Skip to main content Skip to footer
Publi
neo
FunkcjeCennikFAQZaloguj sięZałóż konto
🇬🇧 English
← Strona głównaDokumenty

DPA — Umowa powierzenia przetwarzania danych

Aktualizacja: 22 maja 2026

Czym jest DPA i kiedy jest potrzebna

Jeśli korzystasz z Publineo w celach komercyjnych i Twoja firma w ramach tej współpracy przekazuje nam dane osobowe (np. pracowników, klientów, obserwatorów Twoich stron), RODO art. 28 wymaga zawarcia umowy powierzenia przetwarzania danych (Data Processing Agreement, DPA).

DPA reguluje, kto jest Administratorem (Twoja firma), a kto Procesorem (ITAMA jako operator Publineo), jakie mamy obowiązki, gdzie trafiają dane, jak długo je trzymamy i co robimy w razie incydentu.

Jak otrzymać podpisaną kopię DPA? Napisz na support@publineo.com z tematem "DPA" i podaj dane swojej firmy (nazwa, NIP, adres, osoba reprezentująca). Odsyłamy podpisaną PDF w ciągu 5 dni roboczych — bez dodatkowych opłat.

Strony umowy

Administrator danych (Klient)

Twoja firma — pełne dane uzupełniamy w wersji do podpisu na podstawie informacji, które przekażesz w mailu (nazwa, adres, NIP, osoba reprezentująca).

Procesor danych (ITAMA)

  • Nazwa: F. H. U. ITAMA Dariusz Niemczak
  • Adres: ul. Starowiejska 16/2, 81-356 Gdynia
  • NIP: 9581479203
  • REGON: 222025985
  • Reprezentowany przez: Dariusz Niemczak
  • support@publineo.com

§1 Przedmiot i czas trwania powierzenia

  • Administrator powierza Procesorowi dane osobowe do przetwarzania wyłącznie w celu świadczenia usług platformy Publineo zgodnie z umową główną (regulamin + subskrypcja).
  • DPA obowiązuje przez cały czas trwania umowy głównej.

§2 Charakter, cel i zakres przetwarzania

Cel: generowanie i publikacja treści marketingowych w mediach społecznościowych w imieniu Administratora.

Charakter operacji: przechowywanie, organizowanie, przekazywanie do podmiotów trzecich (kanały social wskazane przez Administratora), generowanie pochodnych (treści AI).

Kategorie osób:

  • pracownicy / współpracownicy Administratora posiadający konta w Publineo,
  • obserwatorzy / klienci Administratora w zakresie, w jakim ich dane występują w treściach publikowanych przez Administratora.

Kategorie danych:

  • dane identyfikacyjne (imię, nazwisko, email, hasło — w postaci kryptograficznego skrótu),
  • dane kontaktowe pracowników,
  • tokeny dostępu do kanałów zewnętrznych (Facebook, Instagram, WordPress, LinkedIn) udzielone przez Administratora,
  • treści postów wprowadzone lub zatwierdzone przez Administratora,
  • logi techniczne (IP, czas akcji).

§3 Obowiązki Procesora

  1. Przetwarza dane wyłącznie na udokumentowane polecenie Administratora (umowa główna i DPA stanowią takie polecenie). O wszelkich rozszerzeniach polecenia Administrator informuje pisemnie (email wystarczy).
  2. Zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności.
  3. Wdraża odpowiednie środki techniczne i organizacyjne (patrz §6).
  4. Pomaga Administratorowi w realizacji praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przenoszenie). Standardowy czas reakcji: 5 dni roboczych.
  5. Pomaga Administratorowi w obowiązkach z art. 32–36 RODO (bezpieczeństwo, ocena skutków, zgłaszanie naruszeń).
  6. Po zakończeniu umowy głównej, na wybór Administratora, usuwa lub zwraca wszystkie dane osobowe i kasuje istniejące kopie, chyba że prawo wymaga ich dalszego przechowywania (np. faktury — 5 lat).
  7. Udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwia audyty zgodnie z §7.

§4 Pod-procesorzy

  1. Administrator wyraża ogólną zgodę na korzystanie z pod-procesorów wymienionych w Załączniku A (lista poniżej).
  2. Procesor informuje Administratora mailem o zamiarze dodania lub zmiany pod-procesora z 14-dniowym wyprzedzeniem. Administrator może zgłosić uzasadniony sprzeciw — wówczas strony mają 30 dni na rozwiązanie sporu, po którym DPA wygasa za odpowiednim wypowiedzeniem.
  3. Procesor zawiera z każdym pod-procesorem umowę powierzenia o standardach nie niższych niż niniejsza DPA. Procesor odpowiada wobec Administratora za działania pod-procesorów jak za własne.

§5 Transfer danych poza EOG

  1. Niektórzy pod-procesorzy znajdują się w USA (m.in. OpenAI, Cloudflare, Resend). Transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych Decyzją Komisji (UE) 2021/914.
  2. Procesor wdraża dodatkowe środki ochrony (szyfrowanie w tranzycie i w spoczynku, kontrola dostępu, pseudonimizacja gdzie zasadne).

