Przejdź do treści głównej

Powrót do strony głównej
Ochrona danych osobowych

Umowa powierzenia
danych (DPA)

Niniejsza Umowa powierzenia przetwarzania danych osobowych reguluje relację między Klientem jako Administratorem a GastroPipe jako Podmiotem przetwarzającym, zgodnie z art. 28 RODO.

Role stron i zakres przetwarzania

  • Administrator danych (Controller): Klient GastroPipe — określa cele i sposoby przetwarzania
  • Podmiot przetwarzający (Processor): GastroPipe sp. z o.o. — przetwarza dane wyłącznie na udokumentowane polecenie Administratora
  • Cel przetwarzania: obsługa platformy B2B do zarządzania zamówieniami w gastronomii
  • Kategorie danych: konta użytkowników, dane zamówień, dane kontrahentów, adresy dostaw
  • Kategorie osób: pracownicy i operatorzy Klienta, kontrahenci Klienta
  • Czas trwania: przez okres obowiązywania umowy + 30 dni na usunięcie po zakończeniu

Środki bezpieczeństwa (Art. 32 RODO)

  • Szyfrowanie danych w spoczynku: AES-256 (bazy danych PostgreSQL, backupy S3)
  • Szyfrowanie transmisji: TLS 1.3 na wszystkich endpointach publicznych
  • Pseudonimizacja danych wrażliwych (hasła bcrypt, tokeny SHA-256)
  • Kontrola dostępu RBAC: Admin / Manager / Client — zasada minimalnych uprawnień
  • Regularne testy bezpieczeństwa i przeglądy kodu
  • Codzienne kopie zapasowe z 30-dniową retencją i weryfikacją integralności
  • Monitoring anomalii i alertów: Prometheus + Grafana 24/7

Prawa podmiotów danych

  • GastroPipe odpowiada na wnioski dotyczące danych w ciągu 72 godzin od otrzymania
  • Prawo dostępu: GET /api/gdpr/export — eksport JSON wszystkich danych (24h)
  • Prawo do usunięcia: DELETE /api/gdpr/delete — pełna anonimizacja danych konta
  • Prawo do sprostowania: edycja danych przez panel B2B lub zgłoszenie do support
  • Prawo do przenoszenia danych: eksport w formacie JSON/CSV na żądanie
  • Prawo do ograniczenia przetwarzania: na wniosek Administratora danych

Zgłaszanie naruszeń (Art. 33 RODO)

  • GastroPipe powiadomi Administratora o naruszeniu ochrony danych w ciągu 72 godzin
  • Powiadomienie zawiera: charakter naruszenia, kategorie i liczbę osób, opis konsekwencji
  • Powiadomienie zawiera: opis środków zaradczych zastosowanych lub planowanych
  • Administrator danych odpowiada za dalsze zgłoszenia do organu nadzorczego (UODO)
  • Kontakt w przypadku incydentu: privacy@gastropipe.pl (dostępny 24/7)

Rezydencja danych i transfery

  • Dane przechowywane wyłącznie w Unii Europejskiej (Hetzner, Niemcy)
  • Brak transferów poza UE/EOG bez wiedzy i zgody Administratora
  • Dla sub-procesorów spoza UE (Stripe, SendGrid) stosowane są Standardowe Klauzule Umowne (SCCs)
  • PostHog skonfigurowany w regionie EU — dane analityczne nie opuszczają UE
  • Kopia zapasowa: Hetzner Storage Box, lokalizacja Niemcy (Falkenstein)

Retencja i usunięcie danych

  • Dane klienta usuwane w ciągu 30 dni od rozwiązania umowy
  • Kopie zapasowe niszczone po upływie 30 dni retencji
  • Logi audytu przechowywane przez 12 miesięcy (wymogi bezpieczeństwa)
  • Zanonimizowane dane agregowane mogą być przechowywane dłużej (brak powiązania z osobą)
  • Na wniosek Administratora możliwe wcześniejsze usunięcie lub eksport całości danych

Lista pod-procesorów (Art. 28 ust. 2 RODO)

Pod-procesorCel przetwarzaniaLokalizacja
StripeObsługa płatności kartą i subskrypcji SaaSUSA / UE (SCCs)
SendGrid (Twilio)Wysyłka e-maili transakcyjnych i powiadomieńUSA / UE (SCCs)
Hetzner Online GmbHInfrastruktura serwerowa, bazy danych, backupyNiemcy (UE)
PostHogAnalityka produktowa (wyłącznie po wyrażeniu zgody przez użytkownika)UE (self-hosted EU region)

GastroPipe powiadomi Administratora o każdej planowanej zmianie pod-procesorów z 30-dniowym wyprzedzeniem. Administrator ma prawo zgłosić sprzeciw wobec zmiany.

Podpisanie DPA

Aby podpisać Umowę powierzenia przetwarzania danych osobowych, skontaktuj się z nami przez formularz kontaktowy. Wyślemy DPA w formacie PDF do podpisu elektronicznego (DocuSign / własnoręczny).

Klienci planu Enterprise mają DPA dołączone do umowy głównej i podpisywane podczas onboardingu. Dla planów Starter i Business DPA dostępne jest na żądanie.

Pytania dotyczące ochrony danych?

Nasz Inspektor Ochrony Danych odpowie na wszystkie pytania dotyczące przetwarzania danych osobowych na platformie GastroPipe.

privacy@gastropipe.pl