[{"data":1,"prerenderedAt":546},["ShallowReactive",2],{"og-image-business-dpa":3,"social-meta-business-dpa":4,"pricing-plan-EUR":5,"page-business,dpa":6},"",[],{},{"id":7,"title":8,"body":9,"description":536,"extension":537,"meta":538,"navigation":541,"path":542,"seo":543,"stem":544,"__hash__":545},"content/easyweek.pl/business/dpa.md","Aneks do umowy przetwarzania danych (DPA)",{"type":10,"value":11,"toc":516},"minimark",[12,19],[13,14],"blog-header",{":bullet_points":15,"description":16,"headline":17,"tag":18},"[{\"text\":\"1. Definicje\",\"href\":\"#_1-definitions\"},{\"text\":\"2. Role\",\"href\":\"#_2-roles\"},{\"text\":\"3. Przedmiot, czas trwania, cel\",\"href\":\"#_3-subject-matter-duration-purpose\"},{\"text\":\"4. Instrukcje Klienta\",\"href\":\"#_4-customer-instructions\"},{\"text\":\"5. Poufność\",\"href\":\"#_5-confidentiality\"},{\"text\":\"6. Bezpieczeństwo (ŚTO)\",\"href\":\"#_6-security-toms\"},{\"text\":\"7. Dalsze podmioty przetwarzające\",\"href\":\"#_7-sub-processors\"},{\"text\":\"8. Przekazywanie danych do państw trzecich\",\"href\":\"#_8-international-transfers\"},{\"text\":\"9. Żądania osób, których dane dotyczą\",\"href\":\"#_9-data-subject-requests\"},{\"text\":\"10. Naruszenie ochrony danych osobowych\",\"href\":\"#_10-personal-data-breach\"},{\"text\":\"11. DPIA i uprzednie konsultacje\",\"href\":\"#_11-dpia-and-prior-consultation\"},{\"text\":\"12. Audyt\",\"href\":\"#_12-audit\"},{\"text\":\"13. Zwrot i usunięcie\",\"href\":\"#_13-return-and-deletion\"},{\"text\":\"14. Odpowiedzialność i postanowienia różne\",\"href\":\"#_14-liability-and-miscellaneous\"},{\"text\":\"Załącznik I – Opis przetwarzania\",\"href\":\"#annex-i-description-of-processing\"},{\"text\":\"Załącznik II – Środki techniczne i organizacyjne\",\"href\":\"#annex-ii-technical-and-organisational-measures\"},{\"text\":\"Załącznik III – Zatwierdzone dalsze podmioty przetwarzające\",\"href\":\"#annex-iii-approved-sub-processors\"}]","Niniejszy Aneks do umowy przetwarzania danych („DPA","Aneks do umowy przetwarzania danych","h1",[20,21,22,29,43,48,51,103,107,110,118,122,129,132,136,139,142,146,149,153,160,164,174,177,180,184,187,253,258,261,265,268,271,275,278,281,285,288,292,295,303,306,310,313,316,320,323,326,329,333,339,345,351,356,370,375,407,413,419,423,426,506,510],"blog-content",{},[23,24,25],"p",{},[26,27,28],"em",{},"Ostatnia aktualizacja: 15 maja 2026",[23,30,31,32,37,38,42],{},"Niniejszy DPA zostaje włączony przez odesłanie do ",[33,34,36],"a",{"href":35},"/business/terms-and-policies","Warunków korzystania z usług Business"," i wchodzi w życie w chwili, gdy Klient zaakceptuje Warunki korzystania z usług Business lub po raz pierwszy skorzysta z Usługi po podanej powyżej dacie, w zależności od tego, co nastąpi wcześniej. Klient wymagający kontrasygnowanego egzemplarza niniejszego DPA na papierze firmowym może złożyć taki wniosek, pisząc na adres ",[33,39,41],{"href":40},"mailto:privacy@easyweek.io","privacy@easyweek.io",". EasyWeek kontrasygnuje dokument bez zmian w treści niniejszego szablonu.",[44,45,47],"h2",{"id":46},"_1-definicje","1. Definicje",[23,49,50],{},"Terminy pisane wielką literą, lecz niezdefiniowane w niniejszym DPA, mają znaczenie nadane