Umowa Powierzenia Przetwarzania Danych
Wersja 1.0 · Obowiązuje od: marzec 2026 · Prawo właściwe: Rzeczpospolita Polska
ℹ️ Jak używać tej umowy: Niniejszy szablon dokumentuje relację powierzenia danych między Tobą (Administrator) a HumanKey (Procesor) zgodnie z wymogami Art. 28 RODO. Uzupełnij pola oznaczone [ ], podpisz oba egzemplarze i zatrzymaj jeden. Klienci Enterprise otrzymują podpisaną umowę DPA — skontaktuj się przez nasz formularz kontaktowy.
§Artykuł 1 — Strony i definicje
1.1 Administrator danych
Nazwa prawna: [ ]
Adres: [ ]
Kontakt: [ ]
(dalej "Administrator")
1.2 Podmiot przetwarzający (Procesor)
Nazwa: HumanKey (ChainGuard)
Usługa: Platforma analityki crawlerów AI i detekcji botów
Strona: humankey.io
Siedziba danych: UE (Niemcy + Holandia)
(dalej "Procesor" lub "HumanKey")
1.3 Definicje
Terminy używane w tej umowie mają znaczenie nadane przez RODO (UE) 2016/679: "dane osobowe", "przetwarzanie", "podmiot danych", "organ nadzorczy", "administrator", "podmiot przetwarzający", "podprocesor". "Usługi" oznaczają usługi detekcji botów i analityki AI świadczone przez HumanKey na podstawie Regulaminu.
§Artykuł 2 — Przedmiot i czas trwania
2.1 Przedmiot
Procesor przetwarza dane osobowe w imieniu Administratora w celu świadczenia usług detekcji crawlerów AI, klasyfikacji botów i analityki ruchu webowego, zgodnie z Regulaminem HumanKey.
2.2 Czas trwania
Niniejsza umowa obowiązuje od [ ] i pozostaje w mocy przez okres aktywnej subskrypcji Administratora na usługi HumanKey, do chwili rozwiązania Regulaminu lub zakończenia relacji przetwarzania danych, w zależności od tego, co nastąpi wcześniej.
§Artykuł 3 — Charakter i cel przetwarzania
| Charakter | Zbieranie, przechowywanie, klasyfikacja, analiza i usuwanie danych o ruchu odwiedzających stronę Administratora. Przetwarzanie jest zautomatyzowane. |
| Cel | Wykrywanie i klasyfikacja crawlerów AI i botów odwiedzających stronę Administratora; generowanie raportów analitycznych; geograficzna analiza ruchu (GEO Analytics); dostarczanie odpowiedzi API do blokowania botów; ręczna weryfikacja ruchu (administratorska korekta granicznych predykcji ML, przechowywana z zahashowanym ID administratora, wyłącznie informacyjna); prowadzenie znacznikowanych czasowo rejestrów dla celów compliance i prawnych Administratora. |
| Podstawa prawna | Art. 6(1)(f) RODO — uzasadniony interes Administratora w ochronie treści strony i utrzymaniu rzetelnych danych analitycznych. Przetwarzanie odbywa się wyłącznie na udokumentowane polecenie Administratora. |
§Artykuł 4 — Rodzaje danych i kategorie podmiotów
4.1 Przetwarzane dane osobowe
| Pole danych | Format przechowywania | Retencja |
|---|---|---|
| Adres IP | Hash kryptograficzny z rotowaną solą — nieodwracalna pseudonimizacja | Wg planu (7–365 dni) |
| HTTP User-Agent | Obcięty do 200 znaków | Wg planu (7–365 dni) |
| URL strony | Pełna ścieżka URL (bez parametrów zapytania z danymi osobowymi) | Wg planu (7–365 dni) |
| HTTP Referrer | Tylko domena i ścieżka | Wg planu (7–365 dni) |
| Znacznik czasu | Data i czas UTC żądania | Wg planu (7–365 dni) |
| Dane geolokalizacyjne (GEO) | Kod kraju uzyskany z IP przez MaxMind GeoLite2 (lokalne wyszukiwanie) | Wg planu (7–365 dni) |
| Wynik klasyfikacji bota | Flaga logiczna + identyfikator bota (nieosobowy) | Wg planu (7–365 dni) |
Okresy retencji wg planu: Free = 7 dni, Pro = 30 dni, Business = 90 dni, Enterprise = 365 dni. Automatyczne usuwanie uruchamiane codziennie o 03:00 UTC.
