Skip to content
GoDesk
LEGAL · DPA

Dodatek do przetwarzania danych

Ten DPA ma zastosowanie między upDevTeam LTD (‚Procesorem’) a każdym klientem usługi GoDesk, który, korzystając z usługi, przetwarza dane osobowe identyfikowalnych osób jako ‚Administrator’ zgodnie z RODO. Jest włączony do Warunków korzystania z usług poprzez odniesienie.

Ostatnia aktualizacja: 2026-05-06
TL;DR

Jeśli korzystasz z GoDesk, aby wspierać klientów biznesowych, pracowników lub inne identyfikowalne osoby, jesteś Administratorem, a my jesteśmy Procesorem. Ten DPA reguluje, jak przetwarzamy dane osobowe w Twoim imieniu zgodnie z Art. 28 RODO.

Akceptując nasze Warunki korzystania z usług, akceptujesz także ten DPA. Klienci z sektora Enterprise, którzy potrzebują podpisanego PDF-a, mogą o to poprosić pod adresem info@godeskflow.com.

Treści
  1. 01Definicje
  2. 02Zakres i role
  3. 03Szczegóły przetwarzania (artykuł 28(3) RODO)
  4. 04Obowiązki procesora
  5. 05Podprocesorzy
  6. 06Środki bezpieczeństwa
  7. 07Międzynarodowe transfery
  8. 08Żądania osób, których dane dotyczą
  9. 09Naruszenia danych osobowych
  10. 10Audyty
  11. 11Zwrot i usunięcie
  12. 12Odpowiedzialność
  13. 13Czas trwania
  14. 14Prawo właściwe
  15. 15Kontakt

01Definicje

Zdefiniowane terminy mają znaczenia nadane im w RODO. Następujące terminy mają poniższe znaczenia.

Dane osobowe klienta
Dane osobowe, które klient lub jego końcowi użytkownicy przesyłają lub przechowują w usłudze GoDesk, a które przetwarzamy w imieniu klienta jako Procesor.
RODO
Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. (Ogólne rozporządzenie o ochronie danych) oraz wszelkie krajowe przepisy wdrażające, w tym brytyjskie RODO.
Procesor
upDevTeam LTD.
Administrator
Klient.
Podprocesor
Każdy zewnętrzny procesor zaangażowany przez upDevTeam LTD do przetwarzania danych osobowych klienta.
Standardowe Klauzule Umowne
Standardowe Klauzule Umowne dotyczące transferu danych osobowych do krajów trzecich zgodnie z RODO, przyjęte przez Decyzję wykonawczą Komisji (UE) 2021/914 (Moduł 2 / Moduł 3, w miarę potrzeby).

02Zakres i role

Ten DPA ma zastosowanie do przetwarzania danych osobowych klienta, które są realizowane przez upDevTeam LTD w imieniu klienta w trakcie świadczenia Usługi.

Strony przyjmują do wiadomości, że w odniesieniu do takiego przetwarzania Klient jest Administratorem, a upDevTeam LTD jest Procesorem.

upDevTeam LTD przetwarza również dane jako Administrator w zakresie własnych operacji biznesowych (fakturowanie, przeciwdziałanie nadużyciom, marketing). Polityka prywatności opisuje to przetwarzanie.

03Szczegóły przetwarzania (artykuł 28(3) RODO)

Przedmiot
Świadczenie usługi zdalnego pulpitu GoDesk dla Klienta.
Czas trwania
Tak długo, jak Klient korzysta z Usługi oraz wszelkie postanowienia dotyczące przechowywania danych po zakończeniu umowy zawarte w sekcji 11.
Charakter i cel
Hosting, transmisja, uwierzytelnianie, telemetria, wsparcie oraz inne przetwarzanie niezbędne do działania Usługi.
Kategorie danych
Identyfikatory kont (e-mail, identyfikator peer), metadane połączenia (znaczniki czasowe, IP) oraz wszelkie dane osobowe, które Klient zdecyduje się umieścić w nazwach urządzeń lub metadanych sesji. Zawartość sesji jest szyfrowana end-to-end i nie jest dostępna dla nas w postaci tekstu jawnego.
Kategorie osób, których dane dotyczą
Użytkownicy końcowi Klienta, pracownicy, kontraktorzy oraz wszelkie osoby, których urządzenia są uzyskiwane przez Klienta za pośrednictwem Usługi.
Specjalne kategorie danych
Nie zbierane przez upDevTeam LTD jako Procesora. Klient nie może umieszczać danych specjalnych kategorii w nazwach urządzeń ani innych metadanych w postaci tekstu jawnego.

