Právne dokumentyPodmienky spracovania údajov

Podmienky spracovania údajov

Článok 28 Podmienky spracúvania údajov GDPR, ktoré platia, keď Konfi Cloud spracúva osobné údaje v mene firemného zákazníka.

Posledná aktualizácia: 18 May 2026

Strany a rozsah

Tieto podmienky spracovania údajov (DPA) tvoria záväzky podľa článku 28 GDPR medzi Dawidom Sobolewskim, prevádzkujúcim Konfi Cloud ako individuálny poskytovateľ služieb v Poľsku (spracovateľ), a obchodným zákazníkom, ktorý prijal podmienky Konfi Cloud (správca).

Tieto podmienky sa automaticky vzťahujú na akékoľvek osobné údaje, ktoré zákazník alebo jeho koncoví používatelia zadajú, odovzdajú alebo inak spracujú v rámci pracovného priestoru Konfi Cloud. Spolupodpísaná kópia je k dispozícii na požiadanie na adrese support@getkonfi.com; verzia v produkte uvedená nižšie je štandardná ponuka, ktorá platí, kým nebude zavedený protipodpísaný variant.

Predmet, trvanie a kategórie

  • Predmet: poskytovanie riadiacej roviny Konfi Cloud SaaS a súvisiacej podpory operátora.
  • Trvanie: pokiaľ má zákazník aktívny účet Konfi Cloud alebo pracovný priestor a počas akéhokoľvek písomne ​​dohodnutého obdobia uchovávania po ukončení.
  • Povaha a účel spracovania: hosting, ukladanie, organizovanie, získavanie, zobrazovanie, prenos a iné zaobchádzanie s údajmi o zákazníkoch tak, aby zákazník a jeho koncoví používatelia mohli používať Konfi Cloud.
  • Kategórie dotknutých osôb: zamestnanci zákazníka, dodávatelia, koncoví zákazníci, dodávatelia a akékoľvek iné osoby, ktorých osobné údaje sa zákazník rozhodne vložiť do pracovného priestoru.
  • Kategórie osobných údajov: identifikačné a kontaktné údaje, prihlasovacie údaje k účtu a autentifikačné metadáta, obchodné údaje a údaje o objednávkach, fakturačné a daňové údaje, podporná komunikácia a akékoľvek iné osobné údaje, ktoré sa zákazník rozhodne spracovávať.

Pokyny na spracovanie

Konfi Cloud spracúva osobné údaje iba na základe zdokumentovaných pokynov prevádzkovateľa, ako je uvedené v týchto podmienkach DPA, hlavných podmienkach Konfi Cloud, zásadách ochrany osobných údajov, konfigurácii, ktorú si zákazník zvolí v pracovnom priestore, a akýchkoľvek písomných pokynov prijatých poskytovateľom služieb.

Ak platné právne predpisy vyžadujú, aby poskytovateľ služieb spracúval osobné údaje inak, poskytovateľ služieb o tom pred spracovaním informuje prevádzkovateľa, pokiaľ tento zákon takéto informácie nezakazuje z dôležitých dôvodov verejného záujmu.

Subprocesory

Kontrolór oprávňuje poskytovateľa služieb používať podprocesorov uvedených na stránke Podprocesorov. Poskytovateľ služieb bude tento zoznam aktualizovať a vopred upozorní na akékoľvek zamýšľané pridanie alebo nahradenie subdodávateľa prostredníctvom webovej lokality, oznámenia v produkte alebo e-mailom kontaktom správcu pracovného priestoru.

Prevádzkovateľ môže namietať voči novému subdodávateľovi z primeraných dôvodov súvisiacich s GDPR do 30 dní od oznámenia. Ak strany nemôžu námietku vyriešiť, správca môže ukončiť dotknuté služby a získať pomernú časť predplatených, nevyužitých poplatkov za tieto služby.

