Umowa powierzenia przetwarzania danych

Klient — administrator danych osobowych pracowników/uczestników, których wprowadza do SkillCheck.

Operator (SkillCheck) — podmiot przetwarzający (procesor) działający na zlecenie klienta w zakresie tych danych.

Dane operatora:

• Grzegorz Kosiński, osoba prywatna
• Adres: Leschwitzer Str. 8B, 02827 Görlitz
• Kraj: Deutschland
• support@skillcheck.one

Operator dostarcza klientowi platformę SaaS SkillCheck do tworzenia szkoleń, przypisywania ich pracownikom, zbierania wyników quizów i wystawiania certyfikatów zgodności. W ramach świadczenia usługi operator przetwarza dane osobowe wprowadzane przez klienta.

• Tworzenie szkoleń na podstawie procedur firmowych klienta.
• Przypisywanie szkoleń pracownikom i uczestnikom.
• Wysyłka zaproszeń i przypomnień transakcyjnych.
• Zbieranie podejść i wyników quizów.
• Wystawianie certyfikatów zaliczenia.
• Przygotowanie raportów zgodności (CSV / PDF).
• Prowadzenie dziennika audytu działań administratorów.

• Konta administratorów klienta (imię, email, rola).
• Uczestnicy: imię i nazwisko, email, dział, kod pracownika (opcjonalnie).
• Treści szkoleń wprowadzane przez klienta.
• Status przypisań i terminy.
• Podejścia do quizów i wyniki.
• Wystawione certyfikaty.
• Wpisy dziennika audytu.
• Techniczne logi bezpieczeństwa (np. hash IP do detekcji nadużyć).

• Pracownicy klienta.
• Współpracownicy / kontraktorzy.
• Stażyści i osoby odbywające szkolenia.
• Administratorzy klienta korzystający z panelu.

Operator przetwarza powierzone dane przez okres trwania konta klienta lub umowy, chyba że obowiązujące prawo lub uzgodnione retencje wymagają dłuższego okresu (np. dziennik audytu i certyfikaty mogą być przechowywane na potrzeby zgodności).

• Cała komunikacja przez HTTPS.
• Hasła użytkowników haszowane (bcrypt, koszt 12).
• Jednorazowe tokeny do weryfikacji email i resetu hasła.
• Rate limiting na akcjach narażonych na nadużycia.
• Izolacja arendarska — każde zapytanie do bazy ograniczone identyfikatorem firmy z sesji.
• Dziennik audytu działań administratorów.
• Kontrola ról (ADMIN/OWNER) i ochrona endpointów administracyjnych.
• Przepływ eksportu i prośby o usunięcie danych zgodny z RODO (panel firmy).

Operator korzysta z poniższych podprocesorów do świadczenia usługi. Lista jest aktualizowana w razie zmian:

• Vercel — hosting aplikacji i runtime serverless.
• Neon / PostgreSQL — hosting bazy danych aplikacji.
• Resend — wysyłka transakcyjnych emaili (weryfikacja, zaproszenia, przypomnienia).
• OpenAI — generowanie treści szkoleń AI z tekstu źródłowego wprowadzonego przez klienta.
• GitHub — repozytorium kodu i CI; nie jest planowany jako odbiorca danych produkcyjnych, choć logi CI mogą okazjonalnie zawierać metadane diagnostyczne.

Aktualna lista podprocesorów oraz ich zakres przetwarzania jest weryfikowana z klientem przed podpisaniem umowy.

Niektórzy podprocesorzy mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym, w zależności od konfiguracji oraz ich własnych warunków. Strony uzgadniają odpowiednie zabezpieczenia (np. standardowe klauzule umowne UE) tam, gdzie ma to zastosowanie.

Operator wspiera klienta w realizacji żądań osób, których dane dotyczą, przede wszystkim przez funkcje eksportu i prośby o usunięcie danych dostępne w panelu /admin/settings, oraz przez kontakt do operatora w sprawach prywatności.

Operator powiadomi klienta bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych, które dotyczy danych klienta, podając informacje umożliwiające klientowi wypełnienie własnych obowiązków zgłoszeniowych.

• Klient może w każdej chwili pobrać eksport danych firmy z poziomu /admin/settings.
• Prośba o usunięcie konta firmowego jest weryfikowana ręcznie i realizowana po zatwierdzeniu.
• Niektóre wpisy zgodności (audit log, certyfikaty) mogą wymagać retencji na potrzeby kontroli, zgodnie z uzgodnieniami stron i obowiązującymi przepisami.