Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

Ostatnia aktualizacja: 11 marca 2026

§1. Strony umowy

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa" lub „DPA") zostaje zawarta pomiędzy:

1. Procesorem — {{NAZWA_FIRMY}}, NIP: {{NIP}}, z siedzibą pod adresem: {{ADRES}}, adres e-mail: {{EMAIL_KONTAKT}}, prowadzącą serwis Supportuj.pl (dalej: „Procesor" lub „Supportuj"),
2. Administratorem — podmiot korzystający z usług Supportuj.pl na podstawie Regulaminu świadczenia usług (dalej: „Administrator" lub „Usługobiorca").

Niniejsza Umowa stanowi integralną część Regulaminu świadczenia usług dostępnego pod adresem /regulamin i wchodzi w życie z chwilą akceptacji Regulaminu przez Administratora.

§2. Przedmiot umowy

Administrator powierza Procesorowi przetwarzanie danych osobowych w rozumieniu art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „RODO"), w zakresie i celu związanym ze świadczeniem usługi systemu obsługi zgłoszeń (ticketingu) za pośrednictwem serwisu Supportuj.pl.

Procesor zobowiązuje się przetwarzać powierzone dane osobowe wyłącznie w sposób i w zakresie określonym w niniejszej Umowie oraz zgodnie z obowiązującymi przepisami prawa, w szczególności z RODO.

§3. Czas trwania

Niniejsza Umowa obowiązuje przez cały okres świadczenia usług przez Procesora na rzecz Administratora, tj. przez czas obowiązywania umowy o świadczenie usług (Regulaminu).

Przetwarzanie danych osobowych ustaje z chwilą rozwiązania lub wygaśnięcia umowy o świadczenie usług, z zastrzeżeniem 30-dniowego okresu umożliwiającego Administratorowi eksport danych, o którym mowa w §13 niniejszej Umowy.

§4. Charakter i cel przetwarzania

Celem przetwarzania danych osobowych jest świadczenie przez Procesora usługi systemu obsługi zgłoszeń klientów (ticketingu) na rzecz Administratora za pośrednictwem serwisu Supportuj.pl.

Przetwarzanie obejmuje następujące operacje na danych osobowych:

• zbieranie danych z wiadomości e-mail oraz formularzy kontaktowych,
• przechowywanie danych w systemie ticketingowym,
• organizowanie i kategoryzowanie zgłoszeń,
• udostępnianie danych upoważnionym pracownikom Administratora za pośrednictwem platformy,
• usuwanie danych na żądanie Administratora lub po zakończeniu świadczenia usług.

§5. Rodzaj danych osobowych

Powierzone przetwarzanie dotyczy następujących kategorii danych osobowych:

• adres e-mail,
• imię i nazwisko (jeśli podane przez osobę zgłaszającą),
• treść wiadomości i korespondencji,
• adres IP osoby zgłaszającej,
• załączniki przesłane w ramach zgłoszenia,
• metadane zgłoszeń (daty utworzenia, modyfikacji, identyfikatory zgłoszeń, statusy).

§6. Kategorie osób, których dane dotyczą

Dane osobowe powierzone Procesorowi dotyczą następujących kategorii osób:

• klienci końcowi (użytkownicy, kontrahenci) Administratora, którzy kierują zgłoszenia wsparcia za pośrednictwem poczty elektronicznej lub formularzy kontaktowych,
• inne osoby, których dane osobowe mogą znajdować się w treści zgłoszeń przesyłanych do systemu Supportuj.pl.

§7. Obowiązki Procesora

Procesor zobowiązuje się do:

1. Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora — w tym w zakresie przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej — chyba że obowiązek taki nakłada na Procesora prawo Unii Europejskiej lub prawo państwa członkowskiego. W takim przypadku Procesor informuje Administratora o tym obowiązku prawnym przed rozpoczęciem przetwarzania, o ile prawo to nie zabrania udzielania takiej informacji.
2. Zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
3. Wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku, zgodnie z art. 32 RODO, w zakresie opisanym w §9 niniejszej Umowy.
4. Przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego (podprzetwarzającego), o których mowa w art. 28 ust. 2 i 4 RODO oraz §10 niniejszej Umowy.
5. Pomagania Administratorowi — w miarę możliwości i biorąc pod uwagę charakter przetwarzania — poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO.
6. Pomagania Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO, uwzględniając charakter przetwarzania i informacje dostępne Procesorowi, w tym w przeprowadzeniu oceny skutków dla ochrony danych (DPIA), jeśli jest wymagana.
7. Po zakończeniu świadczenia usług — w zależności od decyzji Administratora — usunięcia lub zwrotu wszelkich danych osobowych oraz usunięcia wszelkich istniejących kopii, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych, zgodnie z zasadami opisanymi w §13 niniejszej Umowy.
8. Udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzania audytów, w tym inspekcji, na zasadach opisanych w §12 niniejszej Umowy.

