Umowa powierzenia przetwarzania danych osobowych
Wersja: 1.3 · Ostatnia aktualizacja: 15 maja 2026
Niniejszy dokument jest umową powierzenia przetwarzania danych osobowych z art. 28 RODO dla Użytkowników korzystających z Aplikacji „Zbieraj Mądrze" i wprowadzających do niej dane swoich pracowników, współpracowników lub innych osób trzecich.
Umowa stanowi załącznik do Regulaminu i obowiązuje w zakresie, w jakim Użytkownik powierza Usługodawcy dane osobowe osób trzecich przez wprowadzenie ich do Aplikacji. Zawarcie umowy powierzenia następuje wraz z zawarciem umowy o Konto, bez konieczności osobnego podpisu. Na żądanie Usługodawca może udostępnić kopię do podpisu odręcznego lub elektronicznego: kontakt@zbierajmadrze.pl.
§ 1. Strony
Podmiot przetwarzający (zwany dalej „Procesorem"):
ARI.CODE Arkadiusz Rosłoniec
jednoosobowa działalność gospodarcza
Gostomia 17, 26-420 Nowe Miasto nad Pilicą
NIP: 7972027390
email: kontakt@zbierajmadrze.pl
Administrator (zwany dalej „Administratorem"):
Użytkownik Aplikacji, który wprowadza dane osobowe osób trzecich (w szczególności pracowników i współpracowników).
§ 2. Przedmiot i cel powierzenia
- Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu określonym w Załączniku A.
- Procesor zobowiązuje się do przetwarzania powierzonych danych wyłącznie w celu i zakresie niezbędnym do świadczenia usług określonych w Regulaminie Aplikacji, a w szczególności do: przechowywania, wyświetlania Administratorowi i upoważnionym przez niego użytkownikom, wykonywania obliczeń rozliczeniowych, tworzenia kopii zapasowych i zabezpieczania danych.
- Procesor nie przetwarza powierzonych danych we własnych celach i nie wykorzystuje ich w celach marketingowych ani statystycznych wychodzących poza świadczenie usługi Administratorowi.
§ 3. Czas trwania
- Umowa obowiązuje przez okres obowiązywania umowy głównej zawartej na podstawie Regulaminu pomiędzy Administratorem a Procesorem w ramach Aplikacji „Zbieraj Mądrze".
- Po rozwiązaniu umowy głównej stosuje się § 10 niniejszej umowy.
§ 4. Rodzaj danych i kategorie osób
Szczegółowy wykaz kategorii danych i osób, których dane dotyczą, znajduje się w Załączniku A.
§ 5. Obowiązki Procesora
- Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora. Za takie polecenie uważa się również polecenia wydawane za pośrednictwem Aplikacji (wprowadzenie, edycja i usunięcie danych, eksport).
- Procesor zobowiązuje się do zapewnienia, by osoby upoważnione do przetwarzania danych (pracownicy i współpracownicy Procesora) zobowiązały się do zachowania tajemnicy lub podlegały ustawowemu obowiązkowi zachowania tajemnicy.
- Procesor wdraża odpowiednie środki techniczne i organizacyjne, o których mowa w § 8.
- Procesor pomaga Administratorowi, w miarę możliwości, w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą (art. 12–22 RODO).
- Procesor pomaga Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków, konsultacje z UODO).
- Procesor niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
§ 6. Obowiązki Administratora
- Administrator oświadcza, że posiada ważną podstawę prawną przetwarzania danych osobowych powierzanych Procesorowi (np. zawarta umowa z pracownikiem, przepis prawa, uzasadniony interes).
- Administrator zobowiązuje się do wykonania wobec osób, których dane dotyczą (swoich pracowników i współpracowników), obowiązków informacyjnych wynikających z art. 13 i 14 RODO, w tym poinformowania ich o powierzeniu przetwarzania Procesorowi.
- Administrator odpowiada za zakres, treść i legalność danych wprowadzanych do Aplikacji.
§ 7. Podpowierzenie (subprocesorzy)
- Administrator udziela Procesorowi ogólnego upoważnienia do korzystania z podwykonawców (dalszych podmiotów przetwarzających) wymienionych w Załączniku C.
- Procesor poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających z co najmniej 14-dniowym wyprzedzeniem drogą emailową lub komunikatem w Aplikacji. Administrator ma prawo wyrażenia sprzeciwu; w takim wypadku strony podejmą rozmowy w dobrej wierze o alternatywnym rozwiązaniu, a w razie braku porozumienia Administrator może wypowiedzieć umowę ze skutkiem na dzień wprowadzenia zmiany.
- Procesor zapewnia, że na dalszy podmiot przetwarzający nałożone zostaną obowiązki ochrony danych nie mniejsze niż określone w niniejszej umowie.
§ 8. Bezpieczeństwo przetwarzania (art. 32 RODO)
Procesor stosuje środki techniczne i organizacyjne wymienione w Załączniku B, w tym:
- szyfrowanie transmisji pomiędzy klientem a serwerem;
- mechanizmy uwierzytelniania i autoryzacji dostępu do Aplikacji;
- organizacyjne i techniczne ograniczenie dostępu do danych do osób upoważnionych;
- rejestrowanie wybranych zdarzeń bezpieczeństwa i działań administracyjnych;
- środki służące odtwarzaniu dostępności danych i ciągłości działania usługi adekwatne do skali przetwarzania.
§ 9. Naruszenia ochrony danych
- Procesor zgłasza Administratorowi każde stwierdzone naruszenie ochrony powierzonych danych osobowych bez zbędnej zwłoki, drogą emailową lub innym uzgodnionym kanałem kontaktu.
