Umowa powierzenia przetwarzania danych osobowych

Wersja 1.0 · zgodna z art. 28 RODO · dla biur rachunkowych i przedsiębiorców

Jak zawrzeć: akceptacja niniejszej umowy następuje z chwilą rozpoczęcia korzystania z Serwisu w celu przetwarzania danych osobowych osób trzecich (np. klientów biura). Egzemplarz podpisany odręcznie/kwalifikowanym podpisem wyślemy na żądanie — napisz na rodo@bezksefu.pl. Aktualną listę podprocesorów znajdziesz w Załączniku nr 1.

§ 1. Strony i przedmiot umowy

1. Podmiot przetwarzający (dalej: „Procesor") — Usługi Transportowe Damian Bernacki, NIP 5291819901, REGON 368968699, ul. Parkowa 29, 96‑314 Boża Wola, operator serwisu Bez KSeFu (bezksefu.pl).

2. Administrator — Użytkownik Serwisu (przedsiębiorca, biuro rachunkowe lub inny podmiot), który za pośrednictwem Serwisu przetwarza dane osobowe, których jest administratorem lub które zostały mu powierzone.

3. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu opisanym w § 2, na zasadach art. 28 rozporządzenia (UE) 2016/679 (RODO).

§ 2. Zakres, charakter, cel i czas przetwarzania (art. 28 ust. 3)

1. Cel: świadczenie funkcji Serwisu — wystawianie i odbiór faktur (KSeF), prowadzenie ewidencji i ksiąg, generowanie i wysyłka JPK/deklaracji PIT/VAT/ZUS, kadry i płace, rozrachunki, archiwizacja dokumentów.

2. Charakter: przetwarzanie zautomatyzowane w chmurze (przechowywanie, porządkowanie, utrwalanie, przesyłanie do urzędów na polecenie Administratora, usuwanie).

3. Rodzaj danych: dane identyfikacyjne i kontaktowe (imię, nazwisko, nazwa, NIP, REGON, PESEL, adres, e‑mail, telefon, nr rachunku), dane kadrowo‑płacowe pracowników (w tym data urodzenia, kwoty wynagrodzeń, składki), dane kontrahentów i treść dokumentów księgowych. Co do zasady nie obejmuje szczególnych kategorii danych (art. 9 RODO) — Administrator zobowiązuje się ich nie wprowadzać poza zakresem niezbędnym (np. kod niepełnosprawności przy uldze rehabilitacyjnej/PFRON).

4. Kategorie osób: pracownicy i współpracownicy Administratora, jego kontrahenci, klienci (w przypadku biura — klienci biura i ich pracownicy/kontrahenci).

5. Czas: na czas korzystania z Serwisu (obowiązywania umowy głównej / Regulaminu).

§ 3. Obowiązki Procesora (art. 28 ust. 3 lit. a–h)

Procesor zobowiązuje się:

a) przetwarzać dane wyłącznie na udokumentowane polecenie Administratora (poleceniem jest korzystanie z funkcji Serwisu oraz niniejsza umowa), chyba że obowiązek wynika z prawa UE/PL;

b) zapewnić, by osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności;

c) stosować środki techniczne i organizacyjne zapewniające bezpieczeństwo (art. 32) — opisane w § 5 i Załączniku nr 1;

d) przestrzegać warunków podpowierzenia (§ 4);

e) w miarę możliwości pomagać Administratorowi w realizacji żądań osób, których dane dotyczą (art. 15–22) — poprzez funkcje eksportu, korekty i usuwania danych w Serwisie;

f) pomagać Administratorowi w wypełnianiu obowiązków z art. 32–36 (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków);

g) po zakończeniu świadczenia — usunąć lub zwrócić dane wg wyboru Administratora i usunąć istniejące kopie, o ile prawo nie nakazuje ich przechowywania (§ 9);

h) udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków oraz umożliwiać audyty(w tym inspekcje) i przyczyniać się do nich (§ 7).

§ 4. Podpowierzenie (subprocesorzy)

1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z dalszych podmiotów przetwarzających (podprocesorów) wymienionych w Załączniku nr 1.