im w Regulaminie Usług dla Firm lub w RODO. W szczególności:",[52,53,54,63,91,97],"ul",{},[55,56,57,58,62],"li",{},"„",[59,60,61],"strong",{},"RODO","\" — Rozporządzenie (UE) 2016/679 (Rozporządzenie ogólne o ochronie danych) oraz Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r., a tam gdzie ma to zastosowanie, UK GDPR oraz szwajcarska FADP, odczytywane z niezbędnymi zmianami.",[55,64,57,65,68,69,68,72,68,75,68,78,68,81,68,84,68,87,90],{},[59,66,67],{},"Administrator","\", „",[59,70,71],{},"Podmiot przetwarzający",[59,73,74],{},"Osoba, której dane dotyczą",[59,76,77],{},"Dane osobowe",[59,79,80],{},"Naruszenie ochrony danych osobowych",[59,82,83],{},"Przetwarzanie",[59,85,86],{},"Podwykonawca przetwarzania",[59,88,89],{},"Organ nadzorczy","\" — zgodnie z definicją zawartą w art. 4 RODO.",[55,92,57,93,96],{},[59,94,95],{},"Dane osobowe Klienta","\" — Dane osobowe, które Klient lub jego upoważnieni użytkownicy przesyłają do Usługi lub generują za jej pośrednictwem i które są przetwarzane przez EasyWeek w imieniu Klienta.",[55,98,57,99,102],{},[59,100,101],{},"Standardowe klauzule umowne","\" — Standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich zgodnie z RODO, przyjęte decyzją wykonawczą Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r.",[44,104,106],{"id":105},"_2-role","2. Role",[23,108,109],{},"Klient jest Administratorem Danych Osobowych Klienta. EasyWeek jest Podmiotem Przetwarzającym i przetwarza Dane Osobowe Klienta wyłącznie na udokumentowane polecenia Klienta oraz zgodnie z niniejszą Umową Powierzenia, Regulaminem Usług Biznesowych i obowiązującym prawem.",[23,111,112,113,117],{},"Strony potwierdzają, że EasyWeek jest Administratorem w odniesieniu do ograniczonych kategorii danych osobowych, które EasyWeek przetwarza we własnych celach — na przykład danych uwierzytelniających autoryzowanych użytkowników, danych rozliczeniowych oraz telemetrii użytkowania Usługi. To przetwarzanie jest regulowane przez ",[33,114,116],{"href":115},"/business/privacy","Politykę Prywatności dla Firm",", a nie niniejszą Umową Powierzenia.",[44,119,121],{"id":120},"_3-przedmiot-czas-trwania-cel","3. Przedmiot, czas trwania, cel",[23,123,124,125,128],{},"Przedmiot, charakter, cel, czas trwania, kategorie Danych Osobowych oraz kategorie Podmiotów Danych opisane są w ",[59,126,127],{},"Załączniku I",".",[23,130,131],{},"Niniejsza Umowa Powierzenia Przetwarzania Danych obowiązuje przez cały czas, w którym EasyWeek przetwarza Dane Osobowe Klienta w imieniu Klienta, i pozostaje w mocy po rozwiązaniu Biznesowych Warunków Usługi przez czas niezbędny do wypełnienia obowiązków wynikających z Sekcji 13.",[44,133,135],{"id":134},"_4-instrukcje-klienta","4. Instrukcje Klienta",[23,137,138],{},"Sam Serwis, konfiguracja zastosowana przez Klienta za pośrednictwem interfejsu użytkownika i API Serwisu, Biznesowe Warunki Świadczenia Usług oraz niniejsza Umowa o Przetwarzaniu Danych stanowią kompletne i ostateczne udokumentowane instrukcje Klienta dla EasyWeek dotyczące przetwarzania Danych Osobowych Klienta. Wszelkie dodatkowe lub odmienne instrukcje wymagają pisemnego uzgodnienia i mogą wiązać się z dodatkowymi opłatami.",[23,140,141],{},"EasyWeek poinformuje Klienta