Umowa powierzenia przetwarzania danych (DPA)

Ostatnia aktualizacja: 17 czerwca 2026 · Wersja 1.0 · art. 28 RODO

Niniejsza Umowa powierzenia stanowi część Regulaminu. W negocjowanych umowach B2B może obowiązywać odrębnie podpisana umowa.

Niniejsza Umowa powierzenia („DPA”) zawierana jest między Klientem („Administratorem”) a EpicCRM, prowadzonym przez Web Systems (jednoosobowa działalność gospodarcza, CEIDG, ul. Dąbrowskiego 249/23, 93-231 Łódź, NIP 7292462454) („Podmiotem przetwarzającym”) i ma zastosowanie, gdy Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora w związku z Usługą. Odzwierciedla wymogi art. 28 RODO (rozporządzenie (UE) 2016/679).

1. Przedmiot i role

Administrator określa cele i sposoby przetwarzania danych osobowych wprowadzanych do Usługi („Dane powierzone”). Podmiot przetwarzający przetwarza je wyłącznie w celu świadczenia Usługi i jedynie na udokumentowane polecenie Administratora, w tym zawarte w Regulaminie i niniejszej DPA.

2. Szczegóły przetwarzania (Załącznik 1)

ElementOpis
Charakter i celHosting i przetwarzanie danych CRM w celu świadczenia Usługi EpicCRM (przechowywanie, porządkowanie, wyszukiwanie, przesyłanie).
Czas trwaniaNa czas subskrypcji Administratora oraz okres usunięcia z pkt 8.
Kategorie osób, których dane dotycząKontakty, leady, klienci, pracownicy i inne osoby, których dane Administrator zdecyduje się przechowywać.
Rodzaje danychDane kontaktowe (imię, nazwisko, e-mail, telefon), dane firm, treść szans/notatek/zadań/zgłoszeń, dane kalendarzy i inne wprowadzone przez Administratora.
Szczególne kategorieUsługa ich nie wymaga. Administrator nie powinien przechowywać danych szczególnych kategorii bez podstawy prawnej i zabezpieczeń.

3. Obowiązki Podmiotu przetwarzającego

  • Przetwarza Dane powierzone wyłącznie na udokumentowane polecenie, w tym co do przekazań, chyba że obowiązek wynika z prawa (wówczas informuje Administratora, o ile prawo tego nie zakazuje).
  • Zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do poufności.
  • Wdraża odpowiednie środki techniczne i organizacyjne (pkt 6).
  • Przestrzega warunków korzystania z podwykonawców przetwarzania (pkt 4).
  • Pomaga Administratorowi, w miarę możliwości, w realizacji żądań osób, których dane dotyczą.
  • Wspiera Administratora w zakresie bezpieczeństwa, zgłaszania naruszeń i ocen skutków (art. 32–36).
  • Wedle wyboru Administratora usuwa lub zwraca dane po zakończeniu świadczenia (pkt 8).
  • Udostępnia informacje niezbędne do wykazania zgodności i umożliwia audyty (pkt 7).

4. Podwykonawcy przetwarzania (subprocesorzy)

Administrator udziela ogólnej zgody na korzystanie przez Podmiot przetwarzający z podwykonawców w celu świadczenia Usługi. Aktualnych podwykonawców wymienia Polityka prywatności (sekcja „Odbiorcy i podmioty przetwarzające”). Podmiot przetwarzający nakłada na każdego podwykonawcę obowiązki ochrony danych nie mniej restrykcyjne niż w niniejszej DPA i pozostaje odpowiedzialny za ich działania. Podmiot przetwarzający informuje Administratora o zamierzonych zmianach i daje możliwość wniesienia uzasadnionego sprzeciwu.

5. Żądania osób, których dane dotyczą

Uwzględniając charakter przetwarzania, Podmiot przetwarzający pomaga Administratorowi odpowiednimi środkami technicznymi i organizacyjnymi (w tym narzędziami eksportu i usuwania danych w Usłudze) w realizacji obowiązku odpowiadania na żądania osób. Jeśli osoba skontaktuje się bezpośrednio z Podmiotem przetwarzającym w sprawie Danych powierzonych, zostanie skierowana do Administratora.

6. Środki bezpieczeństwa (Załącznik 2)

  • Szyfrowanie w transmisji (TLS/HTTPS) i szyfrowanie w spoczynku wrażliwych sekretów (np. tokenów kalendarzy — libsodium).
  • Haszowanie danych logowania, kontrola dostępu oparta na rolach i zasada najmniejszych uprawnień.
  • Logiczna izolacja danych każdej Organizacji (separacja multi-tenant w warstwie aplikacji).
  • Regularne kopie zapasowe i możliwość przywrócenia dostępności po incydencie.
  • Monitoring, aktualizacje zabezpieczeń i logowanie dostępu.

7. Audyty

Podmiot przetwarzający udostępnia informacje niezbędne do wykazania zgodności z art. 28 oraz umożliwia audyty (w tym inspekcje) prowadzone przez Administratora lub upoważnionego audytora, z zachowaniem rozsądnego uprzedzenia, poufności i bez nieuzasadnionego zakłócania działalności. Żądania audytowe mogą być realizowane przez udostępnienie odpowiedniej dokumentacji lub certyfikatów, jeśli są dostępne.

8. Zwrot i usunięcie

Po rozwiązaniu Administrator może eksportować dane w okresie aktywności konta. Po rozwiązaniu Podmiot przetwarzający usunie lub zanonimizuje Dane powierzone w terminie wskazanym w Polityce prywatności (zwykle do 90 dni), o ile prawo nie wymaga ich zachowania. Kopie zapasowe są usuwane w cyklu rotacyjnym.

9. Przekazywanie poza EOG

Gdy przetwarzanie obejmuje przekazanie poza EOG, jest ono zabezpieczone Standardowymi Klauzulami Umownymi lub innym zgodnym z prawem mechanizmem, jak opisano w Polityce prywatności.

10. Zgłaszanie naruszeń

Podmiot przetwarzający powiadamia Administratora bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony Danych powierzonych, przekazując rozsądnie dostępne informacje pomocne w realizacji obowiązków Administratora z art. 33–34.

11. Odpowiedzialność i pierwszeństwo

Odpowiedzialność z tytułu DPA podlega ograniczeniom z Regulaminu. W razie sprzeczności w kwestiach ochrony danych niniejsza DPA ma pierwszeństwo przed Regulaminem. DPA podlega temu samemu prawu co Regulamin.

Pytania o przetwarzanie danych lub prośba o podpisaną kopię: [email protected].