Umowa powierzenia przetwarzania danych (DPA)
Umowa dotycząca przetwarzania danych osobowych na zlecenie zgodnie z art. 28 RODO
Preambuła
Niniejsza umowa konkretyzuje obowiązki stron w zakresie ochrony danych w ramach istniejącego między nimi korzystania z usług 121 Apps GmbH (zwanej dalej „podmiotem przetwarzającym") przez klienta (zwanego dalej „administratorem"). Ma ona zastosowanie do wszystkich czynności, w ramach których podmiot przetwarzający przetwarza dane osobowe na zlecenie administratora.
§ 1 Przedmiot, charakter, zakres, cel i czas trwania
(1) Przedmiot i cel przetwarzania wynikają z leżącej u podstaw umowy głównej (korzystanie z danej usługi). Podmiot przetwarzający przetwarza dane wyłącznie w celu świadczenia usług uzgodnionych w umowie i na udokumentowane polecenie administratora.
(2) Przetwarzanie obejmuje, w zależności od wykorzystywanej usługi, w szczególności zbieranie, utrwalanie, porządkowanie, przechowywanie, adaptowanie, odczytywanie, przeglądanie, wykorzystywanie, przekazywanie, ograniczanie i usuwanie danych osobowych.
(3) Czas trwania przetwarzania odpowiada okresowi obowiązywania umowy głównej.
§ 2 Rodzaj danych i kategorie osób, których dane dotyczą
(1) Rodzaj danych osobowych: w zależności od wykorzystywanej usługi np. dane podstawowe (imię i nazwisko, e-mail, adres), dane kontaktowe, dane o użytkowaniu i dane dziennika, a także dane treściowe zamieszczone przez administratora (np. odpowiedzi ankietowe, dane zleceń i usługodawców).
(2) Szczególne kategorie danych osobowych (art. 9 RODO) nie są przedmiotem zlecenia, chyba że administrator sam zamieści takie dane w danych treściowych; w takim przypadku odpowiednio obowiązują podwyższone wymogi ochrony.
(3) Kategorie osób, których dane dotyczą: np. pracownicy, klienci, potencjalni klienci, uczestnicy ankiet oraz usługodawcy administratora.
§ 3 Obowiązki podmiotu przetwarzającego
(1) Podmiot przetwarzający przetwarza dane wyłącznie na udokumentowane polecenie administratora, chyba że jest do przetwarzania zobowiązany na mocy prawa. Polecenia wydawane są w formie tekstowej lub pisemnej; polecenia wydane ustnie należy niezwłocznie potwierdzić w formie tekstowej lub pisemnej. Każda ze stron może wyznaczyć osoby uprawnione do wydawania poleceń.
(2) Zapewnia on, aby osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
(3) Wdraża on wszystkie środki techniczne i organizacyjne wymagane na mocy art. 32 RODO (§ 4 w związku z Załącznikiem 1).
(4) Wspiera on administratora, w miarę możliwości, w wypełnianiu obowiązków związanych z prawami osób, których dane dotyczą (art. 12–23 RODO), oraz obowiązków wynikających z art. 32–36 RODO (bezpieczeństwo danych, zgłaszanie naruszeń, ocena skutków dla ochrony danych).
(5) Podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem polecenie narusza przepisy o ochronie danych.
§ 4 Środki techniczne i organizacyjne (art. 32)
Podmiot przetwarzający utrzymuje odpowiednie środki techniczne i organizacyjne w rozumieniu art. 32 RODO, w szczególności w celu zapewnienia poufności, integralności, dostępności i odporności systemów oraz regularnego sprawdzania ich skuteczności. Konkretne środki opisane są w Załączniku 1 i stanowią część niniejszej umowy. Istotne zmiany nie mogą obniżać uzgodnionego poziomu ochrony.
§ 5 Podprzetwarzający
(1) Administrator udziela ogólnej zgody na angażowanie podprzetwarzających. Podmiot przetwarzający z odpowiednim wyprzedzeniem informuje administratora w formie tekstowej o zamierzonych zmianach (dodaniu lub zastąpieniu). Administrator może sprzeciwić się zmianie z ważnego powodu związanego z ochroną danych w terminie czterech tygodni od otrzymania informacji; jeżeli sprzeciw nie zostanie wniesiony, zmianę uważa się za zatwierdzoną.
(2) Podmiot przetwarzający zobowiązuje podprzetwarzających do zapewnienia równoważnego poziomu ochrony danych (art. 28 ust. 4 RODO). Aktualnie zaangażowani podprzetwarzający wymienieni są w Załączniku 2.
§ 6 Naruszenia ochrony danych
Podmiot przetwarzający zgłasza administratorowi naruszenia ochrony danych osobowych niezwłocznie, jednak najpóźniej w ciągu 24 godzin od powzięcia o nich wiadomości, oraz wspiera go w wypełnianiu obowiązków zgłoszeniowych i powiadomieniowych (art. 33, 34 RODO), aby administrator mógł dochować własnego 72-godzinnego terminu.
§ 7 Usunięcie i zwrot
Po zakończeniu przetwarzania podmiot przetwarzający, zależnie od decyzji administratora, usuwa dane lub je zwraca i usuwa istniejące kopie, o ile nie istnieje ustawowy obowiązek przechowywania. Do końca obowiązywania umowy administrator ma możliwość eksportu swoich danych.
§ 8 Dowody i kontrole
(1) Podmiot przetwarzający udostępnia administratorowi informacje niezbędne do wykazania przestrzegania obowiązków wynikających z art. 28 RODO. Dowód może zostać przedstawiony również w postaci aktualnych certyfikatów, atestów lub raportów odpowiednich niezależnych osób trzecich.
