Umowa Przetwarzania Danych
Data wejścia w życie: 29 czerwca 2025 r.
Niniejsza Umowa o Przetwarzaniu Danych Osobowych ("Umowa" lub "DPA") zostaje zawarta pomiędzy:
1. Strony
1.1 Klient "Administrator" - podmiot gospodarczy, który określa cele i sposoby przetwarzania danych osobowych.
1.2 Kredista Sp. z o.o., działająca pod marką TermsEngine "Podmiot Przetwarzający" - spółka zarejestrowana w Polsce, świadcząca usługi z zakresu tworzenia treści prawnych, audytu i zgodności z przepisami.
1.3 Niniejsza Umowa stanowi uzupełnienie Warunków Świadczenia Usług "Umowa Główna" zawartej pomiędzy Klientem a TermsEngine.
2. Przedmiot i czas trwania przetwarzania
2.1 Niniejszy dokument DPA reguluje zasady przetwarzania danych osobowych przez Podmiot Przetwarzający w imieniu Administratora.
2.2 Przetwarzanie będzie trwać przez okres obowiązywania Warunków Świadczenia Usług albo do czasu usunięcia lub zwrotu danych zgodnie z postanowieniami niniejszej Umowy.
3. Charakter i cel przetwarzania
3.1 Podmiot Przetwarzający przetwarza dane wyłącznie w celu realizacji usług określonych w Warunkach Świadczenia Usług.
3.2 Czynności przetwarzania mogą obejmować: przegląd dokumentów prawnych, dostosowanie szablonów, generowanie treści, przeprowadzanie audytów oraz przekazywanie zaleceń w formie pisemnej.
3.3 Podmiot Przetwarzający nie będzie wykorzystywać danych osobowych do własnych celów.
4. Kategorie osób, których dane dotyczą, oraz zakres danych
4.1 Osoby, których dane dotyczą, mogą obejmować odwiedzających stronę internetową, klientów, kontrahentów, przedstawicieli biznesowych lub użytkowników końcowych.
4.2 Kategorie danych osobowych mogą obejmować: imię i nazwisko, adres e-mail, numer telefonu, nazwę firmy, stanowisko, dane techniczne przeglądarki lub adres IP.
5. Obowiązki Administratora
5.1 Administrator zapewnia, że wszystkie przekazane dane zostały zebrane zgodnie z prawem oraz że osoby, których dane dotyczą, zostały poinformowane zgodnie z obowiązującymi przepisami o ochronie danych osobowych.
5.2 Administrator potwierdza, że istnieje ważna podstawa prawna umożliwiająca Podmiotowi Przetwarzającemu przetwarzanie danych zgodnie z jego instrukcjami.
6. Obowiązki Podmiotu przetwarzającego
6.1 Podmiot Przetwarzający przetwarza dane wyłącznie na podstawie udokumentowanych instrukcji Administratora.
6.2 Podmiot Przetwarzający zapewnia poufność danych oraz ogranicza dostęp wyłącznie do osób upoważnionych, które są związane odpowiednimi obowiązkami zachowania poufności.
6.3 Podmiot Przetwarzający wdroży odpowiednie środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa odpowiedni do ryzyka.
6.4 Podmiot Przetwarzający będzie wspierać Administratora w realizacji obowiązków wobec osób, których dane dotyczą, zgodnie z art. 12 do 23 RODO.
6.5 Po zakończeniu świadczenia usług, Podmiot Przetwarzający usunie lub zwróci wszystkie dane osobowe na żądanie Administratora, chyba że obowiązek ich zachowania wynika z przepisów prawa.
6.6 Podmiot Przetwarzający prowadzi rejestr czynności przetwarzania zgodnie z art. 30 ust. 2 RODO.
7. Podpowierzenie przetwarzania
7.1 Podmiot Przetwarzający może korzystać z podwykonawców (subprocesorów) w celu realizacji obowiązków wynikających z niniejszej Umowy.
7.2 Na dzień wejścia w życie Umowy, zatwierdzonymi subprocesorami są:
7.2.1 Google Workspace (komunikacja i przechowywanie dokumentów)
7.2.2 Stripe (platforma rozliczeniowa)
7.2.3 Calendly (rezerwacja spotkań)
7.2.4 Notion (zarządzanie projektami)
7.2.5 OpenAI (generowanie treści – wyłącznie dane pseudonimizowane)
7.3 Podmiot Przetwarzający zapewni, że każdy subprocesor jest objęty równoważnymi obowiązkami w zakresie ochrony danych.
7.4 Podmiot Przetwarzający powiadomi Administratora o wszelkich planowanych zmianach dotyczących subprocesorów. Administrator może wnieść sprzeciw w terminie czternastu (14) dni, pod warunkiem istnienia uzasadnionych podstaw.
8. Przekazywanie danych do państw trzecich
8.1 Podmiot Przetwarzający przechowuje dane osobowe na terenie Europejskiego Obszaru Gospodarczego (EOG).
8.2 W przypadku jakiegokolwiek przekazania danych poza EOG, Podmiot Przetwarzający zapewni zgodność z Rozdziałem V RODO, w tym zastosowanie standardowych klauzul umownych lub decyzji Komisji Europejskiej o odpowiednim poziomie ochrony.
9. Naruszenia ochrony danych
9.1 Podmiot Przetwarzający niezwłocznie poinformuje Administratora o stwierdzonym naruszeniu ochrony danych osobowych.
9.2 Zawiadomienie będzie zawierało opis charakteru naruszenia, jego potencjalnych skutków oraz podjętych środków zaradczych.
10. Audyt i kontrola
10.1 Na uzasadnione żądanie, Podmiot Przetwarzający udostępni dokumentację potwierdzającą zgodność z postanowieniami niniejszej Umowy.
10.2 Administrator ma prawo przeprowadzić audyt z zachowaniem co najmniej trzydziestodniowego (30) uprzedzenia, przy czym obowiązują zobowiązania poufności.
11. Zakończenie współpracy i zwrot danych
11.1 Po wygaśnięciu lub rozwiązaniu Umowy Głównej, Podmiot Przetwarzający (zgodnie z decyzją Administratora) zobowiązany jest:
11.1.1 Zwrócić wszystkie dane osobowe Administratorowi; lub
11.1.2 Trwale usunąć dane ze swoich systemów.
11.2 Powyższe nie ma zastosowania, jeżeli przepisy prawa wymagają dalszego przechowywania danych.
12. Odpowiedzialność
12.1 Każda ze stron ponosi odpowiedzialność zgodnie z odpowiednimi przepisami RODO oraz niniejszą Umową.
12.2 Podmiot Przetwarzający ponosi odpowiedzialność za szkody wynikające z przetwarzania danych wyłącznie w zakresie, w jakim działał niezgodnie z udzielonymi przez Administratora instrukcjami lub przepisami prawa.
13. Prawo właściwe i jurysdykcja
13.1 Niniejsza Umowa podlega prawu Irlandii, o ile Warunki Świadczenia Usług nie stanowią inaczej.
13.2 Wszelkie spory będą rozstrzygane wyłącznie przez sądy właściwe dla terytorium Irlandii.
14. Postanowienia końcowe
14.1 Niniejsza Umowa stanowi integralną część Umowy Głównej. W przypadku sprzeczności, pierwszeństwo mają postanowienia niniejszej Umowy.
14.2 Jeżeli którekolwiek z postanowień niniejszej Umowy okaże się nieważne, pozostałe postanowienia pozostają w mocy.
Niniejsza Umowa staje się wiążąca z chwilą zawarcia Umowy Głównej lub rozpoczęcia świadczenia usług przez Podmiot Przetwarzający.
