Umowa powierzenia przetwarzania danych osobowych
Wersja 1.0 · zgodna z art. 28 RODO · dla biur rachunkowych i przedsiębiorców
§ 1. Strony i przedmiot umowy
1. Podmiot przetwarzający (dalej: „Procesor") — Usługi Transportowe Damian Bernacki, NIP 5291819901, REGON 368968699, ul. Parkowa 29, 96‑314 Boża Wola, operator serwisu Bez KSeFu (bezksefu.pl).
2. Administrator — Użytkownik Serwisu (przedsiębiorca, biuro rachunkowe lub inny podmiot), który za pośrednictwem Serwisu przetwarza dane osobowe, których jest administratorem lub które zostały mu powierzone.
3. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu opisanym w § 2, na zasadach art. 28 rozporządzenia (UE) 2016/679 (RODO).
§ 2. Zakres, charakter, cel i czas przetwarzania (art. 28 ust. 3)
1. Cel: świadczenie funkcji Serwisu — wystawianie i odbiór faktur (KSeF), prowadzenie ewidencji i ksiąg, generowanie i wysyłka JPK/deklaracji PIT/VAT/ZUS, kadry i płace, rozrachunki, archiwizacja dokumentów.
2. Charakter: przetwarzanie zautomatyzowane w chmurze (przechowywanie, porządkowanie, utrwalanie, przesyłanie do urzędów na polecenie Administratora, usuwanie).
3. Rodzaj danych: dane identyfikacyjne i kontaktowe (imię, nazwisko, nazwa, NIP, REGON, PESEL, adres, e‑mail, telefon, nr rachunku), dane kadrowo‑płacowe pracowników (w tym data urodzenia, kwoty wynagrodzeń, składki), dane kontrahentów i treść dokumentów księgowych. Co do zasady nie obejmuje szczególnych kategorii danych (art. 9 RODO) — Administrator zobowiązuje się ich nie wprowadzać poza zakresem niezbędnym (np. kod niepełnosprawności przy uldze rehabilitacyjnej/PFRON).
4. Kategorie osób: pracownicy i współpracownicy Administratora, jego kontrahenci, klienci (w przypadku biura — klienci biura i ich pracownicy/kontrahenci).
5. Czas: na czas korzystania z Serwisu (obowiązywania umowy głównej / Regulaminu).
§ 3. Obowiązki Procesora (art. 28 ust. 3 lit. a–h)
Procesor zobowiązuje się:
a) przetwarzać dane wyłącznie na udokumentowane polecenie Administratora (poleceniem jest korzystanie z funkcji Serwisu oraz niniejsza umowa), chyba że obowiązek wynika z prawa UE/PL;
b) zapewnić, by osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności;
c) stosować środki techniczne i organizacyjne zapewniające bezpieczeństwo (art. 32) — opisane w § 5 i Załączniku nr 1;
d) przestrzegać warunków podpowierzenia (§ 4);
e) w miarę możliwości pomagać Administratorowi w realizacji żądań osób, których dane dotyczą (art. 15–22) — poprzez funkcje eksportu, korekty i usuwania danych w Serwisie;
f) pomagać Administratorowi w wypełnianiu obowiązków z art. 32–36 (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków);
g) po zakończeniu świadczenia — usunąć lub zwrócić dane wg wyboru Administratora i usunąć istniejące kopie, o ile prawo nie nakazuje ich przechowywania (§ 9);
h) udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków oraz umożliwiać audyty(w tym inspekcje) i przyczyniać się do nich (§ 7).
§ 4. Podpowierzenie (subprocesorzy)
1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z dalszych podmiotów przetwarzających (podprocesorów) wymienionych w Załączniku nr 1.
2. Procesor nakłada na każdego podprocesora — w drodze umowy — obowiązki ochrony danych nie mniejsze niż w niniejszej umowie i pozostaje odpowiedzialny za działania podprocesora.