bez zbędnej zwłoki, jeżeli w jego opinii dana instrukcja narusza RODO (Rozporządzenie (UE) 2016/679) lub inny przepis o ochronie danych obowiązujący w UE bądź w państwie członkowskim, w tym przepisy Ustawy o ochronie danych osobowych z dnia 10 maja 2018 r., i może zawiesić wykonanie spornej instrukcji do czasu uzyskania pisemnego potwierdzenia od Klienta.",[44,143,145],{"id":144},"_5-poufność","5. Poufność",[23,147,148],{},"EasyWeek zapewnia, że personel upoważniony do przetwarzania Danych Osobowych Klienta zobowiązał się do zachowania poufności (lub podlega odpowiedniemu ustawowemu obowiązkowi zachowania poufności) oraz jest związany kontrolami dostępu i zasadą minimalnych uprawnień. Dostęp do Danych Osobowych Klienta jest ograniczony do personelu, który potrzebuje go w celu obsługi lub ulepszania Usługi.",[44,150,152],{"id":151},"_6-bezpieczeństwo-śot","6. Bezpieczeństwo (ŚOT)",[23,154,155,156,159],{},"EasyWeek wdraża odpowiednie techniczne i organizacyjne środki ochrony w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku, zgodnie z ",[59,157,158],{},"Załącznikiem II",". EasyWeek może aktualizować swoje ŚOT w czasie, o ile poziom ochrony nie zostaje obniżony.",[44,161,163],{"id":162},"_7-podprzetwarzający","7. Podprzetwarzający",[23,165,166,167,170,171,128],{},"Klient niniejszym udziela EasyWeek ogólnego pisemnego upoważnienia do angażowania Podprzetwarzających. Lista zatwierdzonych Podprzetwarzających według stanu na dzień zawarcia niniejszego DPA jest określona w ",[59,168,169],{},"Załączniku III"," i aktualizowana pod adresem ",[33,172,173],{"href":173},"/business/subprocessors",[23,175,176],{},"EasyWeek powiadomi Klienta co najmniej trzydzieści (30) dni z wyprzedzeniem o każdym planowanym dodaniu lub zastąpieniu Podprzetwarzających, za pośrednictwem centrum powiadomień w aplikacji oraz, w przypadku gdy Klient wyraził na to zgodę, drogą elektroniczną. Klient może wnieść sprzeciw na uzasadnionych, udokumentowanych podstawach związanych z ochroną danych w terminie trzydziestu (30) dni od otrzymania powiadomienia. Jeżeli strony nie mogą dojść do porozumienia, Klient może wypowiedzieć Warunki Korzystania z Usług Biznesowych w odniesieniu do tej części Usługi, która wymaga korzystania z kwestionowanego Podprzetwarzającego, z proporcjonalnym zwrotem przedpłaconych opłat za pozostały okres.",[23,178,179],{},"EasyWeek nakłada na każdego Podprzetwarzającego obowiązki w zakresie ochrony danych w drodze pisemnej umowy, zapewniającej co najmniej taki sam poziom ochrony jak niniejszy DPA. EasyWeek pozostaje w pełni odpowiedzialny wobec Klienta za wykonanie zobowiązań przez swoich Podprzetwarzających.",[44,181,183],{"id":182},"_8-międzynarodowe-transfery-danych","8. Międzynarodowe transfery danych",[23,185,186],{},"Dane Osobowe Klienta są przetwarzane przede wszystkim na terenie Europejskiego Obszaru Gospodarczego. W przypadku przekazywania Danych Osobowych Klienta do państwa spoza EOG, dla którego Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni poziom ochrony, zastosowanie mają SKU z następującymi wyborami:",[52,188,189,195,201,207,213,223,229,235,241,247],{},[55,190,191,194],{},[59,192,193],{},"Moduł Drugi"," (Administrator do Podmiotu