GDPR DATA PROCESSING ADDENDUM
Polish is the controlling language.
Umowa powierzenia przetwarzania danych osobowych (DPA)
Wersja: 1.0
Obowiązuje od: 2026-07-01
Język rozstrzygający: polski
Niniejsza umowa powierzenia („DPA”) stanowi część umowy o Platformę SERVED między Obiektem („Administrator”) a placeholder1, adres: placeholder3, KRS placeholder5, NIP placeholder6, REGON placeholder7, sąd rejestrowy placeholder4, kapitał akcyjny placeholder8 („Procesor” lub „SERVED”).
DPA ma formę elektroniczną w rozumieniu art. 28 ust. 9 RODO. Zostaje zawarta wraz z akceptacją Regulaminu dla Obiektów lub Dokumentu Zamówienia i obowiązuje, gdy SERVED przetwarza Dane Osobowe Administratora.
1. Definicje i pierwszeństwo
Dane Osobowe Administratora — dane osobowe przetwarzane przez SERVED w imieniu Obiektu za pomocą Platformy, opisane w Załączniku 1; nie obejmują danych, dla których SERVED samodzielnie ustala cele jako administrator.
Incydent Danych Osobowych — naruszenie ochrony Danych Osobowych Administratora w rozumieniu art. 4 pkt 12 RODO.
Przepisy Ochrony Danych — RODO, właściwe przepisy państw członkowskich oraz inne przepisy o ochronie danych mające zastosowanie do przetwarzania.
Podprocesor — dalszy podmiot przetwarzający zaangażowany przez SERVED do Danych Osobowych Administratora.
RODO — rozporządzenie (UE) 2016/679.
Pojęcia „administrator”, „dane osobowe”, „osoba, której dane dotyczą”, „przetwarzanie” i „organ nadzorczy” mają znaczenie z RODO.
W razie sprzeczności pierwszeństwo mają: (a) obowiązkowe Standardowe Klauzule Umowne; (b) niniejsza DPA; (c) indywidualny Dokument Zamówienia; (d) Regulamin. DPA nie ogranicza obowiązków nałożonych bezpośrednio przez prawo.
2. Przedmiot, czas, charakter i cel
SERVED przetwarza Dane Osobowe Administratora wyłącznie, aby dostarczać, zabezpieczać, utrzymywać i wspierać funkcje wybrane przez Obiekt, w tym rezerwacje, bilety, CRM, wiadomości, kampanie, harmonogramy, szkolenia, czaty, dokumenty i zarządzanie opiniami.
Przedmiot, czynności, osoby i kategorie danych określa Załącznik 1. Przetwarzanie trwa przez okres umowy oraz ograniczony okres zwrotu, usuwania, kopii zapasowych i obowiązkowego przechowywania.
Każda konfiguracja i czynność Administratora w Platformie, Dokument Zamówienia, Regulamin, ta DPA oraz dalsza zgodna instrukcja przesłana przez upoważniony kontakt stanowią udokumentowane instrukcje.
SERVED nie sprzedaje Danych Osobowych Administratora, nie wykorzystuje ich do własnego marketingu ani nie używa ich do trenowania modeli Anthropic.
3. Polecenia Administratora
SERVED przetwarza dane tylko na udokumentowane polecenie Administratora, w tym w zakresie transferu do państwa trzeciego, chyba że obowiązujące prawo UE lub państwa członkowskiego nakazuje inne przetwarzanie. Wtedy, o ile prawo nie zabrania z ważnych względów interesu publicznego, SERVED informuje Administratora przed przetwarzaniem.
Jeżeli w ocenie SERVED polecenie narusza Przepisy Ochrony Danych, SERVED niezwłocznie informuje Administratora i może zawiesić wykonanie tej części do wyjaśnienia lub zmiany. Nie jest zobowiązany do wykonania bezprawnego polecenia.
Dodatkowa instrukcja wykraczająca poza Platformę może wymagać oceny wykonalności, uzgodnienia terminu i rozsądnej opłaty, o ile opłata jest dozwolona prawem. SERVED nie pobiera opłaty za standardowe wykonanie obowiązków procesora ani za obowiązkową zmianę dostawcy w zakresie zakazanym przez Data Act.
