Umowa powierzenia przetwarzania danych osobowych (DPA)

Wersja 1.0 — 27.04.2026. Szablon obowiązujący dla wszystkich Organizatorów korzystających z serwisu stoper.io.

§ 1. Strony

1. Procesor / Podmiot przetwarzający — Swimple Piotr Litkowicz, ul. Zygmunta Krasińskiego 67A/213, 01-755 Warszawa, NIP PL 563 230 93 61, prowadzący serwis stoper.io.
2. Administrator — podmiot, który zaakceptował Regulamin serwisu stoper.io i aktywował konto organizacji w panelu organizatora — w tym: klub sportowy, federacja, jednostka samorządu terytorialnego, ośrodek sportu, przedsiębiorca, fundacja, stowarzyszenie lub osoba fizyczna prowadząca działalność. Pełne dane Administratora są zarejestrowane w panelu organizacji i dostępne w sekcji „Dane do faktury / dane organizacji".

§ 2. Definicje

Pojęcia użyte w Umowie:

• RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.
• Dane Osobowe — dane osobowe w rozumieniu art. 4 pkt 1 RODO, powierzone przez Administratora w ramach korzystania z Serwisu.
• Serwis — serwis internetowy stoper.io wraz z subdomenami i panelami (zapisy, organizator, federacja, panele pomiarowe, archiwum).
• Event — pojedyncze wydarzenie sportowe utworzone przez Administratora w Serwisie.
• Podprocesor — podmiot, któremu Procesor powierza dalsze przetwarzanie Danych Osobowych w celu wykonania Umowy.
• Naruszenie Ochrony Danych — naruszenie w rozumieniu art. 4 pkt 12 RODO.
• Załączniki — Załącznik nr 1 (Charakter i zakres powierzenia), Załącznik nr 2 (Lista Podprocesorów i istotnych dostawców), Załącznik nr 3 (Środki techniczne i organizacyjne — TOMs).

§ 3. Przedmiot, charakter i czas trwania powierzenia

1. Administrator powierza Procesorowi przetwarzanie Danych Osobowych w zakresie i celu określonym w Załączniku nr 1.
2. Powierzenie obejmuje wyłącznie operacje niezbędne do świadczenia funkcji Serwisu na rzecz Administratora — w szczególności: przyjmowanie zgłoszeń, generowanie list startowych, pomiar czasu, obsługę paneli pomiarowych, eksport wyników i komunikację Administratora z uczestnikami.
3. Powierzenie obowiązuje od dnia aktywacji konta Administratora w Serwisie i trwa przez okres korzystania z Serwisu, a po jego zakończeniu — przez okres niezbędny do zwrotu lub usunięcia danych zgodnie z § 11 i obowiązującymi politykami retencji.
4. Procesor przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Administratora. Akceptacja Regulaminu Serwisu, konfiguracja Eventu w panelu organizatora oraz korzystanie z funkcji Serwisu stanowią udokumentowane polecenia Administratora.

§ 4. Granica między rolami Procesora a samodzielnego administrowania

W relacji z Administratorem Procesor jest podmiotem przetwarzającym wyłącznie w zakresie wskazanym w Załączniku nr 1. Strony zgodnie potwierdzają, że Procesor działa jako samodzielny administrator (nie procesor) w zakresie następujących operacji, które pozostają poza przedmiotem powierzenia:

• prowadzenia kont użytkowników Serwisu (uczestników, członków zespołu Administratora) i ich uwierzytelniania,
• obsługi rozliczeń abonamentu SaaS i wystawiania faktur Administratorowi,
• logów technicznych, bezpieczeństwa i audytu Serwisu,
• publicznego archiwum wyników w domenie stoper.io po publikacji wyników przez Administratora (art. 6 ust. 1 lit. f RODO — uzasadniony interes sportowo-archiwalny),
• komunikacji produktowej Procesora z Administratorem i użytkownikami Serwisu.

Strony nie zawierają umowy współadministrowania (joint controllership) w rozumieniu art. 26 RODO. Każda Strona jest niezależnym administratorem dla operacji wyłączonych z przedmiotu powierzenia.