Bezpečnostné opatrenia

  • Šifrovanie osobných údajov pri prenose (TLS) a v pokoji tam, kde ich poskytovatelia poskytujú.
  • Správa identity a prístupu s povoleniami na základe rolí, presadzovanie MFA pre roly operátora a správcu a protokolovanie auditu privilegovaných akcií.
  • Ochrana siete a aplikácií vrátane Firebase App Check, obmedzovania rýchlosti, podpísaných webhookov a izolácie medzi riadiacou rovinou a prevádzkovými údajmi nájomníka.
  • Prevádzkové opatrenia vrátane prístupu k produkcii s najnižším privilégiom, periodickej rotácie poverení, monitorovania zraniteľnosti, zálohovania a reakcie na incidenty.
  • Personál konajúci pod vedením poskytovateľa služieb je viazaný povinnosťou mlčanlivosti.

Žiadosti subjektu údajov

Poskytovateľ služieb bude pomáhať prevádzkovateľovi, berúc do úvahy povahu spracovania a dostupné informácie, pri plnení jeho povinností reagovať na žiadosti dotknutých osôb podľa kapitoly III GDPR.

Ak dotknutá osoba kontaktuje priamo poskytovateľa služieb so žiadosťou, ktorá sa týka údajov v pracovnom priestore zákazníka, poskytovateľ služieb, ak je to vhodné, odkáže dotknutú osobu na príslušného prevádzkovateľa alebo postúpi žiadosť.

Bezpečnostné incidenty a pomoc

Poskytovateľ služieb bude prevádzkovateľovi pomáhať pri zabezpečovaní súladu s článkami 32 až 36 GDPR (bezpečnosť spracovania, oznamovanie porušenia, hodnotenia vplyvu na ochranu údajov a predchádzajúce konzultácie), pričom zohľadní povahu spracovania a dostupné informácie.

Poskytovateľ služby oznámi prevádzkovateľovi bez zbytočného odkladu po tom, čo sa dozvie o porušení ochrany osobných údajov, ktoré má vplyv na údaje zákazníka, a poskytne prevádzkovateľovi informácie potrebné na splnenie jeho vlastných oznamovacích povinností.

Audity

Poskytovateľ služieb sprístupní prevádzkovateľovi informácie potrebné na preukázanie súladu s článkom 28 GDPR a umožní a prispeje k auditom, vrátane inšpekcií, ktoré vykonáva prevádzkovateľ alebo iný audítor poverený prevádzkovateľom, s výhradou primeranej dôvernosti a bezpečnostných obmedzení.

Prvou úrovňou auditu bude zvyčajne dokumentácia a certifikácie dostupné od príslušných subdodávateľov. Priame audity na mieste možno zabezpečiť s primeraným upozornením a na náklady kontrolóra, pokiaľ audit neodhalí závažné porušenie zo strany poskytovateľa služieb.

Medzinárodné prevody

Niektorí subdodávatelia spracúvajú osobné údaje mimo Európskeho hospodárskeho priestoru, najmä v Spojených štátoch. Prenosy sa opierajú o rozhodnutia Európskej komisie o primeranosti tam, kde sa uplatňujú (vrátane rámca ochrany osobných údajov medzi EÚ a USA, keď je poskytovateľ certifikovaný) a od štandardných zmluvných doložiek s doplňujúcimi opatreniami, ak nie.

Podrobnosti o umiestnení spracovania každého podprocesora a mechanizme prenosu sú uvedené na stránke Podprocesory.

Termín, ukončenie a vymazanie

Po ukončení poskytovania služieb poskytovateľ služieb podľa voľby prevádzkovateľa vymaže alebo vráti osobné údaje spracúvané v mene prevádzkovateľa a vymaže existujúce kópie, pokiaľ príslušné právne predpisy nevyžadujú ďalšie uchovávanie. Štandardné okná uchovávania sú popísané v zásadách ochrany osobných údajov.

Tieto podmienky DPA zostávajú v platnosti, pokiaľ poskytovateľ služieb spracúva osobné údaje v mene prevádzkovateľa.

Kontakt

Otázky týkajúce sa týchto podmienok DPA alebo vyžiadanie spolupodpísanej kópie môžete zaslať na adresu support@getkonfi.com.