4. Obowiązki Administratora
Administrator zapewnia i dokumentuje, że:
- ma podstawę prawną do zebrania, użycia i powierzenia danych;
- przekazał właściwe informacje i uzyskał wymagane zgody komunikacyjne;
- jego instrukcje, zakres, użytkownicy, retencja, importy i kampanie są zgodne z prawem;
- dane są adekwatne, prawidłowe i ograniczone do celu;
- realizuje prawa osób i ustala, czy potrzebna jest DPIA albo konsultacja;
- uprawnienia użytkowników są aktualne, a urządzenia i dane logowania bezpieczne.
Administrator nie przekazuje danych osobowych dotyczących wyroków lub czynów zabronionych ani szczególnych kategorii, poza ograniczonymi dobrowolnymi informacjami o alergiach, diecie lub dostępności, jeżeli ma właściwy warunek z art. 9 RODO, przejrzystość, minimalizację i ograniczony dostęp.
Administrator nie wprowadza do funkcji AI surowych danych Gości, identyfikatorów personelu, danych zdrowotnych, danych dzieci niewymaganych do usługi ani tajemnic, których przekazanie jest zabronione.
5. Poufność i personel
SERVED zapewnia, aby osoby upoważnione do przetwarzania były związane obowiązkiem poufności ustawowym lub umownym, otrzymały dostęp wyłącznie według potrzeby i odpowiednie przeszkolenie.
Dostęp administracyjny jest rejestrowany i ograniczony rolą. Upoważnienie jest odbierane po zmianie roli lub zakończeniu współpracy.
SERVED odpowiada za działania osób działających z jego upoważnienia w zakresie wymaganym prawem i umową.
6. Bezpieczeństwo
Uwzględniając stan wiedzy technicznej, koszt, charakter, zakres, kontekst i cel oraz ryzyko dla praw osób, SERVED wdraża i utrzymuje odpowiednie środki z art. 32 RODO, opisane w Załączniku 2.
Środki obejmują w odpowiednim zakresie: kontrolę tożsamości i dostępu, zasadę najmniejszych uprawnień, szyfrowanie transmisji, szyfrowanie w spoczynku tam, gdzie wspiera je infrastruktura, logiczną izolację tenantów, kopie zapasowe, logowanie i monitorowanie, zarządzanie podatnościami, reagowanie na incydenty, kontrolę zmian i proces podprocesorów.
Administrator przyjmuje, że bezpieczeństwo jest wspólną odpowiedzialnością. Środki po stronie Obiektu obejmują role, MFA, urządzenia, bezpieczny eksport, konfigurację pól i retencji oraz zgodne korzystanie z API.
SERVED może aktualizować środki wraz z rozwojem technicznym, pod warunkiem że ogólny poziom ochrony nie zostanie istotnie obniżony.
7. Podprocesorzy
Administrator udziela ogólnej pisemnej zgody na Podprocesorów z aktualnej Listy Podmiotów Przetwarzających. Lista wskazuje usługę, cel, typ lokalizacji i mechanizm transferu.
SERVED zawiadamia o planowanym dodaniu albo zastąpieniu Podprocesora co najmniej 15 dni przed jego zaangażowaniem, na e-mail administratora konta lub przez Platformę.
Administrator może w tym okresie wnieść na test3@example.com uzasadniony sprzeciw dotyczący ochrony danych, opisując konkretne ryzyko. Strony w dobrej wierze poszukają rozsądnego środka, dodatkowego zabezpieczenia lub alternatywy.
Jeżeli ryzyka nie da się rozsądnie usunąć, Administrator może bez kary zakończyć dotkniętą funkcję lub — jeśli nie da się jej oddzielić — umowę, przed rozpoczęciem przetwarzania przez nowego Podprocesora. Należności za już świadczone usługi pozostają wymagalne.
SERVED zawiera z Podprocesorem pisemną umowę nakładającą zasadniczo takie same obowiązki ochrony danych jak ta DPA. SERVED pozostaje wobec Administratora odpowiedzialny za wykonanie obowiązków Podprocesora zgodnie z art. 28 ust. 4 RODO.
