Umowa powierzenia przetwarzania danych osobowych

Data Processing Agreement (DPA) - art. 28 RODO. Ostatnia aktualizacja: 03.06.2026

Uwaga: wersja dokumentu wymagająca finalnej weryfikacji prawnej przed komercyjnym wdrożeniem. Dane Operatora zostaną uzupełnione po zarejestrowaniu działalności obsługującej serwis.

Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: Umowa lub DPA) zostaje zawarta pomiędzy Użytkownikiem (administratorem danych w rozumieniu RODO) a Operatorem (podmiotem przetwarzającym) z chwilą akceptacji DPA przy zakładaniu konta firmowego w serwisie panel-dewelopera.pl, na warunkach określonych poniżej.

§1. Strony Umowy

  1. Administrator - osoba fizyczna lub prawna prowadząca konto firmowe (Workspace) w serwisie panel-dewelopera.pl, identyfikowana przez NIP wprowadzony przy rejestracji.
  2. Procesor (Operator) - [Nazwa firmy / osoby fizycznej] z siedzibą pod adresem [adres], NIP [NIP], świadczący na rzecz Administratora usługę SaaS pod adresem panel-dewelopera.pl.

§2. Przedmiot i czas powierzenia

  1. Administrator powierza Operatorowi przetwarzanie danych osobowych w zakresie i celu niezbędnym do świadczenia usługi SaaS Panel Dewelopera, zgodnie z aktualnym Pakietem subskrypcyjnym i aktywnymi modułami.
  2. Umowa obowiązuje od momentu jej akceptacji do dnia usunięcia konta firmowego Administratora lub wypowiedzenia DPA przez którąkolwiek ze stron.
  3. Po wygaśnięciu lub rozwiązaniu Umowy Operator zwraca lub usuwa dane osobowe zgodnie z §8.

§3. Charakter i cel przetwarzania, kategorie osób i danych

  1. Cel przetwarzania: świadczenie usługi zarządzania inwestycjami deweloperskimi, prowadzenie CRM, generowanie prospektów informacyjnych, eksport do dane.gov.pl, publikacja stron inwestycji.
  2. Kategorie osób, których dane są przetwarzane:
    • nabywcy lokali i potencjalni klienci (leady CRM)
    • pracownicy Administratora (członkowie firmy w panelu)
    • osoby kontaktowe z formularzy publicznych stron inwestycji
  3. Kategorie przetwarzanych danych:
    • dane identyfikacyjne (imię, nazwisko)
    • dane kontaktowe (email, telefon, adres)
    • dane biznesowe (NIP, nazwa firmy, stanowisko)
    • dane techniczne (IP, user agent w logach aktywności)
  4. Operator nie przetwarza danych szczególnych kategorii w rozumieniu art. 9 RODO (zdrowie, pochodzenie, poglądy polityczne itp.). Wprowadzanie takich danych przez Administratora jest niedozwolone.

§4. Obowiązki Operatora (Procesora)

  1. Operator przetwarza dane wyłącznie na udokumentowane polecenie Administratora wyrażone poprzez korzystanie z funkcjonalności Platformy.
  2. Operator zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub podlegają obowiązkowi ustawowej tajemnicy.
  3. Operator stosuje środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania, w szczególności:
    • szyfrowanie połączenia HTTPS/TLS
    • hashowanie haseł algorytmem bcrypt (workFactor=12)
    • autoryzacja JWT dla integracji między usługami
    • row-level security (RLS) w bazie PostgreSQL
    • regularne kopie zapasowe (codzienne, retencja 5 lat dla danych podatkowych)
    • monitoring błędów (Sentry) i logi aktywności
    • kontrola dostępu na poziomie ról (Owner/Admin/Sales/Accountant/Member)
  4. Operator pomaga Administratorowi w wykonywaniu obowiązków wynikających z RODO, w szczególności w realizacji żądań osób, których dane dotyczą (art. 15-22 RODO), w zakresie technicznych funkcji Platformy.
  5. Operator zgłasza Administratorowi naruszenie ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 24 godzin od jego stwierdzenia.
  6. Operator udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO, w tym - na pisemny wniosek - umożliwia audyt nie częstszy niż raz w roku.

