DPA — Umowa powierzenia przetwarzania danych
Czym jest DPA i kiedy jest potrzebna
Jeśli korzystasz z Publineo w celach komercyjnych i Twoja firma w ramach tej współpracy przekazuje nam dane osobowe (np. pracowników, klientów, obserwatorów Twoich stron), RODO art. 28 wymaga zawarcia umowy powierzenia przetwarzania danych (Data Processing Agreement, DPA).
DPA reguluje, kto jest Administratorem (Twoja firma), a kto Procesorem (ITAMA jako operator Publineo), jakie mamy obowiązki, gdzie trafiają dane, jak długo je trzymamy i co robimy w razie incydentu.
Jak otrzymać podpisaną kopię DPA? Napisz na support@publineo.com z tematem "DPA" i podaj dane swojej firmy (nazwa, NIP, adres, osoba reprezentująca). Odsyłamy podpisaną PDF w ciągu 5 dni roboczych — bez dodatkowych opłat.
Strony umowy
Administrator danych (Klient)
Twoja firma — pełne dane uzupełniamy w wersji do podpisu na podstawie informacji, które przekażesz w mailu (nazwa, adres, NIP, osoba reprezentująca).
Procesor danych (ITAMA)
- Nazwa: F. H. U. ITAMA Dariusz Niemczak
- Adres: ul. Starowiejska 16/2, 81-356 Gdynia
- NIP: 9581479203
- REGON: 222025985
- Reprezentowany przez: Dariusz Niemczak
- support@publineo.com
§1 Przedmiot i czas trwania powierzenia
- Administrator powierza Procesorowi dane osobowe do przetwarzania wyłącznie w celu świadczenia usług platformy Publineo zgodnie z umową główną (regulamin + subskrypcja).
- DPA obowiązuje przez cały czas trwania umowy głównej.
§2 Charakter, cel i zakres przetwarzania
Cel: generowanie i publikacja treści marketingowych w mediach społecznościowych w imieniu Administratora.
Charakter operacji: przechowywanie, organizowanie, przekazywanie do podmiotów trzecich (kanały social wskazane przez Administratora), generowanie pochodnych (treści AI).
Kategorie osób:
- pracownicy / współpracownicy Administratora posiadający konta w Publineo,
- obserwatorzy / klienci Administratora w zakresie, w jakim ich dane występują w treściach publikowanych przez Administratora.
Kategorie danych:
- dane identyfikacyjne (imię, nazwisko, email, hasło — w postaci kryptograficznego skrótu),
- dane kontaktowe pracowników,
- tokeny dostępu do kanałów zewnętrznych (Facebook, Instagram, WordPress, LinkedIn) udzielone przez Administratora,
- treści postów wprowadzone lub zatwierdzone przez Administratora,
- logi techniczne (IP, czas akcji).
§3 Obowiązki Procesora
- Przetwarza dane wyłącznie na udokumentowane polecenie Administratora (umowa główna i DPA stanowią takie polecenie). O wszelkich rozszerzeniach polecenia Administrator informuje pisemnie (email wystarczy).
- Zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności.
- Wdraża odpowiednie środki techniczne i organizacyjne (patrz §6).
- Pomaga Administratorowi w realizacji praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przenoszenie). Standardowy czas reakcji: 5 dni roboczych.
- Pomaga Administratorowi w obowiązkach z art. 32–36 RODO (bezpieczeństwo, ocena skutków, zgłaszanie naruszeń).
- Po zakończeniu umowy głównej, na wybór Administratora, usuwa lub zwraca wszystkie dane osobowe i kasuje istniejące kopie, chyba że prawo wymaga ich dalszego przechowywania (np. faktury — 5 lat).
- Udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwia audyty zgodnie z §7.
§4 Pod-procesorzy
- Administrator wyraża ogólną zgodę na korzystanie z pod-procesorów wymienionych w Załączniku A (lista poniżej).
- Procesor informuje Administratora mailem o zamiarze dodania lub zmiany pod-procesora z 14-dniowym wyprzedzeniem. Administrator może zgłosić uzasadniony sprzeciw — wówczas strony mają 30 dni na rozwiązanie sporu, po którym DPA wygasa za odpowiednim wypowiedzeniem.
- Procesor zawiera z każdym pod-procesorem umowę powierzenia o standardach nie niższych niż niniejsza DPA. Procesor odpowiada wobec Administratora za działania pod-procesorów jak za własne.
