Umowa powierzenia przetwarzania danych (DPA)
Załącznik nr 2 do Regulaminu świadczenia usług Planislav | Wersja: 1.0 | Data obowiązywania: 12.06.2026
Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: DPA) zostaje zawarta pomiędzy Użytkownikiem (dalej: Administrator) a spółką IPT Supply Chain Innovations Sp. z o.o. z siedzibą w Warszawie, ul. Hoża 86 lok. 410, 00-682 Warszawa, KRS 0001242724, NIP 7011315076, REGON 544821431 (dalej: Podmiot Przetwarzający lub Usługodawca).
DPA stanowi integralną część Umowy o świadczenie Usługi Planislav zawartej na podstawie Regulaminu świadczenia usług Planislav (dalej: Regulamin). DPA zostaje zawarta w formie elektronicznej z chwilą zawarcia Umowy (akceptacji Regulaminu), zgodnie z art. 28 ust. 9 RODO. Terminy pisane wielką literą, niezdefiniowane w DPA, mają znaczenie nadane im w Regulaminie.
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
§ 1. Definicje
- Dane Powierzone — dane osobowe osób trzecich zawarte w Treściach wprowadzanych przez Administratora do Usługi (w szczególności dane zawarte w danych sprzedażowych, magazynowych i danych dostawców), których administratorem w rozumieniu art. 4 pkt 7 RODO jest Administrator.
- Udokumentowane polecenie — Umowa wraz z Regulaminem i DPA, konfiguracja i polecenia wydawane przez Administratora za pośrednictwem funkcji Serwisu oraz zgłoszenia kierowane na adres kontaktowy Usługodawcy.
- Subprocesor Danych Powierzonych — podmiot trzeci, któremu Podmiot Przetwarzający dalej powierza przetwarzanie Danych Powierzonych; aktualna lista stanowi Załącznik A do DPA.
§ 2. Przedmiot, charakter i cel przetwarzania
- Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie Danych Powierzonych wyłącznie w celu i w zakresie niezbędnym do świadczenia Usługi, tj. importu, przechowywania, analizy, generowania prognoz i rekomendacji zakupowych, prezentacji wyników w panelu Użytkownika, eksportu oraz tworzenia kopii zapasowych.
- Przetwarzanie ma charakter ciągły, odbywa się w sposób zautomatyzowany, w systemach informatycznych Podmiotu Przetwarzającego i jego Subprocesorów.
- Podmiot Przetwarzający nie wykorzystuje Danych Powierzonych do celów własnych, w szczególności marketingowych. Opracowania statystyczne o charakterze zagregowanym i zanonimizowanym, niepozwalające na identyfikację osób fizycznych, nie stanowią danych osobowych i nie są objęte DPA.
- Zasada minimalizacji: świadczenie Usługi nie wymaga przekazywania danych osobowych klientów końcowych Administratora (do analizy wystarczają dane sprzedażowe zagregowane na poziomie SKU). Administrator powinien w miarę możliwości przekazywać dane pozbawione danych osobowych lub spseudonimizowane.
§ 3. Czas trwania przetwarzania
- DPA obowiązuje przez czas obowiązywania Umowy. Po rozwiązaniu lub wygaśnięciu Umowy Podmiot Przetwarzający przetwarza Dane Powierzone wyłącznie w zakresie i przez okres opisany w § 8.