§6 Środki bezpieczeństwa

Stosujemy m.in.:

  • Szyfrowanie: TLS w tranzycie, AES-256 w spoczynku (dane bazy), tokeny zewnętrzne szyfrowane na poziomie aplikacji.
  • Kontrola dostępu: RLS (Row-Level Security) w bazie danych, segregacja ról systemowych (Admin / Editor / User), logi audytowe.
  • Uwierzytelnianie: TOTP MFA wymagana dla kont administracyjnych, anty-bot na endpointach logowania (Cloudflare Turnstile), rate limity.
  • Sieć: Cloudflare WAF, geo-blokady na panelu administracyjnym, izolacja domenowa (osobny origin dla panelu).
  • Kopie zapasowe: codzienne kopie zapasowe bazy danych z retencją 30 dni.
  • Monitorowanie: logi audytowe akcji administracyjnych, retencja 12 miesięcy.
  • Reakcja na incydent: procedura zgłaszania naruszeń w ciągu 24 h od wykrycia.

§7 Audyt

  1. Administrator (lub niezależny audytor wyznaczony przez Administratora) ma prawo do audytu Procesora, nie częściej niż raz w roku, z 30-dniowym uprzedzeniem.
  2. Audyt nie może zakłócać normalnej pracy Procesora ani naruszać poufności danych innych klientów. W praktyce audyt obejmuje przegląd dokumentacji bezpieczeństwa, wyników testów oraz odpowiedzi na pytania.

§8 Naruszenia ochrony danych

Procesor zgłasza Administratorowi naruszenie ochrony danych osobowych bez zbędnej zwłoki, nie później niż 24 godziny od uzyskania o nim wiedzy. Zgłoszenie zawiera:

  • charakter naruszenia (kategorie danych, liczbę osób),
  • prawdopodobne skutki,
  • środki podjęte lub planowane,
  • dane kontaktowe do dalszej koordynacji.

§9 Odpowiedzialność

Odpowiedzialność Procesora wynikająca z DPA jest ograniczona do limitów odpowiedzialności określonych w umowie głównej. Wyłączenie nie obejmuje przypadków rażącego niedbalstwa lub winy umyślnej.

§10 Postanowienia końcowe

  1. DPA stanowi załącznik do umowy głównej i jest jej integralną częścią.
  2. W przypadku sprzeczności z umową główną, w zakresie ochrony danych pierwszeństwo ma DPA.
  3. Zmiany DPA wymagają formy pisemnej (email zaakceptowany przez obie strony wystarczy).
  4. Prawo właściwe: prawo polskie. Sąd właściwy: zgodnie z umową główną.

Załącznik A — Lista pod-procesorów

  • Supabase Inc. — hosting bazy danych, autoryzacja, storage. Lokalizacja: UE (Frankfurt) z infrastrukturą zarządzaną z USA. Podstawa transferu: SCC.
  • Cloudflare Inc. — hosting frontu, WAF, anty-bot, CDN. Lokalizacja: UE/USA (sieć globalna). Podstawa: SCC.
  • OpenAI L.L.C. — generowanie treści i obrazów (API). Lokalizacja: USA. Podstawa: SCC + dodatkowa polityka non-training dla API.
  • Resend Inc. — wysyłka maili transakcyjnych. Lokalizacja: UE/USA. Podstawa: SCC.
  • Meta Platforms Ireland Ltd. — publikacja postów na Facebooku i Instagramie (na podstawie tokenów Administratora). Lokalizacja: UE.
  • Automattic Inc. / instalacja WordPress Klienta — publikacja postów (na podstawie tokenów Administratora). Lokalizacja: wg lokalizacji instalacji.
  • LinkedIn Corporation — publikacja postów (na podstawie tokenów Administratora). Lokalizacja: USA. Podstawa: SCC.

Wersja PDF do podpisu — niniejsza strona jest publiczną wersją informacyjną. Wiążąca DPA wymaga podpisanej kopii z uzupełnionymi danymi Twojej firmy. Napisz na support@publineo.com z tematem "DPA" — odsyłamy gotowy do podpisu PDF w ciągu 5 dni roboczych.

Polityka prywatności · Regulamin · Usuwanie danych · Strona główna

Publi
neo

AI do social media po polsku. Twórz, zatwierdzaj, publikuj — na Facebooku, Instagramie, WordPressie i LinkedInie. Bez kopiowania między aplikacjami.

Produkt

  • Funkcje
  • Cennik
  • FAQ
  • Zaloguj się
  • Załóż konto

Firma

F. H. U. ITAMA
ul. Starowiejska 16/2
81-356 Gdynia
NIP: 9581479203
REGON: 222025985

support@publineo.com

Dokumenty

  • Polityka prywatności
  • Regulamin
  • Usuwanie danych
  • DPA (dla firm)

© 2026 Publineo · Wszystkie prawa zastrzeżone

Logując się przez Facebooka, udostępniasz Publineo dostęp wyłącznie do swoich stron firmowych — nigdy do profilu osobistego.