Skip to main content

HEROIFY Data Processing Agreement (DPA)

Data wejścia w życie: 1 marca 2026 r.

Umowa powierzenia przetwarzania danych osobowych

Jak działa ta DPA?

Korzystanie z platformy Heroify (w tym aktywacja konta) jest równoznaczne z zaakceptowaniem niniejszej DPA w jej aktualnym brzmieniu. DPA stanowi integralną część stosunku umownego między Heroify a Klientem.

Klienci wymagający indywidualnie negocjowanej DPA (np. na potrzeby przetargu lub audytu korporacyjnego) mogą skontaktować się z Heroify pod adresem gdpr@heroify.co.

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: DPA lub Umowa) jest zawierana pomiędzy Klientem korzystającym z platformy Heroify (dalej: Administrator) a Heroify sp. z o.o. z siedzibą w Warszawie, adres: ul. Padewska 23/7, 00-777 Warszawa, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy KRS, pod numerem KRS: 0000903229, NIP: 5213930518, REGON: 389112980, o kapitale zakładowym w wysokości 35.500,00 zł, reprezentowaną przez Paulinę Wardęgę - Prezes Zarządu (dalej: Podmiot przetwarzający lub Heroify) - i reguluje zasady przetwarzania danych osobowych Kandydatów/Uczestników w zakresie, w jakim Heroify przetwarza te dane na zlecenie Administratora, zgodnie z art. 28 RODO.

1. Definicje

Na potrzeby niniejszej DPA przyjmuje się następujące definicje:

  • Administrator: Klient korzystający z platformy Heroify - podmiot, który samodzielnie określa cele i sposoby przetwarzania danych osobowych Kandydatów/Uczestników w ramach swoich procesów rekrutacyjnych lub oceny pracowniczej.
  • Podmiot przetwarzający: Heroify sp. z o.o. z siedzibą w Warszawie, ul. Padewska 23/7, 00-777 Warszawa, KRS: 0000903229, NIP: 5213930518, REGON: 389112980, kapitał zakładowy: 35.500,00 zł - przetwarza dane osobowe Kandydatów/Uczestników wyłącznie na zlecenie i zgodnie z udokumentowanymi instrukcjami Administratora.
  • Kandydat/Uczestnik: Osoba fizyczna, której dane osobowe są przetwarzane za pośrednictwem platformy Heroify - kandydat w procesie rekrutacyjnym lub pracownik poddawany ocenie wewnętrznej przez Administratora.
  • Dane osobowe: Wszelkie informacje dotyczące Kandydatów/Uczestników przetwarzane przez Heroify w imieniu Administratora, w szczególności wskazane w Załączniku 1 do niniejszej DPA.
  • Platforma: Aplikacja internetowa Heroify dostępna pod adresem www.heroify.co.
  • Sub-procesor: Podmiot trzeci, któremu Heroify powierza przetwarzanie danych osobowych w celu realizacji usług na rzecz Administratora.
  • Naruszenie ochrony danych: Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych (art. 4 pkt 12 RODO).
  • RODO: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.

2. Przedmiot i zakres powierzenia

  • 2.1 Administrator powierza Heroify przetwarzanie danych osobowych Kandydatów/Uczestników w zakresie niezbędnym do świadczenia usług platformy Heroify, w szczególności tworzenia i przeprowadzania Assessmentów, zbierania i prezentowania wyników oraz zapewnienia bezpieczeństwa i rzetelności procesu oceny.
  • 2.2 Szczegółowy opis kategorii danych osobowych, kategorii osób, których dane dotyczą, celów i charakteru przetwarzania oraz okresu przetwarzania zawiera Załącznik 1 do niniejszej DPA.
  • 2.3 Heroify przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, za które uznaje się w szczególności: konfigurację konta i ustawień na platformie, udostępnienie Assessmentu Kandydatom/Uczestnikom oraz inne działania Administratora lub Użytkowników podjęte za pośrednictwem platformy Heroify.
  • 2.4 Jeżeli Heroify będzie zobowiązana do przetwarzania danych na podstawie przepisów prawa Unii lub państwa członkowskiego, poinformuje o tym Administratora przed przystąpieniem do przetwarzania, o ile prawo to nie zakazuje udzielania takiej informacji.

