Umowa powierzenia przetwarzania danych osobowych

Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej: „Umowa powierzenia") stanowi integralną część Regulaminu zawartego pomiędzy De Rechter Software a Usługobiorcą (dalej: „Umowa"). Określa ona ustalenia dotyczące przetwarzania danych osobowych, które De Rechter Software wykonuje w imieniu Usługobiorcy w ramach świadczenia Stippa, zgodnie z art. 28 Rozporządzenia (UE) 2016/679 (RODO).

1. Strony i role

• Administrator: Usługobiorca, który określa cele i sposoby przetwarzania danych osobowych swoich klientów końcowych.
• Podmiot przetwarzający: De Rechter Software, niderlandzka jednoosobowa działalność gospodarcza (eenmanszaak) z siedzibą przy Molenwater 20, 4511 BN Breskens, Niderlandy, numer KvK 98466402, numer VAT NL005332100B80, operator Stippa, który przetwarza dane osobowe wyłącznie w imieniu i na polecenie Usługobiorcy.

2. Przedmiot, charakter, czas trwania i cel przetwarzania

Podmiot przetwarzający przetwarza dane osobowe wyłącznie na potrzeby świadczenia usługi Stippa: platformy do zarządzania i rezerwacji wizyt, zarządzania klientami i pracownikami, wysyłania powiadomień oraz obsługi płatności. Przetwarzanie trwa tak długo, jak długo obowiązuje Umowa, i kończy się zgodnie z sekcją 10.

3. Kategorie danych i osób, których dane dotyczą

Przetwarzanie obejmuje następujące kategorie osób, których dane dotyczą, oraz danych osobowych:

• Osoby, których dane dotyczą: klienci końcowi Usługobiorcy oraz pracownicy Usługobiorcy.
• Dane: imię i nazwisko, adres e-mail, numer telefonu, dane wizyty (data, godzina, usługa, pracownik, notatki) oraz dane związane z płatnościami (za pośrednictwem Stripe; bez pełnych danych kart płatniczych).

Podmiot przetwarzający nie przetwarza szczególnych kategorii danych osobowych, chyba że Usługobiorca sam je wprowadzi; za to odpowiada Usługobiorca i zapewnia istnienie podstawy prawnej.

4. Obowiązki Podmiotu przetwarzającego

• Podmiot przetwarzający przetwarza dane osobowe wyłącznie na podstawie udokumentowanych poleceń Administratora, w tym Umowy, również w zakresie przekazywania danych do państwa trzeciego, chyba że obowiązek prawny stanowi inaczej; w takim przypadku Podmiot przetwarzający informuje o tym Administratora przed rozpoczęciem przetwarzania, chyba że prawo to uniemożliwia.
• Podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem polecenie narusza RODO lub inne mające zastosowanie przepisy o ochronie danych.
• Podmiot przetwarzający zapewnia, by osoby mające dostęp do danych osobowych były zobowiązane do zachowania poufności.
• Podmiot przetwarzający stosuje odpowiednie środki techniczne i organizacyjne (zob. sekcja 5).
• Podmiot przetwarzający zapewnia Administratorowi rozsądną pomoc w odpowiadaniu na żądania osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie danych oraz sprzeciw), a także w wywiązywaniu się z obowiązków Administratora wynikających z art. 32-36 RODO (bezpieczeństwo, zgłaszanie naruszeń ochrony danych, ocena skutków dla ochrony danych oraz uprzednie konsultacje z organem nadzorczym).
• Podmiot przetwarzający nie wykorzystuje danych osobowych do własnych celów i nigdy ich nie sprzedaje.

5. Środki bezpieczeństwa

Podmiot przetwarzający stosuje co najmniej następujące środki:

• Szyfrowanie danych podczas przesyłania (TLS 1.2 lub nowszy) oraz w spoczynku;
• Szyfrowanie wrażliwych tokenów algorytmem AES-256-GCM przed zapisem;
• Zarządzanie dostępem oparte na rolach z zabezpieczeniami na poziomie wierszy (row-level security) w bazie danych;
• Rejestrowanie zmian (dzienniki audytu) na potrzeby bezpieczeństwa i rozliczalności;
• Regularną ocenę skuteczności stosowanych środków.