3. O zamiarze zmiany (dodania/zastąpienia) podprocesora Procesor informuje Administratora (e‑mail / aktualizacja Załącznika nr 1) z 14‑dniowym wyprzedzeniem; Administrator może wnieść uzasadniony sprzeciw — wówczas strony szukają rozwiązania, a w razie jego braku Administrator może wypowiedzieć umowę.
4. Transfery poza EOG odbywają się na podstawie decyzji o adekwatności lub standardowych klauzul umownych (SCC)zawartych z danym podprocesorem.
§ 5. Bezpieczeństwo przetwarzania (art. 32)
Procesor oświadcza, że stosuje co najmniej następujące środki techniczne i organizacyjne, adekwatne do ryzyka:
a) szyfrowanie transmisji (TLS/HTTPS) oraz szyfrowanie danych wrażliwych „w spoczynku" (np. tokeny KSeF szyfrowane AES‑256; baza szyfrowana na poziomie dostawcy);
b) izolację danych między najemcami (Row‑Level Security w bazie — każdy podmiot widzi wyłącznie własne dane);
c) kontrolę dostępu (uwierzytelnianie, role, zasada najmniejszych uprawnień), rejestrowanie zdarzeń i monitoring (Sentry, uptime);
d) kopie zapasowe bazy oraz procedury odtwarzania;
e) testy i przeglądy bezpieczeństwa, walidację zgodności generowanych dokumentów ze schematami urzędowymi.
§ 6. Naruszenia ochrony danych
1. Procesor zgłasza Administratorowi każde naruszenie ochrony powierzonych danych bez zbędnej zwłoki po jego stwierdzeniu, na adres e‑mail wskazany w koncie/umowie, przekazując informacje niezbędne do wypełnienia obowiązku z art. 33 RODO.
2. To Administrator dokonuje ewentualnego zgłoszenia naruszenia do organu nadzorczego (PUODO) i osób, których dane dotyczą.
§ 7. Audyt
1. Administrator ma prawo do audytu przetwarzania powierzonych danych, w tym inspekcji, raz w roku oraz po naruszeniu, po uprzednim zawiadomieniu z 14‑dniowym wyprzedzeniem, w godzinach pracy, bez zakłócania działania Serwisu.
2. Procesor może spełnić ten obowiązek udostępniając aktualne raporty/atestacje bezpieczeństwa (własne lub swoich podprocesorów) oraz dokumentację środków z § 5.
§ 8. Odpowiedzialność
1. Każda ze stron odpowiada za szkody wyrządzone przetwarzaniem niezgodnym z RODO na zasadach art. 82 RODO.
2. Odpowiedzialność Procesora wobec Administratora z tytułu niniejszej umowy ograniczona jest zgodnie z Regulaminem (do wysokości opłat z 12 miesięcy), z wyłączeniem przypadków winy umyślnej oraz w zakresie, w jakim ograniczenie jest dopuszczalne prawem.
§ 9. Czas trwania i zakończenie
1. Umowa obowiązuje przez czas korzystania z Serwisu.
2. Po zakończeniu Administrator może w ciągu 30 dni wyeksportować dane (CSV/XML/PDF — funkcje eksportu w Serwisie). Po tym terminie Procesor usuwa dane i ich kopie, z wyjątkiem danych, których przechowywania wymaga prawo (np. dokumentacja rozliczeniowa).
§ 10. Postanowienia końcowe
1. W sprawach nieuregulowanych stosuje się RODO, ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych oraz Regulamin.
2. Niniejsza umowa ma pierwszeństwo przed Regulaminem w zakresie przetwarzania danych osobowych.
3. Prawem właściwym jest prawo polskie; spory rozstrzyga sąd właściwy dla siedziby Procesora, o ile przepisy bezwzględnie obowiązujące (w tym o ochronie konsumentów) nie stanowią inaczej.
4. Rozdzielność: nieważność części postanowienia nie wpływa na pozostałe; strony zastąpią je postanowieniem najbliższym celowi gospodarczemu i zgodnym z RODO.