3. Obowiązki Heroify jako Podmiotu przetwarzającego

Heroify zobowiązuje się do:

  • przetwarzania danych osobowych wyłącznie zgodnie z udokumentowanymi instrukcjami Administratora i w celach określonych w Załączniku 1, chyba że obowiązek przetwarzania wynika z przepisów prawa UE lub państwa członkowskiego;
  • zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  • wdrożenia odpowiednich technicznych i organizacyjnych środków bezpieczeństwa zgodnie z art. 32 RODO, uwzględniając stan wiedzy technicznej, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych;
  • przestrzegania warunków korzystania z usług Sub-procesorów określonych w sekcji 5 niniejszej DPA;
  • udzielania Administratorowi pomocy, w miarę możliwości i z uwzględnieniem charakteru przetwarzania, w wypełnianiu obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO;
  • udzielania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienia przeprowadzania audytów zgodnie z sekcją 7 niniejszej DPA;
  • niezwłocznego informowania Administratora, jeżeli zdaniem Heroify wydane przez Administratora polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych;
  • po zakończeniu świadczenia usług przetwarzania, usunięcia lub zwrotu wszelkich danych osobowych Administratorowi oraz usunięcia istniejących kopii, chyba że prawo Unii lub prawo krajowe nakazuje ich przechowywanie - zgodnie z sekcją 9 niniejszej DPA.

4. Techniczne i organizacyjne środki bezpieczeństwa

Heroify wdrożyło i utrzymuje środki bezpieczeństwa obejmujące co najmniej:

  • szyfrowanie danych w transmisji (TLS/HTTPS) oraz w spoczynku;
  • kontrolę dostępu opartą na rolach - dostęp do danych osobowych wyłącznie dla upoważnionych pracowników;
  • pseudonimizację danych tam, gdzie jest to możliwe bez uszczerbku dla funkcjonalności;
  • regularne kopie zapasowe danych oraz procedury ich przywracania;
  • monitorowanie i rejestrowanie dostępu do danych osobowych;
  • regularne testy i oceny skuteczności środków bezpieczeństwa;
  • procedury zarządzania incydentami bezpieczeństwa;
  • szkolenia pracowników mających dostęp do danych osobowych w zakresie ochrony danych.

Heroify może aktualizować środki bezpieczeństwa, pod warunkiem że nie obniży przy tym ogólnego poziomu ochrony danych osobowych.

5. Korzystanie z usług Sub-procesorów

  • 5.1 Administrator niniejszym udziela Heroify ogólnego upoważnienia do korzystania z usług Sub-procesorów w celu realizacji usług platformy Heroify. Heroify prowadzi aktualną listę Sub-procesorów, która udostępniana jest Administratorowi na żądanie kierowane na adres gdpr@heroify.co.
  • 5.2 Heroify powiadamia Administratora o planowanych zmianach dotyczących Sub-procesorów (dodaniu lub zastąpieniu) z co najmniej 14-dniowym wyprzedzeniem poprzez opublikowanie stosownej informacji na stronie heroify.co lub drogą e-mailową na adres powiązany z kontem Klienta.
  • 5.3 Administrator ma prawo zgłoszenia uzasadnionego sprzeciwu wobec planowanej zmiany Sub-procesora w terminie 14 dni od otrzymania powiadomienia. Przez uzasadniony sprzeciw rozumie się sprzeciw oparty na konkretnych, udokumentowanych przesłankach dotyczących ochrony danych - nie zaś sprzeciw o charakterze ogólnym lub komercyjnym.
  • 5.4 Jeżeli Administrator zgłosi uzasadniony sprzeciw, a Heroify nie będzie mogła zapewnić rozwiązania satysfakcjonującego Administratora w rozsądnym terminie, obie strony mogą rozwiązać umowę w zakresie dotkniętym sprzeciwem z zachowaniem 30-dniowego okresu wypowiedzenia.
  • 5.5 Heroify nakłada na Sub-procesorów obowiązki ochrony danych co najmniej równoważne obowiązkom wynikającym z niniejszej DPA. Heroify pozostaje w pełni odpowiedzialna wobec Administratora za wykonanie przez Sub-procesorów swoich obowiązków.

