Ładowanie...
Ładowanie...
Wzór umowy zawieranej między Merchantem (Administrator) a DoSwiftly (Procesor) zgodnie z art. 28 RODO.
W skrócie
Gdy prowadzisz Sklep w DoSwiftly, jesteś administratorem danych swoich klientów końcowych - a my działamy jako podmiot przetwarzający na Twoje polecenie. Ta strona to integralna część Regulaminu: określa nasze obowiązki, sub-procesorów, środki bezpieczeństwa i procedurę zgłaszania naruszeń. Akceptacja Regulaminu DoSwiftly oznacza akceptację niniejszego DPA.
Niniejsza Umowa Powierzenia Przetwarzania Danych (dalej: DPA) zostaje zawarta pomiędzy:
Procesor (podmiot przetwarzający)
a Administratorem - Użytkownikiem DoSwiftly (Merchantem) wskazanym w panelu Konta - dalej zwanymi łącznie Stronami.
Preambuła. Strony zawarły Umowę o świadczenie usług platformy DoSwiftly (dalej: Umowa Główna), w ramach której Administrator powierza Procesorowi przetwarzanie danych osobowych w celu świadczenia Usługi. Niniejsze DPA spełnia wymogi art. 28 ust. 3 RODO i stanowi integralną część Umowy Głównej. Akceptacja Regulaminu DoSwiftly jest jednoznaczna z zawarciem niniejszego DPA.
Pojęcia użyte w DPA mają znaczenie nadane im przez RODO, w szczególności:
Procesor przetwarza Dane osobowe wyłącznie w celu świadczenia Usługi DoSwiftly zgodnie z Umową Główną, w szczególności: hostowania Sklepu, obsługi katalogu produktów, koszyka i checkoutu, realizacji zamówień, fulfillmentu, funkcji marketingowych, programu lojalnościowego, raportowania, kopii zapasowych oraz - wyłącznie po aktywacji przez Administratora - funkcji AI.
Automatyczne i ręczne (poprzez panel) operacje: zbieranie, utrwalanie, organizowanie, przechowywanie, modyfikowanie, pobieranie, przesyłanie, łączenie, ograniczanie i usuwanie.
Powierzenie nie obejmuje, co do zasady, szczególnych kategorii Danych osobowych (art. 9 RODO). Jeśli Administrator zamierza przetwarzać takie dane (np. dane zdrowotne w branży medycznej), powinien wystąpić o aneks do DPA i przeprowadzić DPIA.
DPA obowiązuje przez czas trwania Umowy Głównej. Po jej zakończeniu stosuje się § 11.
Procesor zobowiązuje się:
Administrator wyraża ogólną zgodę (art. 28 ust. 2 RODO) na korzystanie przez Procesora z sub-procesorów wskazanych poniżej. Procesor zapewnia, że obowiązki ochrony danych zawarte w niniejszym DPA są przeniesione na sub-procesorów w drodze odpowiednich umów.
| Sub-procesor | Zakres usług | Lokalizacja | Podstawa transferu |
|---|---|---|---|
| OVH SAS | Hosting serwerów aplikacyjnych i baz danych | Francja (EOG) | - |
| PayU S.A. | Operator płatności, tokenizacja kart | Polska (EOG) | - |
| Cloudflare, Inc. | CDN, WAF, Workers, R2 object storage, KV, Custom Hostnames | USA + EU edge | SCC + EU-US DPF |
| OpenAI Ireland Ltd. | Dostawca LLM dla funkcji AI | Irlandia + USA | EOG / SCC |
| Anthropic PBC | Dostawca LLM dla funkcji AI | USA | EU-US DPF + SCC |
| AC PM, LLC (Postmark) | Wysyłka e-maili transakcyjnych (potwierdzenia zamówień, faktury, powiadomienia systemowe, reset hasła) | Chicago, Illinois, USA (Deft + AWS US) | EU-US Data Privacy Framework (certyfikacja AC PM, LLC) + SCC Moduł 2 inkorporowane w Postmark ToS; aktualna lista sub-procesorów: postmarkapp.com/eu-privacy |
Procesor zapowiada zmianę lub dodanie sub-procesora z 14-dniowym wyprzedzeniem - poprzez aktualizację niniejszej strony oraz powiadomienie Administratorów. W terminie 14 dni Administrator może wyrazić uzasadniony sprzeciw. W razie braku możliwości rozwiązania zastrzeżeń Administrator ma prawo wypowiedzieć Umowę Główną bez ponoszenia opłat za pozostały okres.
