Pomiń do głównej treści
Subito

Umowa powierzenia przetwarzania danych osobowych (DPA)

Załącznik nr 1 do Umowy Agencyjnej Subito ↔ Barber · Wersja 1.0

Podstawa prawna: art. 28 RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679)
Procesor: Instrumental Yevheniia Mikhalova, ul. Celna 2, 43-300 Bielsko-Biała, NIP 9721331140, REGON 523094476 (dalej: „Subito")
Administrator: Salon zarejestrowany w panelu Subito — dane firmy uzupełnione przy onboardingu (dalej: „Administrator")

§ 1. Podstawa prawna i cel

  1. Umowa zawarta na podstawie art. 28 ust. 3 RODO.
  2. Stanowi załącznik do Umowy Agencyjnej i obowiązuje przez okres jej trwania oraz do momentu pełnego usunięcia/zwrotu danych (§ 9).
  3. Cel powierzenia: umożliwienie Procesorowi świadczenia usług technicznych opisanych w § 2 Umowy Agencyjnej.

§ 2. Przedmiot, charakter i czas trwania przetwarzania

PrzedmiotPrzetwarzanie danych osobowych Klientów Administratora w celu obsługi subskrypcji
CharakterZautomatyzowane przetwarzanie (zapis w bazie, zapytania, wysyłka komunikatów)
CelRealizacja umowy subskrypcji między Administratorem a Klientem
Czas trwaniaCzas trwania Umowy Agencyjnej + 5 lat archiwizacji (art. 70 § 1 Ordynacji podatkowej)

§ 3. Kategorie danych osobowych

KategoriaPrzykład
Dane identyfikacyjneImię, nazwisko
Dane kontaktoweE-mail, numer telefonu
Dane techniczneAdres IP, identyfikator urządzenia, log aktywności
Dane transakcyjneHistoria płatności, kwota subskrypcji, status
Dane stylizacyjnePreferencje, notatki Barbera, historia wizyt
Dane karty (tokeny)Wyłącznie Stripe (PCI DSS Level 1, tokenizacja, brak dostępu do PAN)

Dane szczególnej kategorii (art. 9 RODO) NIE są przetwarzane poza ewentualnymi notatkami stylizacyjnymi (alergie). Administrator zobowiązuje się ograniczyć takie notatki do minimum lub uzyskać odrębną zgodę Klienta.

§ 4. Kategorie osób, których dane dotyczą

  1. Klienci końcowi Administratora (osoby fizyczne korzystające z subskrypcji).
  2. W ograniczonym zakresie — pracownicy/współpracownicy Administratora obsługujący panel.

§ 5. Obowiązki Procesora (Subito)

  1. Przetwarzanie wyłącznie na udokumentowane polecenie Administratora (art. 28 ust. 3 lit. a RODO).
  2. Zachowanie poufności — osoby upoważnione po stronie Procesora podpisały zobowiązania do zachowania poufności.
  3. Środki bezpieczeństwa (art. 32 RODO):
    • Szyfrowanie danych w spoczynku (AES-256) i w tranzycie (TLS 1.3);
    • Row-Level Security w Supabase (separacja danych per Salon);
    • MFA dla wszystkich pracowników z dostępem do produkcji;
    • Logowanie i monitoring dostępu (Sentry, Supabase Audit Logs);
    • Backup codzienny, retencja 30 dni, lokalizacja EOG;
    • Pen-testy co 12 miesięcy.
  4. Notyfikacja naruszeń — Procesor zawiadamia Administratora o naruszeniu ochrony danych osobowych w terminie 24 godzin od jego wykrycia (art. 33 ust. 2 RODO + zaostrzenie umowne).
  5. Pomoc Administratorowi w realizacji obowiązków:
    • odpowiedzi na żądania osób (art. 15-22 RODO) — bez zbędnej zwłoki, max 7 dni roboczych;
    • zgłoszeń do PUODO i osób (art. 33-34 RODO);
    • ocenom skutków (DPIA) i konsultacjom (art. 35-36 RODO).
  6. Po zakończeniu umowy — usunięcie lub zwrot danych w terminie 30 dni, z zachowaniem obowiązków archiwizacyjnych prawa podatkowego (5 lat).
  7. Procesor udostępnia Administratorowi wszystkie informacje niezbędne do wykazania zgodności z art. 28 RODO.

