwe do zidentyfikowania osoby i pojazdy) Ty jesteś Administratorem, a SDHC jest Podmiotem przetwarzającym. Ty określasz cele i sposoby tego przetwarzania; SDHC przetwarza dane wyłącznie w Twoim imieniu.
(W odniesieniu do danych konta, subskrypcji, rozliczeń i analityki strony SDHC jest niezależnym administratorem, zgodnie z opisem w polityce prywatności; dane te nie są objęte niniejszą Umową).
2. Przedmiot, czas trwania, charakter i cel
- Przedmiot: przetwarzanie danych osobowych zawartych w zdjęciach i powiązanych treściach, które przesyłasz do Usługi.
- Czas trwania: przez okres obowiązywania subskrypcji oraz do usunięcia lub zwrotu danych zgodnie z sekcją 10.
- Charakter i cel: hosting, przechowywanie, porządkowanie i zautomatyzowana analiza (klasyfikacja zwierzyny oraz wykrywanie obecności ludzi/pojazdów) przesłanych treści, a także udostępnianie wyników Tobie oraz członkom zespołu, którym przyznasz dostęp.
3. Rodzaje danych osobowych i kategorie osób, których dane dotyczą
- Rodzaje danych osobowych: zdjęcia, które mogą zawierać możliwe do zidentyfikowania osoby i pojazdy; współrzędne lokalizacji fotopułapki; metadane zdjęć (data, godzina, nazwa fotopułapki, marka fotopułapki); wyniki zautomatyzowanego wykrywania.
- Kategorie osób, których dane dotyczą: osoby uchwycone przypadkowo przez Twoje fotopułapki (na przykład przechodnie, odwiedzający lub inne osoby w zasięgu fotopułapki).
Nie wolno Ci świadomie przesyłać szczególnych danych osobowych (art. 9 RODO) ani korzystać z Usługi w celu systematycznego przetwarzania takich danych, chyba że uzgodniono inaczej odrębnie i na piśmie. Nasze zautomatyzowane wykrywanie „obecności człowieka” nie identyfikuje osób i nie jest przeznaczone do przetwarzania danych biometrycznych ani innych szczególnych danych osobowych.
4. Instrukcje i obowiązki Administratora
Przetwarzamy dane osobowe wyłącznie na podstawie Twoich udokumentowanych instrukcji, w tym określonych w niniejszej Umowie oraz w Twoim korzystaniu z funkcji Usługi, chyba że jesteśmy zobowiązani do działania na mocy prawa norweskiego lub prawa EOG (w takim przypadku poinformujemy Cię, o ile nie zabrania tego prawo).
Gwarantujesz, że: (a) posiadasz ważną podstawę prawną dla przetwarzania, które zlecasz; (b) wypełniłeś wszystkie mające zastosowanie obowiązki informowania, oznaczania i uzyskania zgody wobec osób uchwyconych; oraz (c) Twoje instrukcje są zgodne z obowiązującym prawem. Odpowiadasz za zgodność z prawem danych osobowych i instrukcji, które przekazujesz.
Jeżeli stwierdzimy, że instrukcja narusza RODO lub inne obowiązujące przepisy o ochronie danych, poinformujemy Cię.
5. Poufność
Zapewniamy, że osoby upoważnione do przetwarzania danych osobowych są związane odpowiednim obowiązkiem zachowania poufności i zostały poinformowane o poufnym charakterze danych.
6. Bezpieczeństwo
Uwzględniając stan wiedzy technicznej, koszty oraz charakter, zakres, kontekst i cele przetwarzania, wdrażamy odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku (art. 32 RODO), w tym — zależnie od okoliczności:
- szyfrowanie danych osobowych w tranzycie (TLS);
- kontrolę dostępu, uwierzytelnianie i zasadę najmniejszych uprawnień dla personelu i systemów;
- ochronę danych logowania sesji, w tym stosowanie atrybutów HttpOnly, Secure i SameSite w plikach cookie sesji;
- logiczne oddzielenie danych klientów, tak aby jeden klient nie mógł uzyskać dostępu do treści innego klienta;
- ograniczenie interfejsów administracyjnych (na przykład poprzez kontrolę dostępu opartą na haśle i adresie IP);
- rejestrowanie i monitorowanie istotnych dostępów i zdarzeń; oraz
- środki umożliwiające przywrócenie dostępności danych osobowych i dostępu do nich po incydencie fizycznym lub technicznym (kopie zapasowe).
Dokonujemy przeglądu tych środków w regularnych odstępach czasu i aktualizujemy je w miarę potrzeb. Aktualne zestawienie jest dostępne na żądanie.
