Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: “DPA”) stanowi integralną część Regulaminu świadczenia usług drogą elektroniczną platformy ZYNQ i jest zawierana pomiędzy:

• Administratorem — Użytkownikiem korzystającym z Platformy ZYNQ, który powierza przetwarzanie danych osobowych swoich klientów (kupujących);
• Podmiotem Przetwarzającym — ZYNQ sp. z o.o. z siedzibą w Tychach, ul. Estetyczna 4, 43-100 Tychy, KRS: 0000804450, NIP: 6462979033, REGON: 384394091.

DPA jest zawierana z chwilą akceptacji Regulaminu i utworzenia Konta w Platformie.

§ 1. Definicje

1. RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
2. Platforma — oprogramowanie ZYNQ udostępniane w modelu SaaS pod adresem app.zynq.pl.
3. Dane osobowe — dane osobowe klientów Administratora (kupujących), powierzone przez Administratora do przetwarzania w ramach korzystania z Platformy.
4. Osoba, której dane dotyczą — klient (kupujący) Administratora, którego dane są przetwarzane w Platformie.
5. Podpowierzenie — powierzenie przetwarzania danych osobowych dalszemu podmiotowi przetwarzającemu (subprocesorowi) zgodnie z Art. 28 ust. 2 i 4 RODO.
6. Pozostałe pojęcia mają znaczenie nadane im w Regulaminie lub w RODO.

§ 2. Przedmiot, charakter i cel przetwarzania

1. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie Danych osobowych w zakresie i celu określonym w niniejszej DPA, wyłącznie na potrzeby realizacji Umowy o świadczenie usług drogą elektroniczną zawartej między stronami.
2. Charakter przetwarzania: zautomatyzowane przetwarzanie w systemach informatycznych w ramach Platformy.
3. Cel przetwarzania: umożliwienie Administratorowi zarządzania zamówieniami, produktami, dokumentami handlowymi, przesyłkami oraz integracjami z platformami handlowymi i firmami kurierskimi za pośrednictwem Platformy.
4. Czas trwania: przez okres obowiązywania Umowy oraz, w zakresie wynikającym z przepisów prawa, po jej rozwiązaniu (w szczególności w odniesieniu do dokumentów księgowych).

§ 3. Rodzaj danych i kategorie osób

1. Kategorie osób: klienci (kupujący) Administratora — osoby fizyczne, w tym osoby fizyczne prowadzące działalność gospodarczą.
2. Rodzaj Danych osobowych powierzanych do przetwarzania:
   • imię i nazwisko lub nazwa firmy,
   • adres dostawy i adres do faktury,
   • adres e-mail,
   • numer telefonu,
   • NIP (jeżeli dotyczy),
   • dane zamówienia (lista pozycji, wartości, status),
   • numer rachunku bankowego (w zakresie zwrotów, jeżeli dotyczy).
3. Podmiot Przetwarzający nie przetwarza szczególnych kategorii danych osobowych w rozumieniu Art. 9 RODO ani danych dotyczących wyroków skazujących i naruszeń prawa w rozumieniu Art. 10 RODO.

§ 4. Obowiązki Podmiotu Przetwarzającego

1. Podmiot Przetwarzający zobowiązuje się:
   • przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora wynikające z Umowy, Regulaminu i konfiguracji Platformy dokonanej przez Administratora;
   • zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych były zobowiązane do zachowania ich w tajemnicy;
   • podejmować wszelkie środki wymagane na mocy Art. 32 RODO (bezpieczeństwo przetwarzania);
   • pomagać Administratorowi, w miarę możliwości, w realizacji obowiązków odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw (Art. 12–22 RODO);
   • pomagać Administratorowi w wywiązaniu się z obowiązków określonych w Art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków, uprzednie konsultacje);
   • po zakończeniu świadczenia usług usunąć lub zwrócić Administratorowi Dane osobowe — zgodnie z § 9 niniejszej DPA;
   • udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Art. 28 RODO oraz umożliwiać Administratorowi przeprowadzanie audytów na zasadach określonych w § 8.
2. Jeżeli Podmiot Przetwarzający uzna, że polecenie Administratora narusza RODO lub inne przepisy o ochronie danych osobowych, niezwłocznie poinformuje o tym Administratora.

§ 5. Bezpieczeństwo przetwarzania

1. Podmiot Przetwarzający stosuje odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, w tym w szczególności:
   • szyfrowanie haseł algorytmem bcrypt,
   • szyfrowanie wrażliwych danych aplikacyjnych (tokenów OAuth, haseł SMTP) algorytmem AES-256-GCM,
   • transmisję danych wyłącznie przez protokół HTTPS z włączonym HSTS,
   • ochronę przed atakami XSS, CSRF, clickjacking, MIME sniffing,
   • mechanizmy ograniczania częstotliwości zapytań (rate limiting),
   • rejestrowanie zdarzeń bezpieczeństwa (logi logowań, logi audytowe),
   • automatyczne wylogowanie po okresie nieaktywności,
   • izolację danych między Organizacjami (multi-tenancy),
   • regularne kopie zapasowe baz danych,
   • kontrolę dostępu opartą na rolach (RBAC) oraz zasadę najmniejszych uprawnień dla osób upoważnionych po stronie Podmiotu Przetwarzającego.
2. Podmiot Przetwarzający zobowiązuje się do regularnego testowania, mierzenia i oceniania skuteczności stosowanych środków oraz ich aktualizacji w razie potrzeby.