6. Naruszenia ochrony danych

  • 6.1 Heroify powiadamia Administratora bez zbędnej zwłoki - nie później niż w ciągu 48 godzin - od stwierdzenia Naruszenia ochrony danych dotyczącego danych przetwarzanych w imieniu Administratora.
  • 6.2 Powiadomienie, o którym mowa w pkt 6.1, zawiera co najmniej: opis charakteru naruszenia oraz kategorii i przybliżonej liczby osób i rekordów danych, których dotyczy naruszenie; dane kontaktowe osoby, od której można uzyskać więcej informacji; opis prawdopodobnych konsekwencji naruszenia; opis środków podjętych lub proponowanych w celu zaradzenia naruszeniu.
  • 6.3 Jeżeli nie jest możliwe jednoczesne przekazanie wszystkich informacji wskazanych w pkt 6.2, Heroify przekazuje je etapami bez zbędnej zwłoki.
  • 6.4 Heroify wspiera Administratora w wywiązaniu się z obowiązku zgłoszenia naruszenia do organu nadzorczego (UODO) w terminie 72 godzin od jego stwierdzenia, zgodnie z art. 33 RODO, oraz w zakresie powiadamiania osób, których naruszenie może dotyczyć, zgodnie z art. 34 RODO.
  • 6.5 Powiadomienie o naruszeniu kierowane jest na adres e-mail powiązany z kontem Klienta lub na adres gdpr wskazany przez Administratora. Administrator jest odpowiedzialny za utrzymanie aktualnych danych kontaktowych w swoim koncie.

7. Audyty i kontrole

  • 7.1 Heroify udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO, w tym niniejszej DPA.
  • 7.2 Na uzasadniony pisemny wniosek Administratora, nie częściej niż raz w roku kalendarzowym, Heroify umożliwia przeprowadzenie audytu lub inspekcji przez Administratora lub upoważnionego przez niego audytora zewnętrznego. Audyt odbywa się na koszt Administratora, po uprzednim uzgodnieniu zakresu i terminu z co najmniej 30-dniowym wyprzedzeniem, w sposób nienaruszający normalnego toku działalności Heroify i praw innych klientów.
  • 7.3 Strony mogą uzgodnić, że obowiązek audytu zostanie zastąpiony udostępnieniem przez Heroify aktualnych certyfikatów bezpieczeństwa (np. ISO 27001) lub raportów z audytów przeprowadzonych przez akredytowane podmioty zewnętrzne.

8. Transfery danych poza Europejski Obszar Gospodarczy (EOG)

  • 8.1 Heroify przechowuje dane osobowe Kandydatów/Uczestników na serwerach zlokalizowanych na terenie Unii Europejskiej.
  • 8.2 W przypadku korzystania z usług Sub-procesorów zlokalizowanych poza EOG, Heroify zapewnia odpowiednie zabezpieczenia transferu danych zgodnie z art. 46 RODO - w szczególności poprzez zastosowanie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską oraz, w stosownych przypadkach, przeprowadzenie oceny ryzyka transferu (Transfer Impact Assessment).
  • 8.3 Heroify nie przekazuje danych osobowych Kandydatów/Uczestników do krajów trzecich bez zastosowania odpowiednich zabezpieczeń, o których mowa w pkt 8.2.

