RoasLens
← Powrót do logowania

Umowa powierzenia przetwarzania danych osobowych

Wersja 1.0 · data wejścia w życie: 2026.07.07 · podstawa: art. 28 RODO

Charakter dokumentu. Niniejsza Umowa powierzenia (dalej „Umowa powierzenia" lub „DPA") stanowi załącznik do Regulaminu serwisu RoasLens i reguluje zasady przetwarzania przez Operatora danych osobowych, których administratorem jest Użytkownik (sklep/przedsiębiorca), a które Operator przetwarza wyłącznie w celu świadczenia Usługi. Zawierana jest w formie elektronicznej — przez akceptację przy zakładaniu Konta (mechanizm akceptacji, z zapisem wersji i daty).

§ 1. Strony i definicje

Podmiot przetwarzający (Procesor): P.P.H.U. DEOZE Sebastian Pietrzak, z siedzibą przy ul. gen. Stefana „Grota" Roweckiego 8a/211, 95-200 Pabianice, NIP PL7311938864, REGON 100696122, BDO 000112987, kontakt: hello@roaslens.com — operator serwisu RoasLens (dalej „Operator" lub „Procesor").

Administrator: Użytkownik będący przedsiębiorcą, który zawarł z Operatorem umowę o świadczenie Usługi na podstawie Regulaminu i zaakceptował niniejszą Umowę powierzenia; jego dane identyfikacyjne (firma, NIP, adres, adres e-mail Konta) pochodzą z danych podanych przy rejestracji Konta i stanowią integralną część niniejszej Umowy (dalej „Administrator").

Pozostałe pojęcia (Usługa, Konto, Dane Importowane, Usługi zewnętrzne itd.) mają znaczenie nadane im w Regulaminie. Pojęcia „dane osobowe", „przetwarzanie", „podmiot przetwarzający", „naruszenie ochrony danych" rozumie się zgodnie z art. 4 RODO.

§ 2. Przedmiot, charakter i cel powierzenia

1. Administrator powierza Operatorowi przetwarzanie danych osobowych w zakresie i w celu niezbędnym do świadczenia Usługi, tj. agregacji i analizy danych sprzedażowych, reklamowych i kosztowych pochodzących z Usług zewnętrznych podłączonych przez Administratora (m.in. BaseLinker, Allegro, Google Ads, Meta Ads, GA4, Fakturownia), w celu wyliczenia realnego zysku, wskaźników (ROAS, marża) oraz generowania rekomendacji.

2. Charakter przetwarzania: zbieranie, utrwalanie, przechowywanie, porządkowanie, przeglądanie, wykorzystywanie do obliczeń oraz — w zakresie faktur kosztowych — automatyczny odczyt treści dokumentów przez model AI (OCR/ekstrakcja kwot) na żądanie Administratora.

3. Operator przetwarza dane wyłącznie w celu świadczenia Usługi i na udokumentowane polecenie Administratora (którym jest akceptacja niniejszej Umowy, konfiguracja Konta oraz korzystanie z funkcji Usługi); nie wykorzystuje ich do celów własnych, nie sprzedaje ani nie udostępnia podmiotom trzecim poza podprocesorami z § 6.

§ 3. Rodzaj danych i kategorie osób, których dane dotyczą

Powierzone przetwarzanie obejmuje następujące kategorie (zgodnie z art. 28 ust. 3 RODO):

Źródło / kontekstKategorie danych osobowychKategorie osób
Zamówienia (BaseLinker, Allegro, sklep)imię i nazwisko, adres dostawy i rozliczeniowy, adres e-mail, numer telefonu, dane zamówienia (pozycje, kwoty)klienci / kupujący Administratora
Faktury kosztowe i zakupowe (w tym odczyt AI-OCR)dane wystawcy/kontrahenta: nazwa (w tym imię i nazwisko JDG), NIP, adres, kwoty; potencjalnie dane osób na dokumenciekontrahenci i dostawcy Administratora (w tym osoby fizyczne prowadzące działalność)
Dane reklamowe/analityczne (Ads, GA4)co do zasady dane zagregowane/statystyczne; identyfikatory techniczne, o ile występująużytkownicy końcowi kampanii Administratora
Zasada minimalizacji. Operator dąży do przetwarzania możliwie najwęższego zakresu danych osobowych. Tam, gdzie do wyliczenia zysku/analiz nie są potrzebne dane identyfikujące kupujących (imię, adres), Operator pseudonimizuje lub pomija takie dane przy zapisie. Szczegóły techniczne — § 8.