§ 6. Podpowierzenie (subprocesorzy)

1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot Przetwarzający z usług dalszych podmiotów przetwarzających (subprocesorów) zgodnie z Art. 28 ust. 2 RODO.
2. Aktualna lista subprocesorów na dzień zawarcia DPA:

   Subprocesor	Cel	Lokalizacja
   Hetzner Online GmbH	Hosting serwerów i bazy danych	Niemcy / EOG
   Stripe, Inc.	Obsługa płatności za subskrypcję	USA (SCCs)
   Functional Software, Inc. (Sentry)	Monitoring błędów aplikacji	USA (SCCs)

3. Podmiot Przetwarzający zawiera z każdym subprocesorem umowę, w której nakłada na niego obowiązki ochrony danych osobowych co najmniej równoważne tym, które wynikają z niniejszej DPA.
4. O zamiarze dokonania zmian dotyczących dodania lub zastąpienia subprocesorów Podmiot Przetwarzający informuje Administratora z wyprzedzeniem co najmniej 30 dni za pośrednictwem Platformy lub poczty elektronicznej. Administrator ma prawo wyrazić sprzeciw wobec takich zmian w terminie 14 dni od otrzymania informacji.
5. W razie zgłoszenia uzasadnionego sprzeciwu, którego strony nie zdołają wspólnie wyjaśnić, Administrator ma prawo wypowiedzieć Umowę.
6. Podmioty zewnętrzne wybierane przez Administratora w drodze konfiguracji integracji (np. Allegro, Amazon, Erli, Empik, InPost, DPD, DHL, KSeF) nie są subprocesorami Podmiotu Przetwarzającego — przetwarzają one Dane osobowe jako odrębni administratorzy lub procesorzy na podstawie odrębnych relacji prawnych z Administratorem.

§ 7. Zgłaszanie naruszeń

1. Podmiot Przetwarzający zgłasza Administratorowi naruszenie ochrony Danych osobowych bez zbędnej zwłoki, nie później niż w terminie 48 godzin od stwierdzenia naruszenia.
2. Zgłoszenie zawiera co najmniej:
   • opis charakteru naruszenia, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę rekordów,
   • dane kontaktowe osoby udzielającej informacji,
   • opis możliwych konsekwencji naruszenia,
   • opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu i zminimalizowania jego ewentualnych negatywnych skutków.
3. Zgłoszenia kierowane są na adres e-mail Administratora przypisany do Konta. Administrator zobowiązany jest zapewnić aktualność tego adresu.

§ 8. Audyt

1. Administrator ma prawo do audytu — w tym do inspekcji — działań Podmiotu Przetwarzającego w zakresie objętym niniejszą DPA. Audyt może być prowadzony przez Administratora lub upoważnionego przez niego niezależnego audytora.
2. Administrator zawiadamia Podmiot Przetwarzający o zamiarze przeprowadzenia audytu z co najmniej 30-dniowym wyprzedzeniem. Audyt prowadzony jest w dni robocze, w godzinach pracy Podmiotu Przetwarzającego, w sposób nieutrudniający jego bieżącej działalności.
3. W ramach audytu Podmiot Przetwarzający udostępnia Administratorowi raporty, certyfikaty oraz dokumentację techniczną w zakresie potwierdzającym spełnianie obowiązków określonych w Art. 28 RODO. Podmiot Przetwarzający może w pierwszej kolejności udostępnić Administratorowi raporty z audytów wewnętrznych lub niezależnych audytów zewnętrznych zamiast prowadzenia odrębnego audytu, o ile pokrywają one zakres żądania Administratora.
4. Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenia obowiązków Podmiotu Przetwarzającego.

§ 9. Po zakończeniu przetwarzania

1. Po rozwiązaniu Umowy Podmiot Przetwarzający, według wyboru Administratora, usuwa lub zwraca Administratorowi Dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazuje ich dalsze przechowywanie.
2. Wybór Administratora powinien zostać zakomunikowany Podmiotowi Przetwarzającemu drogą elektroniczną najpóźniej w terminie 30 dni od rozwiązania Umowy. W braku takiego wyboru Podmiot Przetwarzający usuwa Dane osobowe po upływie 60 dni od rozwiązania Umowy.
3. Postanowienie ust. 1 nie dotyczy Danych osobowych zawartych w dokumentach księgowych i podatkowych, których przechowywanie wymagane jest na podstawie obowiązujących przepisów prawa (w szczególności przez 5 lat od końca roku podatkowego).
4. Podmiot Przetwarzający potwierdza Administratorowi usunięcie Danych osobowych na pisemny wniosek.

§ 10. Odpowiedzialność

1. Każda ze stron odpowiada wobec drugiej strony za szkody wyrządzone w wyniku naruszenia postanowień niniejszej DPA na zasadach ogólnych Kodeksu cywilnego oraz w zakresie wynikającym z Art. 82 RODO.
2. Łączna odpowiedzialność Podmiotu Przetwarzającego z tytułu niniejszej DPA podlega ograniczeniom określonym w Regulaminie.

§ 11. Postanowienia końcowe

1. Niniejsza DPA wchodzi w życie z chwilą akceptacji Regulaminu i utworzenia Konta w Platformie.
2. DPA obowiązuje przez cały czas trwania Umowy oraz w zakresie, w jakim wynika to z bezwzględnie obowiązujących przepisów prawa — także po jej rozwiązaniu.
3. W razie sprzeczności pomiędzy postanowieniami DPA a Regulaminu, w zakresie ochrony danych osobowych pierwszeństwo mają postanowienia DPA.
4. Do spraw nieuregulowanych stosuje się przepisy RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz powszechnie obowiązujące przepisy prawa polskiego.
5. Podmiot Przetwarzający zastrzega sobie prawo do zmiany DPA, w szczególności w celu dostosowania jej treści do zmian przepisów prawa. O zmianach Administrator informowany jest z co najmniej 30-dniowym wyprzedzeniem za pośrednictwem Platformy lub poczty elektronicznej.