Umowa o przetwarzanie danych (UPD) zgodnie z art. 28 RODO pomiędzy Forge12 Interactive GmbH Josefstr. 37 78166 Donaueschingen – dalej zwany „Podmiotem przetwarzającym“ – a odpowiednim klientem – dalej zwany „Administratorem“ –

1. Przedmiot i czas trwania przetwarzania

(1) Podmiot przetwarzający świadczy na rzecz Administratora usługi w zakresie bezpieczeństwa IT i wykrywania botów za pośrednictwem usługi „SilentShield.io“.

(2) Przedmiotem przetwarzania jest zautomatyzowana analiza i filtrowanie strumieni danych w celu wykrywania i zapobiegania atakom oraz nadużyciom w dostępie.

(3) Czas trwania przetwarzania odpowiada okresowi obowiązywania odpowiedniej umowy głównej.

2. Charakter i cel przetwarzania

Przetwarzanie odbywa się w szczególności w następujących celach:

• Wykrywanie i zapobieganie zautomatyzowanemu dostępowi (boty)
• Ochrona przed atakami (np. DDoS, spam)
• Zapewnienie stabilności i dostępności systemu
• Analiza wzorców dostępu w celu zapobiegania zagrożeniom

Mogą być podejmowane zautomatyzowane decyzje (np. blokowanie żądań), o ile jest to konieczne dla bezpieczeństwa systemu.

3. Rodzaje danych

• Adresy IP
• Dane nagłówków HTTP
• Informacje o przeglądarce i urządzeniu
• Dane dostępu (znacznik czasu, URL, żądania)
• Dane interakcji i zachowań

4. Kategorie osób, których dane dotyczą

• Odwiedzający strony internetowe Administratora
• Użytkownicy usług online Administratora

5. Obowiązki Administratora

(1) Administrator jest odpowiedzialny za zgodność przetwarzania danych z prawem.

(2) Administrator zapewnia, że jest uprawniony do przekazywania danych Podmiotowi przetwarzającemu.

(3) Administrator wypełnia swoje obowiązki informacyjne wobec osób, których dane dotyczą.

6. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający:

• przetwarza dane wyłącznie na podstawie udokumentowanych instrukcji
• zapewnia odpowiednie środki techniczne i organizacyjne
• zapewnia poufność
• wspiera w zakresie praw osób, których dane dotyczą
• wspiera w zakresie ocen skutków dla ochrony danych

7. Środki techniczne i organizacyjne (TOMs)

Podmiot przetwarzający wdraża w szczególności następujące środki:

• Szyfrowanie TLS/SSL
• Kontrole dostępu i modele ról
• Rejestrowanie i monitorowanie
• Ochrona przed nieautoryzowanym dostępem
• Regularne audyty bezpieczeństwa

8. Podwykonawcy

• Cloudflare, Inc. (USA) – CDN, WAF, proxy, ochrona DDoS
• STRATO AG (Niemcy) – Hosting i infrastruktura

(2) Podmiot przetwarzający zapewnia, że wszyscy podwykonawcy są związani zgodnie z art. 28 RODO.

(3) Administrator udziela ogólnej zgody na korzystanie z tych podwykonawców.

(4) Aktualna lista podwykonawców jest udostępniana na żądanie lub za pośrednictwem strony internetowej.

9. Przekazywanie do państw trzecich

(1) Może nastąpić przekazanie danych osobowych do państw trzecich (w szczególności do USA).

(2) Takie przekazanie odbywa się wyłącznie zgodnie z RODO, w szczególności na podstawie:

• Standardowych klauzul umownych UE (art. 46 RODO)
• W stosownych przypadkach, Ram Prywatności Danych UE-USA

10. Prawa kontrolne

(1) Administrator jest uprawniony do weryfikacji zgodności z niniejszą umową.

(2) Podmiot przetwarzający udostępnia w tym celu odpowiednie informacje.

(3) Audyty muszą być ogłaszane z odpowiednim wyprzedzeniem i nie mogą nieproporcjonalnie zakłócać działalności.

11. Usuwanie danych

Po zakończeniu umowy dane osobowe zostają usunięte lub zwrócone według wyboru Administratora, chyba że istnieją ustawowe obowiązki przechowywania.

12. Odpowiedzialność

Obowiązują postanowienia dotyczące odpowiedzialności z umowy głównej.