- Zgłoszenie zawiera informacje wymagane art. 33 ust. 3 RODO w zakresie posiadanym przez Procesora, w tym: charakter naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą, prawdopodobne konsekwencje i środki zastosowane lub proponowane do minimalizacji skutków.
§ 10. Zwrot lub usunięcie danych
- Po zakończeniu świadczenia usługi Procesor, zgodnie z decyzją Administratora, usuwa lub zwraca Administratorowi powierzone dane osobowe oraz usuwa istniejące kopie, chyba że prawo Unii lub prawo polskie nakazują przechowywanie danych.
- Po zakończeniu świadczenia usługi dane są usuwane albo zwracane zgodnie z ustaleniami stron i przyjętymi zasadami retencji, z zastrzeżeniem obowiązków prawnych lub technicznych okresów niezbędnych do bezpiecznego wygaszenia usługi.
- Jeżeli Administrator żąda usunięcia danych wcześniej, Strony uzgadniają sposób i termin wykonania tego żądania z uwzględnieniem bezpieczeństwa i obowiązków prawnych.
§ 11. Audyt
- Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia przeprowadzanie audytów.
- Audyt odbywa się po uprzednim uzgodnieniu terminu z co najmniej 14-dniowym wyprzedzeniem, nie częściej niż raz na 12 miesięcy (z wyjątkiem sytuacji następczych po stwierdzonym naruszeniu), w godzinach pracy Procesora i na koszt Administratora.
- Procesor może udostępnić wyniki audytu przeprowadzonego przez niezależny podmiot (np. certyfikacja SOC 2, ISO 27001 dostawcy hostingu, czy raport z audytu własnego) zamiast umożliwiać audyt bezpośredni - w zakresie, w jakim takie dokumenty adresują przedmiot audytu.
§ 12. Odpowiedzialność
- Strony ponoszą odpowiedzialność na zasadach określonych w art. 82 RODO oraz w Regulaminie Aplikacji.
- Procesor odpowiada wobec Administratora za szkody spowodowane naruszeniem postanowień niniejszej umowy wyłącznie wówczas, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające lub działał poza udokumentowanymi zgodnymi z prawem poleceniami Administratora.
§ 13. Postanowienia końcowe
- W sprawach nieuregulowanych umową stosuje się RODO, ustawę o ochronie danych osobowych oraz Regulamin Aplikacji.
- W razie sprzeczności pomiędzy postanowieniami niniejszej umowy a Regulaminem - w zakresie ochrony danych osobowych - pierwszeństwo ma niniejsza umowa.
- Zmiany niniejszej umowy powierzenia następują na zasadach przewidzianych dla zmiany Regulaminu, chyba że strony uzgodnią indywidualną zmianę w formie dokumentowej (np. emailowej) albo podpiszą zaktualizowaną wersję.
Załącznik A - Rodzaj danych, kategorie osób, cel i czas przetwarzania
| Kategoria | Zakres |
|---|
| Kategorie osób | Pracownicy, współpracownicy, osoby wykonujące prace sezonowe lub akordowe dla Administratora |
| Kategorie danych | Imię i nazwisko, identyfikator pracowniczy (NFC, kod, numer wagi BLE), dane rozliczeniowe (kwoty, stawki, godziny, ilość zebranego plonu) |
| Cel przetwarzania | Ewidencja pracy i zbiorów, rozliczenia, przygotowanie raportów do celów księgowych i zarządczych Administratora |
| Czas trwania przetwarzania | Okres korzystania z Aplikacji przez Administratora oraz okres niezbędny do zakończenia usługi zgodnie z ustaleniami stron i zasadami retencji |
| Transfer poza EOG | Możliwy wyłącznie w zakresie korzystania z zatwierdzonych dostawców wspierających usługę i przy zastosowaniu odpowiednich podstaw prawnych |
Załącznik B - Środki techniczne i organizacyjne
- Szyfrowanie transmisji dla połączeń klient-serwer.
- Mechanizmy uwierzytelniania i kontroli dostępu do Aplikacji.
- Izolacja danych pomiędzy różnymi klientami w zakresie przewidzianym przez architekturę systemu.
- Rejestrowanie wybranych zdarzeń technicznych i bezpieczeństwa.
- Ochrona przed nadużyciami publicznych punktów wejścia.
- Ograniczony dostęp do danych produkcyjnych do osób upoważnionych.
- Aktualizacje bezpieczeństwa i utrzymanie środowiska adekwatne do skali usługi.
Załącznik C - Lista podwykonawców (subprocesorów)
| Podmiot | Lokalizacja | Cel | Podstawa transferu |
|---|
| OVH SAS | Francja (EOG) | Hosting serwerów aplikacji, bazy danych, panelu uwierzytelniania oraz statystyk; przechowywanie kopii zapasowych | Przetwarzanie w EOG - dodatkowe mechanizmy transferowe nie są wymagane |
| Plus Five Five, Inc. (Resend) | USA | Dostarczanie wiadomości email związanych z rejestracją, weryfikacją, obsługą konta i kontaktem | Standardowe klauzule umowne UE oraz EU-U.S. Data Privacy Framework w zakresie i zgodnie z aktualną dokumentacją prawną dostawcy |
Mechanizm statystyk GoatCounter dostępny pod adresem stats.zbierajmadrze.pl jest hostowany samodzielnie przez Procesora na infrastrukturze wymienionej w pierwszym wierszu tabeli powyżej i nie stanowi odrębnego podwykonawcy.
Aktualna lista podwykonawców jest publikowana na stronie Aplikacji. O zamierzonych zmianach (dodanie lub zastąpienie podwykonawcy) Procesor informuje zgodnie z § 7.