4.2 Kategorie podmiotów danych
Odwiedzający (ludzie lub automaty) stronę(-y) internetową(-e) Administratora zarejestrowaną w HumanKey. Podmioty danych nie są identyfikowane imieniem ani danymi kontaktowymi — reprezentowane są wyłącznie przez pseudonimizowane pola wymienione powyżej.
§Artykuł 5 — Obowiązki Procesora (Art. 28(3) RODO)
5.1 Przetwarzanie wyłącznie na udokumentowane polecenie
Procesor przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora. Jeżeli prawo UE lub państwa członkowskiego wymaga przetwarzania wykraczającego poza polecenia Administratora, Procesor informuje o tym Administratora przed przetworzeniem, chyba że prawo to tego zabrania.
5.2 Poufność
Procesor zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
5.3 Środki bezpieczeństwa
Aktualne środki techniczne i organizacyjne (Art. 32 RODO):
- Szyfrowanie transmisji i danych w spoczynku zgodne ze standardami branżowymi
- Pseudonimizacja IP: hash kryptograficzny z rotowaną solą (nieodwracalny)
- Kryptograficzna kontrola dostępu do uwierzytelniania API
- Krótkoterminowe tokeny dostępu z automatyczną rotacją
- Środki zapobiegania nadużyciom egzekwowane w środowisku produkcyjnym
- Automatyczne egzekwowanie retencji: codzienny proces automatyczny
- Monitoring błędów: z skonfigurowanym usuwaniem danych osobowych
- Ograniczenia dostępu i ścieżka audytu dla funkcji administracyjnych
5.4 Podprocesory
Procesor nie angażuje podprocesorów bez ogólnej pisemnej zgody Administratora. Aktualnie autoryzowani podprocesory:
| Podprocesor | Rola | Lokalizacja |
|---|---|---|
| Neon Inc. | Hosting bazy danych — podstawowe przechowywanie danych | UE (Niemcy) |
| Railway Corp. | Hosting aplikacji | Holandia (EU West) |
| Sentry (Functional Software Inc.) | Monitoring błędów (bez danych osobowych) | UE (region EU sentry.io) |
| Vercel Inc. | Hosting CDN frontendu (brak przechowywania danych osobowych) | CDN z routingiem do UE |
| Cloudflare, Inc. | Proxy DNS, ochrona DDoS, CDN (przetwarza metadane sieciowe w tym adresy IP odwiedzających w tranzycie) | USA (SCCs) |
| Stripe, Inc. | Przetwarzanie płatności | USA (SCCs) |
| Resend, Inc. | E-mail transakcyjny | USA (SCCs) |
| MaxMind, Inc. | Baza danych geolokalizacji IP (tylko lokalne pobieranie pliku — żadne dane odwiedzających nie są przekazywane) | USA (brak transferu danych — przetwarzanie lokalne) |
| Cloudflare, Inc. (Radar API) | Wzbogacanie metadanych ASN (publiczne API — brak przesyłania danych osobowych) | USA (brak transferu danych osobowych) |
| Anthropic, PBC | Analityka AI i asystent czatowy — przesyłane wyłącznie zagregowane statystyki i tekst czatu, brak danych osobowych. Rozmowy efemeryczne (nie są zapisywane) | USA (SCC — brak transferu danych osobowych) |
Wszystkie podstawowe dane przechowywane są w UE. Transfery danych poza EOG są chronione przez Standardowe Klauzule Umowne (SCCs) zgodnie z wymogami Rozdziału V RODO. Procesor informuje Administratora o planowanych zmianach podprocesorów z co najmniej 14-dniowym wyprzedzeniem.
