Umowa powierzenia przetwarzania danych (DPA)
Arc OS — szablon zgodny z art. 28 RODO
Wersja: 1.0
Data: 2026-05-28
Zgłoszenie: #166
Status: Szablon — przed podpisaniem uzupełnij pola zastępcze
Sposób użycia: Zastąp wszystkie
[PLACEHOLDERS]rzeczywistymi wartościami. Obie strony podpisują i datują dokument. Zachowaj podpisany egzemplarz w dokumentacji. Przeglądaj corocznie lub gdy Arc OS zaktualizuje listę podwykonawców przetwarzania.
Umowa
Niniejsza Umowa powierzenia przetwarzania danych („DPA") zostaje zawarta pomiędzy:
Administrator (Klient):
Nazwa firmy: [CUSTOMER LEGAL NAME]
Numer rejestrowy: [REG NUMBER]
Adres: [REGISTERED ADDRESS]
Kontakt (ochrona danych): [DPO EMAIL OR RESPONSIBLE PERSON]
(„Administrator")
Podmiot przetwarzający:
Arc OS, prowadzony przez [ARC OS LEGAL ENTITY — pending registration]
Adres: [REGISTERED ADDRESS — pending e-Residency / Diia.City]
Kontakt: [email protected]
(„Podmiot przetwarzający")
Strony zawarły Umowę ramową o świadczenie usług („MSA") / subskrypcję arc-os.co z dnia [DATE OF MSA] („Umowa główna"), na mocy której Podmiot przetwarzający świadczy usługi zarządzania zespołem AI („Usługi").
Niniejsza DPA uzupełnia Umowę główną i stanowi jej część. W przypadku sprzeczności między niniejszą DPA a Umową główną, w sprawach ochrony danych pierwszeństwo ma niniejsza DPA.
1. Definicje
| Pojęcie | Znaczenie |
|---|---|
| Dane osobowe | Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, zgodnie z definicją w art. 4 pkt 1 RODO |
| Przetwarzanie | Każda operacja na Danych osobowych, zgodnie z definicją w art. 4 pkt 2 RODO |
| Osoba, której dane dotyczą | Osoba fizyczna, której Dane osobowe są przetwarzane |
| Podwykonawca przetwarzania | Podmiot trzeci zaangażowany przez Podmiot przetwarzający do przetwarzania Danych osobowych w imieniu Administratora |
| RODO | Ogólne rozporządzenie UE o ochronie danych 2016/679 |
| Standardowe klauzule umowne (SCC) | Decyzja Komisji Europejskiej 2021/914/UE |
2. Przedmiot i czas trwania
2.1 Podmiot przetwarzający przetwarza Dane osobowe w imieniu Administratora w związku z Usługami opisanymi w Umowie głównej.
2.2 Niniejsza DPA wchodzi w życie z dniem zawarcia Umowy głównej i pozostaje w mocy do czasu rozwiązania Umowy głównej lub zastąpienia DPA zmienioną wersją podpisaną przez obie strony.
3. Charakter, cel i kategorie przetwarzania
3.1 Charakter przetwarzania:
Zbieranie, przechowywanie, pobieranie, przesyłanie, usuwanie Danych osobowych w związku z działaniem platformy zarządzania zespołem AI Arc OS.
3.2 Cel:
Zapewnienie Administratorowi orkiestracji agentów AI, zarządzania projektami oraz sesji AI z trwałym kontekstem, zgodnie z opisem w Umowie głównej.
3.3 Kategorie Danych osobowych:
| Kategoria | Przykłady | Wymagane? |
|---|---|---|
| Identyfikatory konta | Adres email, ID OAuth (Google/GitHub) | ✅ Obowiązkowe |
| Dane uwierzytelniające | Zahaszowane hasło (bcrypt), tokeny JWT | ✅ Obowiązkowe |
| Dane o użyciu | Zużycie tokenów AI, czasy trwania sesji | ✅ Obowiązkowe |
| Logi aktywności | Zdarzenia projektowe, aktywność zgłoszeń | ✅ Obowiązkowe |
| Treść czatów | Wiadomości konwersacji AI (szyfrowane at rest) | ✅ Obowiązkowe |
| Zdarzenia uwierzytelniania | Znaczniki czasu logowania, adres IP, user agent | ✅ Obowiązkowe |
| Dane użytkowników końcowych przekazane przez Administratora | Zależy od przypadku użycia Administratora | ⚠️ Odpowiedzialność Administratora |
3.4 Kategorie osób, których dane dotyczą:
Pracownicy, współpracownicy lub użytkownicy Administratora, którym Administrator przyznał dostęp do Arc OS.
4. Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający zobowiązuje się:
4.1 Przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym w odniesieniu do przekazywania Danych osobowych do państwa trzeciego, chyba że wymaga tego prawo Unii lub państwa członkowskiego, któremu podlega Podmiot przetwarzający (w takim przypadku Podmiot przetwarzający informuje Administratora o tym wymogu prawnym przed przetwarzaniem, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny).