§ 5. Obowiązki Procesora

Procesor zobowiązuje się do:

1. przetwarzania Danych Osobowych wyłącznie zgodnie z udokumentowanymi poleceniami Administratora oraz przepisami prawa;
2. niezwłocznego informowania Administratora, jeżeli polecenie Administratora narusza RODO lub inne przepisy o ochronie danych;
3. zapewnienia, by osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
4. wdrożenia i utrzymywania środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa odpowiadający ryzyku, opisanych w Załączniku nr 3;
5. pomocy Administratorowi — w miarę możliwości i z uwzględnieniem charakteru przetwarzania — w wypełnieniu obowiązków wynikających z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków, uprzednie konsultacje);
6. wspierania Administratora w odpowiadaniu na żądania osób, których dane dotyczą (art. 12–22 RODO), poprzez udostępnione w Serwisie funkcje eksportu, sprostowania i usunięcia danych oraz — w razie potrzeby — pomoc operacyjną na pisemne żądanie Administratora;
7. po zakończeniu świadczenia usługi — zwrotu lub usunięcia Danych Osobowych zgodnie z § 11;
8. udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienia Administratorowi lub upoważnionemu audytorowi przeprowadzania audytów zgodnie z § 9.

§ 6. Obowiązki Administratora

Administrator zobowiązuje się do:

1. przetwarzania Danych Osobowych zgodnie z RODO i przepisami krajowymi, w tym posiadania ważnej podstawy prawnej dla każdej kategorii Danych Osobowych powierzanych Procesorowi;
2. spełnienia obowiązku informacyjnego wobec osób, których dane dotyczą (uczestników jego zawodów, ich rodziców / opiekunów, członków zespołu);
3. uzyskania wymaganych zgód, w szczególności wyraźnych zgód na przetwarzanie danych szczególnych kategorii (art. 9 RODO — np. oświadczenia o stanie zdrowia) oraz zgód na publikację wizerunku, gdy dotyczy;
4. nieprzekazywania Procesorowi danych szczególnych kategorii poza przypadkami przewidzianymi w funkcjach Serwisu (oświadczenia o zdrowiu w formularzu zgłoszenia eventu) — w szczególności Administrator nie przesyła Procesorowi notatek, dokumentów ani plików zawierających szczegółowe dane medyczne, kategorie wrażliwe (m.in. dane biometryczne, dane o pochodzeniu, przekonaniach) ani danych zawartych w art. 10 RODO (wyroki skazujące);
5. konfiguracji uprawnień członków zespołu organizacji w panelu organizatora zgodnie z zasadą minimalnego dostępu;
6. zapewnienia bezpieczeństwa lokalnej sieci LAN obiektu sportowego i urządzeń, na których uruchamia panele pomiarowe (chief / starter / lane / viewer); Procesor dostarcza mechanizmy uwierzytelnienia (PIN-y CHIEF/STARTER, auto-logout), ale nie odpowiada za bezpieczeństwo sieci LAN organizatora;
7. publikowania wyników wyłącznie po weryfikacji ich poprawności i zgodności z regulaminem konkretnych zawodów — publikacja jest decyzją Administratora;
8. przekazywania uczestnikom informacji o publicznym archiwum stoper.io (zob. § 4 i § 12 oraz Polityka prywatności Procesora) i mechanizmach sprzeciwu;
9. aktualizacji danych organizacji i osób kontaktowych w panelu, w szczególności kontaktu RODO Administratora.

