Mapowanie zgodności z DORA
Ostatnia aktualizacja: kwiecień 2026 · Kolejny przegląd: październik 2026
§1. Cel
Niniejsza strona wyjaśnia, w jaki sposób HumanKey pomaga klientom będącym podmiotami finansowymi spełniać obowiązki wynikające z Rozporządzenia (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), które weszło w życie 17 stycznia 2025 roku.
HumanKey nie jest podmiotem finansowym w rozumieniu DORA Art. 2(1). Gdy podmiot finansowy korzysta z HumanKey, HumanKey jest klasyfikowany jako dostawca usług ICT będący stroną trzecią w rozumieniu DORA Art. 3(19), a ramy zarządzania ryzykiem ICT stron trzecich (Art. 28) klienta mają zastosowanie do zaangażowania HumanKey.
§2. Aktualny status wyznaczenia
HumanKey NIE jest obecnie wyznaczony jako Krytyczny Dostawca Usług ICT Strony Trzeciej (CTPP) przez Europejskie Urzędy Nadzoru (EBA, EIOPA, ESMA). Wyznaczenie CTPP na podstawie Rozporządzenia (UE) 2024/1505 dotyczy wyłącznie niewielkiej liczby ogólnoeuropejskich dostawców ICT, z których usług korzysta znaczna część europejskiego sektora finansowego. HumanKey spodziewa się pozostawać poza obszarem CTPP w przewidywalnej przyszłości, co oznacza, że HumanKey podlega ramom zarządzania ryzykiem stron trzecich Administratora z Art. 28, lecz nie podlega bezpośredniemu reżimowi nadzoru z Art. 31-44.
§3. Mapowanie artykuł po artykule
Poniższa tabela odwzorowuje każdy mający zastosowanie artykuł DORA na odpowiadające mu postanowienie umowne lub udokumentowaną praktykę HumanKey.
| Artykuł | Wymóg DORA | Wkład HumanKey |
|---|---|---|
| Art. 28(1) | Zarządzanie ryzykiem ICT stron trzecich jako część ram zarządzania ryzykiem ICT | HumanKey dostarcza dane wejściowe do Rejestru Informacji wymaganego przez ramy Administratora: opis usługi, lokalizację danych, ujawnienie podwykonawstwa oraz znacznik krytyczności funkcji na żądanie. |
| Art. 28(2) | Proporcjonalność do wielkości, charakteru, skali i złożoności Administratora | Umowa powierzenia HumanKey oraz procedura powiadamiania o zmianie podmiotu przetwarzającego skalują się z planem Administratora (SMB: 14 dni, Enterprise: 30 dni), aby pasować do granulacji ram zarządzania ryzykiem. |
| Art. 28(3) | Rejestr informacji o wszystkich ustaleniach umownych | Publikowana strona podmiotów przetwarzających HumanKey jest autorytatywnym źródłem dla łańcucha usług ICT HumanKey. Aktualizacje są ogłaszane w ramach okresu powiadomienia z Art. 6 umowy powierzenia. |
| Art. 30(1) | Prawa i obowiązki stron wyraźnie przypisane i określone na piśmie | Umowa powierzenia HumanKey ustanawia prawa i obowiązki stron na piśmie i jest oferowana każdemu Administratorowi niezależnie od planu. |
| Art. 30(2)(a) | Jasny i pełny opis świadczonych funkcji i usług ICT | Artykuł 3 umowy powierzenia HumanKey (Aneks 1) opisuje charakter i cel przetwarzania. Uzupełnia to publiczna dokumentacja produktowa HumanKey w humankey.io/docs. |
| Art. 30(2)(b) | Lokalizacje świadczenia funkcji i usług ICT oraz przetwarzania danych | Podstawowe przechowywanie danych odbywa się w Europejskim Obszarze Gospodarczym (Neon Postgres Frankfurt, Railway Amsterdam). Lokalizacje podmiotów przetwarzających są udokumentowane na stronie podmiotów i ocenione w publicznej Ocenie skutków transferu danych. |
