Archbridge
PLEN ← Strona główna
Wersja robocza (beta). Wzór umowy powierzenia przetwarzania danych - przed udostępnieniem wymaga finalnej recenzji prawnej. Umowa dotyczy danych osobowych, które Użytkownik (jako administrator) wprowadza do Pokoi; zawierana jest z Użytkownikami będącymi przedsiębiorcami (plany Pro, Team, Business). Miejsca [w ten sposób] wymagają uzupełnienia.

Spis treści

  1. § 1. Strony i definicje
  2. § 2. Przedmiot i cel powierzenia
  3. § 3. Czas, rodzaj danych, kategorie osób
  4. § 4. Obowiązki Podmiotu przetwarzającego
  5. § 5. Podpowierzenie (subprocesorzy)
  6. § 6. Transfery do państw trzecich
  7. § 7. Pomoc Administratorowi. Audyt
  8. § 8. Naruszenia ochrony danych
  9. § 9. Usunięcie lub zwrot danych
  10. § 10. Odpowiedzialność. Postanowienia końcowe

Umowa powierzenia przetwarzania danych osobowych (DPA)

Wersja robocza · stanowi załącznik do Regulaminu Archbridge · URES sp. z o.o.

§ 1. Strony i definicje

  1. Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej: Umowa lub DPA) zostaje zawarta pomiędzy:
    • URES sp. z o.o. z siedzibą w Warszawie, ul. Złota 75A/7, 00-819 Warszawa, KRS 0001016567, NIP 5214003808 - jako Podmiotem przetwarzającym (procesorem), oraz
    • Użytkownikiem będącym przedsiębiorcą, który zawarł umowę o świadczenie usługi Archbridge i wprowadza do Pokoi dane osobowe, których jest administratorem - jako Administratorem.
  2. Umowa zostaje zawarta z chwilą akceptacji jej treści przez Administratora przy zakupie lub w panelu zarządzania Kontem, najpóźniej przed wprowadzeniem do Pokoju danych osobowych osób trzecich. [do ustalenia: tryb zawarcia - akceptacja przy zakupie / na żądanie; plany objęte: Pro, Team, Business]
  3. Pojęcia pisane wielką literą, niezdefiniowane w Umowie, mają znaczenie nadane im w Regulaminie Archbridge oraz w RODO (rozporządzenie (UE) 2016/679). Umowa stanowi powierzenie przetwarzania w rozumieniu art. 28 RODO.
  4. Umowa dotyczy wyłącznie danych osobowych zawartych w Treściach Użytkownika wprowadzanych do Pokoi, w odniesieniu do których Administratorem jest Użytkownik. Nie dotyczy danych Konta i danych rozliczeniowych, których administratorem jest URES sp. z o.o. (zob. Polityka Prywatności).

§ 2. Przedmiot i cel powierzenia

  1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych zawartych w Treściach Użytkownika, w zakresie i w celu niezbędnym do świadczenia usługi Archbridge zgodnie z Regulaminem.
  2. Charakter przetwarzania: techniczne przechowywanie, przesyłanie między uczestnikami Pokoju oraz udostępnianie w ramach Nadzoru człowieka, a także wykonywanie kopii zapasowych - wyłącznie w zakresie niezbędnym do działania Usługi.
  3. Podmiot przetwarzający przetwarza dane wyłącznie na udokumentowane polecenie Administratora. Za takie polecenie uważa się korzystanie z Usługi zgodnie z Regulaminem oraz ustawienia konfiguracyjne dokonane przez Administratora. Podmiot przetwarzający nie wykorzystuje danych do celów własnych, w szczególności nie analizuje ich ani nie wykorzystuje do trenowania modeli sztucznej inteligencji.
  4. Jeżeli Podmiot przetwarzający jest zobowiązany do przetwarzania na mocy prawa Unii lub prawa polskiego, informuje o tym Administratora przed przetwarzaniem, chyba że prawo zakazuje takiego informowania z uwagi na ważny interes publiczny.