04Obowiązki procesora

upDevTeam LTD będzie:

  • przetwarzać Dane Osobowe Klienta tylko zgodnie z udokumentowanymi instrukcjami Klienta, w tym tymi zawartymi w Warunkach i w tym DPA, chyba że wymagają tego prawo UE lub krajowe;
  • zapewnić, że personel upoważniony do przetwarzania Danych Osobowych Klienta jest związany odpowiednimi obowiązkami poufności;
  • wdrożyć i utrzymywać środki techniczne i organizacyjne opisane w sekcji 6;
  • szanować warunki zawarte w artykule 28(2) i (4) RODO w odniesieniu do angażowania Podprocesorów (sekcja 5);
  • pomagać Klientowi, biorąc pod uwagę charakter przetwarzania, w wypełnianiu jego obowiązków na podstawie artykułów 32 do 36 RODO;
  • udostępniać wszystkie informacje niezbędne do wykazania zgodności z artykułem 28 RODO.

05Podprocesorzy

Klient upoważnia upDevTeam LTD do angażowania następujących Podprocesorów:

Supabase, Inc.
Baza danych kont, uwierzytelnianie, przechowywanie telemetrii. Hosting w UE.
Hetzner Online GmbH
Obliczenia i przepustowość dla relayów i infrastruktury webowej (Cypr i Niemcy).
Cloudflare, Inc.
DNS, CDN, bezpieczeństwo krawędzi.
Google Ireland Ltd.
Opcjonalna analiza, tylko gdy użytkownicy końcowi Klienta wyrażą na to zgodę poprzez baner z plikami cookie.
Stripe Payments Europe Ltd.
Przetwarzanie kart dla płatnych planów.

Poinformujemy Klienta z co najmniej 30-dniowym wyprzedzeniem przed dodaniem lub zastąpieniem Podprocesora, publikując zmianę na godeskflow.com/dpa lub wysyłając e-mail do kontaktu. Jeśli Klient zasadnie zgłosi sprzeciw na podstawie ochrony danych, będziemy działać w dobrej wierze, aby znaleźć rozwiązanie; jeśli nie uda się dojść do porozumienia, Klient może wygasić dotkniętą Usługę z wygodnych powodów.

Pozostajemy odpowiedzialni przed Klientem za działania i zaniechania naszych Podprocesorów tak, jakby były to nasze własne.

06Środki bezpieczeństwa

Wdrażamy i utrzymujemy środki techniczne i organizacyjne odpowiednie do ryzyka, w tym:

  • TLS 1.3 w tranzycie, AES-256-GCM w spoczynku dla kopii zapasowych, wymiana kluczy X25519 + ED25519 dla treści sesji szyfrowanej end-to-end;
  • kontrola dostępu oparta na rolach z domyślnymi ustawieniami minimalnych uprawnień oraz obowiązkowym uwierzytelnianiem dwuetapowym dla personelu;
  • centralne logowanie audytów działań administracyjnych na systemach produkcyjnych;
  • zarządzanie podatnościami, skanowanie zależności i terminowe aktualizacje zabezpieczeń;
  • bezpieczeństwo fizyczne powierzone operatorom centrów danych certyfikowanych zgodnie z normą ISO 27001;
  • dokumentowana procedura reakcji na incydenty z rotacją dyżurów.

07Międzynarodowe transfery

Dane Osobowe Klienta są hostowane w EOG. Gdzie transfer Danych Osobowych Klienta poza EOG jest konieczny (np. gdy zaangażowany jest Podprocesor z siedzibą w USA), strony włączają Klauzule standardowe umowne przez odniesienie, z upDevTeam LTD działającym jako 'eksporter danych' dla tego transferu oraz Podprocesorem jako 'importer danych'.

Gdy Klient jest zarejestrowany poza EOG, a dane osobowe przepływają od upDevTeam LTD do Klienta, strony wprowadzają SCC (Moduł 4) dla odpowiedniego transferu.

Przeprowadzamy ocenę wpływu transferu dla każdego Sub-przetwarzającego spoza EOG i stosujemy środki uzupełniające (szyfrowanie, pseudonimizację), gdzie ocena to zaleca.

08Żądania osób, których dane dotyczą

Jeżeli otrzymamy żądanie od osoby, której dane dotyczą, w odniesieniu do Danych Osobowych Klienta, nie odpowiemy bezpośrednio, wyjątkiem jest potwierdzenie odbioru i skierowanie osoby, której dane dotyczą, do Klienta. Przekażemy żądanie Klientowi bez zbędnej zwłoki.