§5. Podpowierzenie (subprocesory)

  1. Administrator wyraża ogólną zgodę na korzystanie przez Operatora z poniższych podwykonawców (subprocesorów):
    • Hetzner Online GmbH (Niemcy) - hosting serwerów aplikacyjnych, Object Storage (S3) dla faktur, prospektów, attachmentów
    • Tpay (Krajowy Integrator Płatności S.A.) (Polska) - obsługa płatności kartą, BLIK, recurring
    • Fakturownia Sp. z o.o. (Polska) - wystawianie faktur VAT, integracja z KSeF
    • Sentry (Functional Software, Inc.) (UE) - error tracking aplikacji
    • Google Ireland Limited - Google Drive jako redundantna kopia zapasowa bazy
  2. Operator zobowiązuje się do nakładania na podwykonawców tych samych obowiązków ochrony danych co określone w niniejszej Umowie.
  3. O zmianie podwykonawców Operator informuje Administratora poprzez aktualizację niniejszej DPA z 14-dniowym wyprzedzeniem. Administrator może wnieść sprzeciw - skutkujący prawem do wypowiedzenia Umowy bez okresu wypowiedzenia.

§6. Transfer danych poza EOG

  1. Operator nie przekazuje danych osobowych poza Europejski Obszar Gospodarczy z wyjątkiem przypadków, gdy podwykonawca (Google Drive, Sentry) korzysta z infrastruktury w EOG lub objętej decyzją Komisji Europejskiej w sprawie odpowiedniego stopnia ochrony.
  2. W przypadku transferu danych do krajów trzecich Operator stosuje standardowe klauzule umowne (SCC) zgodnie z decyzją wykonawczą Komisji (UE) 2021/914.

§7. Odpowiedzialność i ubezpieczenie

  1. Operator odpowiada wobec Administratora za szkody wyrządzone przetwarzaniem niezgodnym z RODO lub instrukcjami Administratora na zasadach określonych w art. 82 RODO i Kodeksie cywilnym.
  2. Odpowiedzialność Operatora wobec Administratora z tytułu DPA jest łącznie ograniczona do wysokości opłat poniesionych przez Administratora w okresie 12 miesięcy poprzedzających zdarzenie powodujące szkodę, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa.

§8. Zwrot i usunięcie danych po zakończeniu Umowy

  1. Po zakończeniu świadczenia usługi (usunięcie konta, wygaśnięcie subskrypcji bez odnowienia >90 dni, wypowiedzenie DPA) Operator - według wyboru Administratora wyrażonego pisemnie - zwraca lub usuwa wszelkie dane osobowe oraz ich kopie.
  2. Administrator może pobrać kompletny eksport danych przez funkcję "Eksport prawny" dostępną w panelu (ZIP zawierający prospekty PDF, faktury, CSV inwestycji + lokali + leadów + historię cen). Link do eksportu ważny 7 dni.
  3. Operator zachowuje dane wymagane przepisami prawa (Ordynacja podatkowa, ustawa o rachunkowości - 5 lat dla faktur i dokumentów księgowych) zgodnie z art. 17 ust. 3 lit. b RODO. Pozostałe dane operacyjne (inventory, leady, attachments) podlegają hard delete po 12 miesiącach.
  4. Po 12 miesiącach od usunięcia konta Operator wykonuje anonimizację pozostałych danych osobowych (hash emaila, nazwy zastępowane wartością "DELETED").

§9. Postanowienia końcowe

  1. DPA stanowi integralną część Regulaminu serwisu. W przypadku sprzeczności pierwszeństwo mają postanowienia DPA w zakresie ochrony danych osobowych.
  2. Zmiany DPA wymagają formy pisemnej (akceptacja przez Administratora w panelu liczy się jako forma elektroniczna równoważna pisemnej) i wchodzą w życie z 14-dniowym wyprzedzeniem.
  3. W sprawach nieuregulowanych DPA stosuje się przepisy RODO, ustawy o ochronie danych osobowych oraz Kodeksu cywilnego.
  4. Spory wynikające z DPA rozstrzyga sąd właściwy dla siedziby Operatora.

Regulamin serwisu

Polityka prywatności