4.2 Zapewnić, by osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
4.3 Podjąć wszelkie środki wymagane na mocy art. 32 RODO (bezpieczeństwo techniczne i organizacyjne), w tym:
- Szyfrowanie wiadomości czatu at rest AES-256-GCM
- Uwierzytelnianie JWT HMAC-SHA256 z TTL 24h
- Zero-knowledge E2EE przez WebCrypto PBKDF2 dla pól wrażliwych
- TLS 1.2+ dla wszystkich danych w tranzycie
- Kontrole dostępu i bramki uwierzytelniania na wszystkich endpointach API
- Codzienne automatyczne kopie zapasowe z weryfikacją integralności
- Coroczne przeglądy bezpieczeństwa i testy penetracyjne
4.4 Przestrzegać warunków angażowania Podwykonawców przetwarzania (zob. punkt 6).
4.5 Wspierać Administratora w zapewnieniu zgodności z obowiązkami RODO dotyczącymi bezpieczeństwa (art. 32), zgłaszania naruszeń (art. 33–34), ocen skutków dla ochrony danych (art. 35–36) oraz uprzednich konsultacji (art. 36), z uwzględnieniem charakteru przetwarzania i informacji dostępnych Podmiotowi przetwarzającemu.
4.6 Zależnie od decyzji Administratora — usunąć lub zwrócić wszystkie Dane osobowe po zakończeniu świadczenia Usług oraz usunąć istniejące kopie, chyba że prawo Unii lub państwa członkowskiego nakazuje ich przechowywanie.
4.7 Udostępnić Administratorowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwiać audyty i inspekcje prowadzone przez Administratora lub audytora zewnętrznego upoważnionego przez Administratora i przyczyniać się do nich (z rozsądnym wyprzedzeniem, nie częściej niż raz w roku, na koszt Administratora).
4.8 Powiadomić Administratora bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony Danych osobowych — w miarę możliwości w ciągu 72 godzin — na adres: [CONTROLLER DPO EMAIL].
5. Obowiązki Administratora
Administrator zobowiązuje się:
5.1 Zapewnić podstawę prawną (art. 6 RODO) przetwarzania Danych osobowych przekazywanych Podmiotowi przetwarzającemu.
5.2 Przekazywać Podmiotowi przetwarzającemu jasne i kompletne polecenia dotyczące przetwarzania Danych osobowych.
5.3 Zapewnić, by osoby, których dane dotyczą, zostały poinformowane o przetwarzaniu ich Danych osobowych (lub by miała zastosowanie inna podstawa prawna) przed przekazaniem ich danych do Arc OS.
5.4 Nie polecać Podmiotowi przetwarzającemu przetwarzania szczególnych kategorii danych (art. 9 RODO) — danych dotyczących zdrowia, danych biometrycznych, pochodzenia rasowego itp. — bez wyraźnego uprzedniego porozumienia i odpowiednich zabezpieczeń.
6. Podwykonawcy przetwarzania
6.1 Administrator udziela Podmiotowi przetwarzającemu ogólnej pisemnej zgody na angażowanie podwykonawców przetwarzania wymienionych w Załączniku B.
6.2 Podmiot przetwarzający powiadamia Administratora o wszelkich zamierzonych zmianach dotyczących podwykonawców przetwarzania (dodanie lub zastąpienie) emailem na adres [CONTROLLER DPO EMAIL] z 14-dniowym wyprzedzeniem, dając Administratorowi możliwość wniesienia sprzeciwu.
6.3 Podmiot przetwarzający nakłada umownie na wszystkich podwykonawców przetwarzania równoważne obowiązki ochrony danych, zgodnie z postanowieniami niniejszej DPA.
6.4 Podmiot przetwarzający pozostaje w pełni odpowiedzialny wobec Administratora za wykonanie obowiązków przez podwykonawców przetwarzania.
7. Przekazywanie międzynarodowe
7.1 Dane osobowe są przetwarzane na serwerach zlokalizowanych w Unii Europejskiej (Contabo GmbH, Monachium, Niemcy; Hetzner Online GmbH, Gunzenhausen, Niemcy).
7.2 W przypadku gdy podwykonawcy przetwarzania przetwarzają dane poza EOG, Podmiot przetwarzający zapewnia odpowiednie zabezpieczenia, w tym Standardowe klauzule umowne (SCC) zgodnie z decyzją Komisji 2021/914/UE lub decyzje stwierdzające odpowiedni stopień ochrony na podstawie art. 45 RODO.
7.3 Administrator wyraża zgodę na międzynarodowe przekazywanie danych opisane w Załączniku B, z zastrzeżeniem wymienionych tam zabezpieczeń.