Dostawcy płatności zakontraktowani bezpośrednio przez Obiekt, gdy działają dla Obiektu jako niezależny administrator lub procesor, nie są Podprocesorami SERVED w tym zakresie. Jeśli SERVED przekazuje im dane jako część własnej usługi procesora, właściwy zakres jest ujawniony na Liście.
8. Przekazywanie międzynarodowe
Główne zasoby Supabase i Upstash są konfigurowane w UE, ale globalne wsparcie, hosting/CDN, e-mail, mapy, wyszukiwanie, analityka, płatności, AI i dalsi dostawcy mogą obejmować transfer lub zdalny dostęp spoza EOG.
SERVED zapewnia mechanizm z rozdziału V RODO: decyzję o odpowiednim stopniu ochrony, EU–US Data Privacy Framework tylko dla aktualnie certyfikowanego odbiorcy i zakresu albo Standardowe Klauzule Umowne z decyzji 2021/914 wraz z oceną transferu i środkami uzupełniającymi, gdy są wymagane.
Gdy SERVED jest eksporterem, a Podprocesor importerem, stosuje właściwy moduł SCC. Gdy dla bezpośredniego transferu Administrator–SERVED potrzebne są SCC, strony włączają przez odniesienie Moduł 2 albo 3 odpowiednio do ról; prawo właściwe dla klauzul to prawo państwa UE pozwalające osobie wykonywać prawa, wskazane w formularzu transferowym, a właściwy organ wynika z Klauzuli 13.
Na wniosek SERVED udostępnia kopię właściwych zabezpieczeń z usunięciem informacji chronionych lub bezpieczeństwa.
Jeżeli mechanizm stanie się nieważny, strony współpracują nad alternatywą. SERVED może zawiesić dotknięty transfer lub funkcję, jeśli nie ma legalnego rozwiązania.
9. Żądania organów państwa
SERVED ocenia ważność wiążącego żądania dostępu, ogranicza ujawnienie do wymaganego zakresu i, gdy jest prawnie dozwolone, informuje Administratora przed ujawnieniem.
Gdy jest to rozsądne i dozwolone, SERVED kieruje organ do Administratora, kwestionuje żądanie bez podstawy i dokumentuje odpowiedź. Nie udostępnia dobrowolnie Danych Osobowych Administratora organowi państwa trzeciego bez ważnego obowiązku.
SERVED publikuje lub udostępnia informacje wymagane Data Act o jurysdykcji infrastruktury i środkach przeciw bezprawnemu dostępowi organów państw trzecich także do danych nieosobowych UE.
10. Prawa osób
Biorąc pod uwagę charakter przetwarzania, SERVED pomaga Administratorowi odpowiednimi środkami technicznymi i organizacyjnymi odpowiadać na żądania z rozdziału III RODO.
Jeśli SERVED otrzyma żądanie dotyczące Danych Osobowych Administratora, niezwłocznie przekaże je Administratorowi i nie odpowie merytorycznie, chyba że zostanie upoważniony lub prawo wymaga odpowiedzi.
Dostępne funkcje wyszukiwania, eksportu, poprawiania i usuwania stanowią standardową pomoc. Dodatkowa, nietypowa pomoc może być odpłatna tylko w rozsądnym zakresie dozwolonym prawem i po wcześniejszym uzgodnieniu.
11. Pomoc w zgodności
Uwzględniając charakter przetwarzania i dostępne informacje, SERVED pomaga Administratorowi w obowiązkach z art. 32–36 RODO, w szczególności przez informacje o zabezpieczeniach, Incydencie, DPIA i konsultacji z organem.
SERVED dostarcza dostępne materiały potrzebne do oceny ryzyka, ale nie zastępuje prawnej oceny Administratora ani nie odpowiada za cel i podstawę ustalone przez Obiekt.
Administrator informuje SERVED przed uruchomieniem przetwarzania wysokiego ryzyka, masowych szczególnych kategorii, systematycznego monitorowania lub istotnych decyzji automatycznych. Takie użycie może wymagać odrębnego uzgodnienia albo zostać odmówione.