§ 4. Czas trwania powierzenia

Powierzenie obowiązuje przez czas trwania umowy o świadczenie Usługi (Regulamin), a w odniesieniu do danych już zebranych — do momentu ich usunięcia lub zwrotu zgodnie z § 12. Rozwiązanie umowy głównej skutkuje wygaśnięciem powierzenia i uruchomieniem procedury z § 12.

§ 5. Obowiązki Operatora (art. 28 ust. 3 lit. a–h RODO)

Operator zobowiązuje się do:

  1. (lit. a) przetwarzania danych wyłącznie na udokumentowane polecenie Administratora — w tym w zakresie przekazywania danych do państwa trzeciego (§ 7) — chyba że obowiązek taki nakłada prawo UE lub państwa członkowskiego; w takim przypadku Operator informuje Administratora przed przetwarzaniem, o ile prawo tego nie zakazuje;
  2. (lit. b) zapewnienia, by osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi poufności;
  3. (lit. c) podjęcia wszelkich środków technicznych i organizacyjnych wymaganych na mocy art. 32 RODO (§ 8);
  4. (lit. d) przestrzegania warunków korzystania z podprocesorów (art. 28 ust. 2 i 4) — § 6;
  5. (lit. e) pomocy Administratorowi — w miarę możliwości, za pomocą odpowiednich środków technicznych i organizacyjnych — w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą (art. 15–22 RODO);
  6. (lit. f) pomocy Administratorowi w wywiązaniu się z obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków — DPIA), z uwzględnieniem charakteru przetwarzania i dostępnych informacji;
  7. (lit. g) po zakończeniu świadczenia Usługi — zależnie od decyzji Administratora — usunięcia lub zwrotu wszelkich danych osobowych oraz usunięcia istniejących kopii, chyba że prawo UE/państwa członkowskiego nakazuje ich przechowywanie (§ 12);
  8. (lit. h) udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 oraz umożliwienia i przyczyniania się do audytów, w tym inspekcji (§ 10).

§ 6. Podpowierzenie (podprocesorzy)

1. Administrator udziela Operatorowi ogólnej zgody na korzystanie z dalszych podmiotów przetwarzających (podprocesorów) w celu świadczenia Usługi. Aktualna lista podprocesorów:

PodprocesorFunkcjaLokalizacja / transfer
Cloudflare, Inc.hosting aplikacji, baza danych, magazyn plików, CDN, bezpieczeństwoUSA / UE — SCC (art. 46)
Anthropic, PBCodczyt AI (OCR/ekstrakcja) treści faktur — na żądanieUSA — SCC (art. 46)
Resend (Plus Five Five, Inc.)wysyłka transakcyjnych wiadomości e-mail (kody logowania, powiadomienia)USA — SCC (art. 46)
Google (Workspace)obsługa firmowej poczty e-mail (odbiór korespondencji na adres kontaktowy)USA / UE — SCC / DPF

2. Operator nakłada na każdego podprocesora — w drodze umowy — te same obowiązki ochrony danych, które ciążą na Operatorze na mocy niniejszej Umowy (art. 28 ust. 4).

3. O zamierzonej zmianie podprocesorów (dodaniu lub zastąpieniu) Operator informuje Administratora z co najmniej 14-dniowym wyprzedzeniem (pocztą elektroniczną na adres Konta lub przez aktualizację niniejszej listy), dając możliwość wyrażenia sprzeciwu. W razie uzasadnionego sprzeciwu strony podejmują działania w dobrej wierze; brak rozwiązania uprawnia Administratora do wypowiedzenia umowy głównej.