§ 7. Podprocesorzy

1. Administrator wyraża generalną pisemną zgodę na korzystanie przez Procesora z Podprocesorów wymienionych w Załączniku nr 2 oraz na zmiany tej listy zgodnie z procedurą poniżej.
2. Procesor zapewnia, że każdy Podprocesor jest związany umową nakładającą obowiązki ochrony danych równoważne obowiązkom Procesora wynikającym z niniejszej Umowy.
3. O planowanej zmianie listy Podprocesorów (dodanie, zastąpienie) Procesor informuje Administratora z co najmniej 30-dniowym wyprzedzeniem w panelu organizatora i e-mailem na adres kontaktowy Administratora.
4. W terminie 14 dni od otrzymania powiadomienia Administrator może wnieść uzasadniony sprzeciw wobec zmiany. W razie sprzeciwu Strony podejmują negocjacje w dobrej wierze; jeżeli sprzeciw jest uzasadniony, a Strony nie znajdą rozwiązania, Administrator może wypowiedzieć Umowę i Regulamin z zachowaniem 30-dniowego okresu wypowiedzenia, a Procesor zwróci proporcjonalną część opłaty abonamentowej.
5. Procesor odpowiada wobec Administratora za działania i zaniechania Podprocesorów jak za własne.

§ 8. Naruszenie ochrony danych

1. Procesor zgłasza Administratorowi Naruszenie Ochrony Danych bez zbędnej zwłoki, nie później niż w 48 godzin od stwierdzenia naruszenia, o ile jest to możliwe.
2. Zgłoszenie zawiera co najmniej: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób dotkniętych, kategorie i przybliżoną liczbę rekordów, prawdopodobne konsekwencje, podjęte i proponowane środki zaradcze, dane kontaktowe do dalszej korespondencji.
3. Jeżeli na moment zgłoszenia Procesor nie posiada wszystkich informacji, przekazuje je sukcesywnie, niezwłocznie po ich ustaleniu.
4. Procesor dokumentuje naruszenie i prowadzi rejestr naruszeń. Procesor wspiera Administratora w obowiązkach z art. 33–34 RODO (zgłoszenie do organu nadzorczego, zawiadomienie osób).
5. Kanał zgłoszeniowy: e-mail Administratora wskazany w panelu jako kontakt RODO; oraz dla Procesora — rodo@stoper.io z tytułem „Naruszenie ochrony danych — pilne".

§ 9. Audyt i informacje

1. Procesor udostępnia Administratorowi informacje niezbędne do wykazania zgodności z art. 28 RODO, w tym aktualną wersję Załącznika nr 3 (TOMs), informację o Podprocesorach i historię zmian Umowy.
2. Administrator ma prawo do jednego audytu rocznie z zachowaniem co najmniej 30-dniowego uprzedzenia, na własny koszt, w godzinach pracy Procesora i bez zakłócania ciągłości jego działalności. Strony ustalają zakres i sposób audytu w formie pisemnej.
3. Audyt nadzwyczajny — bez zachowania powyższego harmonogramu — możliwy jest po wystąpieniu Naruszenia Ochrony Danych dotyczącego Administratora lub na uzasadnione żądanie organu nadzorczego.
4. Wymóg audytu uważa się za spełniony, gdy Procesor przedstawi aktualny raport z certyfikacji lub niezależnego audytu zewnętrznego (np. ISO/IEC 27001, SOC 2 Type II) obejmujący zakres niezbędny dla Administratora.
5. Audytor jest zobowiązany do zachowania poufności informacji uzyskanych w trakcie audytu i do podpisania NDA.

§ 10. Transfer danych poza EOG

1. Procesor przetwarza Dane Osobowe co do zasady na terenie Europejskiego Obszaru Gospodarczego (EOG).
2. Transfer poza EOG odbywa się wyłącznie:
   • w odniesieniu do Podprocesorów wskazanych w Załączniku nr 2 z oznaczeniem lokalizacji;
   • na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (SCC, decyzja 2021/914) z dodatkowymi środkami zabezpieczającymi tam, gdzie to konieczne (TIA — Transfer Impact Assessment);
   • lub w oparciu o ramy adekwatności (np. EU-US Data Privacy Framework), jeżeli mają zastosowanie.
3. Procesor udostępnia Administratorowi kopie zawartych SCC lub odsyłacze do dokumentów ramowych podprocesorów na żądanie.

