RODO — informacje o przetwarzaniu danych
1. Dwie role w przetwarzaniu danych
W ramach usługi ESSW dane osobowe przetwarzane są przez AbejaIT Sp. z o.o. z siedzibą w Poznaniu, Aleja Wielkopolska 29 lok. 6, 60-603 Poznań, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0001235099 (Sąd Rejonowy Poznań – Nowe Miasto i Wilda w Poznaniu, VIII Wydział Gospodarczy KRS), NIP 7812108949 (dalej: „AbejaIT”), w dwóch odrębnych rolach:
- AbejaIT jako administrator — w odniesieniu do danych Klientów, użytkowników portalu klienta, danych rozliczeniowych i komunikacji (szczegóły: Polityka prywatności).
- AbejaIT jako podmiot przetwarzający (procesor) — w odniesieniu do wszystkich danych, które Klient i jego użytkownicy wprowadzają do swojej instancji ESSW ERP (np. dane kontrahentów, dostawców surowców wtórnych, dokumenty skupu, dane pracowników Klienta). Administratorem tych danych jest Klient.
2. Powierzenie przetwarzania (art. 28 RODO)
Zawierając umowę o świadczenie usługi, Klient powierza AbejaIT przetwarzanie danych osobowych zgromadzonych w jego instancji, w zakresie i celu niezbędnym do świadczenia usługi, tj.:
- przedmiot i czas przetwarzania: hosting, utrzymanie, aktualizacje i kopie zapasowe instancji — przez czas trwania umowy;
- charakter i cel: przechowywanie i zabezpieczanie danych, operacje techniczne niezbędne do działania systemu; Usługodawca nie wykorzystuje powierzonych danych do własnych celów;
- kategorie danych: dane identyfikacyjne i kontaktowe kontrahentów oraz dostawców (w tym dane z dokumentów skupu wymagane przepisami, np. imię, nazwisko, adres, numer dokumentu tożsamości, PESEL — jeżeli Klient je rejestruje), dane użytkowników instancji, dane transakcyjne i magazynowe;
- kategorie osób: kontrahenci, dostawcy surowców, pracownicy i współpracownicy Klienta.
3. Obowiązki AbejaIT jako procesora
- Przetwarzanie danych wyłącznie na udokumentowane polecenie Klienta (za które uważa się umowę i dyspozycje składane przez portal).
- Zapewnienie, by osoby upoważnione zobowiązały się do zachowania tajemnicy.
- Stosowanie środków bezpieczeństwa, o których mowa w art. 32 RODO: szyfrowanie transmisji (TLS), szyfrowane kopie zapasowe (AES-256), separacja instancji, kontrola dostępu i 2FA, rejestrowanie operacji, aktualizacje bezpieczeństwa.
- Pomoc Klientowi w realizacji obowiązków z art. 32–36 RODO oraz w odpowiadaniu na żądania osób, których dane dotyczą — w zakresie możliwym technicznie i organizacyjnie.
- Zgłaszanie Klientowi naruszeń ochrony danych bez zbędnej zwłoki po ich stwierdzeniu.
- Po zakończeniu umowy — usunięcie danych instancji wraz z kopiami zapasowymi (najpóźniej po 30 dniach) albo, na wniosek Klienta złożony w tym terminie, wydanie kopii bazy danych.
- Udostępnianie informacji niezbędnych do wykazania zgodności oraz umożliwienie audytów w uzgodnionym trybie.
4. Podpowierzenie i lokalizacja danych (UE/EOG)
Klient wyraża ogólną zgodę na korzystanie przez AbejaIT z dalszych podmiotów przetwarzających w zakresie: infrastruktury serwerowej, magazynu zaszyfrowanych kopii zapasowych, usług DNS/CDN oraz usług wysyłki powiadomień (e-mail/SMS). Dane powierzone przez Klienta są przechowywane i przetwarzane na terenie Unii Europejskiej / Europejskiego Obszaru Gospodarczego (UE/EOG). Aktualni podprocesorzy infrastrukturalni:
| Podprocesor | Rola | Lokalizacja danych | Informacja o prywatności |
|---|---|---|---|
| Hetzner Online GmbH | Infrastruktura serwerowa (hosting instancji ERP) | Niemcy i Finlandia (UE/EOG) | hetzner.com/legal/privacy-policy |
| Backblaze (region UE) | Zaszyfrowany magazyn kopii zapasowych | Region UE (Amsterdam, Holandia) | backblaze.com/company/privacy |
| Amazon Web Services (AWS), region UE | Infrastruktura/magazyn (opcjonalnie) | Regiony UE/EOG (np. Frankfurt/Irlandia) | aws.amazon.com/compliance/gdpr-center |
| Cloudflare, Inc. | DNS/CDN i ochrona przed atakami | Przetwarzanie z opcją lokalizacji w UE | cloudflare.com/trust-hub/gdpr |
Z każdym podprocesorem zawarto umowę powierzenia (DPA) zgodną z art. 28 RODO. Ewentualny transfer poza EOG odbywa się wyłącznie na podstawie standardowych klauzul umownych (SCC) i odpowiednich zabezpieczeń; kopie zapasowe są dodatkowo szyfrowane (AES-256). Pełna lista kategorii podprocesorów jest wskazana w Polityce prywatności; o istotnych zmianach Klient jest informowany, z możliwością wniesienia sprzeciwu.
5. Obowiązki Klienta jako administratora
- Klient zapewnia, że posiada podstawę prawną przetwarzania danych wprowadzanych do instancji (w tym danych z dokumentów skupu wymaganych przepisami o odpadach i surowcach wtórnych).
- Klient realizuje obowiązki informacyjne wobec swoich kontrahentów i pracowników (art. 13/14 RODO).
- Klient zarządza kontami i uprawnieniami użytkowników swojej instancji oraz odpowiada za jakość i legalność wprowadzanych danych.
6. Klauzula informacyjna dla użytkowników portalu (art. 13 RODO)
Administratorem danych użytkowników portalu klienta jest AbejaIT Sp. z o.o., Aleja Wielkopolska 29 lok. 6, 60-603 Poznań, KRS 0001235099, NIP 7812108949 (kontakt: [email protected], tel. +48 512 222 240). Dane przetwarzane są w celu obsługi konta i świadczenia usługi (art. 6 ust. 1 lit. b RODO), rozliczeń (lit. c) oraz bezpieczeństwa (lit. f). Przysługują Państwu prawa opisane w Polityce prywatności, w tym prawo skargi do Prezesa UODO. Dane nie są przekazywane do państw trzecich poza przypadkami opisanymi w Polityce prywatności i nie podlegają zautomatyzowanemu podejmowaniu decyzji wywołującemu skutki prawne.