§ 7. Przekazywanie danych poza EOG

Z uwagi na podprocesorów z siedzibą w USA (§ 6) dane mogą być przekazywane poza Europejski Obszar Gospodarczy. Podstawą transferu są standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską (art. 46 ust. 2 RODO) oraz — w odpowiednich przypadkach — mechanizm Data Privacy Framework, jeżeli dany podprocesor jest certyfikowany. Operator udostępnia Administratorowi informacje o zastosowanych zabezpieczeniach na żądanie.

§ 8. Środki bezpieczeństwa (art. 32 RODO)

Operator wdraża odpowiednie środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa odpowiadający ryzyku, w szczególności:

§ 9. Obowiązki i oświadczenia Administratora

1. Administrator oświadcza, że jest administratorem powierzanych danych i dysponuje ważną podstawą prawną ich przetwarzania oraz przekazania Operatorowi.

2. Administrator wydaje polecenia przetwarzania zgodnie z prawem i ponosi odpowiedzialność za ich zgodność z RODO.

3. Administrator konfiguruje zakres podłączonych Usług zewnętrznych; decyzja o podłączeniu danego źródła danych stanowi polecenie przetwarzania w tym zakresie.

§ 10. Współpraca, kontrola i audyt

1. Operator udostępnia Administratorowi informacje niezbędne do wykazania zgodności z art. 28 oraz umożliwia audyty i inspekcje przeprowadzane przez Administratora lub upoważnionego audytora.

2. Audyt odbywa się po uprzednim powiadomieniu z co najmniej 14-dniowym wyprzedzeniem, w godzinach pracy Operatora, nie częściej niż raz w roku (chyba że w bezpośrednim związku ze stwierdzonym naruszeniem), w sposób nie zakłócający nieproporcjonalnie działania Operatora i z poszanowaniem poufności danych innych klientów.

3. Operator może wykazywać zgodność również poprzez udostępnienie odpowiednich certyfikatów lub raportów.

§ 11. Naruszenia ochrony danych

Operator bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia ochrony danych osobowych, zawiadamia o nim Administratora, przekazując informacje niezbędne do wywiązania się przez Administratora z obowiązków z art. 33–34 RODO (charakter naruszenia, kategorie i przybliżona liczba osób/rekordów, prawdopodobne konsekwencje, podjęte i proponowane środki).

§ 12. Usunięcie lub zwrot danych

1. Po zakończeniu świadczenia Usługi Operator — zgodnie z decyzją Administratora wyrażoną nie później niż 30 dni od zakończenia — usuwa albo zwraca wszystkie powierzone dane osobowe oraz usuwa istniejące kopie.

2. W braku odmiennej decyzji Operator usuwa dane po upływie 30 dni od zakończenia umowy, z zastrzeżeniem danych, których przechowywanie nakazuje prawo (kopie zapasowe usuwane w cyklu rotacji nie dłuższym niż 35 dni).

§ 13. Odpowiedzialność

Każda ze stron odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO zgodnie z art. 82 RODO. Zasady i ewentualne ograniczenia odpowiedzialności Operatora wobec Administratora określa Regulamin, z zastrzeżeniem bezwzględnie obowiązujących przepisów o ochronie danych osobowych.

§ 14. Obowiązywanie i rozwiązanie

Umowa powierzenia wchodzi w życie z chwilą jej akceptacji przez Administratora i obowiązuje przez czas trwania umowy głównej. Rozwiązanie umowy głównej powoduje rozwiązanie Umowy powierzenia, z zachowaniem § 12.

§ 15. Postanowienia końcowe

1. W sprawach nieuregulowanych stosuje się RODO, ustawę o ochronie danych osobowych oraz Kodeks cywilny.

2. Prawem właściwym jest prawo polskie; sądem właściwym jest sąd powszechny właściwy miejscowo dla siedziby Operatora.

3. Umowa zawierana jest w formie elektronicznej — przez akceptację przy zakładaniu Konta. Operator przechowuje informację o zaakceptowanej wersji i dacie akceptacji. Zmiana Umowy powierzenia następuje przez udostępnienie nowej wersji i poinformowanie Administratora.