Przetwarzającego) zostaje włączony przez odniesienie dla transferów od Klienta (lub jego administratora z EOG) do EasyWeek, gdy EasyWeek przetwarza Dane Osobowe Klienta w państwie trzecim.",[55,196,197,200],{},[59,198,199],{},"Moduł Trzeci"," (Podmiot Przetwarzający do Podmiotu Przetwarzającego) zostaje włączony przez odniesienie dla dalszych transferów od EasyWeek do dalszych podmiotów przetwarzających w państwie trzecim.",[55,202,203,206],{},[59,204,205],{},"Klauzula 7"," (klauzula przystąpienia) zostaje uwzględniona.",[55,208,209,212],{},[59,210,211],{},"Klauzula 9(a)"," — Opcja 2 (ogólne pisemne upoważnienie, powiadomienie z 30-dniowym wyprzedzeniem) ma zastosowanie.",[55,214,215,218,219,222],{},[59,216,217],{},"Klauzula 11(a)"," — niezależny organ rozstrzygania sporów ",[59,220,221],{},"nie"," zostaje wybrany.",[55,224,225,228],{},[59,226,227],{},"Klauzula 17"," — prawem właściwym jest prawo Niemiec.",[55,230,231,234],{},[59,232,233],{},"Klauzula 18"," — właściwymi sądami są sądy w Düsseldorf, Niemcy.",[55,236,237,240],{},[59,238,239],{},"Załącznik I"," do SKU jest wypełniany przez odniesienie do Załącznika I niniejszej DPA.",[55,242,243,246],{},[59,244,245],{},"Załącznik II"," do SKU jest wypełniany przez odniesienie do Załącznika II niniejszej DPA.",[55,248,249,252],{},[59,250,251],{},"Załącznik III"," do SKU jest wypełniany przez odniesienie do Załącznika III niniejszej DPA.",[23,254,255,256,128],{},"Ocena Wpływu Transferu zawierająca podsumowanie oceny EasyWeek dotyczącej prawa państwa docelowego oraz wszelkich uzupełniających środków technicznych, umownych lub organizacyjnych jest dostępna na żądanie pod adresem ",[33,257,41],{"href":40},[23,259,260],{},"W przypadku transferów do Wielkiej Brytanii zastosowanie ma Brytyjski Międzynarodowy Aneks do Transferu Danych do SKU (wydany przez ICO i obowiązujący od 21 marca 2022 r.). W przypadku transferów do Szwajcarii SKU stosuje się z podstawieniami wymaganymi przez FDPIC.",[44,262,264],{"id":263},"_9-żądania-osób-których-dane-dotyczą","9. Żądania osób, których dane dotyczą",[23,266,267],{},"Usługa udostępnia funkcje samoobsługowe umożliwiające Klientowi realizację żądań osób, których dane dotyczą, w zakresie dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz sprzeciwu. W przypadku gdy osoba, której dane dotyczą, kontaktuje się bezpośrednio z EasyWeek, EasyWeek przekazuje żądanie Klientowi bez zbędnej zwłoki i nie udziela odpowiedzi osobie, której dane dotyczą, poza potwierdzeniem odbioru i przesłaniem żądania do Klienta.",[23,269,270],{},"EasyWeek wspiera Klienta, uwzględniając charakter przetwarzania, za pomocą odpowiednich środków technicznych i organizacyjnych, w wywiązywaniu się przez Klienta z obowiązku udzielania odpowiedzi na żądania osób, których dane dotyczą, na podstawie art. 12–22 RODO (Rozporządzenie (UE) 2016/679) oraz Ustawy o ochronie danych osobowych z dnia 10 maja 2018 r.",[44,272,274],{"id":273},"_10-naruszenie-ochrony-danych-osobowych","10. Naruszenie ochrony danych osobowych",[23,276,277],{},"EasyWeek powiadomi Klienta bez zbędnej zwłoki, a w każdym razie w ciągu siedemdziesięciu dwóch (72) godzin od stwierdzenia naruszenia ochrony danych osobowych dotyczącego Danych Osobowych