(2) Dalej idące kontrole (w tym kontrole na miejscu) przeprowadzane są z odpowiednim wyprzedzeniem wynoszącym z reguły dwa tygodnie, najwyżej raz w roku oraz doraźnie w przypadku konkretnego podejrzenia, w zwykłych godzinach pracy i bez nieproporcjonalnego zakłócania działalności. Koszty kontroli na miejscu zainicjowanej przez administratora ponosi administrator, chyba że kontrola ujawni istotne naruszenie po stronie podmiotu przetwarzającego.
§ 9 Przekazywanie do państw trzecich
Przetwarzanie odbywa się co do zasady wyłącznie na terenie UE lub EOG. Przekazanie do państwa trzeciego następuje wyłącznie z zachowaniem wymogów art. 44 i nast. RODO. Jedynym obecnym wyjątkiem jest obsługa płatności za pośrednictwem Stripe, w przypadku której nie można całkowicie wykluczyć przekazania do USA i która opiera się na standardowych klauzulach umownych UE (art. 46 RODO). Poza tym nie następuje żadne przekazywanie do państw trzecich.
§ 10 Odpowiedzialność i postanowienia końcowe
(1) Do odpowiedzialności stosuje się art. 82 RODO. W stosunkach między stronami dodatkowo obowiązują postanowienia o odpowiedzialności zawarte w umowie głównej.
(2) W przypadku sprzeczności między niniejszą umową powierzenia (DPA) a umową główną, w kwestiach ochrony danych pierwszeństwo mają postanowienia niniejszej umowy powierzenia.
(3) Zastosowanie ma prawo niemieckie. Wyłącznym miejscem jurysdykcji jest, w zakresie dozwolonym przez prawo, Monachium.
(4) Zmiany i uzupełnienia niniejszej umowy wymagają formy tekstowej. Jeżeli którekolwiek postanowienie okaże się nieważne, umowa pozostaje ważna w pozostałym zakresie.
(5) Niniejsza umowa powierzenia (DPA) staje się wraz z umową główną częścią stosunku umownego. Zostaje zawarta elektronicznie w ten sposób, że administrator akceptuje ją przy zawieraniu odpłatnej subskrypcji — w ramach procesu zamówienia i płatności za pośrednictwem Stripe lub poprzez potwierdzenie w swoim koncie klienta. Zgodnie z art. 28 ust. 9 RODO własnoręczny podpis nie jest wymagany; forma elektroniczna jest wystarczająca.
Załącznik 1 — Środki techniczne i organizacyjne (art. 32 RODO)
Podmiot przetwarzający stosuje następujące środki. Przed wykorzystaniem zestawienie należy zweryfikować z faktycznie wdrożoną praktyką.
1. Poufność
- Kontrola dostępu fizycznego: działanie w centrach danych Alfahosting GmbH (Halle/Saale) oraz Hetzner Online GmbH (Gunzenhausen) z zabezpieczoną fizyczną kontrolą dostępu (m.in. zabezpieczenia wejść, monitoring wizyjny).
- Kontrola dostępu do systemów: indywidualne konta użytkowników, bezpieczne hasła, uwierzytelnianie wieloskładnikowe dla dostępów administracyjnych, automatyczne blokady sesji.
- Kontrola dostępu do danych: oparta na rolach koncepcja uprawnień zgodnie z zasadą najmniejszych uprawnień, rejestrowanie dostępów administracyjnych.
- Kontrola separacji: logiczna separacja danych różnych administratorów (multi-tenancy); rozdzielenie środowisk produkcyjnych, testowych i deweloperskich.
- Szyfrowanie: szyfrowanie TLS transmisji danych; szyfrowanie danych wrażliwych w spoczynku oraz szyfrowane przechowywanie danych dostępowych i tokenów.
2. Integralność
- Kontrola wprowadzania danych: rejestrowanie tworzenia, zmian i usuwania; identyfikowalność za pomocą dzienników audytu.
- Kontrola przekazywania: transmisja wyłącznie za pośrednictwem szyfrowanych połączeń.
3. Dostępność i odporność
- regularne, szyfrowane kopie zapasowe oraz procedura przywracania dostępności po incydencie;
- monitoring systemów, ochrona przed przeciążeniem i atakami (m.in. zapory sieciowe, ochrona DDoS), terminowe aktualizacje bezpieczeństwa.
4. Procedury regularnego przeglądu, oceny i ewaluacji
- regularne sprawdzanie skuteczności środków; przeglądy ochrony danych i bezpieczeństwa; kontrola powierzenia wobec podprzetwarzających;
- ochrona danych w fazie projektowania oraz domyślna ochrona danych (art. 25 RODO).
Załącznik 2 — Podprzetwarzający
Według stanu na dzień zawarcia niniejszej umowy zaangażowani są następujący podprzetwarzający:
- Alfahosting GmbH, Halle (Saale), Niemcy — hosting / centrum danych (UE).
- Hetzner Online GmbH, Gunzenhausen, Niemcy — hosting / centrum danych (UE).
- Stripe Payments Europe Ltd., Dublin, Irlandia — obsługa płatności; przekazania do USA nie można wykluczyć, opiera się ono na standardowych klauzulach umownych UE.
- Sendinblue GmbH (Brevo), Köln, Niemcy — wysyłka wiadomości e-mail i powiadomień (UE).
Ostatnia aktualizacja: 6 lipca 2026
