Niniejsza Umowa powierzenia przetwarzania danych osobowych („Umowa") zawierana jest na podstawie art. 28 RODO i stanowi integralną część Regulaminu. Zaakceptowanie Regulaminu przy zakładaniu konta jest równoznaczne z zawarciem niniejszej Umowy.
§1. Strony
- Administrator — Usługobiorca (firma/biuro korzystające z Wizitly), który decyduje o celach i sposobach przetwarzania danych osób rezerwujących.
- Podmiot przetwarzający (Procesor) — [NAZWA_FIRMY], prowadzący serwis Wizitly, przetwarzający dane w imieniu Administratora.
§2. Przedmiot i cel powierzenia
Administrator powierza Procesorowi przetwarzanie danych osobowych wyłącznie w celu świadczenia usług Serwisu — w szczególności przyjmowania i obsługi rezerwacji, wysyłki powiadomień oraz udostępniania panelu zarządzania.
§3. Charakter, kategorie danych i osób
- Kategorie osób: osoby dokonujące rezerwacji u Administratora (klienci Administratora).
- Kategorie danych: imię i nazwisko, adres e-mail, numer telefonu, informacje o rezerwacji (termin, usługa, uwagi).
- Procesor nie przetwarza szczególnych kategorii danych, chyba że Administrator wprowadzi je samodzielnie w polu uwag — na własną odpowiedzialność.
§4. Obowiązki Procesora
Procesor zobowiązuje się do:
- przetwarzania danych wyłącznie na udokumentowane polecenie Administratora (którym jest korzystanie z funkcji Serwisu);
- zapewnienia, że osoby upoważnione do przetwarzania zachowują poufność;
- stosowania środków bezpieczeństwa zgodnie z art. 32 RODO (§7);
- pomagania Administratorowi w realizacji praw osób, których dane dotyczą;
- pomagania w wypełnianiu obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, DPIA);
- niezwłocznego informowania Administratora o naruszeniu ochrony danych, nie później niż w ciągu [72] godzin od jego stwierdzenia;
- usunięcia lub zwrotu danych po zakończeniu świadczenia usług (§8).
§5. Podpowierzenie (subprocesorzy)
Administrator wyraża ogólną zgodę na korzystanie przez Procesora z subprocesorów. Procesor korzysta z:
| Subprocesor | Rola |
|---|---|
| Supabase | Baza danych, uwierzytelnianie, storage |
| Vercel | Hosting aplikacji |
| Resend | Wysyłka e-mail |
| [Stripe — jeśli wdrożony] | Obsługa płatności |
Procesor zapewnia, że subprocesorzy są związani obowiązkami ochrony danych nie mniej rygorystycznymi niż niniejsza Umowa. O zamiarze zmiany subprocesorów Procesor informuje z wyprzedzeniem, umożliwiając wniesienie sprzeciwu.
§6. Przekazywanie poza EOG
Część subprocesorów może przetwarzać dane poza Europejskim Obszarem Gospodarczym. Odbywa się to na podstawie standardowych klauzul umownych (SCC) lub innych mechanizmów zgodnych z rozdziałem V RODO.
§7. Środki bezpieczeństwa (art. 32 RODO)
- szyfrowanie transmisji danych (HTTPS/TLS),
- kontrola dostępu w oparciu o role oraz izolacja danych klientów (Row Level Security),
- uwierzytelnianie i przechowywanie haseł w postaci zahaszowanej,
- regularne kopie zapasowe realizowane przez dostawcę infrastruktury,
- ograniczenie dostępu do danych do niezbędnego minimum.
§8. Usunięcie danych po zakończeniu
Po rozwiązaniu umowy głównej Procesor, według wyboru Administratora, usuwa lub zwraca dane osobowe oraz usuwa istniejące kopie, chyba że przepisy prawa nakazują ich dalsze przechowywanie. [Termin, np. 30 dni — do ustalenia.]
§9. Audyt
Procesor udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwia audyty [na uzasadnione żądanie, z zachowaniem poufności i bez zakłócania działania Serwisu — szczegóły do ustalenia].
§10. Odpowiedzialność i czas trwania
- Umowa obowiązuje przez czas trwania umowy głównej (korzystania z Serwisu).
- Każda ze Stron odpowiada za szkody wyrządzone przetwarzaniem niezgodnym z RODO w zakresie swoich obowiązków. [Ograniczenia odpowiedzialności — do ustalenia z prawnikiem.]
- W sprawach nieuregulowanych stosuje się RODO oraz prawo polskie.