| Art. 30(2)(c) | Postanowienia dotyczące dostępności, autentyczności, integralności i poufności danych | Artykuł 5 umowy powierzenia HumanKey (Obowiązki Podmiotu przetwarzającego) oraz Aneks 2 (Techniczne i organizacyjne środki bezpieczeństwa) dokumentują zastosowane kontrole. |
| Art. 30(2)(d) | Prawa do rozwiązania umowy wraz z pełnym dostępem i zwrotem danych | Artykuł 5.7 umowy powierzenia zobowiązuje HumanKey do zwrotu lub usunięcia Danych Osobowych Administratora w ciągu 30 dni od rozwiązania. Eksport JSON jest dostępny na żądanie przez cały czas trwania zaangażowania. |
| Art. 30(2)(e) | Opis poziomu świadczenia usług | Opis poziomu świadczenia usług jest zawarty w zamówieniu usługi dla planu Enterprise. HumanKey nie jest obecnie wyznaczony jako Krytyczny Dostawca ICT; cele dostępności są wyrażone w zamówieniu usługi, a nie w delegowanych RTS. |
| Art. 30(3)(a) | Pełny opis poziomu usług z konkretnymi celami ilościowymi i jakościowymi (funkcje krytyczne) | Gdy HumanKey wspiera funkcję krytyczną lub istotną (CIF) dla Administratora, w zamówieniu usługi Enterprise uzgadniane są docelowe warunki poziomu usług, w tym cele dostępności, kadencja raportowania oraz zobowiązania do naprawy. |
| Art. 30(3)(b) | Współpraca z właściwymi organami nadzorczymi Administratora | Zobowiązanie zawarte w §4 poniżej. HumanKey współpracuje z właściwym organem nadzorczym Administratora w rozumieniu DORA Art. 30(3)(b). |
| Art. 30(3)(c) | Prawa rozwiązania umowy po określonych zdarzeniach (np. istotne naruszenie) | Artykuł 6 umowy powierzenia przewiduje prawa rozwiązania, gdy sprzeciw wobec podwykonawcy nie może być rozstrzygnięty. Klienci Enterprise dodatkowo otrzymują prawa rozwiązania z przyczyny w zamówieniu usługi. |
| Art. 30(3)(d) | Obowiązki powiadamiania o incydentach bezpieczeństwa i zakłóceniach usług | Artykuł 8 umowy powierzenia zobowiązuje HumanKey do powiadamiania o incydentach bez nieuzasadnionej zwłoki. Współpraca z terminami raportowania Administratora z DORA Art. 17 jest zadeklarowana w §5 poniżej. |
| Art. 30(3)(e) | Obowiązki dostępu do danych, odzyskiwania, zwrotu i przenoszalności | Artykuł 5.7 umowy powierzenia oraz narzędzia RODO realizujące prawa osób, których dane dotyczą (eksport JSON, kaskadowe usuwanie, sprostowanie) pokrywają ten obowiązek. |
| Art. 30(3)(f) | Warunki podpowierzania i prawa zatwierdzania | Artykuł 6 umowy powierzenia określa procedurę powiadamiania i sprzeciwu wobec podmiotów przetwarzających. Plan Enterprise stosuje 30-dniowy okres powiadomienia z wyprzedzeniem, zgodny ze standardem rekomendowanym przez DORA. |
| Art. 17 | Zarządzanie incydentami ICT (klasyfikacja, raportowanie, reakcja) | Powiadomienie o incydencie z Art. 8 umowy powierzenia HumanKey zasila wewnętrzne zarządzanie incydentami Administratora, tak aby Administrator mógł klasyfikować i — tam gdzie wymagane — zgłaszać poważne incydenty ICT właściwym organom w terminach DORA. |
§4. Współpraca z właściwymi organami
HumanKey współpracuje z właściwym organem nadzorczym Administratora w rozumieniu DORA Art. 30(3)(b). HumanKey zapewnia rozsądną pomoc Administratorowi w odpowiedzi na zapytania nadzorcze dotyczące działalności przetwarzania HumanKey, z zastrzeżeniem obowiązujących obowiązków poufności oraz przeglądu przez zewnętrznych radców prawnych HumanKey.