Procesor wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne, w tym:
Pełny opis aktualnych środków stanowi Załącznik A - TOM dostępny w panelu administracyjnym DoSwiftly oraz na żądanie e-mailowe. Procesor aktualizuje TOM, jeżeli wymagają tego zmiany technologii, ryzyka lub przepisów.
Procesor zgłosi Administratorowi naruszenie ochrony Danych osobowych bez zbędnej zwłoki, najpóźniej w terminie 24 godzin od stwierdzenia naruszenia - wyprzedzając ustawowy 72-godzinny termin Administratora wobec PUODO (art. 33 RODO).
Zgłoszenie kierujemy na adres e-mail Administratora zarejestrowany w panelu Konta i zawiera w miarę możliwości:
Procesor wspiera Administratora w realizacji obowiązków informacyjnych wobec PUODO oraz - gdy ma zastosowanie - wobec osób, których dane dotyczą (art. 34 RODO).
Administrator ma prawo do audytu Procesora w zakresie zgodności z DPA - nie częściej niż raz na 12 miesięcy oraz po incydencie naruszenia. Audyt zapowiadany jest z co najmniej 30-dniowym wyprzedzeniem na piśmie i przeprowadzany w godzinach pracy w sposób minimalizujący zakłócenia Usługi.
W pierwszej kolejności Procesor wykazuje zgodność poprzez udostępnienie:
Audyt w siedzibie Procesora może być przeprowadzony przez Administratora samodzielnie lub przez wyznaczonego niezależnego audytora, po podpisaniu NDA. Koszty audytu pokrywa Administrator, z wyjątkiem sytuacji, gdy audyt ujawni istotne naruszenie obowiązków Procesora - wówczas koszty pokrywa Procesor.
Część sub-procesorów (Cloudflare, OpenAI USA, Anthropic, AC PM LLC / Postmark) działa poza EOG. Procesor stosuje:
W przypadku AC PM, LLC (Postmark) — dostawcy e-maili transakcyjnych — Dane są przetwarzane w Stanach Zjednoczonych (Chicago, Illinois). Podstawą transferu jest certyfikacja AC PM, LLC w ramach EU-US Data Privacy Framework (decyzja wykonawcza Komisji (UE) 2023/1795 z 10.07.2023) oraz — pomocniczo — Standardowe Klauzule Umowne Komisji Europejskiej (Moduł 2 transferu kontroler-do-procesora, decyzja 2021/914) inkorporowane w Warunkach Świadczenia Usług Postmark od 27.09.2021. Na mocy DPA Postmark (§ 3.a) AC PM, LLC zobowiązała się umownie do nieprzechowywania, nieużywania ani nieujawniania powierzonych Danych do celów innych niż świadczenie usługi wysyłki e-maili. Sub-procesorzy Postmarka (Deft, AWS US) działają wyłącznie w USA.
Każda ze Stron odpowiada za szkodę wyrządzoną przetwarzaniem zgodnie z art. 82 RODO oraz przepisami prawa krajowego. Procesor odpowiada za szkody wynikające z naruszenia przez niego obowiązków wynikających z DPA lub bezpośrednio z RODO nakładanych na procesora.
W zakresie odpowiedzialności kontraktowej między Stronami zastosowanie znajdują ograniczenia odpowiedzialności określone w Regulaminie Umowy Głównej, z wyłączeniem przypadków, w których ograniczenie takie byłoby sprzeczne z bezwzględnie obowiązującym prawem.
Po zakończeniu Umowy Głównej Procesor - w zależności od wyboru Administratora wyrażonego w panelu Konta lub e-mailowo:
Backupy podlegają zatarciu w cyklu rotacji (maks. 90 dni). Procesor potwierdzi usunięcie Danych na żądanie Administratora.
Szczegółowy opis środków obejmuje obszary: bezpieczeństwa fizycznego i logicznego, ochrony sieci, zarządzania tożsamością i dostępem, szyfrowania, kopii zapasowych, zarządzania incydentami, ciągłości działania, oceny ryzyka oraz polityk wewnętrznych. Aktualna wersja dostępna w panelu DoSwiftly (sekcja "Bezpieczeństwo") oraz na żądanie.
Zob. § 5.1 powyżej. Aktualizowana z 14-dniowym wyprzedzeniem.
Zob. § 3.3 i § 3.4 powyżej.
Wersja DPA: 1.1, obowiązuje od 21.05.2026.