RODO

Obowiązuje od 1 maja 2026 r. · Kontakt: rodo@apparto.pl

Role w przetwarzaniu danych

W modelu apparto funkcjonują dwie odrębne role w rozumieniu RODO. Zrozumienie ich jest ważne zarówno dla zarządców, jak i mieszkańców.

Umowa powierzenia przetwarzania (DPA)

Korzystanie z apparto przez zarządcę jest równoznaczne z zawarciem umowy powierzenia przetwarzania danych osobowych zgodnej z art. 28 RODO. Umowa ta:

• określa zakres i cel przetwarzania danych mieszkańców przez apparto w imieniu zarządcy,
• zobowiązuje apparto do przetwarzania danych wyłącznie zgodnie z udokumentowanymi poleceniami zarządcy,
• gwarantuje stosowanie odpowiednich środków technicznych i organizacyjnych,
• zobowiązuje do pomocy zarządcy w realizacji praw podmiotów danych,
• reguluje zasady usuwania lub zwrotu danych po zakończeniu współpracy.

Pełny tekst DPA jest dostępny na żądanie: rodo@apparto.pl

Obowiązki zarządcy jako administratora

Zarządca korzystający z apparto jest zobowiązany do:

• poinformowania mieszkańców o przetwarzaniu ich danych osobowych (np. przez klauzulę informacyjną przy rejestracji lub w formie fizycznej),
• posiadania podstawy prawnej przetwarzania danych mieszkańców (najczęściej: umowa/statut wspólnoty lub uzasadniony interes),
• prowadzenia rejestru czynności przetwarzania (RCP) — dotyczy organizacji zatrudniających powyżej 250 pracowników lub przetwarzających dane szczególnych kategorii,
• reagowania na wnioski mieszkańców w zakresie praw RODO w ciągu 30 dni,
• niezwłocznego informowania apparto o podejrzeniu naruszenia danych.

Prawa mieszkańców

Mieszkańcy wspólnoty mogą realizować swoje prawa RODO kierując wniosek do zarządcy (jako administratora) lub bezpośrednio do apparto (w zakresie danych przetwarzanych przez apparto we własnym imieniu). Prawa obejmują:

• prawo dostępu do danych i otrzymania kopii,
• prawo do sprostowania nieprawidłowych danych,
• prawo do usunięcia danych (z zastrzeżeniem obowiązków prawnych zarządcy),
• prawo do ograniczenia przetwarzania,
• prawo do przenoszenia danych,
• prawo sprzeciwu,
• prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji.

Środki techniczne i organizacyjne

apparto stosuje następujące środki ochrony danych:

• Szyfrowanie w tranzycie: TLS 1.2+ dla wszystkich połączeń z platformą
• Szyfrowanie haseł: bcrypt z odpowiednim work factorem — hasła nigdy nie są przechowywane w postaci jawnej
• Kontrola dostępu: system uprawnień oparty na rolach (Administrator, Manager, Dyspozytor, Technik, Mieszkaniec) — każda rola ma dostęp tylko do danych niezbędnych do wykonywania zadań
• Separacja danych organizacji: dane każdej wspólnoty są logicznie izolowane — pracownicy jednej wspólnoty nie mają dostępu do danych innej
• Logi dostępu: historia zmian kluczowych rekordów (kto, co, kiedy zmienił)
• Lokalizacja danych: infrastruktura w Unii Europejskiej (EOG)
• Backup: codzienne kopie zapasowe z retencją 30 dni

Podpodmiot przetwarzający

apparto korzysta z podpodmiotów przetwarzających (hosting, e-mail transakcyjny) na podstawie umów DPA zgodnych z RODO. Lista podpodmiotów dostępna na żądanie: rodo@apparto.pl

Dane nie są przekazywane poza Europejski Obszar Gospodarczy.

Naruszenia ochrony danych

W przypadku stwierdzenia naruszenia ochrony danych osobowych apparto zobowiązuje się:

• niezwłocznie (nie później niż w ciągu 72 godzin od wykrycia) powiadomić zarządcę,
• przekazać wszelkie informacje niezbędne do wypełnienia obowiązku notyfikacji UODO,
• udzielić pomocy w powiadomieniu osób, których dane dotyczą, jeśli jest to wymagane.

Kontakt w sprawach RODO

Pytania dotyczące ochrony danych osobowych prosimy kierować na adres: rodo@apparto.pl

Masz prawo złożyć skargę do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl