Umowa powierzenia przetwarzania danych (DPA)
Ostatnia aktualizacja: grudzień 2025
Niniejsza Umowa powierzenia przetwarzania danych („DPA”) stanowi część głównej umowy o świadczenie usług i/lub Warunków świadczenia usług („Umowa”) oraz podlega im, pomiędzy:
- Ampliro AB, reg. no. 559488-1517, Warfvinges väg 31, 112 51 Stockholm, Sweden, działającą w imieniu i jako dostawca platformy Diplino dostępnej pod adresem diplino.com („Diplino”, „Usługa”, Podmiot przetwarzający), oraz
- Klientem wskazanym w Umowie (Administrator).
Niniejsza DPA określa warunki, na jakich Ampliro przetwarza Dane osobowe w imieniu Administratora w związku ze świadczeniem usług Diplino w zakresie zarządzania certyfikatami i poświadczeniami.
W przypadku konfliktu między niniejszą DPA a Umową w odniesieniu do przetwarzania Danych osobowych, niniejsza DPA ma pierwszeństwo w zakresie takiego konfliktu.
1. Definicje
Na potrzeby niniejszej DPA następujące terminy mają znaczenia określone poniżej. Terminy niezdefiniowane w niniejszej DPA mają znaczenie nadane im w Umowie lub na mocy Obowiązujących przepisów o ochronie danych.
-
„Obowiązujące przepisy o ochronie danych” oznaczają wszelkie przepisy prawa i regulacje dotyczące ochrony danych i prywatności mające zastosowanie do przetwarzania Danych osobowych na podstawie niniejszej DPA, w tym, w stosownych przypadkach, unijne ogólne rozporządzenie o ochronie danych (Rozporządzenie (UE) 2016/679 – „GDPR”), UK GDPR oraz wszelkie krajowe przepisy wykonawcze.
-
„Administrator” oznacza podmiot, który ustala cele i sposoby przetwarzania Danych osobowych.
-
„Podmiot przetwarzający” oznacza podmiot, który przetwarza Dane osobowe w imieniu Administratora.
-
„Dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („Osoba, której dane dotyczą”).
-
„Przetwarzanie”, „Osoba, której dane dotyczą”, „Naruszenie ochrony danych osobowych”, „Organ nadzorczy”, „Dalszy podmiot przetwarzający”, „Państwo trzecie” oraz inne terminy pisane wielką literą mają znaczenie nadane im w GDPR.
-
„Usługi” oznaczają usługi Diplino w zakresie zarządzania certyfikatami i poświadczeniami świadczone przez Ampliro na rzecz Administratora na podstawie Umowy.
2. Role Stron
2.1 Administrator i Podmiot przetwarzający
W odniesieniu do Przetwarzania Danych osobowych opisanego w niniejszej DPA Administrator jest „administratorem”, a Ampliro jest „podmiotem przetwarzającym” w rozumieniu Obowiązujących przepisów o ochronie danych.
2.2 Czynności niezależnego administratora
Administrator przyjmuje do wiadomości, że Ampliro może przetwarzać określone Dane osobowe jako niezależny administrator do własnych prawnie uzasadnionych celów, takich jak rozliczenia i fakturowanie, przestrzeganie obowiązków prawnych, utrzymywanie dzienników bezpieczeństwa, zapobieganie oszustwom oraz analizy Usługi, jak opisano w Polityce prywatności Ampliro/Diplino. Takie przetwarzanie pozostaje poza zakresem niniejszej DPA i podlega odpowiednim informacjom o prywatności.
3. Przedmiot, charakter, cel i czas trwania Przetwarzania
3.1 Przedmiot
Ampliro będzie przetwarzać Dane osobowe w imieniu Administratora w związku ze świadczeniem Usług Diplino, w tym tworzeniem, zarządzaniem, przechowywaniem i weryfikacją cyfrowych certyfikatów i poświadczeń.