6. Podmioty podprzetwarzające (subprocesorzy)

Administrator udziela Podmiotowi przetwarzającemu ogólnej zgody na korzystanie z niżej wymienionych dalszych podmiotów przetwarzających:

• Supabase Inc. do przechowywania bazy danych (hosting w UE)
• Vercel Inc. do hostingu aplikacji webowej
• Upstash, Inc. do ograniczania liczby żądań i zapobiegania nadużyciom (tymczasowe przetwarzanie adresów IP)
• Cloudflare, Inc. do ochrony przed botami i nadużyciami (Turnstile)
• Sentry (Functional Software, Inc.) do monitorowania błędów i stabilności
• Inngest, Inc. do wykonywania zadań w tle (np. wysyłka przypomnień)
• Grafana Labs do zarządzania logami (Loki, tylko jeśli włączone)
• Stripe Payments Europe Ltd. i Mollie B.V. do obsługi płatności (Mollie hostowany w UE)
• Resend, Inc. do wysyłki transakcyjnych wiadomości e-mail
• Twilio Inc. / WhatsApp Business do opcjonalnych usług wiadomości
• PostHog do analityki produktu (serwery w UE)

Poniższe integracje są włączane wyłącznie wtedy, gdy Ty lub pracownik je połączycie: Google LLC do synchronizacji kalendarza (zob. polityka prywatności) oraz Moneybird B.V. do integracji księgowej.

Podmiot przetwarzający nakłada na każdego podprzetwarzającego, w drodze umowy, te same obowiązki w zakresie ochrony danych co określone w niniejszej Umowie powierzenia. Podmiot przetwarzający pozostaje wobec Administratora w pełni odpowiedzialny za wywiązanie się przez podprzetwarzającego z jego obowiązków.

W przypadku zamiaru zmiany lub dodania podprzetwarzającego Podmiot przetwarzający informuje Administratora co najmniej 30 dni wcześniej. W tym terminie Administrator może z uzasadnionych powodów wnieść sprzeciw wobec zmiany; strony przystępują wówczas do konsultacji. Jeżeli nie zostanie osiągnięte rozwiązanie, Administrator może wypowiedzieć daną usługę lub Umowę.

7. Przekazywanie poza EOG

W zakresie, w jakim dane osobowe są przekazywane podprzetwarzającemu poza Europejski Obszar Gospodarczy, przekazanie to odbywa się wyłącznie na podstawie odpowiedniego zabezpieczenia zgodnego z rozdziałem V RODO: przy przekazywaniu do Stanów Zjednoczonych przede wszystkim na podstawie Ram Ochrony Danych UE-USA (EU-US Data Privacy Framework; decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony z dnia 10 lipca 2023 r.) dla podmiotów certyfikowanych w ich ramach, a jako dodatkowe lub uzupełniające zabezpieczenie na podstawie standardowych klauzul umownych Komisji Europejskiej (Standard Contractual Clauses, decyzja wykonawcza (UE) 2021/914).

8. Naruszenia ochrony danych

Podmiot przetwarzający informuje Administratora bez zbędnej zwłoki, najpóźniej w ciągu 48 godzin od powzięcia wiadomości o naruszeniu ochrony danych osobowych. Podmiot przetwarzający przekazuje przy tym informacje, których Administrator w rozsądnym zakresie potrzebuje, aby wywiązać się z ewentualnego obowiązku zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych oraz zawiadomienia osób, których dane dotyczą.

9. Audyty

Podmiot przetwarzający udostępnia Administratorowi na żądanie informacje niezbędne do wykazania spełnienia obowiązków, o których mowa w art. 28 RODO. Administrator może, z zachowaniem rozsądnego terminu i nie częściej niż raz w roku, przeprowadzić (lub zlecić przeprowadzenie) audytu samodzielnie albo przez upoważnionego przez siebie, niezależnego audytora. Rozsądne koszty audytu ponosi Administrator, chyba że audyt wykaże istotne uchybienie po stronie Podmiotu przetwarzającego.

10. Zwrot i usunięcie danych

Po zakończeniu Umowy Podmiot przetwarzający, według wyboru Administratora, udostępni Administratorowi wszystkie dane osobowe w postaci eksportu danych albo je usunie oraz usunie istniejące kopie, chyba że obowiązek prawny przechowywania (np. obowiązek przechowywania dokumentacji podatkowej dotyczącej danych płatniczych) stanowi inaczej. W braku dokonania wyboru w terminie 30 dni wskazanym w Regulaminie dane zostają usunięte.

11. Odpowiedzialność i prawo właściwe

Do niniejszej Umowy powierzenia stosuje się postanowienia o odpowiedzialności oraz prawo właściwe wynikające z Regulaminu. W razie sprzeczności między niniejszą Umową powierzenia a Regulaminem pierwszeństwo ma niniejsza Umowa powierzenia w zakresie, w jakim dotyczy ona przetwarzania danych osobowych.

12. Kontakt

W sprawach dotyczących niniejszej Umowy powierzenia lub w celu uzyskania podpisanego egzemplarza mogą Państwo skontaktować się pod adresem support@stippa.nl.