Umowa powierzenia przetwarzania danych osobowych (DPA)

zawierana w trybie art. 28 RODO pomiędzy Administratorem (Klientem Onboardly) a Procesorem (Socap Bonus Sp. z o.o.) z chwilą akceptacji niniejszej umowy w procesie rejestracji konta.

1. Strony

Procesor: Socap Bonus Sp. z o.o. z siedzibą w Białymstoku, ul. Hetmańska 25, 15-727 Białystok, NIP 5252791618, KRS 0000789100 — dostawca platformy Onboardly.
Administrator: podmiot rejestrujący konto na platformie Onboardly i akceptujący niniejszą umowę (dane administratora wynikają z formularza rejestracji).

2. Przedmiot i czas trwania

Procesor przetwarza dane osobowe wyłącznie w celu świadczenia Administratorowi usługi onboardingu pracowników i zleceniobiorców za pośrednictwem platformy Onboardly. Umowa obowiązuje przez cały okres świadczenia usługi i wygasa najpóźniej w terminie 90 dni od jej zakończenia (okres retencji).

3. Charakter i cel przetwarzania

Przetwarzanie obejmuje: gromadzenie, przechowywanie, przeglądanie, przekazywanie do wskazanych przez Administratora dostawców (Sumsub, PandaDoc, Autenti, Resend, Google Drive) oraz usuwanie. Cel: realizacja procesu onboardingu pracowniczego, w tym KYC, generowanie umów, podpis elektroniczny, archiwizacja.

4. Rodzaj danych osobowych i kategorie osób

Osoby: kandydaci do pracy / pracownicy / zleceniobiorcy Administratora.
Dane zwykłe: imię, nazwisko, email, telefon, adres, stanowisko, wynagrodzenie, dane bankowe.
Dane szczególne / identyfikujące: PESEL, numer dokumentu (paszport/dowód), selfie, data urodzenia, obywatelstwo.
Dane PESEL, paszport, IBAN oraz wynagrodzenie netto są przechowywane w formie zaszyfrowanej (envelope encryption: per-tenant DEK + master KEK, AES-256-GCM).

5. Obowiązki Procesora

1. Przetwarzanie wyłącznie na udokumentowane polecenie Administratora (każde użycie platformy stanowi takie polecenie).
2. Zapewnienie poufności osób upoważnionych do przetwarzania danych.
3. Stosowanie środków technicznych i organizacyjnych adekwatnych do ryzyka (art. 32 RODO): szyfrowanie at-rest, TLS in-transit, kontrola dostępu z 2FA, rejestrowanie zdarzeń systemowych (audit log).
4. Pomoc Administratorowi w realizacji praw osób (dostęp, sprostowanie, usunięcie, prawo do bycia zapomnianym).
5. Zgłaszanie naruszenia ochrony danych w terminie do 24 godzin od jego stwierdzenia.
6. Usunięcie lub zwrot wszystkich danych po zakończeniu świadczenia usługi, z zachowaniem 90-dniowego okresu retencji backupów.

6. Podprocesorzy

Administrator wyraża zgodę na korzystanie przez Procesora z następujących podprocesorów: Neon (baza danych — UE), Vercel (hosting aplikacji — UE/USA z SCC), Sumsub (KYC — UE), PandaDoc (e-podpis — USA z SCC), Autenti (e-podpis — UE), Resend (email — USA z SCC), Google Workspace (Drive — UE/USA z SCC). Aktualna lista i adresy siedzib pozostają dostępne na żądanie.

7. Lokalizacja przetwarzania i transfery

Dane przetwarzane są przede wszystkim w UE. Transfery do państw trzecich (USA) odbywają się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską.

8. Audyt

Administrator ma prawo do przeprowadzenia audytu zgodności z niniejszą umową, w tym poprzez inspekcję u Procesora. Procesor udostępnia Administratorowi informacje niezbędne do wykazania zgodności z art. 28 RODO. Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenie umowy.

9. Odpowiedzialność

Każda ze stron odpowiada za szkody wyrządzone osobom, których dane dotyczą, w zakresie własnych naruszeń przepisów RODO. Procesor odpowiada w szczególności gdy nie dopełnił obowiązków nałożonych na niego niniejszą umową lub przepisami prawa.

10. Postanowienia końcowe

Niniejsza umowa stanowi integralną część regulaminu Onboardly. Zmiany umowy wymagają formy elektronicznej; akceptacja nowej wersji odbywa się przez zaznaczenie odpowiedniego pola po zalogowaniu do panelu. W kwestiach nieuregulowanych stosuje się przepisy RODO oraz polskiej ustawy o ochronie danych osobowych.

Wersja: 2026-05. Wcześniejsze wersje udostępniamy na żądanie pod adresem dpo@socapbonus.pl.