9. Usuwanie i zwrot danych po zakończeniu świadczenia usług

  • 9.1 Po rozwiązaniu umowy lub usunięciu konta Administratora Heroify przechowuje dane osobowe Kandydatów/Uczestników przez 30 dni od dnia zakończenia umowy, umożliwiając Administratorowi eksport danych na jego żądanie złożone przed upływem tego terminu.
  • 9.2 Po upływie 30-dniowego okresu, o którym mowa w pkt 9.1, Heroify usuwa dane osobowe Kandydatów/Uczestników przetworzone w imieniu Administratora, z wyjątkiem danych, które Heroify jest zobowiązana przechowywać na podstawie przepisów prawa (np. danych niezbędnych do obrony przed roszczeniami przez okres przedawnienia).
  • 9.3 Na żądanie Administratora złożone przed upływem okresu, o którym mowa w pkt 9.1, Heroify zapewni eksport danych w formacie CSV lub innym powszechnie stosowanym formacie nadającym się do odczytu maszynowego.
  • 9.4 Powyższe zasady dotyczą danych przetwarzanych przez Heroify jako Podmiot przetwarzający na zlecenie Administratora. Dane przetwarzane przez Heroify jako niezależny administrator (profil i historia wyników Kandydatów/Uczestników) podlegają odrębnym zasadom określonym w Polityce Prywatności Kandydata/Uczestnika.

10. Realizacja praw osób, których dane dotyczą

  • 10.1 Administrator jest odpowiedzialny za zapewnienie osobom, których dane dotyczą, możliwości wykonywania praw przysługujących im na podstawie RODO (dostęp, sprostowanie, usunięcie, ograniczenie przetwarzania, przenoszenie danych, sprzeciw).
  • 10.2 Heroify, po otrzymaniu żądania bezpośrednio od Kandydata/Uczestnika dotyczącego danych przetwarzanych w imieniu Administratora, niezwłocznie przekazuje to żądanie do Administratora i nie udziela odpowiedzi w jego imieniu bez jego upoważnienia.
  • 10.3 Heroify udziela Administratorowi pomocy technicznej w realizacji praw, o których mowa w pkt 10.1, w szczególności poprzez udostępnienie funkcji eksportu danych oraz możliwości usunięcia danych konkretnego Kandydata/Uczestnika z poziomu platformy.

11. Odpowiedzialność

  • 11.1 Każda ze stron odpowiada wobec osób, których dane dotyczą, za szkody spowodowane przetwarzaniem naruszającym RODO w zakresie, w jakim ponosi za nie odpowiedzialność.
  • 11.2 Heroify jest zwolniona z odpowiedzialności, jeżeli udowodni, że nie ponosi winy za zdarzenie będące przyczyną szkody lub że postępowała zgodnie z udokumentowanymi instrukcjami Administratora.
  • 11.3 Całkowita odpowiedzialność Heroify z tytułu niniejszej DPA, z wyjątkiem odpowiedzialności wynikającej z naruszenia przepisów RODO przez Heroify działające poza zakresem lub wbrew instrukcjom Administratora, ograniczona jest do sumy opłat uiszczonych przez Administratora w ciągu 12 miesięcy poprzedzających zdarzenie powodujące szkodę.

12. Zmiany DPA

  • 12.1 Heroify może zmieniać niniejszą DPA w związku ze zmianami przepisów prawa, wytycznych organów nadzorczych lub wymogów operacyjnych. O każdej istotnej zmianie Heroify powiadamia Administratora z co najmniej 14-dniowym wyprzedzeniem drogą e-mailową lub poprzez komunikat na platformie.
  • 12.2 Kontynuowanie korzystania z platformy po upływie 14-dniowego okresu powiadomienia jest równoznaczne z akceptacją zmienionej DPA.
  • 12.3 Jeżeli Administrator nie akceptuje zmienionej DPA, może rozwiązać umowę zgodnie z postanowieniami Regulaminu przed datą wejścia zmian w życie.

13. Rozstrzyganie sporów z organem nadzorczym

  • 13.1 W przypadku sporu lub roszczenia wniesionego przez Podmiot Danych lub organ nadzorczy (UODO) w związku z przetwarzaniem danych osobowych przeciwko jednej lub obu Stronom, Strony będą się wzajemnie niezwłocznie informować o takich sporach lub roszczeniach i współpracować w celu ich polubownego rozstrzygnięcia.
  • 13.2 Strony zobowiązują się do udzielenia odpowiedzi na każde niewiążące postępowanie mediacyjne zainicjowane przez Podmiot Danych lub organ nadzorczy. Udział może odbywać się na odległość (telefon, wideokonferencja lub inne środki elektroniczne).
  • 13.3 Każda ze Stron podporządkuje się ostatecznej i prawomocnej decyzji organu nadzorczego (UODO) lub właściwego sądu.