§ 11. Zwrot lub usunięcie danych

1. Po zakończeniu świadczenia usługi (rozwiązanie / wygaśnięcie Umowy lub Regulaminu) Procesor — według wyboru Administratora — zwraca lub usuwa wszystkie Dane Osobowe powierzone do przetwarzania oraz usuwa wszelkie ich istniejące kopie, chyba że obowiązek przechowywania nakłada przepis prawa.
2. Przed usunięciem Procesor udostępnia Administratorowi możliwość pobrania pełnego eksportu danych eventów i wyników w formacie CSV i JSON. Eksport jest dostępny przez okres co najmniej 30 dni od dnia rozwiązania.
3. Standardowe terminy zastosowania niniejszego paragrafu zgodne z polityką retencji opublikowaną w Polityce prywatności Procesora (sekcja 5):
   • aktywna subskrypcja → bezterminowo, do żądania usunięcia,
   • wygasła subskrypcja → 12 mies. read-only + 12 mies. cold archive (export-only) → usunięcie po 24 mies.,
   • oświadczenia o zdrowiu (art. 9 RODO) → usuwane w ciągu 6 mies. od zakończenia eventu niezależnie od stanu subskrypcji,
   • opublikowane wyniki sportowe → pozostają w publicznym archiwum stoper.io (zob. § 4 i § 12 niniejszej Umowy).
4. Procesor potwierdza Administratorowi wykonanie zwrotu lub usunięcia w formie pisemnej (e-mail wystarczy) wraz z datą i zakresem.

§ 12. Wyniki opublikowane — szczególny status

1. Z chwilą publikacji wyników przez Administratora w Serwisie Procesor staje się odrębnym administratorem w zakresie prowadzenia publicznego archiwum wyników w domenie stoper.io, na podstawie własnego uzasadnionego interesu (art. 6 ust. 1 lit. f RODO — sportowo-archiwalny charakter wyników).
2. Po rozwiązaniu Umowy opublikowane wyniki nie podlegają obligatoryjnemu usunięciu z publicznego archiwum stoper.io. Pozostają w archiwum analogicznie do komunikatów wyników publikowanych przez federacje pływackie.
3. Każda osoba, której dane dotyczą, może wnieść indywidualny sprzeciw (art. 21 RODO) wobec przetwarzania jej danych w publicznym archiwum. Procesor rozpatruje sprzeciw indywidualnie i — w razie uznania — stosuje pseudonimizację, de-listing lub usunięcie wpisu, zgodnie z procedurą opisaną w sekcji 9 Polityki prywatności.
4. Administrator zobowiązuje się informować uczestników swoich zawodów o statusie publicznego archiwum oraz o procedurze sprzeciwu. Wzór klauzuli informacyjnej Procesor udostępnia w panelu organizatora.

§ 13. Odpowiedzialność

1. Każda Strona odpowiada za szkody wyrządzone naruszeniem niniejszej Umowy oraz przepisów RODO na zasadach ogólnych Kodeksu cywilnego i art. 82 RODO.
2. W maksymalnym dopuszczalnym przez prawo zakresie, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa, łączna odpowiedzialność Procesora wobec Administratora wynikająca z niniejszej Umowy jest ograniczona do wysokości opłat zapłaconych Procesorowi przez Administratora w okresie 12 miesięcy poprzedzających zdarzenie powodujące odpowiedzialność.
3. Ograniczenie z ust. 2 nie ma zastosowania do (a) szkód wyrządzonych umyślnie, (b) naruszenia obowiązku poufności, (c) odpowiedzialności wobec osób trzecich z art. 82 RODO w zakresie, w jakim ograniczenie byłoby nieskuteczne wobec osoby trzeciej.
4. Strony zobowiązują się wzajemnie informować o roszczeniach osób trzecich i organów nadzorczych oraz współpracować w ich obsłudze.

§ 14. Zmiany Umowy

1. Procesor może dokonywać zmian Umowy w celu dostosowania jej do zmian przepisów, wytycznych organów nadzorczych, zmian technicznych Serwisu, zmian listy Podprocesorów lub TOMs.
2. O istotnych zmianach Procesor informuje Administratora z co najmniej 30-dniowym wyprzedzeniem w panelu organizatora oraz e-mailem.
3. Brak akceptacji zmiany przez Administratora uprawnia go do wypowiedzenia Umowy i Regulaminu z zachowaniem 30-dniowego okresu wypowiedzenia. Do końca okresu wypowiedzenia obowiązuje dotychczasowa wersja Umowy.
4. Aktualna wersja Umowy publikowana jest pod adresem https://stoper.io/umowa-powierzenia. Numer wersji i data podane są w nagłówku.

