KSeF Inbox
WylogujZałóż kontoRozpocznij pilotaż
Get in Touch

WERSJA ROBOCZA — wymaga zatwierdzenia przez właściciela/prawnika przed przyjęciem realnych danych klientów.

Umowa powierzenia przetwarzania danych (DPA)

Ostatnia aktualizacja: [DATA]

Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej „Umowa” lub „DPA”) zawierana jest na podstawie art. 28 RODO pomiędzy Użytkownikiem korzystającym z usługi KSeF Inbox, występującym jako Administrator, a [NAZWA FIRMY], [ADRES], NIP: [NIP], występującym jako Podmiot przetwarzający. Umowa stanowi integralną część Regulaminu.

1. Przedmiot, charakter i cel powierzenia

Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych wyłącznie w zakresie i celu niezbędnym do świadczenia usługi KSeF Inbox, tj. obsługi wyjątków i brakującego kontekstu księgowego, w tym rejestrowania i zarządzania dokumentami kosztowymi oraz pozyskiwania kontekstu od klientów Administratora.

  • Charakter przetwarzania: przechowywanie, porządkowanie, udostępnianie w ramach Usługi, usuwanie.
  • Czas przetwarzania: przez okres obowiązywania umowy o świadczenie Usługi.
  • Kategorie osób: klienci i kontrahenci Administratora, osoby kontaktowe, operatorzy.
  • Rodzaj danych: dane identyfikacyjne i kontaktowe, dane zawarte w dokumentach kosztowych i kontekście księgowym (co do zasady bez szczególnych kategorii danych z art. 9 RODO).

2. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się do:

  • przetwarzania danych wyłącznie na udokumentowane polecenie Administratora, w tym w zakresie przekazywania danych do państwa trzeciego, chyba że obowiązek taki nakłada prawo;
  • zapewnienia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności;
  • wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO;
  • pomagania Administratorowi w realizacji żądań osób, których dane dotyczą, oraz w zapewnieniu zgodności z art. 32–36 RODO;
  • zgłaszania Administratorowi naruszenia ochrony danych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od jego stwierdzenia;
  • udostępniania Administratorowi informacji niezbędnych do wykazania zgodności oraz umożliwienia audytów, w tym inspekcji, na rozsądnych zasadach.

3. Podpowierzenie (dalsi przetwarzający)

Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z dalszych podmiotów przetwarzających (np. dostawców hostingu i infrastruktury chmurowej). Podmiot przetwarzający poinformuje Administratora o zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych przetwarzających, umożliwiając zgłoszenie sprzeciwu. Na każdego dalszego przetwarzającego nakłada się obowiązki ochrony danych co najmniej takie same jak w niniejszej Umowie. Aktualny wykaz dostępny jest na żądanie pod adresem [E-MAIL KONTAKTOWY].

4. Bezpieczeństwo przetwarzania

Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres i cele przetwarzania, Podmiot przetwarzający stosuje środki adekwatne do ryzyka, w szczególności:

  • szyfrowanie danych w trakcie przesyłania;
  • kontrolę dostępu opartą na rolach oraz uwierzytelnianie operatorów;
  • izolację danych pomiędzy organizacjami (tenant isolation);
  • rejestrowanie zdarzeń (logi audytowe) i regularne kopie zapasowe;
  • procedury reagowania na incydenty bezpieczeństwa.

5. Usunięcie lub zwrot danych

Po zakończeniu świadczenia Usługi Podmiot przetwarzający, zależnie od decyzji Administratora, usuwa lub zwraca wszelkie dane osobowe oraz usuwa istniejące kopie, chyba że prawo nakazuje ich dalsze przechowywanie. Usunięcie następuje w rozsądnym terminie, nie później niż [LICZBA] dni od zakończenia współpracy.

6. Odpowiedzialność i postanowienia końcowe

Strony ponoszą odpowiedzialność na zasadach określonych w RODO oraz w Regulaminie. W sprawach nieuregulowanych stosuje się przepisy RODO i prawa polskiego. W razie sprzeczności pomiędzy Umową a Regulaminem w zakresie powierzenia przetwarzania danych pierwszeństwo ma niniejsza Umowa. Kontakt: [E-MAIL KONTAKTOWY].