2. Procesor nakłada na każdego podprocesora — w drodze umowy — obowiązki ochrony danych nie mniejsze niż w niniejszej umowie i pozostaje odpowiedzialny za działania podprocesora.

3. O zamiarze zmiany (dodania/zastąpienia) podprocesora Procesor informuje Administratora (e‑mail / aktualizacja Załącznika nr 1) z 14‑dniowym wyprzedzeniem; Administrator może wnieść uzasadniony sprzeciw — wówczas strony szukają rozwiązania, a w razie jego braku Administrator może wypowiedzieć umowę.

4. Transfery poza EOG odbywają się na podstawie decyzji o adekwatności lub standardowych klauzul umownych (SCC)zawartych z danym podprocesorem.

§ 5. Bezpieczeństwo przetwarzania (art. 32)

Procesor oświadcza, że stosuje co najmniej następujące środki techniczne i organizacyjne, adekwatne do ryzyka:

a) szyfrowanie transmisji (TLS/HTTPS) oraz szyfrowanie danych wrażliwych „w spoczynku" (np. tokeny KSeF szyfrowane AES‑256; baza szyfrowana na poziomie dostawcy);

b) izolację danych między najemcami (Row‑Level Security w bazie — każdy podmiot widzi wyłącznie własne dane);

c) kontrolę dostępu (uwierzytelnianie, role, zasada najmniejszych uprawnień), rejestrowanie zdarzeń i monitoring (Sentry, uptime);

d) kopie zapasowe bazy oraz procedury odtwarzania;

e) testy i przeglądy bezpieczeństwa, walidację zgodności generowanych dokumentów ze schematami urzędowymi.

§ 6. Naruszenia ochrony danych

1. Procesor zgłasza Administratorowi każde naruszenie ochrony powierzonych danych bez zbędnej zwłoki po jego stwierdzeniu, na adres e‑mail wskazany w koncie/umowie, przekazując informacje niezbędne do wypełnienia obowiązku z art. 33 RODO.

2. To Administrator dokonuje ewentualnego zgłoszenia naruszenia do organu nadzorczego (PUODO) i osób, których dane dotyczą.

§ 7. Audyt

1. Administrator ma prawo do audytu przetwarzania powierzonych danych, w tym inspekcji, raz w roku oraz po naruszeniu, po uprzednim zawiadomieniu z 14‑dniowym wyprzedzeniem, w godzinach pracy, bez zakłócania działania Serwisu.

2. Procesor może spełnić ten obowiązek udostępniając aktualne raporty/atestacje bezpieczeństwa (własne lub swoich podprocesorów) oraz dokumentację środków z § 5.

§ 8. Odpowiedzialność

1. Każda ze stron odpowiada za szkody wyrządzone przetwarzaniem niezgodnym z RODO na zasadach art. 82 RODO.

2. Odpowiedzialność Procesora wobec Administratora z tytułu niniejszej umowy ograniczona jest zgodnie z Regulaminem (do wysokości opłat z 12 miesięcy), z wyłączeniem przypadków winy umyślnej oraz w zakresie, w jakim ograniczenie jest dopuszczalne prawem.

§ 9. Czas trwania i zakończenie

1. Umowa obowiązuje przez czas korzystania z Serwisu.

2. Po zakończeniu Administrator może w ciągu 30 dni wyeksportować dane (CSV/XML/PDF — funkcje eksportu w Serwisie). Po tym terminie Procesor usuwa dane i ich kopie, z wyjątkiem danych, których przechowywania wymaga prawo (np. dokumentacja rozliczeniowa).

§ 10. Postanowienia końcowe

1. W sprawach nieuregulowanych stosuje się RODO, ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych oraz Regulamin.

2. Niniejsza umowa ma pierwszeństwo przed Regulaminem w zakresie przetwarzania danych osobowych.

3. Prawem właściwym jest prawo polskie; spory rozstrzyga sąd właściwy dla siedziby Procesora, o ile przepisy bezwzględnie obowiązujące (w tym o ochronie konsumentów) nie stanowią inaczej.