12. Incydenty Danych Osobowych
SERVED zawiadamia Administratora o potwierdzonym Incydencie Danych Osobowych bez zbędnej zwłoki i — tam, gdzie jest to praktycznie możliwe — w ciągu 48 godzin od powzięcia wiedzy. Termin jest celem operacyjnym, nie przedłuża terminów ustawowych Administratora.
W miarę dostępności zawiadomienie obejmuje: charakter Incydentu, kategorie i przybliżoną liczbę osób i rekordów, prawdopodobne skutki, zastosowane lub planowane środki, punkt kontaktowy oraz informacje potrzebne do zgłoszenia. Informacje mogą być przekazywane etapami.
Zawiadomienie nie jest przyznaniem odpowiedzialności. SERVED ogranicza skutki, zachowuje dowody, bada przyczynę i współpracuje przy ustawowym zawiadomieniu organu lub osób.
Administrator odpowiada za decyzję i zgłoszenie naruszenia dotyczącego jego danych, w tym termin 72 godzin z art. 33 RODO. SERVED odpowiada za zgłoszenia w zakresie, w którym sam jest administratorem.
Administrator nie opublikuje informacji mogącej zwiększyć ryzyko lub naruszyć poufność dochodzenia bez wcześniejszej konsultacji, chyba że prawo wymaga natychmiastowej publikacji.
13. Zwrot, eksport i usunięcie
Podczas umowy Administrator może korzystać z funkcji eksportu. Co najmniej jeden standardowy eksport oraz standardowy eksport związany ze zmianą dostawcy są bezpłatne. Format to odpowiednio CSV lub JSON oraz pliki w oryginalnym formacie.
Po rozwiązaniu aktywne dane pozostają dostępne do pobrania przez co najmniej 30 dni, chyba że Administrator wcześniej poleci ich usunięcie lub prawo zabrania dalszego dostępu.
Po okresie pobierania SERVED usuwa lub anonimizuje aktywne Dane Osobowe Administratora. Kopie zapasowe wygasają w zwykłym cyklu rotacji do 90 dni, pozostają odizolowane, nie są używane operacyjnie i zostaną objęte ochroną do usunięcia.
SERVED może zachować ograniczone dane, jeśli wymaga tego prawo lub są konieczne do ustalenia, dochodzenia albo obrony konkretnego roszczenia. Wtedy izoluje je, ogranicza cel i usuwa po ustaniu podstawy.
Na żądanie SERVED potwierdzi wykonanie standardowego usunięcia. Nie ma obowiązku naruszać integralności kopii zapasowej, jeżeli dane zostaną skutecznie wyłączone z użycia i usunięte przy rotacji.
14. Informacje i audyt
SERVED udostępnia informacje potrzebne do wykazania zgodności z art. 28 RODO, w tym niniejszą DPA, opis środków, Listę Podmiotów Przetwarzających oraz dostępne certyfikaty lub raporty niezależne, z zastrzeżeniem poufności.
Najpierw wykorzystuje się dokumentację, kwestionariusz i raport strony trzeciej. Jeżeli są niewystarczające do uzasadnionej oceny, Administrator może raz na 12 miesięcy zlecić niezależny audyt odnoszący się do własnych danych, z co najmniej 30-dniowym zawiadomieniem, w godzinach pracy i bez naruszenia bezpieczeństwa lub poufności innych klientów.
Ograniczenie częstotliwości nie obowiązuje po istotnym Incydencie dotyczącym Administratora, na żądanie organu albo gdy istnieją obiektywne dowody istotnego naruszenia.
Administrator ponosi koszty audytu, chyba że ujawni on istotne naruszenie DPA przez SERVED; wtedy SERVED pokrywa własne rozsądne koszty naprawy i zwraca rozsądny koszt audytu w zakresie przewidzianym umową i prawem.
Audytor nie może być konkurentem SERVED i musi podpisać odpowiednią poufność. Nie otrzyma danych innych klientów, kodu źródłowego, informacji zwiększających ryzyko ani dostępu do systemu produkcyjnego, jeśli równoważny dowód jest dostępny bez takiego dostępu.
