1. Przedmiot umowy
Niniejszy dokument stanowi umowę powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO, zawieraną pomiędzy Użytkownikiem platformy Stario (dalej „Administrator") a firmą PIOTR DOMAŃSKI Web Nest (dalej „Procesor").
Procesor przetwarza dane osobowe klientów Administratora wyłącznie w zakresie niezbędnym do świadczenia usług platformy Stario.
Procesor przetwarza dane osobowe klientów Administratora wyłącznie w zakresie niezbędnym do świadczenia usług platformy Stario.
2. Zakres powierzenia
Administrator powierza Procesorowi przetwarzanie następujących kategorii danych:
• Imiona i nazwiska klientów Administratora
• Numery telefonów klientów
• Daty i godziny wizyt
• Informacje o usługach (nazwa usługi, pracownik obsługujący)
• Adresy e-mail klientów (jeśli podane)
Dane są przetwarzane w następujących celach:
• Zarządzanie wizytami w systemie CRM
• Wysyłanie wiadomości SMS z prośbą o opinię Google
• Wysyłanie przypomnień o wizytach
• Generowanie statystyk i raportów dla Administratora
• Imiona i nazwiska klientów Administratora
• Numery telefonów klientów
• Daty i godziny wizyt
• Informacje o usługach (nazwa usługi, pracownik obsługujący)
• Adresy e-mail klientów (jeśli podane)
Dane są przetwarzane w następujących celach:
• Zarządzanie wizytami w systemie CRM
• Wysyłanie wiadomości SMS z prośbą o opinię Google
• Wysyłanie przypomnień o wizytach
• Generowanie statystyk i raportów dla Administratora
3. Obowiązki Procesora
Procesor zobowiązuje się do:
• Przetwarzania danych wyłącznie na udokumentowane polecenie Administratora
• Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności
• Wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych
• Niewykorzystywania danych do własnych celów marketingowych
• Niezależnego profilowania klientów Administratora
• Pomocy Administratorowi w realizacji praw osób, których dane dotyczą
• Udostępnienia informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO
• Przetwarzania danych wyłącznie na udokumentowane polecenie Administratora
• Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności
• Wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych
• Niewykorzystywania danych do własnych celów marketingowych
• Niezależnego profilowania klientów Administratora
• Pomocy Administratorowi w realizacji praw osób, których dane dotyczą
• Udostępnienia informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO
4. Podpowierzenie
Procesor może korzystać z usług podwykonawców (dalszych procesorów) wyłącznie w zakresie niezbędnym do świadczenia usługi:
• Railway Inc. — hosting aplikacji (USA/EU)
• Amazon Web Services — usługi chmurowe, SMS (USA/EU)
• Resend Inc. — wysyłka wiadomości email (USA)
• Hostinger — hosting baz danych (Litwa/EU)
Każdy podwykonawca jest zobowiązany umową do zapewnienia co najmniej takiego samego poziomu ochrony danych.
• Railway Inc. — hosting aplikacji (USA/EU)
• Amazon Web Services — usługi chmurowe, SMS (USA/EU)
• Resend Inc. — wysyłka wiadomości email (USA)
• Hostinger — hosting baz danych (Litwa/EU)
Każdy podwykonawca jest zobowiązany umową do zapewnienia co najmniej takiego samego poziomu ochrony danych.
5. Środki bezpieczeństwa
Procesor stosuje następujące środki techniczne i organizacyjne:
Środki techniczne:
• Szyfrowanie danych w transmisji (TLS 1.3)
• Szyfrowanie haseł (bcrypt z kosztem 10+)
• Kontrola dostępu oparta na rolach (RBAC)
• Separacja środowisk (produkcja/staging)
• Regularne kopie zapasowe baz danych
• Monitoring bezpieczeństwa i alerting
Środki organizacyjne:
• Ograniczony krąg osób z dostępem do danych
• Procedury reagowania na incydenty bezpieczeństwa
• Regularne przeglądy uprawnień dostępu
Środki techniczne:
• Szyfrowanie danych w transmisji (TLS 1.3)
• Szyfrowanie haseł (bcrypt z kosztem 10+)
• Kontrola dostępu oparta na rolach (RBAC)
• Separacja środowisk (produkcja/staging)
• Regularne kopie zapasowe baz danych
• Monitoring bezpieczeństwa i alerting
Środki organizacyjne:
• Ograniczony krąg osób z dostępem do danych
• Procedury reagowania na incydenty bezpieczeństwa
• Regularne przeglądy uprawnień dostępu
6. Naruszenie ochrony danych
W przypadku naruszenia ochrony danych osobowych Procesor:
• Powiadomi Administratora o naruszeniu bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od stwierdzenia naruszenia
• Przekaże wszelkie dostępne informacje dotyczące naruszenia
• Podejmie natychmiastowe kroki w celu zminimalizowania skutków naruszenia
• Będzie współpracował z Administratorem przy powiadamianiu organów nadzorczych i osób, których dane dotyczą
• Powiadomi Administratora o naruszeniu bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od stwierdzenia naruszenia
• Przekaże wszelkie dostępne informacje dotyczące naruszenia
• Podejmie natychmiastowe kroki w celu zminimalizowania skutków naruszenia
• Będzie współpracował z Administratorem przy powiadamianiu organów nadzorczych i osób, których dane dotyczą
7. Przekazywanie danych do państw trzecich
W związku z korzystaniem z usług dostawców zlokalizowanych w USA, dane mogą być przekazywane poza Europejski Obszar Gospodarczy.
Przekazywanie odbywa się na podstawie:
• Standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską
• Decyzji wykonawczej Komisji Europejskiej w sprawie adekwatności ochrony (Data Privacy Framework)
Procesor zapewnia, że każdy transfer danych poza EOG jest zgodny z Rozdziałem V RODO.
Przekazywanie odbywa się na podstawie:
• Standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską
• Decyzji wykonawczej Komisji Europejskiej w sprawie adekwatności ochrony (Data Privacy Framework)
Procesor zapewnia, że każdy transfer danych poza EOG jest zgodny z Rozdziałem V RODO.
8. Czas trwania i zakończenie
Umowa powierzenia obowiązuje przez cały okres korzystania z platformy Stario.
Po zakończeniu świadczenia usług Procesor, według wyboru Administratora:
• Usunie wszystkie dane osobowe
• Zwróci dane Administratorowi w formacie CSV/JSON
Usunięcie danych nastąpi w terminie 30 dni od zakończenia umowy, z zastrzeżeniem obowiązków wynikających z przepisów prawa.
Po zakończeniu świadczenia usług Procesor, według wyboru Administratora:
• Usunie wszystkie dane osobowe
• Zwróci dane Administratorowi w formacie CSV/JSON
Usunięcie danych nastąpi w terminie 30 dni od zakończenia umowy, z zastrzeżeniem obowiązków wynikających z przepisów prawa.
9. Audyty
Administrator ma prawo do przeprowadzenia audytu w zakresie przetwarzania danych osobowych.
Audyt może obejmować:
• Weryfikację środków technicznych i organizacyjnych
• Kontrolę umów z podwykonawcami
• Sprawdzenie procedur bezpieczeństwa
Procesor zobowiązuje się udostępnić wszelkie informacje niezbędne do przeprowadzenia audytu na uzasadnione żądanie Administratora.
Audyt może obejmować:
• Weryfikację środków technicznych i organizacyjnych
• Kontrolę umów z podwykonawcami
• Sprawdzenie procedur bezpieczeństwa
Procesor zobowiązuje się udostępnić wszelkie informacje niezbędne do przeprowadzenia audytu na uzasadnione żądanie Administratora.