Wnioski o współpracę należy kierować przez formularz kontaktu prawnego HumanKey pod adresem humankey.io/pl/kontakt, wybierając kategorię "Prawo i zgodność" lub "Bezpieczeństwo" zależnie od kontekstu. HumanKey dąży do potwierdzenia otrzymania w ciągu dwóch (2) dni roboczych i do udzielenia merytorycznej odpowiedzi w terminie zakomunikowanym Administratorowi przez właściwy organ.
§5. Przebieg powiadomień o incydentach
DORA Art. 17 wymaga od podmiotów finansowych ustanowienia procesu zarządzania incydentami ICT, klasyfikacji incydentów oraz powiadamiania właściwych organów o poważnych incydentach ICT w terminach określonych w delegowanych Regulacyjnych Standardach Technicznych.
HumanKey wspiera przebieg powiadomień Administratora w następujący sposób:
- HumanKey powiadamia Administratora bez nieuzasadnionej zwłoki po uzyskaniu wiadomości o naruszeniu ochrony Danych Osobowych Administratora, zgodnie z Artykułem 8 umowy powierzenia.
- Powiadomienie zawiera informacje wymagane przez art. 33(3) RODO oraz DORA Art. 19(4) w zakresie znanym w momencie zgłoszenia: charakter, kategorie i przybliżoną liczbę osób, których dane dotyczą, prawdopodobne konsekwencje oraz podjęte lub proponowane środki.
- HumanKey zapewnia rozsądną współpracę, aby umożliwić Administratorowi dotrzymanie własnych terminów raportowania z DORA Art. 17, przy zachowaniu wewnętrznych procedur reagowania na incydenty HumanKey oraz poufności wymaganej przez trwającą pracę forensyczną.
- HumanKey nie dokonuje publicznego ogłoszenia o takim incydencie bez uprzedniej pisemnej zgody Administratora, chyba że wymaga tego obowiązujące prawo.
§6. Czego HumanKey jeszcze NIE obiecuje
W imię uczciwości i unikania oczekiwań, których HumanKey nie może dziś spełnić, poniższe elementy są jawnie poza zakresem niniejszego publicznego mapowania:
- HumanKey nie posiada obecnie certyfikatu ISO 27001. Wewnętrzna Mapa Drogowa Zgodności jest dostępna dla prospektów będących podmiotami finansowymi na pisemny wniosek pod NDA.
- HumanKey nie posiada obecnie raportu SOC 2 Type II. Ta sama Wewnętrzna Mapa Drogowa Zgodności obejmuje planowaną ścieżkę do tego mechanizmu zapewnienia.
- HumanKey nie jest obecnie wyznaczony jako Krytyczny Dostawca Usług ICT Strony Trzeciej na podstawie Rozporządzenia (UE) 2024/1505 i w związku z tym nie podlega bezpośredniemu reżimowi nadzoru ESAs z DORA Art. 31-44.
- Niniejsze mapowanie nie stanowi porady prawnej. Administratorzy będący podmiotami finansowymi powinni je przeanalizować wraz z własnym doradcą prawnym i odnieść je do swoich wewnętrznych ram zarządzania ryzykiem ICT stron trzecich.
Niniejsze Mapowanie zgodności z DORA jest publicznym dokumentem pozycjonującym. Uzupełnia, lecz nie zastępuje Umowy powierzenia przetwarzania HumanKey. Ostatnia aktualizacja: kwiecień 2026.