3.2 Charakter i cel Przetwarzania
Czynności Przetwarzania obejmują, w zakresie koniecznym do świadczenia i wspierania Usług:
- Generowanie, wydawanie i zarządzanie cyfrowymi certyfikatami i poświadczeniami;
- Przechowywanie i zarządzanie informacjami o uczestnikach i odbiorcach;
- Zapewnianie funkcjonalności weryfikacji i walidacji certyfikatów;
- Zarządzanie kontami użytkowników i rolami (np. administratorzy, instruktorzy, wystawcy);
- Wysyłanie powiadomień e-mail związanych z certyfikatami i Usługą (np. wydanie, aktualizacje lub przypomnienia);
- Zapewnianie wsparcia, utrzymania, rozwiązywania problemów i monitorowania bezpieczeństwa;
- Hosting, tworzenie kopii zapasowych, rejestrowanie i operacje techniczne wymagane do dostarczania Usługi.
3.3 Czas trwania Przetwarzania
Przetwarzanie rozpocznie się w Dniu wejścia w życie Umowy i będzie trwać tak długo, jak Ampliro świadczy Usługi na rzecz Administratora, oraz przez każdy okres retencji wymagany lub dozwolony na mocy Umowy lub Obowiązujących przepisów o ochronie danych. Po rozwiązaniu lub wygaśnięciu Umowy Przetwarzanie ustanie, a Dane osobowe zostaną usunięte lub zwrócone zgodnie z Sekcją 12 niniejszej DPA.
4. Kategorie Osób, których dane dotyczą, oraz rodzaje Danych osobowych
4.1 Kategorie Osób, których dane dotyczą
Dane osobowe przetwarzane przez Ampliro w imieniu Administratora mogą dotyczyć następujących kategorii Osób, których dane dotyczą:
- Odbiorców certyfikatów (np. uczestników kursów, osób uczących się, pracowników, wykonawców), których certyfikaty są wydawane przez Administratora za pośrednictwem Diplino;
- Użytkowników organizacji Diplino Administratora (np. administratorów, instruktorów, wystawców);
- Innych osób, których informacje mogą pojawiać się na certyfikatach lub w metadanych, zgodnie z ustaleniem Administratora.
4.2 Rodzaje Danych osobowych
Przetwarzane Dane osobowe mogą obejmować między innymi:
- Dane identyfikacyjne i kontaktowe:
- Imię i nazwisko, adres e-mail (opcjonalnie w zależności od konfiguracji Administratora);
- Informacje zawodowe:
- Nazwa spółki/organizacji, dział, stanowisko lub rola;
- Dane dotyczące certyfikatów i poświadczeń:
- Szczegóły certyfikatu (np. nazwa kursu, status ukończenia, data wydania, data wygaśnięcia, unikalne identyfikatory certyfikatu);
- Dane weryfikacyjne i walidacyjne (np. podpisy kryptograficzne, hasze, dzienniki weryfikacji);
- Dane konta i użytkowania:
- Rola użytkownika w organizacji Diplino Administratora (np. admin, instruktor);
- Identyfikatory użytkowników, znaczniki czasu logowania i dzienniki aktywności w Usłudze;
- Dane techniczne i bezpieczeństwa:
- Adres IP, typ przeglądarki, przybliżona lokalizacja (na podstawie IP), dzienniki bezpieczeństwa oraz dzienniki audytu dotyczące dostępu i zmian.
Administrator zobowiązuje się nie przekazywać celowo do Usługi żadnych szczególnych kategorii Danych osobowych (art. 9 GDPR) ani Danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 10 GDPR), chyba że zostanie to wyraźnie uzgodnione na piśmie z Ampliro i z zastrzeżeniem dodatkowych zabezpieczeń.
5. Obowiązki Podmiotu przetwarzającego
Ampliro, działając jako Podmiot przetwarzający, będzie:
5.1 Polecenia
Przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym w odniesieniu do przekazywania Danych osobowych do Państwa trzeciego, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego albo inne Obowiązujące przepisy o ochronie danych. W takim przypadku Ampliro poinformuje Administratora o tym wymogu prawnym przed Przetwarzaniem, chyba że prawo zabrania udzielenia takiej informacji.