§5 Transfer danych poza EOG
- Niektórzy pod-procesorzy znajdują się w USA (m.in. OpenAI, Cloudflare, Resend). Transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych Decyzją Komisji (UE) 2021/914.
- Procesor wdraża dodatkowe środki ochrony (szyfrowanie w tranzycie i w spoczynku, kontrola dostępu, pseudonimizacja gdzie zasadne).
§6 Środki bezpieczeństwa
Stosujemy m.in.:
- Szyfrowanie: TLS w tranzycie, AES-256 w spoczynku (dane bazy), tokeny zewnętrzne szyfrowane na poziomie aplikacji.
- Kontrola dostępu: RLS (Row-Level Security) w bazie danych, segregacja ról systemowych (Admin / Editor / User), logi audytowe.
- Uwierzytelnianie: TOTP MFA wymagana dla kont administracyjnych, anty-bot na endpointach logowania (Cloudflare Turnstile), rate limity.
- Sieć: Cloudflare WAF, geo-blokady na panelu administracyjnym, izolacja domenowa (osobny origin dla panelu).
- Kopie zapasowe: codzienne kopie zapasowe bazy danych z retencją 30 dni.
- Monitorowanie: logi audytowe akcji administracyjnych, retencja 12 miesięcy.
- Reakcja na incydent: procedura zgłaszania naruszeń w ciągu 24 h od wykrycia.
§7 Audyt
- Administrator (lub niezależny audytor wyznaczony przez Administratora) ma prawo do audytu Procesora, nie częściej niż raz w roku, z 30-dniowym uprzedzeniem.
- Audyt nie może zakłócać normalnej pracy Procesora ani naruszać poufności danych innych klientów. W praktyce audyt obejmuje przegląd dokumentacji bezpieczeństwa, wyników testów oraz odpowiedzi na pytania.
§8 Naruszenia ochrony danych
Procesor zgłasza Administratorowi naruszenie ochrony danych osobowych bez zbędnej zwłoki, nie później niż 24 godziny od uzyskania o nim wiedzy. Zgłoszenie zawiera:
- charakter naruszenia (kategorie danych, liczbę osób),
- prawdopodobne skutki,
- środki podjęte lub planowane,
- dane kontaktowe do dalszej koordynacji.
§9 Odpowiedzialność
Odpowiedzialność Procesora wynikająca z DPA jest ograniczona do limitów odpowiedzialności określonych w umowie głównej. Wyłączenie nie obejmuje przypadków rażącego niedbalstwa lub winy umyślnej.
§10 Postanowienia końcowe
- DPA stanowi załącznik do umowy głównej i jest jej integralną częścią.
- W przypadku sprzeczności z umową główną, w zakresie ochrony danych pierwszeństwo ma DPA.
- Zmiany DPA wymagają formy pisemnej (email zaakceptowany przez obie strony wystarczy).
- Prawo właściwe: prawo polskie. Sąd właściwy: zgodnie z umową główną.
Załącznik A — Lista pod-procesorów
- Supabase Inc. — hosting bazy danych, autoryzacja, storage. Lokalizacja: UE (Frankfurt) z infrastrukturą zarządzaną z USA. Podstawa transferu: SCC.
- Cloudflare Inc. — hosting frontu, WAF, anty-bot, CDN. Lokalizacja: UE/USA (sieć globalna). Podstawa: SCC.
- OpenAI L.L.C. — generowanie treści i obrazów (API). Lokalizacja: USA. Podstawa: SCC + dodatkowa polityka non-training dla API.
- Resend Inc. — wysyłka maili transakcyjnych. Lokalizacja: UE/USA. Podstawa: SCC.
- Meta Platforms Ireland Ltd. — publikacja postów na Facebooku i Instagramie (na podstawie tokenów Administratora). Lokalizacja: UE.
- Automattic Inc. / instalacja WordPress Klienta — publikacja postów (na podstawie tokenów Administratora). Lokalizacja: wg lokalizacji instalacji.
- LinkedIn Corporation — publikacja postów (na podstawie tokenów Administratora). Lokalizacja: USA. Podstawa: SCC.
Wersja PDF do podpisu — niniejsza strona jest publiczną wersją informacyjną. Wiążąca DPA wymaga podpisanej kopii z uzupełnionymi danymi Twojej firmy. Napisz na support@publineo.com z tematem "DPA" — odsyłamy gotowy do podpisu PDF w ciągu 5 dni roboczych.