Kto jest administratorem, kto procesorem
Dla danych kursantów, instruktorów i operacyjnych (jazdy, płatności): administratorem jest OSK, a my (NaPasie) jesteśmy procesorem (art. 28 RODO) — tj. przetwarzamy dane na zlecenie i według instrukcji OSK.
Dla danych Twojego konta w naszym systemie (e-mail właściciela, dane do faktury): administratorem jesteśmy my.
Co zawiera DPA
- Przedmiot, czas trwania, charakter przetwarzania
- Kategorie osób, których dane dotyczą (kursanci, instruktorzy)
- Rodzaje danych (osobowe, w tym PESEL gdy podany, dane teleadresowe)
- Obowiązki procesora (poufność, pomoc w realizacji praw, naruszenia)
- Lista podprocesorów z możliwością sprzeciwu (§5 DPA)
- Zwrot/usunięcie danych po zakończeniu współpracy
Środki techniczne i organizacyjne (TOM)
- TLS 1.3 w tranzycie, AES-256 w spoczynku (Neon)
- Backupy point-in-time (7 dni), codzienny snapshot, izolacja tenantów
- Dostęp w systemie rolowy (CASL) — OWNER/INSTRUCTOR/STUDENT widzi tylko swoje dane
- Uwierzytelnianie 2FA dla administratorów
- Logi audytowe zmian wrażliwych (karta zajęć, PKK, usunięcia)
- Szkolenia wewnętrzne z RODO (obecnie zespół 1-osobowy)
Naruszenie ochrony danych
Procesor zgłasza administratorowi (OSK) incydent w ciągu 24 godzin od wykrycia. OSK ma 72h od zgłoszenia na zawiadomienie PUODO (art. 33 RODO) — zapewniamy informacje potrzebne do zgłoszenia.
Prawa osób
Kursant może zażądać eksportu swoich danych (art. 20) lub usunięcia konta (art. 17) z poziomu ustawień swojego konta. My jako procesor wspieramy administratora (OSK) w realizacji tych praw — nie odpowiadamy kursantowi bezpośrednio.
Pełna treść DPA dostępna po zalogowaniu (Ustawienia → RODO → Pobierz DPA). Zgłoszenia prywatności: rodo@napasie.pl.