§8. Obowiązki Administratora

Administrator zobowiązuje się do:

1. Zapewnienia odpowiedniej podstawy prawnej przetwarzania danych osobowych powierzanych Procesorowi, w szczególności zgodności przetwarzania z art. 6 RODO.
2. Spełnienia obowiązku informacyjnego wobec osób, których dane dotyczą, zgodnie z art. 13 i 14 RODO, w tym poinformowania o powierzeniu przetwarzania danych Procesorowi.
3. Dołożenia należytej staranności przy wyborze Procesora, w szczególności w zakresie weryfikacji, czy Procesor zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
4. Wydawania udokumentowanych poleceń dotyczących przetwarzania danych osobowych, zgodnych z obowiązującymi przepisami prawa.

§9. Środki techniczne i organizacyjne

Procesor oświadcza, że wdrożył i utrzymuje następujące środki techniczne i organizacyjne zapewniające odpowiedni stopień bezpieczeństwa przetwarzanych danych osobowych:

• Szyfrowanie danych w transmisji — zastosowanie protokołu TLS w wersji 1.2 lub wyższej dla wszystkich połączeń sieciowych.
• Szyfrowanie danych w spoczynku — szyfrowanie bazy danych z wykorzystaniem algorytmu AES-256.
• Kontrola dostępu oparta na rolach (RBAC) — system uprawnień zapewniający dostęp do danych wyłącznie osobom upoważnionym, w zakresie niezbędnym do realizacji ich zadań.
• Izolacja danych na poziomie workspace — architektura wielodostępna (multi-tenancy) z pełną separacją danych pomiędzy poszczególnymi Administratorami na poziomie logicznym.
• Regularne tworzenie zaszyfrowanych kopii zapasowych — automatyczne kopie zapasowe danych z szyfrowanym przechowywaniem.
• Monitorowanie aplikacji i wykrywanie włamań — ciągłe monitorowanie infrastruktury oraz mechanizmy wykrywania i reagowania na nieautoryzowany dostęp.
• Bezpieczny cykl wytwarzania oprogramowania — stosowanie praktyk bezpieczeństwa na każdym etapie tworzenia i wdrażania oprogramowania, w tym przeglądy kodu i testy bezpieczeństwa.
• Zasada wiedzy koniecznej (need-to-know) — dostęp pracowników i współpracowników Procesora do danych osobowych wyłącznie w zakresie niezbędnym do wykonywania ich obowiązków.
• Procedury reagowania na incydenty — udokumentowane procedury identyfikacji, oceny, raportowania i reagowania na naruszenia ochrony danych osobowych.

§10. Podprzetwarzający (sub-procesorzy)

Aktualna lista podprzetwarzających, z których korzysta Procesor, jest dostępna pod adresem /sub-procesory.

Administrator udziela Procesorowi ogólnej zgody na korzystanie z usług podprzetwarzających w celu realizacji niniejszej Umowy. Procesor zobowiązuje się do:

1. Poinformowania Administratora o zamiarze dodania lub zmiany podprzetwarzającego z wyprzedzeniem co najmniej 30 dni przed planowaną zmianą, za pośrednictwem wiadomości e-mail lub komunikatu w panelu administracyjnym.
2. Umożliwienia Administratorowi wniesienia sprzeciwu wobec planowanej zmiany w terminie 14 dni od dnia otrzymania informacji.
3. W przypadku wniesienia sprzeciwu przez Administratora — podjęcia rozmów w celu znalezienia rozwiązania satysfakcjonującego obie strony. Jeśli rozwiązanie nie zostanie osiągnięte, Administrator ma prawo wypowiedzieć umowę o świadczenie usług ze skutkiem natychmiastowym.
4. Zapewnienia, że umowy z podprzetwarzającymi nakładają na nich obowiązki ochrony danych osobowych co najmniej równoważne z obowiązkami Procesora wynikającymi z niniejszej Umowy, zgodnie z art. 28 ust. 4 RODO.

Procesor ponosi pełną odpowiedzialność wobec Administratora za działania i zaniechania swoich podprzetwarzających w zakresie ochrony danych osobowych.

