HRPanel.cc

Umowa powierzenia przetwarzania danych osobowych

Ostatnia aktualizacja: 24 kwietnia 2026 r.

Na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)

Niniejsza umowa stanowi integralny element Regulaminu serwisu HRPanel.cc i obowiązuje automatycznie od momentu rejestracji konta w Serwisie. Nie wymaga odrębnego podpisu.

1. Strony umowy

  1. Administrator danych (dalej: „Administrator") — Klient, tj. podmiot, który zarejestrował konto w serwisie HRPanel.cc i wprowadza dane osobowe swoich pracowników do Serwisu.
  2. Podmiot przetwarzający (dalej: „Procesor") — Emanuel Maciołek DIY GARAGE, ul. Józefa Sawy-Calińskiego 102A, 31-999 Kraków, NIP: 6782631030, REGON: 122223978, operator serwisu HRPanel.cc.

2. Przedmiot umowy

  1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu niezbędnym do realizacji usługi HRPanel.cc, zgodnie z Regulaminem Serwisu.
  2. Procesor przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, wyrażone poprzez korzystanie z funkcjonalności Serwisu.
  3. Procesor nie przetwarza danych w celach własnych, marketingowych ani analitycznych wykraczających poza świadczenie usługi.

3. Zakres powierzonych danych

3.1. Kategorie osób, których dane dotyczą

  1. Pracownicy i współpracownicy Administratora.
  2. Kandydaci do pracy (jeżeli Administrator wykorzystuje Serwis w tym celu).

3.2. Rodzaje danych osobowych

KategoriaPrzykładowe dane
Dane identyfikacyjneImię, nazwisko, PESEL, data urodzenia
Dane kontaktoweAdres zamieszkania, email, telefon
Dane zatrudnieniaStanowisko, dział, data zatrudnienia, typ umowy, wymiar etatu
Dane finansoweWynagrodzenie, numer konta bankowego, koszty uzyskania przychodu
Dane o nieobecnościachUrlopy, zwolnienia lekarskie (L4), inne nieobecności
Dane ewidencyjneRejestracja czasu pracy (RCP), grafiki zmianowe
Dokumenty pracowniczeSkany umów, orzeczeń lekarskich, szkoleń BHP (e-teczka)

3.3. Charakter i cel przetwarzania

  1. Przechowywanie danych w bazie danych Serwisu.
  2. Wyświetlanie danych w interfejsie Serwisu upoważnionym Użytkownikom.
  3. Obliczenia kadrowo-płacowe (lista płac, normy czasu pracy, wymiar urlopów).
  4. Generowanie raportów i eksportów na żądanie Administratora.
  5. Wysyłka powiadomień email (jeżeli skonfigurowane przez Administratora).
  6. Tworzenie kopii zapasowych.

4. Czas trwania przetwarzania

  1. Procesor przetwarza dane przez okres obowiązywania umowy o świadczenie usługi (aktywna subskrypcja).
  2. Po zakończeniu umowy dane są przechowywane przez 30 dni w celu umożliwienia ich eksportu.
  3. Po upływie 30 dni od zakończenia umowy Procesor trwale usuwa wszystkie dane osobowe Administratora, chyba że obowiązek ich dalszego przechowywania wynika z przepisów prawa.

5. Obowiązki Procesora

  1. Procesor przetwarza dane wyłącznie zgodnie z niniejszą umową i udokumentowanymi poleceniami Administratora.
  2. Procesor zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności.
  3. Procesor wdraża odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych, w szczególności:
    1. szyfrowanie transmisji danych (SSL/TLS z certyfikatem wildcard),
    2. izolacja danych Klientów — każdy Klient ma oddzielny schemat bazy danych (schema-per-tenant),
    3. haszowanie kodów PIN Użytkowników,
    4. ograniczenie dostępu do serwera (SSH z kluczem, brak dostępu root),
    5. regularne kopie zapasowe bazy danych,
    6. ochrona przed atakami brute-force (rate limiting),
    7. dwuskładnikowe uwierzytelnianie (2FA) dla panelu administracyjnego Operatora,
    8. nagłówki bezpieczeństwa HTTP (X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, Referrer-Policy).
  4. Procesor pomaga Administratorowi w realizacji obowiązków z art. 32-36 RODO (bezpieczeństwo, zgłaszanie naruszeń, DPIA), w zakresie w jakim jest to możliwe.
  5. Procesor pomaga Administratorowi w realizacji praw osób, których dane dotyczą (art. 15-22 RODO), udostępniając funkcje eksportu i usuwania danych w Serwisie.
  6. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO.