§ 15. Postanowienia końcowe

1. W sprawach nieuregulowanych stosuje się RODO, ustawę o ochronie danych osobowych z 10 maja 2018 r. oraz Kodeks cywilny.
2. W razie sprzeczności pomiędzy Umową a Regulaminem, w zakresie ochrony danych osobowych pierwszeństwo ma Umowa.
3. Sądem właściwym dla sporów wynikających z Umowy jest sąd właściwy dla siedziby Procesora, o ile bezwzględnie obowiązujące przepisy nie stanowią inaczej.
4. Załączniki nr 1, 2 i 3 stanowią integralną część Umowy.

Załącznik nr 1 — Charakter, cel i zakres powierzenia

1. Cel przetwarzania

• obsługa zgłoszeń uczestników na Eventy Administratora,
• generowanie list startowych, serii, torów,
• przeprowadzenie pomiaru czasu w trakcie Eventów (panele chief / starter / lane / viewer),
• publikacja wyników w obrębie panelu Administratora i przekazanie ich do publicznego archiwum stoper.io zgodnie z decyzją Administratora,
• komunikacja organizator → uczestnicy w obrębie Eventu (potwierdzenia, korekty, informacje organizacyjne),
• obsługa wniosków osób, których dane dotyczą, w zakresie powierzonych danych.

2. Charakter przetwarzania

• operacje zautomatyzowane: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, ujawnianie poprzez przesyłanie i udostępnianie, łączenie z innymi danymi, ograniczanie, usuwanie, eksportowanie;
• operacje manualne związane z obsługą reklamacji, wniosków RODO i awarii.

3. Kategorie osób

• uczestnicy zawodów (zawodnicy pełnoletni i niepełnoletni),
• rodzice / opiekunowie prawni zgłaszający niepełnoletnich,
• członkowie zespołu organizacji (sędziowie, wolontariusze, koordynatorzy) — w zakresie nadanych im uprawnień w panelu,
• osoby kontaktowe klubów i drużyn,
• osoby przeglądające publiczne listy startowe i wyniki (w zakresie technicznych logów dostępu).

4. Kategorie danych

• dane identyfikacyjne (imię, nazwisko, data urodzenia, płeć),
• dane kontaktowe (e-mail, telefon, adres do korespondencji — gdy podawany),
• dane sportowe (klub, kategoria, licencja, czasy zgłoszeniowe, konkurencje),
• dane szczególnych kategorii — wyłącznie oświadczenia o stanie zdrowia, gdy Administrator ich wymaga (art. 9 RODO),
• wizerunek — wyłącznie gdy Administrator publikuje galerię eventu i pobiera odrębną zgodę,
• dane wyników (czas, miejsce, kategoria, status DSQ/DNS/DNF),
• dane techniczne (logi dostępu, IP, sesje).

5. Czas trwania przetwarzania

Zgodnie z § 3 ust. 3 Umowy oraz polityką retencji opublikowaną w Polityce prywatności Procesora (sekcja 5) i § 11 Umowy.

Załącznik nr 2 — Lista Podprocesorów i istotnych dostawców

Wersja listy: 1.0 — 27.04.2026. Aktualna lista: https://stoper.io/umowa-powierzenia.

Konkretni dostawcy infrastruktury serwerowej i operator wiadomości transakcyjnych są wskazani imiennie w panelu organizatora i mogą być przeglądane przez upoważnionego członka organizacji. Każda zmiana listy odbywa się zgodnie z § 7 (30-dniowe wyprzedzenie i prawo uzasadnionego sprzeciwu Administratora).

Aktualna lista podprocesorów dostępna jest w panelu organizatora. Do czasu udostępnienia tej funkcji lista jest udostępniana na żądanie pod adresem rodo@stoper.io.