Klienta. Powiadomienie będzie zawierać co najmniej informacje wymagane przez art. 33 ust. 3 RODO w zakresie, w jakim są one znane: charakter naruszenia, kategorie i przybliżoną liczbę dotkniętych nim osób, których dane dotyczą, oraz dotkniętych rekordów, prawdopodobne konsekwencje, a także podjęte lub proponowane środki zaradcze.",[23,279,280],{},"EasyWeek podejmie rozsądne kroki w celu powstrzymania naruszenia i usunięcia jego skutków oraz dostarczenia Klientowi informacji niezbędnych do wypełnienia przez Klienta własnych obowiązków powiadamiania wobec jego organu nadzorczego oraz osób, których dane dotyczą.",[44,282,284],{"id":283},"_11-ocena-skutków-dla-ochrony-danych-i-uprzednie-konsultacje","11. Ocena skutków dla ochrony danych i uprzednie konsultacje",[23,286,287],{},"EasyWeek udzieli Klientowi rozsądnej pomocy w przeprowadzeniu jakiejkolwiek Oceny Skutków dla Ochrony Danych lub uprzednich konsultacji, do których przeprowadzenia Klient jest zobowiązany na podstawie art. 35 lub 36 RODO (Rozporządzenia (UE) 2016/679) oraz Ustawy o ochronie danych osobowych z dnia 10 maja 2018 r., w zakresie, w jakim taka pomoc jest racjonalnie wymagana i informacje te są w posiadaniu EasyWeek.",[44,289,291],{"id":290},"_12-audyt","12. Audyt",[23,293,294],{},"EasyWeek udostępni Klientowi wszystkie informacje niezbędne do wykazania zgodności z niniejszym DPA, w tym:",[52,296,297,300],{},[55,298,299],{},"Aktualne kopie najbardziej istotnych certyfikatów i raportów z audytów (takich jak ISO 27001, jeśli dostępny, oraz raporty SOC 2 typu II odpowiednich Podpodmiotów przetwarzających).",[55,301,302],{},"Pisemne odpowiedzi na uzasadniony kwestionariusz bezpieczeństwa, raz na dwunastomiesięczny okres, bezpłatnie.",[23,304,305],{},"Jeżeli powyższe informacje są niewystarczające, a Klient jest zobowiązany przez swój organ nadzorczy do przeprowadzenia audytu na miejscu, Klient może samodzielnie przeprowadzić audyt lub zlecić jego przeprowadzenie niezależnemu audytorowi na koszt Klienta, z zachowaniem co najmniej sześćdziesięciu (60) dni pisemnego wyprzedzenia, w godzinach pracy, nie częściej niż raz na dwunastomiesięczny okres (chyba że doszło do Naruszenia Danych Osobowych), przy zachowaniu rozsądnych zobowiązań do zachowania poufności i bez zakłócania działalności EasyWeek ani bezpieczeństwa innych klientów. Zakres audytu ogranicza się do weryfikacji zgodności EasyWeek z niniejszym DPA.",[44,307,309],{"id":308},"_13-zwrot-i-usuwanie-danych","13. Zwrot i usuwanie danych",[23,311,312],{},"W ciągu trzydziestu (30) dni od rozwiązania Warunków Usługi dla Firm Klient może eksportować Dane Osobowe Klienta za pomocą narzędzi do samodzielnego eksportu udostępnionych przez Usługę. Po upływie tego trzydziestodniowego okresu przejściowego EasyWeek usunie lub zanonimizuje Dane Osobowe Klienta w rozsądnym terminie, a w każdym razie w ciągu dziewięćdziesięciu (90) dni, z wyjątkiem przypadków, w których EasyWeek jest zobowiązany na mocy prawa UE lub prawa państwa członkowskiego do zachowania niektórych lub wszystkich danych (w takim przypadku zatrzymane dane pozostają objęte obowiązkami w zakresie poufności i bezpieczeństwa wynikającymi z niniejszej DPA).",[23,314,315],{},"Kopie zapasowe zawierające Dane