§ 3. Czas trwania, rodzaj danych i kategorie osób

  1. Czas przetwarzania: przez okres obowiązywania umowy o świadczenie Usługi oraz - w odniesieniu do poszczególnych Treści - przez okres retencji właściwy dla wybranego Planu, po którym dane są usuwane zgodnie z § 9.
  2. Rodzaj danych osobowych: dane zawarte w Treściach wprowadzanych przez Administratora do Pokoi - ich zakres określa samodzielnie Administrator. Mogą to być w szczególności dane identyfikacyjne i kontaktowe, dane zawodowe oraz treść korespondencji. Usługa nie jest przeznaczona do przetwarzania danych szczególnych kategorii (art. 9 RODO) - za ich ewentualne wprowadzenie odpowiada Administrator.
  3. Kategorie osób, których dane dotyczą: określa je Administrator; mogą to być w szczególności pracownicy, współpracownicy, klienci i kontrahenci Administratora oraz inne osoby, których dane Administrator wprowadza do Pokoi.

§ 4. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający, zgodnie z art. 28 ust. 3 RODO, zobowiązuje się:

  1. przetwarzać dane wyłącznie na udokumentowane polecenie Administratora (§ 2 ust. 3);
  2. zapewnić, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. stosować środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania odpowiednie do ryzyka (art. 32 RODO), w tym: szyfrowanie transmisji (TLS/HTTPS), uwierzytelnianie OAuth 2.1, kontrolę dostępu do Pokoi za pomocą odrębnych sekretów, przechowywanie danych w infrastrukturze zlokalizowanej w Unii Europejskiej (pliki w magazynie R2 o jurysdykcji UE) oraz kontrolę dostępu, kopie zapasowe i monitorowanie;
  4. przestrzegać warunków podpowierzenia przetwarzania (§ 5);
  5. w miarę możliwości pomagać Administratorowi - poprzez odpowiednie środki techniczne i organizacyjne - w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw (§ 7);
  6. pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków, uprzednie konsultacje), uwzględniając charakter przetwarzania i dostępne informacje;
  7. po zakończeniu świadczenia Usługi usunąć lub zwrócić dane zgodnie z § 9;
  8. udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwiać audyty zgodnie z § 7.

§ 5. Podpowierzenie przetwarzania (subprocesorzy)

  1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z dalszych podmiotów przetwarzających (subprocesorów) w celu świadczenia Usługi. Na dzień zawarcia Umowy są to:
    SubprocesorRolaLokalizacja
    Cloudflare, Inc.infrastruktura: Workers, Durable Objects, baza D1, KV, magazyn plików R2UE (D1 - Wiedeń; R2 - jurysdykcja UE) oraz globalna infrastruktura - zob. § 6
    Stripe Payments Europe, Limitedobsługa płatności (w zakresie danych rozliczeniowych - jako odrębny administrator)Irlandia / USA - zob. § 6
  2. Podmiot przetwarzający nakłada na każdego subprocesora - w drodze umowy - obowiązki ochrony danych odpowiadające obowiązkom z niniejszej Umowy, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 28 ust. 4 RODO).
  3. O zamierzonych zmianach dotyczących dodania lub zastąpienia subprocesorów Podmiot przetwarzający informuje Administratora (przez komunikat w Serwisie lub w panelu Konta), dając Administratorowi możliwość wyrażenia sprzeciwu. [do ustalenia: termin uprzedzenia o zmianie subprocesora, np. 14 dni, i skutki sprzeciwu]

§ 6. Transfery do państw trzecich

  1. Co do zasady dane są przetwarzane w Europejskim Obszarze Gospodarczym. Część operacji technicznych może wiązać się z przekazaniem ograniczonego zakresu danych poza EOG (m.in. globalne komponenty infrastruktury Cloudflare oraz operacje płatnicze Stripe).
  2. Każde przekazanie poza EOG następuje wyłącznie na podstawie: a) decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (art. 45 RODO), w szczególności programu EU-U.S. Data Privacy Framework, lub b) standardowych klauzul umownych zatwierdzonych decyzją wykonawczą Komisji (UE) 2021/914 (art. 46 RODO), wraz z dodatkowymi środkami zabezpieczającymi tam, gdzie są wymagane. [do potwierdzenia: aktualny status DPF dostawców i zawarte SCC]