7. Dalsze podmioty przetwarzające
Udzielasz ogólnej zgody na korzystanie przez nas z dalszych podmiotów przetwarzających w celu świadczenia Usługi. Obecnie korzystamy z:
| Dalszy podmiot przetwarzający | Rola | Lokalizacja |
|---|---|---|
| Hosting.com | Hosting / infrastruktura | Niemcy (EOG) |
| Cloudflare, Inc. | DNS, CDN i bezpieczeństwo | Stany Zjednoczone |
| Mapbox, Inc. | Interaktywna mapa (kafelki/style/czcionki) | Stany Zjednoczone |
| Paddle.com Market Limited | Realizacja płatności (Merchant of Record) | Wielka Brytania |
Nakładamy na każdy dalszy podmiot przetwarzający obowiązki ochrony danych nie mniej chroniące niż określone w niniejszej Umowie. Informujemy Cię z co najmniej 30-dniowym wyprzedzeniem o każdym planowanym dodaniu lub zmianie dalszego podmiotu przetwarzającego. W tym okresie możesz wnieść sprzeciw z uzasadnionych względów ochrony danych; jeżeli nie będziemy mogli uwzględnić Twojego sprzeciwu, możesz — jako środek zaradczy — wypowiedzieć część Usługi, której to dotyczy.
8. Wsparcie dla Administratora
Uwzględniając charakter przetwarzania, wspieramy Cię za pomocą odpowiednich środków technicznych i organizacyjnych, w miarę możliwości:
- w odpowiadaniu na żądania osób, których dane dotyczą, wykonujących swoje prawa (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie danych, sprzeciw). Usługa umożliwia Ci również samodzielne przeglądanie i usuwanie przesłanych zdjęć i powiązanych danych;
- w wypełnianiu Twoich obowiązków w zakresie bezpieczeństwa (art. 32), zgłaszania naruszeń (art. 33–34) oraz ocen skutków dla ochrony danych i uprzednich konsultacji (art. 35–36).
Jeżeli otrzymamy żądanie bezpośrednio od osoby, której dane dotyczą, w związku z Twoimi treściami, nie odpowiadamy na nie samodzielnie (poza odpowiednim jego przekazaniem) i przekazujemy je Tobie bez zbędnej zwłoki.
9. Naruszenie ochrony danych osobowych
Powiadamiamy Cię bez zbędnej zwłoki po powzięciu wiadomości o naruszeniu ochrony danych osobowych dotyczącym danych osobowych przetwarzanych na podstawie niniejszej Umowy i przekazujemy rozsądnie dostępne nam informacje, aby pomóc Ci wypełnić obowiązki zgłoszeniowe wobec Datatilsynet (art. 33) oraz — gdy jest to wymagane — wobec osób, których dane dotyczą (art. 34). Zgłoszenie naruszenia nie stanowi uznania odpowiedzialności.
10. Usunięcie lub zwrot danych
Po zakończeniu Usługi lub na Twoje żądanie usuniemy lub zwrócimy wszystkie dane osobowe przetwarzane w Twoim imieniu oraz usuniemy istniejące kopie w ciągu 30 dni, chyba że prawo norweskie lub prawo EOG wymaga ich przechowywania. Możesz usunąć swoje zdjęcia i powiązane dane w Usłudze w dowolnym momencie. Na żądanie zgłoszone przed usunięciem zwracamy Ci dane w powszechnie używanym, nadającym się do odczytu maszynowego formacie.
11. Audyt i informacje
Udostępniamy Ci informacje rozsądnie niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwiamy audyty — w tym inspekcje — przeprowadzane przez Ciebie lub upoważnionego przez Ciebie audytora i się do nich przyczyniamy. Odpowiadamy na rozsądne pisemne żądanie audytu w ciągu 30 dni, najwyżej raz na okres 12 miesięcy (chyba że wymaga tego organ nadzorczy lub następuje to w wyniku naruszenia ochrony danych osobowych), z zastrzeżeniem co najmniej 14-dniowego wyprzedzenia, rozsądnych zobowiązań do zachowania poufności oraz zasady, że każda ze stron ponosi własne koszty. Audyty nie mogą w sposób nieuzasadniony zakłócać naszej działalności ani zagrażać poufności lub bezpieczeństwu danych innych klientów.
12. Przekazywanie międzynarodowe
Dane osobowe objęte niniejszą Umową są hostowane w obrębie EOG (Niemcy). Tam, gdzie dalszy podmiot przetwarzający znajduje się poza EOG (zob. sekcja 7):
- przekazywanie do Paddle w Wielkiej Brytanii jest objęte decyzją EOG/UE stwierdzającą odpowiedni stopień ochrony dla Wielkiej Brytanii;
- przekazywanie do Cloudflare i Mapbox w USA odbywa się w oparciu o odpowiedni mechanizm przekazywania uznany przez RODO, taki jak Data Privacy Framework UE–USA i/lub standardowe klauzule umowne.
Przekazujemy dane osobowe poza EOG wyłącznie w ramach takich zabezpieczeń.
13. Postanowienia ogólne
Niniejsza Umowa podlega prawu Norwegii. Jeżeli którekolwiek postanowienie zostanie uznane za nieważne, pozostałe postanowienia pozostają w mocy. W razie sprzeczności z warunkami korzystania z usługi w zakresie przetwarzania danych osobowych pierwszeństwo ma niniejsza Umowa.
SDHC AS — numer organizacji 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norwegia — [email protected]