5.2 Poufność
Zapewniać, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do odpowiednich obowiązków poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
5.3 Bezpieczeństwo Przetwarzania
Wdrażać i utrzymywać odpowiednie środki techniczne i organizacyjne w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku, jak szerzej opisano w Sekcji 8 oraz Załączniku 1 – Środki techniczne i organizacyjne.
5.4 Pomoc w zakresie praw Osób, których dane dotyczą
Uwzględniając charakter Przetwarzania, pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości, w wywiązywaniu się z obowiązku Administratora odpowiadania na wnioski o wykonywanie praw Osób, których dane dotyczą, na mocy Obowiązujących przepisów o ochronie danych (zob. Sekcja 10).
5.5 Pomoc w zapewnieniu zgodności
Pomagać Administratorowi w zapewnieniu przestrzegania obowiązków wynikających z art. 32–36 GDPR (lub równoważnych postanowień innych Obowiązujących przepisów o ochronie danych), uwzględniając charakter Przetwarzania oraz informacje dostępne Ampliro, w tym w zakresie bezpieczeństwa, ocen skutków dla ochrony danych i konsultacji z organami nadzorczymi.
5.6 Rejestry i informacje
Udostępniać Administratorowi wszelkie informacje rozsądnie niezbędne do wykazania zgodności z niniejszą DPA i Obowiązującymi przepisami o ochronie danych oraz umożliwiać audyty i inspekcje i przyczyniać się do nich, jak opisano w Sekcji 11.
5.7 Usuwanie i zwrot danych
Po rozwiązaniu lub wygaśnięciu Usług usunąć lub zwrócić wszystkie Dane osobowe przetwarzane w imieniu Administratora zgodnie z Sekcją 12, chyba że retencja jest wymagana przez Obowiązujące przepisy o ochronie danych.
6. Obowiązki Administratora
Administrator będzie:
- Zapewniać, że posiada ważną podstawę prawną Przetwarzania Danych osobowych oraz zaangażowania Ampliro jako Podmiotu przetwarzającego zgodnie z Obowiązującymi przepisami o ochronie danych;
- Zapewniać, że wszystkie niezbędne informacje o prywatności zostały przekazane Osobom, których dane dotyczą, oraz, gdy jest to wymagane, uzyskano zgody;
- Nie instruować Ampliro, aby przetwarzało Dane osobowe w sposób, który naruszałby Obowiązujące przepisy o ochronie danych;
- Odpowiadać za dokładność, jakość i zgodność z prawem Danych osobowych przekazywanych Ampliro oraz za sposób, w jaki Administrator decyduje się korzystać z Usług.
7. Dalsze podmioty przetwarzające
7.1 Upoważnione dalsze podmioty przetwarzające
Administrator udziela Ampliro ogólnego upoważnienia do angażowania Dalszych podmiotów przetwarzających do Przetwarzania Danych osobowych w imieniu Administratora, pod warunkiem że Ampliro:
- Zapewni, aby każdy Dalszy podmiot przetwarzający był związany pisemnymi obowiązkami w zakresie ochrony danych, które nie są mniej ochronne niż obowiązki określone w niniejszej DPA; oraz
- Pozostaje w pełni odpowiedzialne wobec Administratora za wykonanie obowiązków Dalszego podmiotu przetwarzającego.
7.2 Obecne Dalsze podmioty przetwarzające
Aktualna lista Dalszych podmiotów przetwarzających wykorzystywanych w związku z Usługami jest dostępna pod adresem:
Lista ta może być od czasu do czasu aktualizowana.
7.3 Zmiany Dalszych podmiotów przetwarzających
Ampliro będzie przekazywać powiadomienie o wszelkich zamierzonych zmianach Dalszych podmiotów przetwarzających (na przykład poprzez aktualizację Listy dalszych podmiotów przetwarzających i/lub za pośrednictwem Usługi lub e-maila). Administrator może sprzeciwić się takim zmianom z uzasadnionych przyczyn związanych z ochroną danych. Jeżeli Administrator rozsądnie zgłosi sprzeciw, a strony nie będą mogły dojść do wzajemnie akceptowalnego rozwiązania, Administrator może zakończyć dotknięte Usługi zgodnie z Umową.
