Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

1. Strony umowy

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: "Umowa" lub "DPA") zostaje zawarta pomiędzy:

• Administratorem danych (dalej: "Administrator") — Użytkownik platformy Flowtera (właściciel Workspace), który decyduje o celach i sposobach przetwarzania danych osobowych
• Procesorem (dalej: "Procesor") — Dawid Olszewski, prowadzący jednoosobową działalność gospodarczą, NIP: 5811972461, operator platformy Flowtera

Umowa stanowi integralną część Regulaminu platformy Flowtera i wchodzi w życie z momentem utworzenia Workspace przez Administratora.

2. Przedmiot i czas przetwarzania

Procesor przetwarza dane osobowe powierzone przez Administratora wyłącznie w celu świadczenia usługi Flowtera, tj. planowania, zarządzania i publikacji treści w mediach społecznościowych oraz obsługi workflow akceptacji treści.

Przetwarzanie trwa przez cały okres korzystania z Usługi przez Administratora (czas istnienia aktywnego Workspace) oraz przez okres niezbędny do usunięcia danych po zakończeniu umowy (maksymalnie 30 dni).

3. Charakter i cel przetwarzania

Przetwarzanie obejmuje następujące operacje:

• Przechowywanie danych w bazie platformy
• Wyświetlanie treści w interfejsie użytkownika
• Publikacja treści na platformach społecznościowych na żądanie Administratora
• Wysyłanie powiadomień e-mail do użytkowników Workspace
• Generowanie treści z wykorzystaniem AI na żądanie Administratora
• Tworzenie kopii zapasowych

4. Typy danych i kategorie osób

Kategorie osób, których dane dotyczą:

• Użytkownicy Workspace (członkowie zespołu Administratora)
• Klienci zaproszeni do Workspace
• Osoby, których dane pojawiają się w treściach postów

Typy danych osobowych:

• Imię i nazwisko, adres e-mail
• Nazwy użytkowników i identyfikatory profili social media
• Zdjęcia profilowe
• Treści postów i komentarzy (mogące zawierać dane osobowe)
• Media (obrazy, wideo) mogące zawierać wizerunki osób
• Adresy IP i dane techniczne logów

5. Obowiązki Procesora

Procesor zobowiązuje się do:

• Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora (korzystanie z funkcji platformy stanowi takie polecenie)
• Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności
• Wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania (Art. 32 RODO), w tym:
  • Szyfrowanie danych w tranzycie (TLS 1.2+) i w spoczynku
  • Szyfrowanie haseł (bcrypt)
  • Kontrola dostępu oparta na rolach (RBAC)
  • Regularne kopie zapasowe
  • Monitorowanie dostępu i logowanie zdarzeń
• Pomagania Administratorowi w realizacji obowiązków wynikających z Art. 32-36 RODO (bezpieczeństwo, ocena skutków, konsultacje)
• Pomagania Administratorowi w odpowiadaniu na żądania osób, których dane dotyczą (Art. 15-22 RODO)
• Udostępniania Administratorowi informacji niezbędnych do wykazania spełnienia obowiązków wynikających z Art. 28 RODO

6. Sub-procesorzy

Administrator wyraża ogólną zgodę na korzystanie przez Procesora z sub-procesorów. Aktualna lista sub-procesorów:

O zamiarze dodania lub zmiany sub-procesora Procesor poinformuje Administratora z 14-dniowym wyprzedzeniem drogą elektroniczną. Administrator ma prawo zgłosić uzasadniony sprzeciw w terminie 14 dni. W przypadku braku sprzeciwu zmiana uznawana jest za zaakceptowaną.

7. Transfer danych poza EOG

Transfer danych osobowych poza Europejski Obszar Gospodarczy odbywa się wyłącznie na podstawie:

• Standardowych Klauzul Umownych (SCCs) zatwierdzonych decyzją Komisji Europejskiej 2021/914
• EU-U.S. Data Privacy Framework (DPF) — dla podmiotów certyfikowanych
• Decyzji stwierdzającej odpowiedni stopień ochrony (Art. 45 RODO) — jeśli dotyczy

8. Powiadomienie o naruszeniu

Procesor zobowiązuje się powiadomić Administratora o wszelkich naruszeniach ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od momentu stwierdzenia naruszenia.

Powiadomienie będzie zawierać:

• Opis charakteru naruszenia
• Kategorie i przybliżoną liczbę osób, których dane dotyczą
• Prawdopodobne konsekwencje naruszenia
• Środki podjęte lub proponowane w celu zaradzenia naruszeniu i zminimalizowania jego skutków

Procesor będzie współpracować z Administratorem w celu umożliwienia mu zgłoszenia naruszenia do organu nadzorczego (UODO) w terminie 72 godzin zgodnie z Art. 33 RODO.

9. Audyty

Procesor umożliwia Administratorowi przeprowadzanie audytów i inspekcji w celu weryfikacji zgodności z niniejszą Umową. Audyty mogą być przeprowadzane:

• Przez Administratora lub upoważnionego audytora, po wcześniejszym uzgodnieniu terminu (z co najmniej 30-dniowym wyprzedzeniem)
• Nie częściej niż raz na 12 miesięcy, chyba że wymaga tego naruszenie
• Na koszt Administratora, chyba że audyt wykaże niezgodność

Procesor udostępni na żądanie informacje dotyczące wdrożonych środków bezpieczeństwa, wyników własnych audytów wewnętrznych oraz certyfikatów (jeśli dotyczy).

10. Usunięcie i zwrot danych

Po zakończeniu umowy (usunięciu Workspace lub konta), Procesor zobowiązuje się do:

• Usunięcia wszystkich powierzonych danych osobowych w ciągu 30 dni od zakończenia umowy
• Zwrotu danych na żądanie Administratora — przed usunięciem Administrator może zażądać eksportu danych w standardowym formacie (JSON/CSV)
• Usunięcia kopii zapasowych zawierających powierzone dane w ciągu 90 dni

Obowiązek usunięcia nie dotyczy danych, których przechowywanie jest wymagane przez prawo (np. dane rozliczeniowe — 5 lat).

11. Postanowienia końcowe

Niniejsza Umowa podlega prawu polskiemu. W sprawach nieuregulowanych stosuje się przepisy RODO oraz Kodeksu cywilnego.

W przypadku sprzeczności między niniejszą Umową a Regulaminem, w zakresie ochrony danych osobowych pierwszeństwo mają postanowienia niniejszej Umowy.

Kontakt w sprawach dotyczących DPA: [email protected].