§ 6. Subprocesorzy (art. 28 ust. 2 i 4 RODO)

  1. Administrator udziela ogólnej zgody na korzystanie z subprocesorów wymienionych poniżej.
  2. Lista subprocesorów:
    SubprocesorFunkcjaLokalizacjaTransferDPA
    Stripe Payments Europe Ltd.Operator płatnościIrlandia (EOG)brak transferu poza EOGlink
    Vercel Inc.HostingUSASCC 2021/914 (moduł 3) + DPFlink
    Supabase Inc.Baza danychEOG (Frankfurt)brak transferu poza EOGlink
    Resend Inc.E-mail transakcyjnyUSASCC 2021/914 (moduł 3) + DPFlink
    SMSAPI Sp. z o.o.SMS przypomnieniaPolskabrak transferuna żądanie
    Functional Software Inc. (Sentry)Monitoring błędów (data scrubbed)USASCC 2021/914 (moduł 3) + DPFlink
    inFakt Sp. z o.o.Fakturowanie + KSeFPolskabrak transferuna żądanie
  3. Zmiana subprocesora — Procesor informuje Administratora z 30-dniowym wyprzedzeniem. Administrator może w terminie 14 dni wnieść sprzeciw.
  4. Procesor zapewnia, że subprocesorzy są związani obowiązkami co najmniej tak samo rygorystycznymi jak niniejsze DPA.
  5. Procesor ponosi pełną odpowiedzialność wobec Administratora za działania i zaniechania subprocesorów (art. 28 ust. 4 zdanie 2 RODO).

§ 7. Transfery do państw trzecich

  1. Transfery do USA (Vercel, Resend, Sentry) odbywają się na podstawie Standardowych Klauzul Umownych (SCC) — decyzja wykonawcza Komisji 2021/914 z 4 czerwca 2021 r., moduł 3 (procesor do procesora).
  2. W przypadku zakwestionowania SCC przez orzeczenie TSUE lub PUODO — Procesor wdroży dodatkowe środki techniczne lub zmieni subprocesora na alternatywę z EOG.
  3. Vercel + Resend + Sentry mają również certyfikację EU-US Data Privacy Framework (DPF) — decyzja KE 2023/1795.

§ 8. Prawo audytu (art. 28 ust. 3 lit. h RODO)

  1. Administrator ma prawo audytu Procesora w zakresie zgodności z RODO — nie częściej niż raz w roku, z 30-dniowym wyprzedzeniem, na koszt Administratora.
  2. W przypadku stwierdzenia naruszeń przez PUODO lub w razie poważnego incydentu — prawo audytu może być wykonane niezwłocznie i na koszt Procesora.
  3. W zamian za fizyczny audit Procesor może przedstawić: certyfikat ISO 27001, raport SOC 2 Type II subprocesorów, raport pen-testu.

§ 9. Zwrot/usunięcie danych po zakończeniu umowy

  1. Po zakończeniu Umowy Agencyjnej — Administrator w terminie 30 dni wskazuje decyzję:
    • Zwrot — Procesor eksportuje dane w formacie CSV/JSON i przekazuje Administratorowi.
    • Usunięcie — Procesor usuwa dane z systemów produkcyjnych oraz backupów.
  2. Wyjątek archiwizacyjny: dane transakcyjne (faktury, rekord płatności) Procesor zachowuje przez 5 lat po końcu roku obrotowego — obowiązek z art. 70 § 1 Ordynacji podatkowej i art. 86 § 1 ustawy o rachunkowości.
  3. Brak decyzji Administratora w terminie 60 dni = automatyczne usunięcie.

§ 10. Odpowiedzialność

  1. Każda ze stron odpowiada za własne naruszenia RODO zgodnie z art. 82 RODO.
  2. Procesor ponosi odpowiedzialność wobec Administratora do wysokości szkody rzeczywiście poniesionej, nie więcej jednak niż wartość wynagrodzenia (prowizji) zapłaconej przez Administratora w okresie 12 miesięcy poprzedzających zdarzenie. Ograniczenie nie obowiązuje w przypadku winy umyślnej lub rażącego niedbalstwa (art. 473 § 2 kc).
  3. Strony zobowiązują się informować się wzajemnie o postępowaniach prowadzonych przez PUODO oraz koordynować obronę.

§ 11. Postanowienia końcowe

  1. Zmiany DPA — w formie pisemnej lub elektronicznej.
  2. Prawo właściwe: prawo polskie + RODO.
  3. Spory: sąd właściwy dla siedziby Procesora (Bielsko-Biała).
  4. W przypadku konfliktu między DPA a Umową Agencyjną — pierwszeństwo ma DPA w zakresie ochrony danych.