Charakter dokumentu. Niniejsza Umowa powierzenia (dalej „Umowa powierzenia" lub „DPA") stanowi załącznik do Regulaminu serwisu RoasLens i reguluje zasady przetwarzania przez Operatora danych osobowych, których administratorem jest Użytkownik (sklep/przedsiębiorca), a które Operator przetwarza wyłącznie w celu świadczenia Usługi. Zawierana jest w formie elektronicznej — przez akceptację przy zakładaniu Konta (mechanizm akceptacji, z zapisem wersji i daty).
Podmiot przetwarzający (Procesor): P.P.H.U. DEOZE Sebastian Pietrzak, z siedzibą przy ul. gen. Stefana „Grota" Roweckiego 8a/211, 95-200 Pabianice, NIP PL7311938864, REGON 100696122, BDO 000112987, kontakt: hello@roaslens.com — operator serwisu RoasLens (dalej „Operator" lub „Procesor").
Administrator: Użytkownik będący przedsiębiorcą, który zawarł z Operatorem umowę o świadczenie Usługi na podstawie Regulaminu i zaakceptował niniejszą Umowę powierzenia; jego dane identyfikacyjne (firma, NIP, adres, adres e-mail Konta) pochodzą z danych podanych przy rejestracji Konta i stanowią integralną część niniejszej Umowy (dalej „Administrator").
Pozostałe pojęcia (Usługa, Konto, Dane Importowane, Usługi zewnętrzne itd.) mają znaczenie nadane im w Regulaminie. Pojęcia „dane osobowe", „przetwarzanie", „podmiot przetwarzający", „naruszenie ochrony danych" rozumie się zgodnie z art. 4 RODO.
1. Administrator powierza Operatorowi przetwarzanie danych osobowych w zakresie i w celu niezbędnym do świadczenia Usługi, tj. agregacji i analizy danych sprzedażowych, reklamowych i kosztowych pochodzących z Usług zewnętrznych podłączonych przez Administratora (m.in. BaseLinker, Allegro, Google Ads, Meta Ads, GA4, Fakturownia), w celu wyliczenia realnego zysku, wskaźników (ROAS, marża) oraz generowania rekomendacji.
2. Charakter przetwarzania: zbieranie, utrwalanie, przechowywanie, porządkowanie, przeglądanie, wykorzystywanie do obliczeń oraz — w zakresie faktur kosztowych — automatyczny odczyt treści dokumentów przez model AI (OCR/ekstrakcja kwot) na żądanie Administratora.
3. Operator przetwarza dane wyłącznie w celu świadczenia Usługi i na udokumentowane polecenie Administratora (którym jest akceptacja niniejszej Umowy, konfiguracja Konta oraz korzystanie z funkcji Usługi); nie wykorzystuje ich do celów własnych, nie sprzedaje ani nie udostępnia podmiotom trzecim poza podprocesorami z § 6.
Powierzone przetwarzanie obejmuje następujące kategorie (zgodnie z art. 28 ust. 3 RODO):
| Źródło / kontekst | Kategorie danych osobowych | Kategorie osób |
|---|---|---|
| Zamówienia (BaseLinker, Allegro, sklep) | imię i nazwisko, adres dostawy i rozliczeniowy, adres e-mail, numer telefonu, dane zamówienia (pozycje, kwoty) | klienci / kupujący Administratora |
| Faktury kosztowe i zakupowe (w tym odczyt AI-OCR) | dane wystawcy/kontrahenta: nazwa (w tym imię i nazwisko JDG), NIP, adres, kwoty; potencjalnie dane osób na dokumencie | kontrahenci i dostawcy Administratora (w tym osoby fizyczne prowadzące działalność) |
| Dane reklamowe/analityczne (Ads, GA4) | co do zasady dane zagregowane/statystyczne; identyfikatory techniczne, o ile występują | użytkownicy końcowi kampanii Administratora |
Powierzenie obowiązuje przez czas trwania umowy o świadczenie Usługi (Regulamin), a w odniesieniu do danych już zebranych — do momentu ich usunięcia lub zwrotu zgodnie z § 12. Rozwiązanie umowy głównej skutkuje wygaśnięciem powierzenia i uruchomieniem procedury z § 12.