Osobowe Klienta są nadpisywane w sposób ciągły w ramach standardowego okresu przechowywania kopii zapasowych i pozostają objęte niniejszą DPA do czasu jego upływu.",[44,317,319],{"id":318},"_14-odpowiedzialność-i-postanowienia-różne","14. Odpowiedzialność i postanowienia różne",[23,321,322],{},"Odpowiedzialność każdej ze stron wynikająca z niniejszego DPA lub pozostająca w związku z niniejszym DPA podlega ograniczeniom i wyłączeniom odpowiedzialności określonym w Warunkach Korzystania z Usług dla Firm.",[23,324,325],{},"Niniejszy DPA stanowi część Warunków Korzystania z Usług dla Firm. W przypadku jakiejkolwiek sprzeczności między niniejszym DPA a Warunkami Korzystania z Usług dla Firm w odniesieniu do przetwarzania Danych Osobowych Klienta, niniejszy DPA ma pierwszeństwo. W przypadku jakiejkolwiek sprzeczności między niniejszym DPA a Standardowymi Klauzulami Umownymi, Standardowe Klauzule Umowne mają pierwszeństwo.",[23,327,328],{},"Niniejszy DPA podlega prawu Republiki Federalnej Niemiec. Sądy w Düsseldorfie w Niemczech mają wyłączną jurysdykcję, bez uszczerbku dla obowiązkowych uprawnień ochronnych Osób, których dane dotyczą, wynikających z miejsca ich zwykłego pobytu.",[44,330,332],{"id":331},"załącznik-i-opis-przetwarzania","Załącznik I – Opis przetwarzania",[23,334,335,338],{},[59,336,337],{},"Przedmiot przetwarzania","\nPrzetwarzanie niezbędne do świadczenia Usługi Biznesowej EasyWeek na rzecz Klienta.",[23,340,341,344],{},[59,342,343],{},"Czas trwania","\nNa czas obowiązywania Warunków Korzystania z Usługi Biznesowej oraz wszelkich okresów przechowywania danych po jej rozwiązaniu, wymaganych do realizacji Sekcji 13.",[23,346,347,350],{},[59,348,349],{},"Charakter i cel przetwarzania","\nHosting, przechowywanie, wyszukiwanie, organizowanie, modyfikowanie, przesyłanie, usuwanie, anonimizowanie, analiza statystyczna oraz inne operacje przetwarzania niezbędne do dostarczania rezerwacji online, zarządzania relacjami z klientami, finansów i fakturowania, automatyzacji marketingu, tworzenia stron internetowych, przypomnień i powiadomień, wystawiania ofert na platformie marketplace, funkcji wspomaganych przez AI oraz funkcji pomocniczych.",[23,352,353],{},[59,354,355],{},"Kategorie osób, których dane dotyczą",[52,357,358,361,364,367],{},[55,359,360],{},"Końcowi klienci Klienta oraz potencjalni klienci Klienta",[55,362,363],{},"Pracownicy, freelancerzy, wykonawcy i inni upoważnieni użytkownicy Klienta",[55,365,366],{},"Osoby odwiedzające strony rezerwacji online Klienta oraz osadzone widgety",[55,368,369],{},"Nadawcy i odbiorcy komunikatów przesyłanych za pośrednictwem Usługi",[23,371,372],{},[59,373,374],{},"Kategorie danych osobowych",[52,376,377,380,383,386,389,392,395,398,401,404],{},[55,378,379],{},"Dane identyfikacyjne (imię i nazwisko, zdjęcie, płeć)",[55,381,382],{},"Dane kontaktowe (e-mail, telefon, adres)",[55,384,385],{},"Dane logowania upoważnionych użytkowników Klienta",[55,387,388],{},"Historia rezerwacji i wizyt",[55,390,391],{},"Notatki, pliki, zdjęcia, dokumenty przesłane przez Klienta",[55,393,394],{},"Dane programów lojalnościowych, salda kart podarunkowych, segmenty klientów",[55,396,397],{},"Treści komunikatów (SMS, WhatsApp, treść