8. Międzynarodowe przekazywanie danych
8.1 Przekazywanie
W zakresie, w jakim Ampliro lub jego Dalsze podmioty przetwarzające przekazują Dane osobowe z EOG, UK lub Szwajcarii do Państwa trzeciego, takie przekazywanie odbywa się zgodnie z Obowiązującymi przepisami o ochronie danych, w tym, gdy ma to zastosowanie:
- Z wykorzystaniem standardowych klauzul umownych Komisji Europejskiej (SCCs) do przekazywania Danych osobowych do Państw trzecich; i/lub
- Jakiegokolwiek równoważnego lub zastępczego mechanizmu przekazywania uznanego na mocy Obowiązujących przepisów o ochronie danych (np. UK International Data Transfer Addendum).
8.2 Dalsze zapewnienia
Ampliro, na pisemny wniosek, przekaże Administratorowi informacje o mechanizmach przekazywania stosowanych w odpowiednich scenariuszach przekazywania oraz, gdy będzie to konieczne, zawrze odpowiednie dodatkowe umowy i zabezpieczenia.
9. Środki bezpieczeństwa
Ampliro będzie wdrażać i utrzymywać odpowiednie środki techniczne i organizacyjne w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku, uwzględniając charakter, zakres, kontekst i cele Przetwarzania oraz ryzyka o różnym prawdopodobieństwie i wadze dla praw i wolności Osób, których dane dotyczą. Środki te obejmują między innymi środki opisane w Załączniku 1 – Środki techniczne i organizacyjne i mogą obejmować:
- Szyfrowanie danych w spoczynku i podczas przesyłania (np. TLS 1.3 dla danych podczas przesyłania);
- Wykorzystanie solidnych podpisów kryptograficznych (np. Ed25519) do integralności i weryfikacji certyfikatów;
- Kontrole dostępu, uwierzytelnianie i zasady najmniejszych uprawnień dla personelu i komponentów systemu;
- Regularne monitorowanie bezpieczeństwa, rejestrowanie i audyt dostępu do Danych osobowych;
- Bezpieczne praktyki tworzenia i wdrażania oprogramowania.
Ampliro może od czasu do czasu aktualizować swoje środki techniczne i organizacyjne, pod warunkiem że takie aktualizacje nie ograniczą istotnie ogólnego poziomu ochrony.
10. Powiadomienie o naruszeniu ochrony danych
W przypadku Naruszenia ochrony danych osobowych mającego wpływ na Dane osobowe przetwarzane w imieniu Administratora, Ampliro będzie:
- Powiadamiać Administratora bez zbędnej zwłoki po uzyskaniu wiedzy o Naruszeniu ochrony danych osobowych oraz, gdy jest to wykonalne, nie później niż w ciągu 72 godzin; oraz
- Przekazywać informacje rozsądnie dostępne Ampliro dotyczące:
- Charakteru Naruszenia ochrony danych osobowych;
- Kategorii i przybliżonej liczby Osób, których dane dotyczą, oraz wpisów Danych osobowych, których dotyczy naruszenie;
- Prawdopodobnych konsekwencji Naruszenia ochrony danych osobowych;
- Środków podjętych lub proponowanych w celu zaradzenia Naruszeniu ochrony danych osobowych i ograniczenia możliwych negatywnych skutków.
Ampliro będzie współpracować z Administratorem i podejmować rozsądne kroki w celu pomocy Administratorowi w spełnianiu wszelkich obowiązków powiadomienia organów nadzorczych lub Osób, których dane dotyczą, na mocy Obowiązujących przepisów o ochronie danych.
11. Prawa Osób, których dane dotyczą
Uwzględniając charakter Przetwarzania, Ampliro będzie pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości, w wypełnianiu obowiązku Administratora odpowiadania na wnioski o wykonywanie praw Osób, których dane dotyczą, w tym:
- Prawo dostępu (art. 15 GDPR);
- Prawo do sprostowania (art. 16 GDPR);
- Prawo do usunięcia danych (art. 17 GDPR);
- Prawo do ograniczenia przetwarzania (art. 18 GDPR);
- Prawo do przenoszenia danych (art. 20 GDPR);
- Prawo do sprzeciwu (art. 21 GDPR).