Operator zobowiązuje się do:
1. Administrator udziela Operatorowi ogólnej zgody na korzystanie z dalszych podmiotów przetwarzających (podprocesorów) w celu świadczenia Usługi. Aktualna lista podprocesorów:
| Podprocesor | Funkcja | Lokalizacja / transfer |
|---|---|---|
| Cloudflare, Inc. | hosting aplikacji, baza danych, magazyn plików, CDN, bezpieczeństwo | USA / UE — SCC (art. 46) |
| Anthropic, PBC | odczyt AI (OCR/ekstrakcja) treści faktur — na żądanie | USA — SCC (art. 46) |
| Resend (Plus Five Five, Inc.) | wysyłka transakcyjnych wiadomości e-mail (kody logowania, powiadomienia) | USA — SCC (art. 46) |
| Google (Workspace) | obsługa firmowej poczty e-mail (odbiór korespondencji na adres kontaktowy) | USA / UE — SCC / DPF |
2. Operator nakłada na każdego podprocesora — w drodze umowy — te same obowiązki ochrony danych, które ciążą na Operatorze na mocy niniejszej Umowy (art. 28 ust. 4).
3. O zamierzonej zmianie podprocesorów (dodaniu lub zastąpieniu) Operator informuje Administratora z co najmniej 14-dniowym wyprzedzeniem (pocztą elektroniczną na adres Konta lub przez aktualizację niniejszej listy), dając możliwość wyrażenia sprzeciwu. W razie uzasadnionego sprzeciwu strony podejmują działania w dobrej wierze; brak rozwiązania uprawnia Administratora do wypowiedzenia umowy głównej.
Z uwagi na podprocesorów z siedzibą w USA (§ 6) dane mogą być przekazywane poza Europejski Obszar Gospodarczy. Podstawą transferu są standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską (art. 46 ust. 2 RODO) oraz — w odpowiednich przypadkach — mechanizm Data Privacy Framework, jeżeli dany podprocesor jest certyfikowany. Operator udostępnia Administratorowi informacje o zastosowanych zabezpieczeniach na żądanie.
Operator wdraża odpowiednie środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa odpowiadający ryzyku, w szczególności:
1. Administrator oświadcza, że jest administratorem powierzanych danych i dysponuje ważną podstawą prawną ich przetwarzania oraz przekazania Operatorowi.
2. Administrator wydaje polecenia przetwarzania zgodnie z prawem i ponosi odpowiedzialność za ich zgodność z RODO.
3. Administrator konfiguruje zakres podłączonych Usług zewnętrznych; decyzja o podłączeniu danego źródła danych stanowi polecenie przetwarzania w tym zakresie.
1. Operator udostępnia Administratorowi informacje niezbędne do wykazania zgodności z art. 28 oraz umożliwia audyty i inspekcje przeprowadzane przez Administratora lub upoważnionego audytora.
2. Audyt odbywa się po uprzednim powiadomieniu z co najmniej 14-dniowym wyprzedzeniem, w godzinach pracy Operatora, nie częściej niż raz w roku (chyba że w bezpośrednim związku ze stwierdzonym naruszeniem), w sposób nie zakłócający nieproporcjonalnie działania Operatora i z poszanowaniem poufności danych innych klientów.
3. Operator może wykazywać zgodność również poprzez udostępnienie odpowiednich certyfikatów lub raportów.
Operator bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia ochrony danych osobowych, zawiadamia o nim Administratora, przekazując informacje niezbędne do wywiązania się przez Administratora z obowiązków z art. 33–34 RODO (charakter naruszenia, kategorie i przybliżona liczba osób/rekordów, prawdopodobne konsekwencje, podjęte i proponowane środki).
1. Po zakończeniu świadczenia Usługi Operator — zgodnie z decyzją Administratora wyrażoną nie później niż 30 dni od zakończenia — usuwa albo zwraca wszystkie powierzone dane osobowe oraz usuwa istniejące kopie.
2. W braku odmiennej decyzji Operator usuwa dane po upływie 30 dni od zakończenia umowy, z zastrzeżeniem danych, których przechowywanie nakazuje prawo (kopie zapasowe usuwane w cyklu rotacji nie dłuższym niż 35 dni).
Każda ze stron odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO zgodnie z art. 82 RODO. Zasady i ewentualne ograniczenia odpowiedzialności Operatora wobec Administratora określa Regulamin, z zastrzeżeniem bezwzględnie obowiązujących przepisów o ochronie danych osobowych.
Umowa powierzenia wchodzi w życie z chwilą jej akceptacji przez Administratora i obowiązuje przez czas trwania umowy głównej. Rozwiązanie umowy głównej powoduje rozwiązanie Umowy powierzenia, z zachowaniem § 12.
1. W sprawach nieuregulowanych stosuje się RODO, ustawę o ochronie danych osobowych oraz Kodeks cywilny.
2. Prawem właściwym jest prawo polskie; sądem właściwym jest sąd powszechny właściwy miejscowo dla siedziby Operatora.
3. Umowa zawierana jest w formie elektronicznej — przez akceptację przy zakładaniu Konta. Operator przechowuje informację o zaakceptowanej wersji i dacie akceptacji. Zmiana Umowy powierzenia następuje przez udostępnienie nowej wersji i poinformowanie Administratora.