§11. Zgłaszanie naruszeń ochrony danych

Procesor zobowiązuje się do niezwłocznego powiadomienia Administratora o każdym naruszeniu ochrony danych osobowych, nie później niż w ciągu 48 godzin od momentu stwierdzenia naruszenia.

Zgłoszenie naruszenia zawiera co najmniej następujące informacje:

• opis charakteru naruszenia ochrony danych osobowych, w tym — w miarę możliwości — wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą,
• opis prawdopodobnych konsekwencji naruszenia,
• opis środków zastosowanych lub proponowanych przez Procesora w celu zaradzenia naruszeniu, w tym — w stosownych przypadkach — środków mających na celu zminimalizowanie jego ewentualnych negatywnych skutków.

Administrator jest odpowiedzialny za dokonanie zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w terminie 72 godzin od stwierdzenia naruszenia, jeśli naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych.

Procesor udziela Administratorowi wszelkiej niezbędnej pomocy w zakresie obsługi naruszenia oraz komunikacji z organem nadzorczym i osobami, których dane dotyczą.

§12. Audyt i kontrola

Administrator ma prawo do przeprowadzenia audytu zgodności Procesora z postanowieniami niniejszej Umowy i przepisami RODO, na następujących zasadach:

1. Audyt może być przeprowadzony przez Administratora lub upoważnionego przez niego audytora, po uprzednim powiadomieniu Procesora z wyprzedzeniem co najmniej 14 dni.
2. Administrator ma prawo do przeprowadzenia maksymalnie jednego audytu w roku kalendarzowym, chyba że dojdzie do naruszenia ochrony danych osobowych — w takim przypadku Administrator ma prawo do dodatkowego audytu.
3. Procesor zobowiązuje się do współpracy z Administratorem w trakcie audytu oraz do udostępnienia wszelkiej dokumentacji i informacji niezbędnych do oceny zgodności przetwarzania z niniejszą Umową.
4. Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne uchybienia w zakresie ochrony danych osobowych po stronie Procesora — wówczas koszty audytu ponosi Procesor.

§13. Usunięcie i zwrot danych

Po zakończeniu świadczenia usług, Administrator podejmuje decyzję co do dalszego losu powierzonych danych osobowych, wybierając jedną z poniższych opcji:

1. Zwrot danych — Procesor udostępnia Administratorowi możliwość eksportu wszystkich danych osobowych w standardowym formacie (np. CSV, JSON) w terminie 30 dni od dnia zakończenia umowy.
2. Usunięcie danych — Procesor trwale usuwa wszystkie dane osobowe powierzone przez Administratora.

Po upływie 30-dniowego okresu od zakończenia umowy Procesor trwale usuwa wszystkie dane osobowe Administratora, w tym wszelkie istniejące kopie. Kopie zapasowe zawierające dane osobowe Administratora są usuwane w ramach regularnego cyklu rotacji kopii zapasowych, nie później niż w ciągu 90 dni od zakończenia umowy.

Na żądanie Administratora, Procesor dostarcza pisemne potwierdzenie trwałego usunięcia danych osobowych.

§14. Odpowiedzialność

Każda ze stron ponosi odpowiedzialność za szkody spowodowane przetwarzaniem naruszającym RODO, zgodnie z art. 82 RODO.

Procesor ponosi odpowiedzialność za szkody spowodowane przetwarzaniem wyłącznie w przypadku, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora bądź wbrew tym instrukcjom.

Ograniczenia odpowiedzialności określone w Regulaminie świadczenia usług (/regulamin) mają zastosowanie w najszerszym zakresie dozwolonym przez obowiązujące prawo.

§15. Postanowienia końcowe

1. Niniejsza Umowa stanowi integralną część Regulaminu świadczenia usług dostępnego pod adresem /regulamin.
2. Niniejsza Umowa podlega prawu polskiemu. W sprawach nieuregulowanych w Umowie zastosowanie mają przepisy RODO, polskiej ustawy o ochronie danych osobowych oraz inne właściwe przepisy prawa.
3. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności. Za formę pisemną uznaje się również komunikację za pośrednictwem poczty elektronicznej.
4. Dokumenty powiązane z niniejszą Umową:
   • Polityka prywatności — /polityka-prywatnosci
   • Lista podprzetwarzających — /sub-procesory
   • Regulamin świadczenia usług — /regulamin
5. Niniejsza Umowa wchodzi w życie z dniem akceptacji Regulaminu świadczenia usług przez Administratora.