Jeżeli Osoba, której dane dotyczą, skontaktuje się bezpośrednio z Ampliro z wnioskiem dotyczącym Danych osobowych przetwarzanych na podstawie niniejszej DPA, Ampliro, w zakresie dozwolonym przez prawo, poinformuje Osobę, której dane dotyczą, że wniosek powinien zostać skierowany do właściwego Administratora, oraz niezwłocznie przekaże taki wniosek Administratorowi.
12. Prawa audytu i inspekcji
12.1 Dokumentacja i informacje
Ampliro udostępni Administratorowi informacje rozsądnie niezbędne do wykazania zgodności ze swoimi obowiązkami wynikającymi z niniejszej DPA i Obowiązujących przepisów o ochronie danych, które mogą obejmować:
- Dokumentację opisującą odpowiednie środki techniczne i organizacyjne;
- Standardową dokumentację bezpieczeństwa i/lub atestacje osób trzecich (jeżeli dostępne).
12.2 Audyty
Jeżeli taka dokumentacja nie jest wystarczająca do wykazania zgodności, Administrator może, na własny koszt i z rozsądnym wyprzedzeniem (co najmniej 30 dni), przeprowadzić lub zlecić audyt, w tym inspekcje, obiektów, systemów i odpowiedniej dokumentacji Ampliro, ograniczony do tego, co jest konieczne do weryfikacji zgodności Ampliro z niniejszą DPA. Każdy audyt będzie:
- Przeprowadzany w normalnych godzinach pracy;
- Nie będzie nieracjonalnie zakłócał działalności Ampliro;
- Będzie podlegał odpowiednim obowiązkom poufności;
- Ograniczony do raz na każde 12 miesięcy, chyba że Obowiązujące przepisy o ochronie danych wymagają częstszych audytów po Naruszeniu ochrony danych osobowych lub na podstawie szczególnych wymogów organu nadzorczego.
13. Usunięcie i zwrot Danych osobowych
13.1 Po rozwiązaniu
Po rozwiązaniu lub wygaśnięciu Umowy, albo na pisemny wniosek Administratora, Ampliro będzie:
- Usuwać lub anonimizować Dane osobowe przetwarzane w imieniu Administratora; lub
- Zwracać Dane osobowe Administratorowi w powszechnie używanym formacie elektronicznym, jeżeli zostanie o to poproszone i będzie to technicznie wykonalne,
chyba że Ampliro jest zobowiązana przez Obowiązujące przepisy o ochronie danych do przechowywania niektórych lub wszystkich Danych osobowych przez dłuższy okres (na przykład do celów prawnych, podatkowych lub księgowych).
13.2 Kopie zapasowe i dzienniki
Dane osobowe przechowywane w kopiach zapasowych lub zarchiwizowanych dziennikach będą bezpiecznie chronione oraz, gdy będzie to wykonalne, nadpisywane lub usuwane zgodnie ze standardowymi cyklami kopii zapasowych i retencji Ampliro.
13.3 Dane zagregowane i zanonimizowane
Żadne postanowienie niniejszej DPA nie uniemożliwia Ampliro przechowywania lub wykorzystywania danych zanonimizowanych lub zagregowanych, których nie można wykorzystać do identyfikacji osoby, zgodnie z Obowiązującymi przepisami o ochronie danych.
14. Postanowienia różne
14.1 Ograniczenie odpowiedzialności
Wszelkie ograniczenia odpowiedzialności uzgodnione między stronami w Umowie mają również zastosowanie do niniejszej DPA, w zakresie dozwolonym przez Obowiązujące przepisy o ochronie danych.
14.2 Rozdzielność postanowień
Jeżeli którekolwiek postanowienie niniejszej DPA zostanie uznane za nieważne lub niewykonalne, pozostałe postanowienia pozostaną w pełnej mocy i skuteczności.
14.3 Prawo właściwe i jurysdykcja
Niniejsza DPA podlega prawu właściwemu i jurysdykcji wskazanym w Umowie oraz będzie interpretowana zgodnie z nimi, chyba że Obowiązujące przepisy o ochronie danych wymagają inaczej.