wiadomości e-mail, treść powiadomień push, czat w aplikacji)",[55,399,400],{},"Dane finansowe (rejestry faktur, status płatności, ostatnie 4 cyfry kart płatniczych — pełne dane kart są przetwarzane bezpośrednio przez Stripe i nie są przechowywane przez EasyWeek)",[55,402,403],{},"Dane techniczne (adres IP, identyfikator urządzenia, przeglądarka, język, znaczniki czasu)",[55,405,406],{},"Jeżeli Klient zdecyduje się je rejestrować: notatki dotyczące zdrowia (w kontekście branży beauty, wellness, medycznej lub stomatologicznej). Klient ponosi odpowiedzialność za zapewnienie, że dysponuje ważną podstawą prawną zgodnie z art. 9 RODO przed zapisaniem takich danych.",[23,408,409,412],{},[59,410,411],{},"Częstotliwość transferów"," Ciągła.",[23,414,415,418],{},[59,416,417],{},"Przechowywanie"," Dane osobowe Klienta są przechowywane tak długo, jak Klient instruuje, oraz zgodnie z dalszym opisem zawartym w Sekcji 13.",[44,420,422],{"id":421},"załącznik-ii-środki-techniczne-i-organizacyjne","Załącznik II – Środki techniczne i organizacyjne",[23,424,425],{},"EasyWeek wdraża co najmniej następujące środki, które może od czasu do czasu aktualizować pod warunkiem, że poziom ochrony nie zostanie obniżony:",[52,427,428,434,440,446,452,458,464,470,476,482,488,494,500],{},[55,429,430,433],{},[59,431,432],{},"Pseudonimizacja i szyfrowanie"," — TLS 1.3 dla danych w tranzycie w sieciach publicznych; AES-256 dla danych w spoczynku (bazy danych, magazyn obiektowy, kopie zapasowe); indywidualne klucze szyfrowania na dzierżawcę dla wrażliwych pól, tam gdzie ma to zastosowanie.",[55,435,436,439],{},[59,437,438],{},"Poufność"," — kontrola dostępu oparta na rolach zgodnie z zasadą minimalnych uprawnień, uwierzytelnianie wieloskładnikowe wymagane dla wszystkich dostępów administracyjnych, automatyczne wygasanie sesji, kontrole dostępu oparte na adresie IP dla systemów produkcyjnych, pisemne zobowiązania do zachowania poufności dla całego personelu.",[55,441,442,445],{},[59,443,444],{},"Integralność"," — zarządzanie zmianami, przegląd kodu, automatyczne skanowanie zależności, podpisane artefakty wdrożeniowe, sprawdzanie integralności kopii zapasowych.",[55,447,448,451],{},[59,449,450],{},"Dostępność i odporność"," — produkcyjny hosting w centrach danych Hetzner w Niemczech z redundantnym zasilaniem i siecią, orkiestracja Kubernetes z automatycznym przywracaniem, codzienne kopie zapasowe z replikacją między strefami, udokumentowany plan odtwarzania po awarii z corocznym przeprowadzaniem ćwiczeń symulacyjnych, strona statusu pod adresem status.easyweek.io.",[55,453,454,457],{},[59,455,456],{},"Przywracanie"," — retencja kopii zapasowych wystarczająca do przywrócenia usługi po fizycznym lub technicznym incydencie; kwartalne testy przywracania.",[55,459,460,463],{},[59,461,462],{},"Testowanie i ocena"," — coroczny test penetracyjny środowiska produkcyjnego przeprowadzany przez podmiot zewnętrzny, ciągłe statyczne i dynamiczne testowanie bezpieczeństwa aplikacji w ramach CI/CD, proces zarządzania podatnościami ze zdefiniowanymi SLA dla działań naprawczych.",[55,465,466,469],{},[59,467,468],{},"Segregacja sieci"," — środowiska produkcyjne, stagingowe i deweloperskie są logicznie i fizycznie