§ 4. Rodzaj danych osobowych i kategorie osób, których dane dotyczą
Powierzenie obejmuje następujące rodzaje danych i kategorie osób:
| Zakres | Opis |
|---|---|
| Rodzaje danych | Dane identyfikacyjne (imię i nazwisko, nazwa), dane kontaktowe (adres e-mail, numer telefonu, adres), dane transakcyjne (historia i wartość zamówień, daty, identyfikatory zamówień i SKU) — w zakresie, w jakim faktycznie występują w Treściach wprowadzonych przez Administratora. |
| Kategorie osób | Klienci końcowi Administratora, kontrahenci i dostawcy Administratora (w tym osoby ich reprezentujące), pracownicy i współpracownicy Administratora, których dane występują w Treściach. |
| Dane szczególnych kategorii | Usługa nie jest przeznaczona do przetwarzania danych szczególnych kategorii (art. 9 RODO) ani danych dotyczących wyroków skazujących (art. 10 RODO). Administrator zobowiązuje się nie wprowadzać takich danych do Usługi. |
§ 5. Obowiązki Podmiotu Przetwarzającego
Podmiot Przetwarzający zobowiązuje się, że:
- przetwarza Dane Powierzone wyłącznie na Udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania nakłada na niego prawo Unii Europejskiej lub prawo polskie — w takim przypadku, o ile prawo tego nie zabrania, informuje Administratora o tym obowiązku przed rozpoczęciem przetwarzania;
- niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane polecenie narusza RODO lub inne przepisy o ochronie danych;
- zapewnia, by osoby upoważnione do przetwarzania Danych Powierzonych zobowiązały się do zachowania poufności albo podlegały ustawowemu obowiązkowi zachowania tajemnicy, oraz ogranicza dostęp do Danych Powierzonych do osób, dla których jest to niezbędne;
- wdraża i utrzymuje środki techniczne i organizacyjne wymagane na mocy art. 32 RODO, adekwatne do ryzyka, w tym w szczególności: szyfrowanie połączeń (TLS/HTTPS), kontrolę dostępu opartą na rolach, separację środowisk, monitoring zdarzeń bezpieczeństwa, regularne aktualizacje oprogramowania oraz kopie zapasowe;
- biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi — poprzez odpowiednie środki techniczne i organizacyjne, w tym funkcje Serwisu — wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO; żądanie osoby, której dane dotyczą, skierowane bezpośrednio do Podmiotu Przetwarzającego, przekazuje Administratorowi bez zbędnej zwłoki, nie później niż w terminie 7 dni roboczych;
- uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;
- po stwierdzeniu naruszenia ochrony Danych Powierzonych zgłasza je Administratorowi bez zbędnej zwłoki, nie później niż w ciągu 48 godzin, przekazując informacje, o których mowa w art. 33 ust. 3 RODO, w zakresie w jakim są mu dostępne, oraz uzupełnia je sukcesywnie w miarę ich pozyskiwania;
- udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia audyty na zasadach określonych w § 9;
- po zakończeniu świadczenia Usługi usuwa lub zwraca Dane Powierzone na zasadach określonych w § 8.
§ 6. Obowiązki i oświadczenia Administratora
- Administrator oświadcza, że jest administratorem Danych Powierzonych oraz że przetwarza je i powierza zgodnie z prawem, w szczególności że dysponuje podstawą prawną przetwarzania i wypełnił obowiązki informacyjne wobec osób, których dane dotyczą.
- Administrator wprowadza do Usługi wyłącznie dane, których przetwarzanie w Usłudze jest zgodne z prawem, i stosuje zasadę minimalizacji opisaną w § 2 ust. 4.
- Administrator odpowiada za prawidłowość, zakres i aktualność Danych Powierzonych oraz za treść poleceń wydawanych Podmiotowi Przetwarzającemu.
§ 7. Subprocesorzy
- Administrator wyraża ogólną zgodę (art. 28 ust. 2 RODO) na dalsze powierzenie przetwarzania Danych Powierzonych Subprocesorom wskazanym w Załączniku A.
- O zamierzonych zmianach dotyczących dodania lub zastąpienia Subprocesorów Podmiot Przetwarzający informuje Administratora z co najmniej 14-dniowym wyprzedzeniem — za pośrednictwem panelu Konta lub poczty elektronicznej — dając Administratorowi możliwość wyrażenia sprzeciwu.
- W przypadku sprzeciwu, jeżeli strony nie osiągną porozumienia, Administrator może rozwiązać Umowę przed dniem rozpoczęcia przetwarzania przez nowego Subprocesora, na zasadach przewidzianych w Regulaminie.
- Podmiot Przetwarzający nakłada na każdego Subprocesora — w drodze umowy lub innego aktu prawnego — te same obowiązki ochrony danych, jakie wynikają z DPA, w szczególności obowiązek wdrożenia środków, o których mowa w art. 32 RODO, i ponosi wobec Administratora pełną odpowiedzialność za wywiązanie się Subprocesora z tych obowiązków.
§ 8. Usunięcie i zwrot danych po zakończeniu Umowy
- Po rozwiązaniu lub wygaśnięciu Umowy Administrator może, w terminie 30 dni, samodzielnie wyeksportować Treści (w tym Dane Powierzone) za pomocą funkcji eksportu dostępnych w Serwisie.