8. Prawa osób, których dane dotyczą
8.1 Podmiot przetwarzający wspiera Administratora w odpowiadaniu na wnioski osób, których dane dotyczą (art. 15–22 RODO) — dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw — poprzez:
GET /api/auth/export— przenoszenie danych z art. 20 RODO (limit 3/24h)DELETE /api/auth/account— prawo do usunięcia z art. 17 RODO (kaskada 15+ tabel)
8.2 Podmiot przetwarzający nie odpowiada bezpośrednio na wnioski osób, których dane dotyczą, w imieniu Administratora bez uprzedniego upoważnienia, z wyjątkiem potwierdzenia otrzymania wniosku i przekierowania do Administratora.
9. Odpowiedzialność i zwolnienie z odpowiedzialności
9.1 Każda ze stron odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO zgodnie z art. 82 RODO.
9.2 Podmiot przetwarzający jest zwolniony z odpowiedzialności, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.
9.3 Całkowita odpowiedzialność Podmiotu przetwarzającego na podstawie niniejszej DPA jest ograniczona do kwot zapłaconych przez Administratora na podstawie Umowy głównej w okresie 12 miesięcy poprzedzających zdarzenie będące podstawą roszczenia.
10. Prawo właściwe i jurysdykcja
Niniejsza DPA podlega prawu [GOVERNING LAW — e.g. EU / EE / DE]. Spory rozstrzygane będą w [JURISDICTION].
Podpisy
| Administrator | Podmiot przetwarzający | |
|---|---|---|
| Imię i nazwisko | [AUTHORISED SIGNATORY] |
[ARC OS REPRESENTATIVE] |
| Stanowisko | [TITLE] |
[TITLE] |
| Data | [DATE] |
[DATE] |
| Podpis | _________________ | _________________ |
Załącznik A — Podsumowanie szczegółów przetwarzania
| Pole | Wartość |
|---|---|
| Przedmiot | Platforma zarządzania zespołem AI |
| Czas trwania | Czas trwania Umowy głównej |
| Charakter | Zbieranie, przechowywanie, pobieranie, usuwanie |
| Cel | Orkiestracja agentów AI, trwały kontekst projektów |
| Rodzaje danych | Konto, uwierzytelnianie, użycie, aktywność, czat (szyfrowany) |
| Osoby, których dane dotyczą | Pracownicy / użytkownicy końcowi Administratora |
Załącznik B — Zatwierdzeni podwykonawcy przetwarzania
| Podwykonawca przetwarzania | Cel | Lokalizacja | Zabezpieczenie |
|---|---|---|---|
| Contabo GmbH | Główny hosting serwerów (API, DB) | Monachium, DE 🇩🇪 | W UE, brak transferu |
| Hetzner Online GmbH | Hosting kontenerów cloud (Starter Cloud) | Norymberga, DE 🇩🇪 | W UE, brak transferu |
| Cloudflare, Inc. | CDN, ochrona DDoS, DNS | US 🇺🇸 | SCC (2021/914/UE) |
| Resend, Inc. | Email transakcyjny (auth, zaproszenia) | US 🇺🇸 | SCC |
| Anthropic, PBC | Inferencja modeli AI (Claude API — tylko kredyty próbne) | US 🇺🇸 | SCC + DPA z Anthropic |
| Backblaze, Inc. | Zewnętrzne przechowywanie kopii zapasowych DB | US 🇺🇸 | SCC |
Uwaga: Klient korzysta z własnego klucza API Anthropic (Claude Pro). W takim przypadku Anthropic jest podwykonawcą przetwarzania Klienta, a nie Arc OS.
Załącznik C — Środki techniczne i organizacyjne (TOM)
| Środek | Implementacja |
|---|---|
| Szyfrowanie at rest | AES-256-GCM dla wiadomości czatu i sekretów vaulta |
| Szyfrowanie w tranzycie | TLS 1.2+ wymuszane przez nginx; HSTS włączony |
| E2EE | WebCrypto PBKDF2 (100k iteracji) → klucz główny AES-256-GCM w sessionStorage |
| Uwierzytelnianie | JWT HMAC-SHA256 (TTL 24h), haszowanie haseł bcrypt |
| Kontrola dostępu | Per-projektowa bramka canAccessProject() na każdej trasie API |
| Bezpieczeństwo API | Nagłówki CSP, X-Frame-Options: DENY, nosniff, Permissions-Policy |
| Sieć wewnętrzna | Serwer API wiąże się tylko z 127.0.0.1; nginx proxuje |
| Kopie zapasowe | Codzienne automatyczne kopie; kontrola integralności (PRAGMA integrity_check); upload zewnętrzny |
| Wykrywanie naruszeń | Logowanie zdarzeń auth; fail2ban na SSH; planowane alerty anomalii (#223) |
| Usuwanie danych | Kaskadowe usuwanie z art. 17 RODO w 15+ tabelach; cron retencji danych |
| Log audytowy | Niemodyfikowalne tabele activity_log + platform_audit_log |
| Testy penetracyjne | Cel: coroczny przegląd; sprint Sentinel Phase 53 ukończony 2026-05 |
| Dostęp do prod | Tylko klucz SSH; bez uwierzytelniania hasłem; MFA na GitHub |