Umowa Powierzenia Przetwarzania Danych (DPA)
Niniejsza umowa reguluje przetwarzanie danych osobowych w imieniu administratora zgodnie z art. 28 RODO.
Niniejsza Umowa Powierzenia Przetwarzania Danych określa warunki, na których my, jako podmiot przetwarzający, przetwarzamy dane osobowe w Pani/Pana imieniu.
Strony
Administrator Danych
Your company (as Data Controller)
Podmiot Przetwarzający
David Huh - Software-as-a-Service & IT-Dienstleistungen
Lucian-Reich-Str. 16
76473 Iffezheim
Przedmiot i Czas Trwania Przetwarzania
Przedmiot Przetwarzania
Operation of the Custodi platform for property and facility management
Czas Trwania Przetwarzania
Duration of the contractual relationship
Charakter i Cel Przetwarzania
Storage, processing, and transmission of property, meter reading, and user data
Rodzaje Danych Osobowych
Contact data, authentication data, meter readings, property data, activity and API access logs
Kategorie Osób, Których Dane Dotyczą
Controller's employees, customers, property owners
Obowiązki Podmiotu Przetwarzającego
- Przetwarzanie wyłącznie zgodnie z udokumentowanymi instrukcjami
- Obowiązek zachowania poufności
- Środki techniczne i organizacyjne (TOM)
- Korzystanie z podwykonawców
- Wsparcie w zakresie praw osób, których dane dotyczą
- Usunięcie i zwrot danych
- Dokumentacja i kontrola
Środki Techniczne i Organizacyjne (TOM)
Technische und Organisatorische Maßnahmen (TOMs)
Datensicherheit:
Verschlüsselung:
- Alle Datenübertragungen erfolgen über HTTPS/TLS 1.3
- Passwörter werden mit bcrypt gehasht
- Session-Tokens werden verschlüsselt gespeichert
Zugriffskontrolle:
- Rollenbasierte Zugriffskontrolle (RBAC) auf Organisationsebene
- Zwei-Faktor-Authentifizierung (2FA) verfügbar
- Audit-Logs für sicherheitsrelevante Ereignisse
- API-Zugriffsprotokolle über Vercel Runtime Logs sowie minimale anwendungsseitige Auth-Kontext-Protokolle (userId, organizationId, Prozedurkennung)
Datentrennung:
- Strikte Mandantentrennung auf Datenbankebene
- Automatische Filterung nach Organisations-ID
- Keine Cross-Organisation-Zugriffe möglich
Backup & Recovery:
- Tägliche automatisierte Backups
- 30 Tage Backup-Aufbewahrung
- Geo-redundante Speicherung kritischer Daten
- Automatisierte Entfernung nicht mehr erforderlicher Blob-Mediendateien nach dokumentierten Aufbewahrungsfristen
Lista Podwykonawców
Aktualną listę wszystkich podwykonawców można znaleźć w naszej Polityce Prywatności w sekcji Podwykonawcy.
| Name | Purpose | Location | Safeguards |
|---|---|---|---|
| Vercel Inc. | Hosting & CDN | Germany (Frankfurt) | Standard Contractual Clauses (SCC) |
| Neon Tech Inc. | Database Hosting | Germany (Frankfurt) | Standard Contractual Clauses (SCC) |
| Resend Inc. | Email Service | Ireland | Standard Contractual Clauses (SCC) |
| Meta Platforms, Inc. / Google LLC | AI-powered meter reading analysis (via Vercel AI Gateway) | USA | Standard Contractual Clauses (SCC) |
| Mapbox Inc. | Address geocoding, map visualization, and location services | Global CDN (EU nodes available) | Standard Contractual Clauses (SCC) |
| Bright Sky API / Deutscher Wetterdienst (DWD) | Weather data and forecasting services | Germany (DWD Offenbach) | Public sector data provider (DWD is a German federal authority); Server-side API calls only (no client IP addresses transmitted); Coordinates rounded to 2 decimals (~1.1km precision) for data minimization; Data licensed under CC BY 4.0 |
| Stripe, Inc. | Payment processing and fraud prevention | USA / Global | Standard Contractual Clauses (SCC) |
Ostatnia aktualizacja: 16 marca 2026