odseparowane; dostęp administracyjny wyłącznie za pośrednictwem hostów bastion.",[55,471,472,475],{},[59,473,474],{},"Rejestrowanie i monitorowanie"," — scentralizowane dzienniki audytu dla zdarzeń uwierzytelniania, autoryzacji, zmian konfiguracji i eksportu danych, przechowywane przez co najmniej jeden rok; monitorowanie informacji bezpieczeństwa i zdarzeń (SIEM) z alertowaniem przy anomaliach.",[55,477,478,481],{},[59,479,480],{},"Bezpieczne tworzenie oprogramowania"," — SDLC z modelowaniem zagrożeń, przeglądem koleżeńskim, skanowaniem sekretów, zgodnością licencyjną i standardami kodowania zgodnymi z OWASP.",[55,483,484,487],{},[59,485,486],{},"Zarządzanie dostawcami"," — pisemne umowy ze wszystkimi Podwykonawcami przetwarzania nakładające równoważne zobowiązania; okresowy przegląd.",[55,489,490,493],{},[59,491,492],{},"Bezpieczeństwo personelu"," — weryfikacja przeszłości tam, gdzie jest to prawnie dopuszczalne; szkolenia z zakresu świadomości bezpieczeństwa i ochrony danych osobowych przeprowadzane przy zatrudnieniu i corocznie w kolejnych latach.",[55,495,496,499],{},[59,497,498],{},"Zarządzanie incydentami"," — całodobowe dyżury (24/7); udokumentowana instrukcja reagowania na incydenty; powiadamianie o naruszeniu ochrony danych osobowych w ciągu 72 godzin zgodnie z Sekcją 10.",[55,501,502,505],{},[59,503,504],{},"Bezpieczeństwo fizyczne"," — fizyczny dostęp do obiektów przetwarzania jest kontrolowany przez Podwykonawcę przetwarzania obsługującego dany obiekt (Hetzner, Google Cloud) w ramach kontroli certyfikowanych według ISO 27001 / SOC 2.",[44,507,509],{"id":508},"załącznik-iii-zatwierdzeni-podprzetwarzający","Załącznik III – Zatwierdzeni Podprzetwarzający",[23,511,512,513,515],{},"Aktualna lista Podprzetwarzających EasyWeek jest publikowana i aktualizowana pod adresem ",[33,514,173],{"href":173},". Lista dostępna pod tym adresem URL zostaje niniejszym włączona przez odesłanie do niniejszej Umowy o Powierzeniu Przetwarzania Danych oraz Załącznika III.",{"title":3,"searchDepth":517,"depth":517,"links":518},2,[519,520,521,522,523,524,525,526,527,528,529,530,531,532,533,534,535],{"id":46,"depth":517,"text":47},{"id":105,"depth":517,"text":106},{"id":120,"depth":517,"text":121},{"id":134,"depth":517,"text":135},{"id":144,"depth":517,"text":145},{"id":151,"depth":517,"text":152},{"id":162,"depth":517,"text":163},{"id":182,"depth":517,"text":183},{"id":263,"depth":517,"text":264},{"id":273,"depth":517,"text":274},{"id":283,"depth":517,"text":284},{"id":290,"depth":517,"text":291},{"id":308,"depth":517,"text":309},{"id":318,"depth":517,"text":319},{"id":331,"depth":517,"text":332},{"id":421,"depth":517,"text":422},{"id":508,"depth":517,"text":509},"Aneks EasyWeek do umowy przetwarzania danych na podstawie art. 28 RODO: role, instrukcje, dalsze podmioty przetwarzające, ŚTO, przekazywanie danych za granicę, zgłaszanie naruszeń, audyt i rozwiązanie umowy.","md",{"layout":539,"meta_keywords":540,"cover_text":17},"business","data processing addendum, DPA, GDPR Article 28, processor, controller, SCCs, EasyWeek",true,"/easyweek.pl/business/dpa",{"title":8,"description":536},"easyweek.pl/business/dpa","eaNa3gdDR-11ShqDdgyhlrkfoOlxoEyqcP5CiKKq6kY",1782215051720]