PayU S.A. nie występuje na liście Podprocesorów — działa jako odrębny administrator danych transakcyjnych w rozumieniu art. 4 pkt 7 RODO. To samo dotyczy Google w zakresie, w jakim Google jest odrębnym administratorem konta Google użytkownika.

Załącznik nr 3 — Środki techniczne i organizacyjne (TOMs)

Wersja TOMs: 1.0 — 27.04.2026.

1. Kontrola dostępu

• indywidualne konta użytkowników z hasłami w postaci skrótu (argon2 / bcrypt),
• opcjonalne uwierzytelnienie Google OAuth (openid / email / profile),
• role i uprawnienia w panelu organizatora (RBAC),
• tymczasowe sesje runtime z PIN-ami (CHIEF_PIN, STARTER_PIN) dla paneli pomiarowych,
• auto-logout paneli po okresie bezczynności,
• izolacja danych pomiędzy organizacjami (multitenancy z separacją na poziomie aplikacji i zapytań do bazy).

2. Bezpieczeństwo transmisji

• TLS 1.2+ na wszystkich publicznych endpointach,
• HSTS, secure cookies, CSRF tokens,
• tryb LAN — zaufana sieć obiektu sportowego pod nadzorem Administratora; na łączach LAN Procesor nie wymusza TLS, ale stosuje uwierzytelnienie PIN-em i sesjami.

3. Bezpieczeństwo przechowywania

• baza danych na infrastrukturze z kontrolą dostępu i szyfrowaniem warstwy dyskowej, gdy wspierane przez dostawcę,
• kopie zapasowe z ograniczonym dostępem i okresem retencji zgodnym z polityką,
• archiwa JSONL z opublikowanymi wynikami (append-only) — integralność weryfikowalna.

4. Audyt i logowanie

• logi audytowe operacji wrażliwych (zmiana ról, publikacja wyników, impersonacja, zmiana ustawień prywatności organizacji),
• logi techniczne HTTP / WS / błędów aplikacji,
• retencja logów audytowych: 24 mies.; logów technicznych: 12 mies.

5. Zarządzanie podatnościami

• aktualizacje zależności i obrazów systemowych zgodnie z dobrymi praktykami,
• monitoring CVE w zależnościach krytycznych,
• procedura zgłaszania podatności na kontakt@stoper.io (tytuł: „Security disclosure").

6. Reagowanie na incydenty

• procedura zgłaszania Naruszeń Ochrony Danych zgodnie z § 8 Umowy — bez zbędnej zwłoki, nie później niż w 48 h od stwierdzenia naruszenia, o ile jest to możliwe,
• rejestr naruszeń,
• plan ciągłości działania dla krytycznych funkcji (pomiar czasu) — w trybie LAN możliwa praca offline.

7. Środki organizacyjne

• zobowiązanie do poufności osób upoważnionych do przetwarzania,
• zasada minimalnego dostępu (need-to-know),
• brak narzędzi marketingowo-śledzących na infrastrukturze produkcyjnej,
• polityka „bring your own device" — wyłącznie urządzenia spełniające wymogi Administratora (po stronie Administratora).

8. Test i przegląd środków

• okresowy przegląd TOMs co najmniej raz na 12 mies.,
• aktualizacja w razie istotnych zmian funkcjonalnych Serwisu lub po incydentach,
• na żądanie Administratora — udostępnienie aktualnego raportu z testów / certyfikacji.

Akceptacja

Akceptacja Regulaminu serwisu stoper.io oraz aktywacja konta organizacji w panelu organizatora (dostępna w sekcji „Dane organizacji → Akceptacja DPA") są równoznaczne z zawarciem niniejszej Umowy. Przy aktywacji w panelu zapisujemy: identyfikator organizacji, znacznik czasu, adres IP, wersję Umowy i tożsamość osoby akceptującej. Administrator może pobrać kopię zaakceptowanej wersji Umowy z panelu organizatora.

W razie wątpliwości dotyczących Umowy lub przetwarzania danych osobowych prosimy o kontakt: rodo@stoper.io (w tytule: „DPA — pytanie"). Pozostałe sprawy: kontakt@stoper.io.