Umowa powierzenia przetwarzania (art. 28 RODO)

Stan na: 5 maja 2026. Niniejsza umowa powierzenia („DPA") konkretyzuje obowiązki z art. 28 RODO. Zawierana między klientem biznesowym („Administrator") a Studio Apps Sp. z o.o. („Podmiot przetwarzający") z chwilą zawarcia umowy hostingowej. Wersja polska wyłącznie informacyjna.

§ 1 Przedmiot i czas trwania

(1) Przedmiot: przetwarzanie danych osobowych powierzonych w ramach hostingu — zwłaszcza zapytania rezerwacyjne z formularza strony klienta.

(2) Czas trwania: równy umowie głównej.

§ 2 Charakter i cel

Hosting strony, przyjmowanie i przechowywanie zapytań rezerwacyjnych, wysyłka e-maili potwierdzających, monitoring bezpieczeństwa (anti-spam/bot).

§ 3 Kategorie danych i osób

Dane: imię, nazwisko, e-mail, telefon (jeśli podany), data/okres rezerwacji, liczba osób, wiadomość, metadane techniczne (IP, user-agent, timestamp).

Osoby: użytkownicy końcowi (goście) strony rezerwacyjnej Administratora.

§ 4 Obowiązki Podmiotu przetwarzającego

(1) Przetwarzanie wyłącznie na udokumentowane polecenie Administratora.

(2) Poufność personelu.

(3) TOM zgodnie z art. 32 RODO — Załącznik 1.

(4) Wsparcie dla praw osób (art. 12-22) i DPIA (art. 35 f.).

(5) Notyfikacja naruszenia danych — niezwłocznie, max 48h od powzięcia (aby Administrator zachował 72h z art. 33).

(6) Po zakończeniu — usunięcie lub zwrot danych wg wyboru Administratora.

(7) Udostępnienie informacji potrzebnych do wykazania zgodności z art. 28.

§ 5 Podpodmioty

(1) Administrator wyraża zgodę generalną (art. 28 ust. 2 RODO) na korzystanie z podpodmiotów z Załącznika 2.

(2) Zmiany — powiadomienie e-mailem 30 dni naprzód. Sprzeciw uzasadniony w 14 dni; w razie skutecznego sprzeciwu — możliwość rozwiązania umowy.

(3) Każdy podpodmiot — taki sam poziom ochrony jak DPA.

§ 6 Transfery międzynarodowe

Transfery do krajów trzecich (USA) wyłącznie na podstawie SCC (decyzja 2021/914, Moduł 3) plus środki uzupełniające oraz — gdzie ma zastosowanie — decyzja adekwatności 2023/1795 (EU-US DPF).

§ 7 Audyt

(1) Wykazanie zgodności przez aktualne certyfikaty i opisy TOM — udostępniane na żądanie.

(2) Audyt na miejscu — z 30-dniowym wyprzedzeniem, w godzinach pracy, proporcjonalny. Opłata za audyt rozliczana ryczałtowo, z wyjątkiem audytów wskutek konkretnych przesłanek naruszenia.

§ 8 Odpowiedzialność

Postanowienia z umowy głównej (§ 15 OWH). Wobec osób trzecich — art. 82 RODO.

§ 9 Postanowienia końcowe

(1) Sprzeczności z umową główną — pierwszeństwo DPA w sprawach RODO.

(2) Klauzula salwatoryjna.

Załącznik 1 — TOM

• Poufność: RLS w DB, MFA, audit logi.
• Integralność: TLS 1.2+, szyfrowane połączenia DB, kontrole backupów.
• Dostępność: codzienne backupy (7 dni PITR), HA, SLA 99,5 %.
• Odporność: Cloudflare CDN, rate limit, WAF.
• Szyfrowanie: at rest (Supabase) i in transit (TLS).
• Pseudonimizacja: UUID zamiast ID rozpoznawalnych; rozdzielenie tożsamości admin.
• Cykl przeglądu: kwartalny security review, roczny update TOM.
• Separacja: logiczna, prod/dev rozdzielone.

Załącznik 2 — Zatwierdzeni podpodprzetwarzający