14. Postanowienia końcowe

  • 14.1 Niniejsza DPA podlega prawu polskiemu i jest interpretowana zgodnie z RODO oraz przepisami implementującymi RODO w Polsce.
  • 14.2 W zakresie nieuregulowanym niniejszą DPA zastosowanie mają postanowienia Regulaminu platformy Heroify dostępnego pod adresem https://www.heroify.co/pl/terms oraz Umowy Współpracy zawartej między Stronami.
  • 14.3 W przypadku sprzeczności między niniejszą DPA a Regulaminem, w sprawach dotyczących ochrony danych osobowych pierwszeństwo ma niniejsza DPA. Postanowienia Umowy Współpracy mogą przewidywać wyższy lub bardziej szczegółowy standard ochrony danych - w takim przypadku stosuje się standard korzystniejszy dla ochrony danych osobowych.
  • 14.4 Wszelkie spory wynikające z niniejszej DPA strony będą starały się rozwiązać polubownie. W przypadku braku porozumienia właściwy jest sąd właściwy dla siedziby Heroify.
  • 14.5 Jeżeli jakiekolwiek postanowienie niniejszej DPA okaże się nieważne lub bezskuteczne, pozostałe postanowienia pozostają w mocy.
  • 14.6 Kontakt w sprawach DPA: gdpr@heroify.co.

ZAŁĄCZNIK 1 - Opis czynności przetwarzania

  • Strony: Administrator: Klient korzystający z platformy Heroify. Podmiot przetwarzający: Heroify sp. z o.o., ul. Padewska 23/7, 00-777 Warszawa, NIP: 5213930518.
  • Przedmiot przetwarzania: Świadczenie usług platformy Heroify, w tym tworzenie i przeprowadzanie Assessmentów oceniających kompetencje, zdolności, dopasowanie i postawę Kandydatów/Uczestników.
  • Czas trwania przetwarzania: Przez czas trwania umowy między Administratorem a Heroify, a po jej zakończeniu przez dodatkowy okres 30 dni umożliwiający eksport danych, o ile przepisy prawa nie wymagają dłuższego przechowywania.
  • Charakter przetwarzania: Zbieranie, rejestrowanie, organizowanie, przechowywanie, adaptowanie, przeglądanie, ujawnianie (w ramach platformy), ograniczanie, usuwanie. Przetwarzanie odbywa się wyłącznie elektronicznie za pośrednictwem platformy Heroify.
  • Cel przetwarzania: Przeprowadzenie Assessment(ów) zleconych przez Administratora, prezentacja wyników Administratorowi i Użytkownikom, zapewnienie rzetelności i bezpieczeństwa procesu oceny, realizacja praw osób, których dane dotyczą.
  • Kategorie osób: Kandydaci ubiegający się o pracę u Administratora oraz pracownicy Administratora poddawani ocenom wewnętrznym.
  • Kategorie danych osobowych: 1. Dane identyfikacyjne i kontaktowe: imię, nazwisko, adres e-mail, numer telefonu. 2. Wyniki Assessmentów: odpowiedzi na pytania zamknięte (Testy), odpowiedzi na Pytania otwarte, wyniki i raporty kompetencyjne. 3. Dane behawioralne i techniczne (anty-cheating): adres IP, typ urządzenia i przeglądarki, czas spędzony na poszczególnych pytaniach, zdarzenia systemowe zarejestrowane podczas sesji testowej.
  • Dane szczególnych kategorii (art. 9 RODO): Co do zasady niniejsza DPA nie obejmuje przetwarzania danych szczególnych kategorii. Administrator zobowiązuje się nie zlecać Heroify przetwarzania takich danych bez uprzedniego zawarcia odrębnego porozumienia w formie pisemnej.