15. AI i ograniczenia celu
Anthropic może być Podprocesorem wyłącznie dla funkcji AI włączonej przez Administratora i w zakresie opisanym na Liście. Standardowa retencja API może wynosić do 30 dni, o ile nie obowiązuje krótsze uzgodnienie.
SERVED stosuje filtry i instrukcje minimalizacyjne. Administrator nie kieruje do AI surowych danych Gości, personelu, danych z art. 9 lub 10 RODO ani danych dzieci, chyba że strony zawrą odrębne zgodne uzgodnienie — którego standardowa usługa nie przewiduje.
Dane klienta nie są przeznaczone do treningu modelu. Funkcja dobrowolnego udostępniania/feedbacku pozostaje wyłączona.
Wynik wymaga człowieka. Administrator nie używa Platformy do wyłącznie zautomatyzowanej istotnej decyzji o zatrudnieniu, wejściu, bezpieczeństwie, zdrowiu lub prawie.
16. Odpowiedzialność
Każda strona odpowiada za własne obowiązki wynikające z Przepisów Ochrony Danych. Żadne postanowienie nie ogranicza praw osoby z art. 82 RODO ani kompetencji organu.
W relacji między stronami roszczenia z DPA podlegają ograniczeniom odpowiedzialności z Regulaminu, z wyjątkiem zakresu, którego nie można ograniczyć, szkody umyślnej, oszustwa i odpowiedzialności nałożonej bezpośrednio przez prawo.
Jeżeli strona zapłaci pełne odszkodowanie osobie za szkodę, za którą odpowiadają obie strony, prawo regresu jest rozliczane według art. 82 ust. 5 RODO i stopnia odpowiedzialności.
17. Czas obowiązywania i kontakt
DPA obowiązuje tak długo, jak SERVED przetwarza Dane Osobowe Administratora. Postanowienia o poufności, usunięciu, audycie, transferach i odpowiedzialności trwają zgodnie ze swoim celem.
Kontakt operacyjny i dotyczący praw: test3@example.com. Zgłoszenia Incydentu przez Obiekt: test3@example.com z oznaczeniem „PILNE — INCYDENT”.
Prawo właściwe i sąd określa Regulamin, z zastrzeżeniem właściwości organów i sądów wynikającej z RODO oraz SCC.
Polska wersja DPA jest rozstrzygająca.
Załącznik 1 — opis przetwarzania
A. Przedmiot i cel
Dostarczenie hostowanej Platformy Obiektu: rezerwacji, przedpłat, biletów, CRM, komunikacji, kampanii, obsługi klienta, harmonogramów i szkoleń personelu, czatów, plików, dokumentów, analityki Obiektu, integracji płatniczej oraz opcjonalnego zarządzania pełnymi opiniami.
B. Charakter operacji
Zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, wyszukiwanie, dopasowanie, przesyłanie, ograniczanie, eksport, poprawianie, usuwanie i tworzenie raportów zgodnie z konfiguracją Administratora. Brak sprzedaży danych i brak własnego marketingu SERVED na Danych Osobowych Administratora.
C. Czas
Przez okres umowy; domyślnie dane rezerwacji i biletów 24 miesiące po wizycie lub wydarzeniu, jeśli Administrator nie ustawi zgodnego okresu; 30 dni dostępu do eksportu po rozwiązaniu; kopie zapasowe do 90 dni; ograniczone wyjątki prawne lub roszczeniowe.
D. Kategorie osób
Goście, kupujący, uczestnicy i osoby objęte rezerwacją;
osoby kontaktujące się z Obiektem lub składające reklamację;
potencjalni i obecni klienci Obiektu objęci zgodną kampanią;
pracownicy, współpracownicy, kandydaci lub użytkownicy Obiektu wyłącznie, jeśli Obiekt zgodnie używa właściwej funkcji;
reprezentanci dostawców i partnerów Obiektu;
autorzy identyfikowalnych opinii w oddzielnej skrzynce zarządzania opiniami.