5.5 Wsparcie w realizacji praw podmiotów danych
Procesor wspiera Administratora w odpowiadaniu na żądania podmiotów danych (dostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie, sprzeciw) w zakresie technicznie możliwym. HumanKey udostępnia zautomatyzowane punkty końcowe eksportu i usuwania danych dostępne przez panel i API.
5.6 Wsparcie w obowiązkach bezpieczeństwa
Procesor wspiera Administratora w zapewnieniu zgodności z Art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, DPIA, uprzednie konsultacje). Publiczna Ocena Skutków dla Ochrony Danych (DPIA) dostępna jest pod adresem /pl/dpia.
5.7 Usunięcie lub zwrot danych po zakończeniu
Po zakończeniu świadczenia Usług Procesor, według wyboru Administratora, usuwa lub zwraca wszystkie dane osobowe i usuwa istniejące kopie, chyba że prawo UE lub państwa członkowskiego wymaga ich przechowywania. Administrator może eksportować dane przez panel w dowolnym momencie przed zakończeniem. Po usunięciu konta wszystkie dane osobowe są usuwane w ciągu 30 dni.
5.8 Udostępnianie informacji i audyty
Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z Art. 28 RODO oraz umożliwia i wspiera audyty przeprowadzane przez Administratora lub upoważnionego audytora, z rozsądnym wyprzedzeniem (minimum 30 dni) i w godzinach pracy. Koszty audytu ponosi Administrator.
§Artykuł 6 — Obowiązki Administratora
Administrator zobowiązuje się do:
- Dostarczania zgodnych z prawem poleceń przetwarzania i ich aktualizacji w razie potrzeby
- Zapewnienia ważnej podstawy prawnej przetwarzania (Art. 6 RODO)
- Wypełniania obowiązków wobec podmiotów danych (klauzula informacyjna, obsługa żądań DSR)
- Niezwłocznego powiadamiania HumanKey o zmianach w poleceniach
- Zachowania poufności kluczy API i danych dostępowych
§Artykuł 7 — Odpowiedzialność
Każda ze stron ponosi odpowiedzialność za szkody spowodowane własnym naruszeniem niniejszej umowy i RODO. Procesor nie ponosi odpowiedzialności za przetwarzanie wykonane zgodnie z udokumentowanymi poleceniami Administratora. Odpowiedzialność podlega ograniczeniom określonym w Regulaminie HumanKey.
§Artykuł 8 — Prawo właściwe i jurysdykcja
Niniejsza umowa podlega prawu [ ] (jurysdykcja Administratora, pod warunkiem że jest to państwo członkowskie UE lub EOG). Spory rozstrzygają właściwe sądy [ ]. W zakresie stosowania RODO jurysdykcja organu nadzorczego określana jest na podstawie siedziby Administratora.
§Artykuł 9 — Podpisy
W imieniu Administratora
Imię i nazwisko: ___________________________
Stanowisko: ___________________________
Data: ___________________________
Podpis: ___________________________
W imieniu HumanKey (Procesor)
Imię i nazwisko: ___________________________
Stanowisko: ___________________________
Data: ___________________________
Podpis: ___________________________
Klienci Enterprise: Skontaktuj się przez nasz formularz kontaktowy aby otrzymać podpisaną umowę DPA z danymi Twojej organizacji. Wszystkie plany HumanKey Enterprise zawierają podpisaną umowę DPA w standardzie.
Ten szablon DPA jest udostępniany w celach informacyjnych. HumanKey zaleca jego przegląd z prawnikiem przed podpisaniem. Ostatnia aktualizacja: marzec 2026.