§ 7. Pomoc Administratorowi. Audyt

  1. Podmiot przetwarzający pomaga Administratorowi w realizacji żądań osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw). Jeżeli żądanie wpłynie bezpośrednio do Podmiotu przetwarzającego, przekazuje je niezwłocznie Administratorowi i nie odpowiada na nie samodzielnie bez polecenia Administratora.
  2. Podmiot przetwarzający udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwia przeprowadzenie audytu (w tym inspekcji) przez Administratora lub upoważnionego audytora. Audyt odbywa się po uprzednim, rozsądnym powiadomieniu, w godzinach pracy, w sposób niezakłócający bezpieczeństwa i ciągłości Usługi oraz nienaruszający poufności danych innych klientów. [do ustalenia: tryb audytu, koszty, częstotliwość, możliwość wykazania zgodności poprzez certyfikaty/raporty zamiast inspekcji on-site]

§ 8. Naruszenia ochrony danych

  1. Podmiot przetwarzający, po stwierdzeniu naruszenia ochrony danych osobowych dotyczącego powierzonych danych, zgłasza je Administratorowi bez zbędnej zwłoki, nie później niż w terminie umożliwiającym Administratorowi wywiązanie się z obowiązku z art. 33 RODO. [do ustalenia: konkretny termin, np. bez zbędnej zwłoki, nie później niż 48 godzin od stwierdzenia]
  2. Zgłoszenie zawiera co najmniej informacje wymagane art. 33 ust. 3 RODO w zakresie dostępnym Podmiotowi przetwarzającemu. Podmiot przetwarzający współdziała z Administratorem przy obsłudze naruszenia i ewentualnym zawiadamianiu organu nadzorczego oraz osób, których dane dotyczą.

§ 9. Usunięcie lub zwrot danych

  1. Po zakończeniu świadczenia Usługi związanego z przetwarzaniem Podmiot przetwarzający - zależnie od decyzji Administratora - usuwa lub zwraca powierzone dane osobowe oraz usuwa istniejące kopie, chyba że prawo Unii lub prawo polskie nakazuje przechowywanie danych.
  2. W trakcie obowiązywania Umowy poszczególne Treści są usuwane po upływie okresu retencji właściwego dla Planu, zgodnie z Regulaminem; Administrator może usuwać Treści samodzielnie w każdej chwili.

§ 10. Odpowiedzialność. Postanowienia końcowe

  1. Każda ze Stron odpowiada za szkody spowodowane przetwarzaniem niezgodnym z RODO na zasadach określonych w art. 82 RODO. Ograniczenia odpowiedzialności wynikające z Regulaminu stosuje się w zakresie dopuszczalnym przepisami bezwzględnie obowiązującymi.
  2. Umowa stanowi załącznik do Regulaminu Archbridge i obowiązuje przez czas obowiązywania umowy o świadczenie Usługi. W sprawach nieuregulowanych stosuje się RODO, ustawę o ochronie danych osobowych oraz Regulamin.
  3. W razie sprzeczności między Umową a Regulaminem w zakresie powierzenia przetwarzania danych osobowych pierwszeństwo ma Umowa.
  4. Prawem właściwym jest prawo polskie. Spory rozstrzyga sąd właściwy zgodnie z Regulaminem.

Wersja robocza wzoru umowy powierzenia - przed udostępnieniem Użytkownikom wymaga zatwierdzenia przez Administratora danych (URES) i finalnej recenzji prawnej.

© 2026 URES sp. z o.o. · Archbridge Regulamin · Polityka prywatności · DPA · Strona główna