Umowa Powierzenia Przetwarzania Danych (DPA)

Data Processing Agreement | Wzor do pobrania i podpisania

1. Strony umowy

Administrator danych (dalej: "Administrator"):
[Nazwa firmy klienta], z siedziba pod adresem [adres], NIP: [numer], reprezentowana przez [osobe].

Podmiot przetwarzajacy (dalej: "Procesor"):
Solfusion Group sp. z o.o., z siedziba w Warszawie, ul. Przykladowa 10, 00-001 Warszawa, NIP: 0000000000.

2. Przedmiot umowy

Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbednym do swiadczenia uslug ksiegowych za posrednictwem systemu ProKSeF, na warunkach okreslonych w niniejszej umowie i zgodnie z RODO.

3. Zakres przetwarzania

• Charakter przetwarzania: przechowywanie, organizowanie, udostepnianie, usuwanie
• Cel przetwarzania: swiadczenie uslug ksiegowych, kadrowo-placowych, podatkowych
• Rodzaje danych: imiona, nazwiska, PESEL, NIP, adresy, dane finansowe, dane kadrowe
• Kategorie osob: pracownicy Administratora, kontrahenci, osoby fizyczne prowadzace dzialalnosc
• Czas trwania: przez okres obowiazywania umowy glownej + okres wymagany przepisami prawa

4. Obowiazki Procesora

1. Przetwarzac dane wylacznie na udokumentowane polecenie Administratora
2. Zapewnic, ze osoby upowaznione zobowiazaly sie do zachowania poufnosci
3. Stosowac odpowiednie srodki techniczne i organizacyjne (art. 32 RODO)
4. Nie korzystac z uslug innego podmiotu przetwarzajacego bez uprzedniej pisemnej zgody
5. Pomagac Administratorowi w realizacji praw osob, ktorych dane dotycza
6. Pomagac w zapewnieniu bezpieczenstwa przetwarzania i zglaszaniu naruszen
7. Po zakonczeniu umowy usunac lub zwrocic dane (wedlug wyboru Administratora)
8. Udostepnic informacje niezbedne do wykazania zgodnosci z art. 28 RODO

5. Srodki bezpieczenstwa

Procesor stosuje nastepujace srodki techniczne i organizacyjne:

• Szyfrowanie danych w transporcie (TLS 1.3) i w spoczynku (AES-256)
• Uwierzytelnianie dwuskladnikowe (2FA) dla uzytkownikow
• Automatyczne kopie zapasowe co 10 minut z retencja 90 dni
• Izolacja danych klientow (architektura multi-tenant)
• Monitoring bezpieczenstwa 24/7 i logi audytu
• Regularne testy penetracyjne i audyty bezpieczenstwa
• Fizyczne bezpieczenstwo serwerow (centrum danych w UE, ISO 27001)

6. Podprzetwarzanie

Aktualnie zatwierdzeni podprzetwarzajacy:

• Hetzner Online GmbH (hosting, Niemcy/Finlandia)
• Stripe Inc. (platnosci, z SCC)

7. Naruszenie ochrony danych

Procesor powiadomi Administratora o naruszeniu ochrony danych osobowych bez zbednej zwloki, nie pozniej niz w ciagu 24 godzin od stwierdzenia naruszenia, przekazujac co najmniej:

• Charakter naruszenia i kategorie danych
• Przyblizona liczbe osob dotkietych
• Prawdopodobne konsekwencje
• Srodki podjete w celu zaradzenia

8. Postanowienia koncowe

Umowa wchodzi w zycie z dniem podpisania i obowiazuje przez okres swiadczenia uslug. Wszelkie spory rozstrzygane beda przez sad wlasciwy dla siedziby Procesora.