Umowa powierzenia przetwarzania danych osobowych (wzór)

Wersja: 1.1 · Ostatnia aktualizacja: 19 kwietnia 2026

§ 1. Strony

Podmiot przetwarzający (zwany dalej „Procesorem"):

ARI.CODE Arkadiusz Rosłoniec
jednoosobowa działalność gospodarcza
Gostomia 17, 26-420 Nowe Miasto nad Pilicą
NIP: 7972027390
email: kontakt@zbierajmadrze.pl

Administrator (zwany dalej „Administratorem"):

Użytkownik Aplikacji, który wprowadza dane osobowe osób trzecich (w szczególności pracowników i współpracowników).

§ 2. Przedmiot i cel powierzenia

1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu określonym w Załączniku A.
2. Procesor zobowiązuje się do przetwarzania powierzonych danych wyłącznie w celu i zakresie niezbędnym do świadczenia usług określonych w Regulaminie Aplikacji, a w szczególności do: przechowywania, wyświetlania Administratorowi i upoważnionym przez niego użytkownikom, wykonywania obliczeń rozliczeniowych, tworzenia kopii zapasowych i zabezpieczania danych.
3. Procesor nie przetwarza powierzonych danych we własnych celach i nie wykorzystuje ich w celach marketingowych ani statystycznych wychodzących poza świadczenie usługi Administratorowi.

§ 3. Czas trwania

1. Umowa obowiązuje przez okres obowiązywania umowy głównej (Regulaminu) pomiędzy Administratorem a Procesorem w ramach Aplikacji „Zbieraj Mądrze".
2. Po rozwiązaniu umowy głównej stosuje się § 10 niniejszej umowy.

§ 4. Rodzaj danych i kategorie osób

Szczegółowy wykaz kategorii danych i osób, których dane dotyczą, znajduje się w Załączniku A.

§ 5. Obowiązki Procesora

1. Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora. Za takie polecenie uważa się również polecenia wydawane za pośrednictwem Aplikacji (wprowadzenie, edycja i usunięcie danych, eksport).
2. Procesor zobowiązuje się do zapewnienia, by osoby upoważnione do przetwarzania danych (pracownicy i współpracownicy Procesora) zobowiązały się do zachowania tajemnicy lub podlegały ustawowemu obowiązkowi zachowania tajemnicy.
3. Procesor wdraża odpowiednie środki techniczne i organizacyjne, o których mowa w § 8.
4. Procesor pomaga Administratorowi, w miarę możliwości, w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą (art. 12–22 RODO).
5. Procesor pomaga Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków, konsultacje z UODO).
6. Procesor niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.

§ 6. Obowiązki Administratora

1. Administrator oświadcza, że posiada ważną podstawę prawną przetwarzania danych osobowych powierzanych Procesorowi (np. zawarta umowa z pracownikiem, przepis prawa, uzasadniony interes).
2. Administrator zobowiązuje się do wykonania wobec osób, których dane dotyczą (swoich pracowników i współpracowników), obowiązków informacyjnych wynikających z art. 13 i 14 RODO, w tym poinformowania ich o powierzeniu przetwarzania Procesorowi.
3. Administrator odpowiada za zakres, treść i legalność danych wprowadzanych do Aplikacji.

§ 7. Podpowierzenie (subprocesorzy)

1. Administrator udziela Procesorowi ogólnego upoważnienia do korzystania z podwykonawców (dalszych podmiotów przetwarzających) wymienionych w Załączniku C.
2. Procesor poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających z co najmniej 14-dniowym wyprzedzeniem drogą emailową lub komunikatem w Aplikacji. Administrator ma prawo wyrażenia sprzeciwu; w takim wypadku strony podejmą rozmowy w dobrej wierze o alternatywnym rozwiązaniu, a w razie braku porozumienia Administrator może wypowiedzieć umowę ze skutkiem na dzień wprowadzenia zmiany.
3. Procesor zapewnia, że na dalszy podmiot przetwarzający nałożone zostaną obowiązki ochrony danych nie mniejsze niż określone w niniejszej umowie.