6. Podpowierzenie przetwarzania (sub-procesorzy)

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z sub-procesorów wymienionych poniżej.
  2. Aktualna lista sub-procesorów:
Sub-procesorZakresLokalizacja danych
OVH SASHosting serwera i bazy danychUE (Francja)
Stripe, Inc.Obsługa płatności (dane płatnicze Klienta)UE / USA (standardowe klauzule umowne)
Resend, Inc.Wysyłka wiadomości emailUSA (standardowe klauzule umowne)
  1. Procesor informuje Administratora o każdej planowanej zmianie dotyczącej dodania lub zastąpienia sub-procesora, dając Administratorowi możliwość wniesienia sprzeciwu.
  2. Procesor zapewnia, że każdy sub-procesor jest związany analogicznymi obowiązkami ochrony danych.

7. Transfer danych poza EOG

  1. Główne przetwarzanie danych odbywa się na serwerach w Unii Europejskiej (OVH, Francja).
  2. W przypadku korzystania z usług sub-procesorów spoza EOG (Stripe, Resend), transfer danych odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską.
  3. Jeżeli Administrator samodzielnie włączy Funkcję AI (Google Gemini) z własnym kluczem API, dane dokumentów mogą być przesyłane do serwerów Google. Transfer ten odbywa się na odpowiedzialność Administratora — szczegóły w Regulaminie, pkt 6.

8. Naruszenie ochrony danych

  1. Procesor powiadamia Administratora o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od wykrycia naruszenia.
  2. Powiadomienie zawiera co najmniej:
    1. opis charakteru naruszenia,
    2. kategorie i przybliżoną liczbę osób, których dane dotyczą,
    3. opis podjętych lub proponowanych środków zaradczych.
  3. Procesor współpracuje z Administratorem w zakresie zgłoszenia naruszenia do Prezesa UODO (art. 33 RODO) i powiadomienia osób, których dane dotyczą (art. 34 RODO).

9. Audyt i kontrola

  1. Administrator ma prawo przeprowadzić audyt zgodności Procesora z niniejszą umową, z zachowaniem 14-dniowego wyprzedzenia.
  2. Audyt może być przeprowadzony przez Administratora lub upoważnionego audytora zewnętrznego, pod warunkiem zachowania poufności.
  3. Procesor udostępnia niezbędne informacje i umożliwia dostęp w zakresie niezbędnym do przeprowadzenia audytu.

10. Postępowanie po zakończeniu umowy

  1. Po zakończeniu świadczenia usługi Procesor — według wyboru Administratora — zwraca dane osobowe (poprzez funkcję eksportu dostępną w Serwisie) lub je trwale usuwa.
  2. Jeżeli Administrator nie dokona eksportu danych w terminie 30 dni od zakończenia umowy, Procesor trwale usuwa dane.
  3. Procesor potwierdza usunięcie danych na żądanie Administratora.

11. Odpowiedzialność

  1. Procesor odpowiada za szkody spowodowane przetwarzaniem wyłącznie w przypadku niedopełnienia obowiązków wynikających z RODO lub niniejszej umowy.
  2. Procesor nie ponosi odpowiedzialności za przetwarzanie danych przez Administratora niezgodnie z przepisami prawa.

12. Postanowienia końcowe

  1. Niniejsza umowa stanowi integralną część Regulaminu serwisu HRPanel.cc.
  2. W sprawach nieuregulowanych stosuje się przepisy RODO oraz prawa polskiego.
  3. Umowa wchodzi w życie z chwilą rejestracji konta w Serwisie i obowiązuje przez cały okres korzystania z usługi.
  4. Umowa wchodzi w życie z dniem 24 kwietnia 2026 r.

Dane Procesora:

Emanuel Maciołek DIY GARAGE
ul. Józefa Sawy-Calińskiego 102A, 31-999 Kraków
NIP: 6782631030, REGON: 122223978
Kontakt: kontakt@hrpanel.cc