4. Rozdzielność: nieważność części postanowienia nie wpływa na pozostałe; strony zastąpią je postanowieniem najbliższym celowi gospodarczemu i zgodnym z RODO.

5. Umowa stanowi całość uzgodnień stron w zakresie powierzenia. Zmiany wymagają formy dokumentowej; zmiany wynikające ze zmiany przepisów wchodzą w życie z dniem ich wejścia w życie.

6. Kontakt w sprawach ochrony danych: rodo@bezksefu.pl. Data wejścia w życie: z chwilą akceptacji konta lub rozpoczęcia przetwarzania w Serwisie danych osób trzecich.

Załącznik nr 1 — Lista podprocesorów i lokalizacja danych

Stan na dzień publikacji; aktualizowany zgodnie z § 4 ust. 3.

PodprocesorRolaLokalizacjaPodstawa transferu
Supabase (baza danych, uwierzytelnianie)Hosting i przechowywanie danych aplikacjiFrankfurt, Niemcy (UE)EOG
Vercel Inc. (hosting aplikacji, funkcje, CDN)Serwowanie aplikacji i APIFunkcje: Frankfurt fra1 (UE) ✓; dostawca: USASCC
Resend (e‑mail transakcyjny)Wysyłka powiadomień e‑mailUSASCC
home.pl (poczta odbiorcza)Skrzynki support@/noreply@Polska (UE)EOG
Sentry (Functional Software)Monitoring błędów aplikacji (region UE)UEEOG
Stripe Payments EuropeObsługa płatności abonamentowychIrlandia (UE) / USASCC
EnableBanking (opcjonalnie)Pobieranie wyciągów bankowych (gdy włączone)Finlandia (UE)EOG

Bramki państwowe (KSeF, e‑Deklaracje MF, ZUS) nie są podprocesorami — to odbiorcy danych w ramach obowiązków publicznoprawnych, do których dokumenty wysyłane są na polecenie Administratora.

Warunki ważności — stan zweryfikowany i do potwierdzenia

✓ Zweryfikowane (stan na dzień publikacji):

Przetwarzanie w UE — funkcje serwerowe działają we Frankfurcie (Vercel fra1), baza Supabase w regionie UE; monitoring Sentry w UE (.de).

Transmisja szyfrowana — wymuszony HTTPS, HSTS (2 lata, preload), nagłówki bezpieczeństwa (CSP, X‑Frame‑Options, X‑Content‑Type‑Options, Referrer‑Policy, Permissions‑Policy).

Szyfrowanie tokenów KSeF (AES‑256) i izolacja najemców (RLS) — w kodzie i testach.

☐ Do potwierdzenia przez Operatora (fakty, których dokument sam nie tworzy):

☐ Operator prowadzi działalność pod wskazanymi danymi (NIP/adres aktualne w CEIDG), uprawniony do zawarcia umowy.

☐ Region bazy Supabase potwierdzony w panelu (Settings → Region = Frankfurt / eu‑central‑1).

☐ Z każdym podprocesorem z Załącznika nr 1 zawarto wiążącą umowę powierzenia/DPA, a transfery poza EOG objęte są aktualnymi SCC (Vercel, Resend, Stripe udostępniają standardowe DPA do zawarcia — należy je faktycznie zaakceptować).

☐ Środki bezpieczeństwa z § 5 odpowiadają stanowi faktycznemu (są wdrożone i utrzymywane).

☐ Wyznaczono kanał kontaktu RODO (rodo@bezksefu.pl) i procedurę obsługi zgłoszeń naruszeń.

☐ Jeżeli Serwis przetwarza dane szczególnych kategorii (art. 9 RODO) — wdrożono dla nich dodatkowe zabezpieczenia i podstawę.

Po potwierdzeniu powyższego umowa jest gotowa do stosowania. Dokument ma charakter informacyjny i nie stanowi indywidualnej porady prawnej — ostateczne zatwierdzenie i odpowiedzialność za zgodność stanu faktycznego należą do Operatora (ewentualnie jego radcy prawnego / IOD).