Informacje prawne

Umowa powierzenia przetwarzania danych osobowych

Data wejścia w życie

9 lipca 2026

1. Strony i kontekst

Niniejsza Umowa powierzenia przetwarzania danych osobowych („UPPD") zostaje zawarta między Notakey Latvia, SIA, jednolity numer rejestracyjny 40103993632, adres siedziby Ganu iela 3 – 12, Rīga, LV-1010, Łotwa („Notakey" lub „Podmiot przetwarzający") a klientem wskazanym w odpowiednim Formularzu zamówienia lub subskrypcji („Klient" lub „Administrator"). Stanowi ona część Warunków świadczenia usług Notakey (dalej „Umowa") i zostaje do nich włączona.

Niniejsza UPPD ma zastosowanie, gdy Notakey przetwarza dane osobowe w imieniu Klienta w ramach świadczenia Usług, w rozumieniu rozporządzenia (UE) 2016/679 (dalej „RODO"). Pojęcia takie jak „dane osobowe", „przetwarzanie", „administrator", „podmiot przetwarzający" oraz „osoba, której dane dotyczą" mają znaczenie nadane im w RODO.

2. Przedmiot, czas trwania, charakter i cel

Przedmiot: świadczenie na rzecz Klienta Usług Notakey w zakresie uwierzytelniania i podpisywania transakcji (notakey.cloud lub urządzenie Notakey Appliance, wraz z aplikacją mobilną Notakey).

Czas trwania: okres obowiązywania Umowy oraz okres do czasu usunięcia lub zwrotu wszystkich Danych osobowych Klienta na podstawie punktu 10.

Charakter i cel: hosting, przesyłanie i przetwarzanie danych dotyczących uwierzytelniania i zatwierdzania transakcji, tak aby upoważnieni użytkownicy Klienta mogli rejestrować urządzenia, otrzymywać żądania zatwierdzenia oraz zatwierdzać lub odrzucać operacje uwierzytelniania i podpisywania.

Kategorie osób, których dane dotyczą: pracownicy, współpracownicy, klienci, członkowie lub inni użytkownicy końcowi Klienta, których Klient rejestruje w Usługach.

Rodzaje danych osobowych: identyfikatory użytkowników (takie jak nazwa użytkownika, adres e-mail lub numer telefonu); dane weryfikacji rejestracji (takie jak jednorazowe kody dostarczane przez SMS lub WhatsApp, poświadczenia katalogu lub OpenID Connect albo ręczne zatwierdzenie przez administratora); dane urządzenia (model urządzenia, wersja systemu operacyjnego, token powiadomień push, klucz publiczny i certyfikat urządzenia); a także aktywność uwierzytelniania/zatwierdzania (metadane żądań, wyniki zatwierdzenia/odrzucenia, znaczniki czasu, podpisy). Klucze prywatne są generowane i przechowywane na urządzeniach użytkowników końcowych i nigdy nie są przekazywane do Notakey ani przez Notakey przechowywane. Nie przewiduje się przetwarzania szczególnych kategorii danych osobowych (art. 9 RODO); weryfikacja biometryczna, jeżeli jest stosowana, odbywa się w całości na urządzeniu użytkownika końcowego i nie jest odbierana przez Notakey.

3. Role i polecenia

Klient jest administratorem, a Notakey podmiotem przetwarzającym Dane osobowe Klienta. Notakey będzie przetwarzać Dane osobowe Klienta wyłącznie na udokumentowane polecenie Klienta, w tym zgodnie z Umową, niniejszą UPPD oraz konfiguracją Usług dokonaną przez Klienta, chyba że przetwarzanie jest wymagane przez prawo Unii lub prawo państwa członkowskiego, któremu podlega Notakey — w takim przypadku Notakey poinformuje Klienta o tym obowiązku prawnym przed przetwarzaniem, chyba że prawo tego zakazuje. Notakey poinformuje Klienta, jeżeli w jego opinii polecenie narusza RODO.

4. Poufność

Notakey zapewnia, że osoby upoważnione do przetwarzania Danych osobowych Klienta są związane umownymi lub ustawowymi obowiązkami zachowania poufności.

5. Bezpieczeństwo

Notakey wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne w celu ochrony Danych osobowych Klienta, uwzględniając stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, zgodnie z wymogami art. 32 RODO. Aktualne środki opisano w Załączniku 2. Notakey może je od czasu do czasu aktualizować, pod warunkiem że ogólny poziom ochrony nie ulegnie obniżeniu.

6. Podmioty podprzetwarzające

Klient udziela Notakey ogólnego upoważnienia do korzystania z podmiotów podprzetwarzających wymienionych w Załączniku 3. Notakey powiadomi Klienta co najmniej 30 dni przed dodaniem lub zastąpieniem podmiotu podprzetwarzającego; Klient może w tym okresie wnieść sprzeciw z uzasadnionych względów ochrony danych, w którym to przypadku strony będą w dobrej wierze dążyć do znalezienia rozwiązania, a w razie jego braku Klient może rozwiązać dotknięte Usługi. Notakey nakłada na każdy podmiot podprzetwarzający obowiązki ochrony danych równoważne obowiązkom wynikającym z niniejszej UPPD i pozostaje odpowiedzialny za ich wykonanie.