- Po upływie terminu, o którym mowa w ust. 1, Podmiot Przetwarzający usuwa Dane Powierzone ze środowisk produkcyjnych, chyba że prawo Unii Europejskiej lub prawo polskie nakazuje ich dalsze przechowywanie.
- Dane Powierzone zawarte w kopiach zapasowych są usuwane w ramach standardowego cyklu rotacji kopii, nie później niż w terminie 90 dni od usunięcia ze środowisk produkcyjnych, i do tego czasu nie są przetwarzane w żadnym innym celu niż przywrócenie danych po awarii.
§ 9. Audyt
- Na pisemny wniosek Administratora Podmiot Przetwarzający udostępnia informacje i dokumentację niezbędne do wykazania zgodności z art. 28 RODO. W pierwszej kolejności prawo audytu realizowane jest poprzez udzielenie pisemnych odpowiedzi i udostępnienie dokumentacji.
- Jeżeli informacje, o których mowa w ust. 1, okażą się niewystarczające, Administrator (lub upoważniony przez niego audytor niebędący konkurentem Usługodawcy) może przeprowadzić audyt: nie częściej niż raz na 12 miesięcy (chyba że audyt jest następstwem stwierdzonego naruszenia), po uprzedzeniu z co najmniej 14-dniowym wyprzedzeniem, w dni robocze i w godzinach pracy, w sposób nieuzasadniony niezakłócający działalności Podmiotu Przetwarzającego.
- Audyt nie obejmuje dostępu do danych innych klientów Podmiotu Przetwarzającego, informacji stanowiących tajemnicę przedsiębiorstwa osób trzecich ani infrastruktury Subprocesorów (w tym zakresie udostępniane są certyfikaty i raporty audytowe Subprocesorów, o ile są dostępne). Koszty audytu ponosi Administrator.
§ 10. Transfery poza Europejski Obszar Gospodarczy
- Przekazanie Danych Powierzonych do państwa trzeciego następuje wyłącznie z zapewnieniem zabezpieczeń wymaganych w rozdziale V RODO, w szczególności na podstawie standardowych klauzul umownych (SCC) lub decyzji stwierdzającej odpowiedni stopień ochrony (w tym certyfikacji w ramach EU–US Data Privacy Framework).
- Aktualne informacje o lokalizacji przetwarzania i podstawach transferu zawiera Załącznik A.
§ 11. Odpowiedzialność
- Odpowiedzialność stron z tytułu DPA podlega ograniczeniom przewidzianym w § 11 Regulaminu, w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy prawa.
- Postanowienie ust. 1 nie ogranicza odpowiedzialności stron wobec osób, których dane dotyczą, wynikającej z art. 82 RODO.
§ 12. Postanowienia końcowe
- W sprawach nieuregulowanych w DPA stosuje się postanowienia Regulaminu oraz przepisy prawa polskiego i RODO.
- Zmiany DPA następują w trybie przewidzianym dla zmiany Regulaminu (§ 15 Regulaminu).
- Jeżeli którekolwiek postanowienie DPA okaże się nieważne lub bezskuteczne, pozostałe postanowienia pozostają w mocy.
- DPA sporządzono w polskiej i angielskiej wersji językowej; w razie rozbieżności wiążąca jest wersja polska.
Załącznik A — Subprocesorzy Danych Powierzonych
| Subprocesor | Funkcja | Lokalizacja | Podstawa transferu |
|---|---|---|---|
| Render Services, Inc. | Hosting bazy danych i aplikacji backendowej (przechowywanie i przetwarzanie Danych Powierzonych) | EU (Frankfurt) — instancja PostgreSQL; spółka z siedzibą w USA | SCC + DPF |
| Vercel Inc. | Hosting warstwy frontendowej (transmisja danych pomiędzy przeglądarką a Usługą) | USA / globalny CDN | SCC + DPF |
Uwaga: Clerk Inc. (uwierzytelnianie) oraz Stripe Payments Europe, Limited (płatności) przetwarzają dane Użytkowników, których administratorem jest Usługodawca (dane Kont i dane płatności), i nie przetwarzają Danych Powierzonych — pełna lista podmiotów przetwarzających dane w związku z Usługą znajduje się w Załączniku nr 1 do Regulaminu oraz w Polityce prywatności.