E. Kategorie danych
identyfikacyjne i kontaktowe: imię, nazwisko, e-mail, telefon, identyfikator;
rezerwacyjne i biletowe: usługa, data, lokalizacja, uczestnicy, miejsce, kod, status wejścia;
transakcyjne: kwota, waluta, status i identyfikator Operatora Płatności, informacja o zwrocie lub chargebacku; bez pełnych danych karty;
komunikacja, preferencje, zgody, sprzeciwy, reklamacje, notatki i odpowiedzi;
dane konta personelu, role, uprawnienia, harmonogram, aktywność, wyniki szkoleń i czaty;
pliki, dokumenty i treści wprowadzone przez Administratora;
dane techniczne powiązane z użytkownikiem: IP, czas, logowanie, urządzenie, zdarzenie audytowe;
pełne treści i dane publicznych recenzentów tylko w oddzielnej funkcji zarządzania opiniami na polecenie Obiektu;
potencjalnie szczególne kategorie ujawnione w opcjonalnym polu alergii, diety lub dostępności — wyłącznie z warunkiem art. 9 ustalonym przez Administratora.
F. Częstotliwość i skala
Ciągła przez okres korzystania, w zakresie zależnym od liczby użytkowników, Gości, rezerwacji, kampanii i funkcji wskazanych w Dokumencie Zamówienia.
Załącznik 2 — środki techniczne i organizacyjne
Środki są dobierane do ryzyka i mogą ewoluować bez istotnego obniżenia ogólnego poziomu ochrony.
Zarządzanie bezpieczeństwem: przypisane role, polityki, ocena ryzyka, przegląd co najmniej okresowy i proces wyjątków.
Personel: zobowiązania poufności, szkolenie bezpieczeństwa i ochrony danych, nadawanie i odbieranie uprawnień.
Tożsamość i dostęp: indywidualne konta, role, najmniejsze uprawnienia, MFA dla dostępu uprzywilejowanego tam, gdzie dostępne, okresowy przegląd i rejestrowanie działań administracyjnych.
Ochrona transmisji i przechowywania: TLS dla transmisji; szyfrowanie w spoczynku wspierane przez dostawców; bezpieczne zarządzanie sekretami; brak pełnych danych kart w systemach SERVED.
Izolacja i minimalizacja: logiczna separacja organizacji, kontrola zapytań i zasobów, ograniczenie pól i payloadów, środowiska testowe oddzielone od produkcji.
Bezpieczny rozwój i zmiana: przegląd kodu, kontrola zależności, zarządzanie konfiguracją, testy przed wydaniem i możliwość wycofania zmiany.
Podatności: aktualizacje, skanowanie lub równoważne wykrywanie, klasyfikacja i naprawa według ryzyka, kanał zgłoszeń bezpieczeństwa.
Logi i monitorowanie: logowanie uwierzytelnienia, dostępu uprzywilejowanego i istotnych zdarzeń; ochrona logów, alerty i retencja zgodna z Polityką Prywatności.
Dostępność i odtwarzanie: kopie zapasowe, rotacja, testy odtworzenia odpowiednie do ryzyka, procedury awarii i ciągłości.
Incydenty: kanał eskalacji, klasyfikacja, ograniczanie skutków, zachowanie dowodów, analiza przyczyny, komunikacja i działania naprawcze.
Podprocesorzy: ocena prywatności i bezpieczeństwa, umowa art. 28, transfery, lista, zawiadomienie i okresowy przegląd.
Usuwanie i eksport: funkcje eksportu; usuwanie aktywnych danych; izolowane kopie zapasowe do rotacji; bezpieczne usuwanie nośników przez dostawcę infrastruktury.
Fizyczne bezpieczeństwo: centra danych i sprzęt produkcyjny są chronione przez zakontraktowanych dostawców chmurowych; SERVED ocenia ich raporty i warunki zamiast utrzymywać własne centrum danych.
AI: allowlista przypadków użycia, minimalizacja, zakaz danych szczególnych i surowych identyfikatorów, komercyjne API, wyłączony trening/feedback i obowiązkowa ocena człowieka.