7. Wsparcie dla Klienta

Uwzględniając charakter przetwarzania, Notakey będzie wspomagać Klienta odpowiednimi środkami technicznymi i organizacyjnymi, w miarę możliwości, w wywiązywaniu się z obowiązków Klienta w zakresie odpowiadania na żądania osób, których dane dotyczą (rozdział III RODO), oraz w zakresie obowiązków Klienta wynikających z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków dla ochrony danych oraz uprzednie konsultacje), w każdym przypadku na uzasadnione żądanie Klienta. Jeżeli osoba, której dane dotyczą, skontaktuje się z Notakey bezpośrednio w sprawie korzystania przez Klienta z Usług, Notakey przekaże żądanie Klientowi bez zbędnej zwłoki.

8. Zgłaszanie naruszeń ochrony danych osobowych

Notakey powiadomi Klienta bez zbędnej zwłoki po powzięciu wiedzy o naruszeniu ochrony danych osobowych dotyczącym Danych osobowych Klienta oraz przekaże informacje, które są w uzasadnionym zakresie dostępne Notakey, aby pomóc Klientowi w wywiązaniu się z jego własnych obowiązków w zakresie zgłaszania wynikających z art. 33 i 34 RODO, uzupełniając zgłoszenie w miarę udostępniania dalszych informacji.

9. Międzynarodowe przekazywanie danych

Notakey przetwarza Dane osobowe Klienta w Europejskim Obszarze Gospodarczym. notakey.cloud jest hostowana w Oracle Cloud Infrastructure. Jeżeli podmiot podprzetwarzający przetwarza dane osobowe poza EOG (zob. Załącznik 3), Notakey zapewnia, że obowiązuje odpowiednie zabezpieczenie przekazywania, takie jak standardowe klauzule umowne Komisji Europejskiej lub decyzja stwierdzająca odpowiedni stopień ochrony (w tym Ramy ochrony danych UE–USA (EU–US Data Privacy Framework), o ile odbiorca posiada odpowiedni certyfikat).

10. Usunięcie i zwrot danych

Po rozwiązaniu lub wygaśnięciu Usług Notakey, według wyboru Klienta, usunie lub zwróci wszystkie Dane osobowe Klienta oraz usunie istniejące kopie bez zbędnej zwłoki, chyba że prawo Unii lub prawo państwa członkowskiego wymaga dalszego przechowywania.

11. Audyty

Notakey udostępni Klientowi informacje w uzasadnionym zakresie niezbędne do wykazania zgodności z niniejszą UPPD oraz umożliwi przeprowadzanie audytów, w tym inspekcji, prowadzonych przez Klienta lub audytora upoważnionego przez Klienta, i będzie w nich uczestniczyć, z zastrzeżeniem rozsądnego uprzedniego powiadomienia, nie częściej niż raz w okresie 12 miesięcy, chyba że naruszenie ochrony danych osobowych lub organ nadzorczy wymaga inaczej, w zwykłych godzinach pracy i z zachowaniem obowiązków poufności. Notakey może najpierw spełnić żądanie audytu, udostępniając istniejące raporty z audytów lub certyfikaty, o ile w uzasadnionym zakresie odpowiadają one zakresowi żądania.

12. Odpowiedzialność i pierwszeństwo

Odpowiedzialność każdej ze stron na podstawie niniejszej UPPD podlega ograniczeniom odpowiedzialności zawartym w Umowie. W przypadku sprzeczności między niniejszą UPPD a Umową w zakresie przetwarzania danych osobowych, pierwszeństwo ma niniejsza UPPD.

Załącznik 1 — Szczegóły przetwarzania

Zgodnie z punktem 2 niniejszej UPPD (przedmiot, czas trwania, charakter i cel, kategorie osób, których dane dotyczą, oraz rodzaje danych osobowych).

Załącznik 2 — Środki techniczne i organizacyjne

  • Klucze prywatne użytkowników końcowych są generowane i przechowywane w sprzętowo zabezpieczonej, bezpiecznej pamięci urządzenia i nigdy nie są przekazywane do Notakey ani przez Notakey przechowywane; każde zatwierdzenie jest kryptograficznie podpisywane na urządzeniu.
  • Dane w tranzycie są szyfrowane przy użyciu TLS.
  • Zawartość żądań zatwierdzenia jest dostarczana na urządzenie dopiero po zaakceptowaniu przez użytkownika powiadomienia push; dostawcy push (APNs/FCM) otrzymują tokeny, a nie treść żądań.
  • Dalsze szczegóły dotyczące środków technicznych i organizacyjnych Notakey są udostępniane Klientowi na żądanie pod adresem info@notakey.com.

Załącznik 3 — Upoważnione podmioty podprzetwarzające

  • Oracle Cloud Infrastructure — hosting notakey.cloud.
  • Apple Inc. (Apple Push Notification service) — dostarczanie powiadomień push na urządzenia iOS.
  • Google LLC (Firebase Cloud Messaging) — dostarczanie powiadomień push na urządzenia Android.
  • Functional Software, Inc. (Sentry) — diagnostyka błędów i awarii aplikacji.

Jeżeli konfiguracja wdrażania Klienta przewiduje dostarczanie jednorazowych kodów przez SMS lub WhatsApp, dostawca usług przesyłania wiadomości otrzymuje numer telefonu użytkownika końcowego w celu dostarczenia. Aktualna lista podmiotów podprzetwarzających jest dostępna na żądanie pod adresem info@notakey.com.