15. Kontakt
W przypadku zapytań dotyczących ochrony danych i prywatności związanych z niniejszą DPA lub przetwarzaniem Danych osobowych przez Ampliro w związku z Diplino, Administrator może skontaktować się z:
- E-mail: privacy@diplino.com
- Adres pocztowy:
Ampliro AB
Attn: Privacy / Diplino
Warfvinges väg 31
112 51 Stockholm
Sweden
Załącznik 1 – Środki techniczne i organizacyjne
Bez uszczerbku dla obowiązku Ampliro wdrożenia odpowiednich środków na mocy art. 32 GDPR oraz innych Obowiązujących przepisów o ochronie danych, następujące środki ilustrują kluczowe zabezpieczenia wdrożone w związku z Usługą Diplino:
-
Szyfrowanie i kryptografia
- Szyfrowanie danych podczas przesyłania z wykorzystaniem protokołów zgodnych ze standardami branżowymi (np. TLS 1.3 lub równoważnych).
- Szyfrowanie danych w spoczynku w bazowych bazach danych i systemach przechowywania.
- Wykorzystanie solidnych podpisów kryptograficznych (np. Ed25519) do podpisywania i weryfikacji certyfikatów, zapewniające integralność i autentyczność.
-
Kontrola dostępu i zarządzanie tożsamością
- Kontrola dostępu oparta na rolach (RBAC) w ramach Usługi w celu ograniczenia dostępu do Danych osobowych na podstawie ról użytkowników (np. admin, instruktor).
- Silne mechanizmy uwierzytelniania dostępu administracyjnego.
- Zasada najmniejszych uprawnień stosowana do personelu wewnętrznego i systemów uzyskujących dostęp do Danych osobowych.
-
Bezpieczeństwo sieci i infrastruktury
- Korzystanie z bezpiecznej infrastruktury chmurowej i segmentacji sieci, gdy jest to właściwe.
- Zapory sieciowe, grupy bezpieczeństwa i podobne kontrole sieciowe w celu ochrony systemów produkcyjnych.
- Regularne stosowanie poprawek i aktualizacji bezpieczeństwa.
-
Rejestrowanie, monitorowanie i audyt
- Rejestrowanie audytowe aktywności użytkowników i dostępu związanego z certyfikatami i Danymi osobowymi.
- Scentralizowane rejestrowanie i monitorowanie zdarzeń infrastrukturalnych w celu wykrywania anomalii i reagowania na incydenty.
- Retencja dzienników audytu zgodnie z potrzebami bezpieczeństwa i zgodności.
-
Rozwój i zarządzanie zmianą
- Bezpieczne praktyki tworzenia oprogramowania, w tym przegląd kodu, kontrola wersji i testowanie.
- Kontrolowane procesy wdrożeniowe z ograniczonym dostępem do środowisk produkcyjnych.
- Oddzielenie środowisk rozwoju, staging i produkcji.
-
Środki organizacyjne i szkolenia
- Obowiązki poufności dla pracowników i wykonawców mających dostęp do Danych osobowych.
- Szkolenia i budowanie świadomości personelu w zakresie praktyk ochrony danych i bezpieczeństwa informacji.
- Wewnętrzne polityki dotyczące ochrony danych, retencji i reagowania na incydenty.
-
Ciągłość działania i kopie zapasowe
- Regularne kopie zapasowe danych i testowane procedury przywracania w celu zapewnienia dostępności i integralności Usługi.
- Plany ciągłości działania i odtwarzania po awarii dla systemów krytycznych.
-
Zarządzanie ryzykiem i przeglądy
- Okresowe oceny ryzyk bezpieczeństwa i ryzyk prywatności związanych z Usługą.
- Przegląd i ulepszanie kontroli bezpieczeństwa w świetle nowych ryzyk, praktyk branżowych i wymogów prawnych.
Ampliro może z czasem aktualizować lub udoskonalać te środki, pod warunkiem że takie zmiany nie spowodują istotnego ograniczenia ogólnego poziomu bezpieczeństwa.