Udzielimy Klientowi rozsądnej pomocy w odpowiedzi na żądania dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu, biorąc pod uwagę charakter przetwarzania i dostępne nam informacje. Gdy żądanie jest nadmierne lub rażąco nieuzasadnione, możemy pobrać rozsądna opłatę.

09Naruszenia danych osobowych

Powiadomimy Klienta bez zbędnej zwłoki, w każdym razie w ciągu 72 godzin od chwili, gdy staniemy się świadomi naruszenia danych osobowych dotyczących Danych Osobowych Klienta. Powiadomienie będzie zawierać informacje wymagane przez Artykuł 33(3) RODO w zakresie, w jakim są znane, z aktualizacjami w miarę postępu śledztwa.

Współpracujemy z Klientem w celu opanowania, zbadania i udokumentowania naruszenia i nie będziemy wydawać żadnych publicznych oświadczeń na ten temat bez wcześniejszej zgody Klienta, chyba że wymaga tego prawo.

10Audyty

Dostarczamy Klientowi informacje niezbędne do wykazania zgodności z Artykułem 28 RODO poprzez (a) niniejszą DPA, (b) dostępny na żądanie dokument white paper dotyczący bezpieczeństwa oraz (c) najnowsze raporty audytów zewnętrznych odpowiednich Sub-przetwarzających (np. raporty SOC 2).

Jeśli Klient uzna, że materiały, o których mowa w sekcji 10.1, są niewystarczające, Klient może, na swój koszt i po co najmniej 30 dniach pisemnego powiadomienia, przeprowadzić audyt naszej zgodności z niniejszą DPA nie więcej niż raz w roku (z wyjątkiem przypadku poważnego naruszenia), pod warunkiem że audyt (i) odbywa się w normalnych godzinach pracy, (ii) nie zakłóca naszych operacji, (iii) jest przeprowadzany przez niezależnego audytora związane odpowiednimi obowiązkami poufności, i (iv) nie obejmuje dostępu do obiektów lub danych innych klientów.

Raporty z audytów są informacjami poufnymi upDevTeam LTD i mogą być udostępniane tylko regulacjom i doradcom prawnym w ramach poufności.

11Zwrot i usunięcie

Po zakończeniu Usługi, w zależności od wyboru Klienta, w ciągu 30 dni od daty rozwiązania, zwrócimy wszystkie Dane Osobowe Klienta w ustrukturyzowanym formacie elektronicznym lub usuniemy je w sposób bezpieczny, z wyjątkiem sytuacji, gdy przechowywanie jest wymagane przez prawo UE lub prawo państwa członkowskiego.

Kopie zapasowe będą usuwane zgodnie z naszym standardowym cyklem przechowywania kopii zapasowych (obecnie 35 dni). Kopie zapasowe pozostają chronione przez środki bezpieczeństwa określone w sekcji 6, dopóki nie zostaną nadpisane.

12Odpowiedzialność

Odpowiedzialność wynikająca z niniejszej DPA jest regulowana sekcją ograniczenia odpowiedzialności Warunków korzystania z usługi.

Gdy Artykuł 82 RODO przydziela odpowiedzialność między wspólnymi administratorami, procesorami a sub-przetwarzającymi, strony zgadzają się stosować do tego ustawowego podziału.

13Czas trwania

Niniejsza DPA wchodzi w życie z dniem przyjęcia przez Klienta Warunków korzystania z usługi i trwa tak długo, jak upDevTeam LTD przetwarza Dane Osobowe Klienta w imieniu Klienta, plus wszelki okres przetrwania niezbędny do zrealizowania obowiązków wynikających z sekcji 9, 10 i 11.

14Prawo właściwe

Niniejsza DPA podlega prawu Republiki Cypryjskiej, z wyjątkiem sytuacji, gdy mają zastosowanie SCC, wówczas obowiązuje prawo określone w SCC w zakresie spraw objętych zakresem SCC.

15Kontakt

Powiadomienia dotyczące niniejszej DPA powinny być wysyłane na adres info@godeskflow.com (kwestie związane z przetwarzaniem danych) oraz na adres info@godeskflow.com (kwestie dotyczące osób, których dane dotyczą oraz organów nadzorczych).

Jeśli potrzebujesz kopii tego DPA z podpisem na papierze firmowym upDevTeam LTD, napisz na adres info@godeskflow.com. Wersja angielska niniejszej DPA jest wersją wiążącą.