§ 8. Bezpieczeństwo przetwarzania (art. 32 RODO)

Procesor stosuje środki techniczne i organizacyjne wymienione w Załączniku B, w tym:

• szyfrowanie transmisji pomiędzy klientem a serwerem;
• mechanizmy uwierzytelniania i autoryzacji dostępu do Aplikacji;
• organizacyjne i techniczne ograniczenie dostępu do danych do osób upoważnionych;
• rejestrowanie wybranych zdarzeń bezpieczeństwa i działań administracyjnych;
• środki służące odtwarzaniu dostępności danych i ciągłości działania usługi adekwatne do skali przetwarzania.

§ 9. Naruszenia ochrony danych

1. Procesor zgłasza Administratorowi każde stwierdzone naruszenie ochrony powierzonych danych osobowych bez zbędnej zwłoki, drogą emailową lub innym uzgodnionym kanałem kontaktu.
2. Zgłoszenie zawiera informacje wymagane art. 33 ust. 3 RODO w zakresie posiadanym przez Procesora, w tym: charakter naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą, prawdopodobne konsekwencje i środki zastosowane lub proponowane do minimalizacji skutków.

§ 10. Zwrot lub usunięcie danych

1. Po zakończeniu świadczenia usługi Procesor, zgodnie z decyzją Administratora, usuwa lub zwraca Administratorowi powierzone dane osobowe oraz usuwa istniejące kopie, chyba że prawo Unii lub prawo polskie nakazują przechowywanie danych.
2. Po zakończeniu świadczenia usługi dane są usuwane albo zwracane zgodnie z ustaleniami stron i przyjętymi zasadami retencji, z zastrzeżeniem obowiązków prawnych lub technicznych okresów niezbędnych do bezpiecznego wygaszenia usługi.
3. Jeżeli Administrator żąda usunięcia danych wcześniej, Strony uzgadniają sposób i termin wykonania tego żądania z uwzględnieniem bezpieczeństwa i obowiązków prawnych.

§ 11. Audyt

1. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia przeprowadzanie audytów.
2. Audyt odbywa się po uprzednim uzgodnieniu terminu z co najmniej 14-dniowym wyprzedzeniem, nie częściej niż raz na 12 miesięcy (z wyjątkiem sytuacji następczych po stwierdzonym naruszeniu), w godzinach pracy Procesora i na koszt Administratora.
3. Procesor może udostępnić wyniki audytu przeprowadzonego przez niezależny podmiot (np. certyfikacja SOC 2, ISO 27001 dostawcy hostingu, czy raport z audytu własnego) zamiast umożliwiać audyt bezpośredni — w zakresie, w jakim takie dokumenty adresują przedmiot audytu.

§ 12. Odpowiedzialność

1. Strony ponoszą odpowiedzialność na zasadach określonych w art. 82 RODO oraz w Regulaminie Aplikacji.
2. Procesor odpowiada wobec Administratora za szkody spowodowane naruszeniem postanowień niniejszej umowy wyłącznie wówczas, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające lub działał poza udokumentowanymi zgodnymi z prawem poleceniami Administratora.

§ 13. Postanowienia końcowe

1. W sprawach nieuregulowanych umową stosuje się RODO, ustawę o ochronie danych osobowych oraz Regulamin Aplikacji.
2. W razie sprzeczności pomiędzy postanowieniami niniejszej umowy a Regulaminem — w zakresie ochrony danych osobowych — pierwszeństwo ma niniejsza umowa.
3. Zmiany konkretnej umowy powierzenia wymagają ustalenia między stronami w formie dokumentowej (np. emailowej) albo podpisania zaktualizowanej wersji.

Załącznik A — Rodzaj danych, kategorie osób, cel i czas przetwarzania

Załącznik B — Środki techniczne i organizacyjne

• Szyfrowanie transmisji dla połączeń klient-serwer.
• Mechanizmy uwierzytelniania i kontroli dostępu do Aplikacji.
• Izolacja danych pomiędzy różnymi klientami w zakresie przewidzianym przez architekturę systemu.
• Rejestrowanie wybranych zdarzeń technicznych i bezpieczeństwa.
• Ochrona przed nadużyciami publicznych punktów wejścia.
• Ograniczony dostęp do danych produkcyjnych do osób upoważnionych.
• Aktualizacje bezpieczeństwa i utrzymanie środowiska adekwatne do skali usługi.

Załącznik C — Lista podwykonawców (subprocesorów)