Podsumowanie:
Bezpieczeństwo danych w systemie Odpadomat opiera się na najwyższych standardach ochrony informacji. Wszystkie dane są przechowywane w bezpiecznej chmurze Amazon AWS na terenie Europy, co gwarantuje pełną ochronę przed nieuprawnionym dostępem, szyfrowanie transmisji oraz codzienne kopie zapasowe. Rozwiązanie to w pełni spełnia rygorystyczne wymagania unijnego prawa ochrony danych osobowych (RODO / GDPR).

1. Lokalizacja Danych (Data Residency)

Wszystkie dane osobowe, dane transakcyjne, informacje o lokalizacjach oraz historia zleceń systemu Odpadomat są przetwarzane i przechowywane wyłącznie w europejskich centrach danych:

  • Baza danych i uwierzytelnianie (Baza PostgreSQL): Chmura AWS, region eu-west-2 (Londyn, Europa).
  • Warstwa aplikacyjna i API (Kotlin / Spring Backend): Kontenery AWS ECS Fargate, region eu-west-2 (Londyn, Europa).

⚖️ Zgodność RODO a Wielka Brytania (UK)

Wielka Brytania po Brexicie podlega brytyjskiemu RODO (UK GDPR), którego standardy ochrony są tożsame z unijnym RODO. Komisja Europejska w dniu 28 czerwca 2021 r. wydała tzw. decyzję o adekwatności (Adequacy Decision) dla Wielkiej Brytanii. Decyzja ta formalnie potwierdza, że Wielka Brytania zapewnia stopień ochrony danych osobowych zasadniczo równoważny stopniowi ochrony w Unii Europejskiej. Dzięki temu transfery danych z UE do UK są całkowicie legalne i nie wymagają żadnych dodatkowych zezwoleń ani mechanizmów zabezpieczających.

2. Środki Bezpieczeństwa Technicznego

Architektura bezpieczeństwa systemu została zaprojektowana zgodnie z wytycznymi OWASP oraz normą ISO/IEC 27001, opierając się na następujących filarach:

A. Szyfrowanie Danych (Data Encryption)

  • Dane w spoczynku (Encryption at Rest): Wszystkie dyski bazodanowe w chmurze AWS są w pełni zaszyfrowane algorytmem AES-256. Klucze kryptograficzne są zarządzane przez certyfikowaną usługę AWS Key Management Service (KMS).
  • Dane w transmisji (Encryption in Transit): Każde połączenie między przeglądarką klienta a serwerem (API, panel) jest zabezpieczone protokołem TLS 1.3 / TLS 1.2 z silnymi szyframi (AES-GCM). Certyfikaty SSL są automatycznie odnawiane i zarządzane przez AWS Certificate Manager (ACM).

B. Izolacja Sieciowa i Konteneryzacja

  • AWS ECS Fargate: Warstwa aplikacyjna backendu Kotlin API działa w trybie Serverless Containers na AWS Fargate. Oznacza to brak dostępu do fizycznych serwerów, automatyczne łatanie luk bezpieczeństwa systemu operacyjnego przez AWS oraz pełną izolację kontenerów.
  • Zarządzanie Sekretami: Wszystkie hasła do baz danych, tokeny API i klucze integracji nie są zapisywane w kodzie źródłowym. Są bezpiecznie wstrzykiwane w czasie uruchomienia za pomocą AWS Systems Manager (SSM) Parameter Store i szyfrowane kluczem KMS.
  • Ochrona przed DDoS: Połączenia zewnętrzne są filtrowane i dystrybuowane przez elastyczne load balancery (AWS ALB) z wbudowaną ochroną AWS Shield.

C. Kopie Zapasowe i Dostępność

  • Backupy: Automatyczne, codzienne kopie zapasowe baz danych z okresem retencji gwarantującym odzyskanie danych do dowolnego punktu w czasie (Point-in-Time Recovery - PITR). Kopie są replikowane w izolowanych lokalizacjach AWS.
  • Dostępność (High Availability): System działa w architekturze Multi-AZ (Multiple Availability Zones) w chmurze AWS, co zapewnia automatyczny failover i ochronę przed awariami fizycznych centrów danych.

3. Zgodność z RODO (GDPR Compliance)

Odpadomat realizuje wszystkie prawa osób, których dane dotyczą, bezpośrednio w swoich procesach biznesowych:

  1. Zasada minimalizacji danych: Zbieramy wyłącznie te dane, które są niezbędne do realizacji usługi podstawienia i odbioru kontenera (imię, telefon, adres dostawy, opcjonalnie NIP do faktury oraz ewentualny adres e-mail do płatności).
  2. Prawo do bycia zapomnianym (Anonimizacja): Baza danych umożliwia administratorom natychmiastowe usunięcie lub pełną anonimizację konta klienta oraz historii jego zamówień na żądanie.
  3. Zgody i regulaminy: Formularz zamówień posiada wyraźne, aktywne checkboxy akceptacji Regulaminu, Polityki Prywatności oraz zgód RODO niezbędnych do realizacji transakcji.
  4. Umowa Powierzenia Przetwarzania Danych (DPA): Jako podmiot przetwarzający (Processor), Odpadomat opiera swoje usługi na standardowych umowach powierzenia zgodnych z art. 28 RODO dla wszystkich swoich partnerów (w tym firm podwykonawczych realizujących transport).

Dokument sporządzony przez zespół ds. Zgodności i Bezpieczeństwa Odpadomat.

Ostatnia aktualizacja: 19 maja 2026 r.