Umowa powierzenia przetwarzania danych (DPA)

KivCloud przetwarza dane osobowe w imieniu klienta wyłącznie w celu świadczenia usług hostingowych: przechowywania plików i baz danych, działania strony, poczty, wsparcia technicznego i bezpieczeństwa.

Typowe kategorie danych osobowych, które mogą być przetwarzane:

• Dane kontaktowe (imię, email, telefon) — jeśli przechowywane w bazie klienta
• Adresy IP odwiedzających stronę klienta (logi serwera)
• Treści przesłane przez użytkowników strony klienta
• Dane konta (jeśli strona klienta ma rejestrację)
• Metadane techniczne (logi, pliki cookie)

KivCloud zobowiązuje się do:

• Przetwarzania danych wyłącznie zgodnie z udokumentowanymi instrukcjami klienta
• Zapewnienia poufności przez cały personel mający dostęp do danych
• Wdrożenia technicznych i organizacyjnych środków bezpieczeństwa (art. 32 RODO)
• Nieudostępniania danych osobom trzecim bez wiedzy klienta (z wyjątkiem podmiotów przetwarzających)
• Powiadamiania klienta o żądaniach podmiotów danych dotyczących hostingu
• Pomocy klientowi w wypełnianiu obowiązków wynikających z RODO (art. 28(3)(f))
• Usunięcia lub zwrotu danych po zakończeniu umowy

• Posiadanie podstawy prawnej do zbierania i przetwarzania danych użytkowników
• Zapewnienie odpowiednich informacji o prywatności osobom, których dane dotyczą
• Stosowanie zasad RODO przy projektowaniu strony lub aplikacji
• Nieprzechowywanie szczególnych kategorii danych bez dodatkowej umowy
• Samodzielne odpowiadanie podmiotom danych i organom nadzorczym

Obecne podmioty przetwarzające:

• Centra danych UE — fizyczne przechowywanie danych
• Cloudflare, Inc. — DNS, ochrona DDoS, CDN
• Stripe / PayPal — przetwarzanie płatności

KivCloud powiadomi klientów co najmniej 30 dni przed zmianą podmiotów przetwarzających.

• Izolacja kont (CloudLinux CageFS)
• Ochrona przed złośliwym oprogramowaniem (Imunify360 — antywirus + WAF)
• Szyfrowanie połączeń (SSL/TLS dla wszystkich hostowanych stron)
• Kontrola dostępu — tylko upoważniony personel
• Regularne aktualizacje i poprawki bezpieczeństwa
• Monitorowanie anomalii i wykrywanie włamań
• Zaszyfrowane kopie zapasowe (JetBackup)

W przypadku naruszenia danych osobowych KivCloud:

• Powiadomi klienta w ciągu 72 godzin od wykrycia
• Poda szczegóły dotyczące charakteru, skutków i podjętych działań
• Będzie współpracować z klientem w celu ograniczenia skutków i udokumentowania incydentu

Powiadomienia wysyłane na zarejestrowany adres email konta.

KivCloud udostępnia wszystkie informacje niezbędne do wykazania zgodności z niniejszą DPA. Na uzasadniony wniosek może zostać udostępniona dokumentacja bezpieczeństwa.

Wnioski o audyt: [email protected] — temat: DPA Audit Request.

• KivCloud usuwa dane konta w ciągu 30 dni po wygaśnięciu umowy
• Klient może pobrać dane przez cPanel przed wygaśnięciem dostępu
• Potwierdzenie usunięcia dostępne na żądanie

Odpowiedzialność KivCloud ogranicza się do jego obowiązków jako Podmiotu przetwarzającego wynikających z niniejszej DPA i RODO.

Klient jako Administrator ponosi pełną odpowiedzialność za zgodność z prawem przetwarzania danych swoich użytkowników.

Niniejsza DPA podlega prawu Rzeczypospolitej Polskiej.

Pytania: [email protected] — temat: DPA.