5. Umowa stanowi całość uzgodnień stron w zakresie powierzenia. Zmiany wymagają formy dokumentowej; zmiany wynikające ze zmiany przepisów wchodzą w życie z dniem ich wejścia w życie.
6. Kontakt w sprawach ochrony danych: rodo@bezksefu.pl. Data wejścia w życie: z chwilą akceptacji konta lub rozpoczęcia przetwarzania w Serwisie danych osób trzecich.
Załącznik nr 1 — Lista podprocesorów i lokalizacja danych
Stan na dzień publikacji; aktualizowany zgodnie z § 4 ust. 3.
| Podprocesor | Rola | Lokalizacja | Podstawa transferu |
|---|---|---|---|
| Supabase (baza danych, uwierzytelnianie) | Hosting i przechowywanie danych aplikacji | Frankfurt, Niemcy (UE) | EOG |
| Vercel Inc. (hosting aplikacji, funkcje, CDN) | Serwowanie aplikacji i API | Funkcje: Frankfurt fra1 (UE) ✓; dostawca: USA | SCC |
| Resend (e‑mail transakcyjny) | Wysyłka powiadomień e‑mail | USA | SCC |
| home.pl (poczta odbiorcza) | Skrzynki support@/noreply@ | Polska (UE) | EOG |
| Sentry (Functional Software) | Monitoring błędów aplikacji (region UE) | UE | EOG |
| Stripe Payments Europe | Obsługa płatności abonamentowych | Irlandia (UE) / USA | SCC |
| EnableBanking (opcjonalnie) | Pobieranie wyciągów bankowych (gdy włączone) | Finlandia (UE) | EOG |
Bramki państwowe (KSeF, e‑Deklaracje MF, ZUS) nie są podprocesorami — to odbiorcy danych w ramach obowiązków publicznoprawnych, do których dokumenty wysyłane są na polecenie Administratora.
Warunki ważności — stan zweryfikowany i do potwierdzenia
✓ Zweryfikowane (stan na dzień publikacji):
✓ Przetwarzanie w UE — funkcje serwerowe działają we Frankfurcie (Vercel fra1), baza Supabase w regionie UE; monitoring Sentry w UE (.de).
✓ Transmisja szyfrowana — wymuszony HTTPS, HSTS (2 lata, preload), nagłówki bezpieczeństwa (CSP, X‑Frame‑Options, X‑Content‑Type‑Options, Referrer‑Policy, Permissions‑Policy).
✓ Szyfrowanie tokenów KSeF (AES‑256) i izolacja najemców (RLS) — w kodzie i testach.
☐ Do potwierdzenia przez Operatora (fakty, których dokument sam nie tworzy):
☐ Operator prowadzi działalność pod wskazanymi danymi (NIP/adres aktualne w CEIDG), uprawniony do zawarcia umowy.
☐ Region bazy Supabase potwierdzony w panelu (Settings → Region = Frankfurt / eu‑central‑1).
☐ Z każdym podprocesorem z Załącznika nr 1 zawarto wiążącą umowę powierzenia/DPA, a transfery poza EOG objęte są aktualnymi SCC (Vercel, Resend, Stripe udostępniają standardowe DPA do zawarcia — należy je faktycznie zaakceptować).
☐ Środki bezpieczeństwa z § 5 odpowiadają stanowi faktycznemu (są wdrożone i utrzymywane).
☐ Wyznaczono kanał kontaktu RODO (rodo@bezksefu.pl) i procedurę obsługi zgłoszeń naruszeń.
☐ Jeżeli Serwis przetwarza dane szczególnych kategorii (art. 9 RODO) — wdrożono dla nich dodatkowe zabezpieczenia i podstawę.
Po potwierdzeniu powyższego umowa jest gotowa do stosowania. Dokument ma charakter informacyjny i nie stanowi indywidualnej porady prawnej — ostateczne zatwierdzenie i odpowiedzialność za zgodność stanu faktycznego należą do Operatora (ewentualnie jego radcy prawnego / IOD).