Umowa powierzenia przetwarzania danych (DPA)

Ostatnia aktualizacja: 2026-05-01 · Wersja: 1.0

Uwaga: Niniejszy dokument jest projektem (draft) i wymaga weryfikacji prawnej przed publikacją produkcyjną. Wzór należy dostosować do faktycznego zakresu przetwarzania, listy subprocesorów i warunków handlowych.

1. Strony i preambuła

Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej „DPA") zawierana jest pomiędzy:

Administratorem — Użytkownikiem Platformy CzystePRO, który wprowadza do niej dane osobowe swoich klientów końcowych lub innych osób, w stosunku do których jest administratorem (dalej „Administrator"),
Przetwarzającym — CzystePRO sp. z o.o., ul. Przykładowa 1, 00-000 Warszawa, NIP 0000000000 (dalej „Przetwarzający" lub „CzystePRO").

DPA stanowi integralną część regulaminu świadczenia usług. Akceptacja regulaminu jest równoznaczna z zawarciem niniejszej DPA. Niniejszy dokument realizuje wymóg z art. 28 ust. 3 RODO.

2. Przedmiot powierzenia

Przedmiotem powierzenia są czynności przetwarzania danych osobowych, jakie Przetwarzający wykonuje w imieniu Administratora w toku świadczenia usługi Platformy, w szczególności:

przechowywanie danych klientów końcowych Administratora w bazie danych;
udostępnianie danych Administratorowi w interfejsie Platformy;
generowanie dokumentów (audyty, oferty, raporty PDF, eksporty XML) na podstawie tych danych;
obsługa techniczna, kopie zapasowe, monitoring bezpieczeństwa.

Czas trwania: przez okres obowiązywania umowy o świadczenie usługi i — w zakresie kopii zapasowych — przez okres ich przechowywania (do 35 dni po usunięciu).

Charakter, cel: realizacja umowy o świadczenie usługi w modelu SaaS.

3. Zakres i kategorie danych

Kategorie osób, których dane dotyczą:

klienci końcowi Administratora (osoby fizyczne, dla których Administrator wykonuje pre-audyt, audyt, ofertę, dokumentację programu Czyste Powietrze lub Mój Prąd);
kontrahenci Administratora ujawnieni w pipeline'ie CRM.

Kategorie danych:

dane identyfikacyjne (imię, nazwisko, adres);
dane kontaktowe (telefon, e-mail);
dane lokalu / nieruchomości (adres, parametry techniczne budynku);
dane dotyczące kondycji energetycznej (klasa, EU/EK/EP, parametry instalacji);
dane finansowe (szacowane koszty, wnioskowana kwota dotacji);
inne dane wprowadzone przez Administratora w polach formularzy Platformy.

Dane szczególnych kategorii (art. 9 RODO): Platforma nie jest przeznaczona do przetwarzania szczególnych kategorii danych ani danych dotyczących wyroków skazujących. Administrator zobowiązuje się nie wprowadzać takich danych.

4. Obowiązki Przetwarzającego

Przetwarzający:

przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora — za takie polecenie uznaje się również korzystanie przez Administratora z funkcji Platformy zgodnie z dokumentacją;
zapewnia, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu obowiązkowi ustawowemu;
podejmuje wszelkie środki wymagane na mocy art. 32 RODO (zob. sekcja 6);
pomaga Administratorowi w realizacji praw osób, których dane dotyczą (sekcja 7);
po zakończeniu świadczenia usługi usuwa lub zwraca dane (sekcja 11);
udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwia audyt (sekcja 9).

5. Podprocesorzy

Administrator wyraża ogólną zgodę na korzystanie przez Przetwarzającego z dalszych podmiotów przetwarzających („podprocesorów"). Aktualna lista znajduje się w polityce prywatności oraz poniżej:

Podprocesor	Cel	Lokalizacja
Supabase Inc.	Baza danych, autentykacja użytkowników, przechowywanie plików	EU (Frankfurt)
Vercel Inc.	Hosting aplikacji, dostarczanie treści (CDN)	USA (transfery na podstawie Standard Contractual Clauses + DPF)
Stripe Payments Europe Ltd.	Realizacja płatności, fakturowanie, zarządzanie subskrypcjami	Irlandia (EU) + USA (DPF)
Google LLC (Gemini API)	Asystent AI — generowanie odpowiedzi na zapytania użytkownika	USA (DPF)
Google LLC (Google Analytics 4)	Analityka ruchu na stronach publicznych (po wyrażeniu zgody)	USA (DPF, IP anonimizowane)

O każdej zmianie listy podprocesorów (dodanie, zastąpienie) Przetwarzający poinformuje Administratora drogą mailową lub przez ogłoszenie w Platformie z co najmniej 30-dniowym wyprzedzeniem. Administrator może wnieść uzasadniony sprzeciw — w takim przypadku Przetwarzającemu przysługuje prawo rozwiązania umowy z 30-dniowym wypowiedzeniem.

Przetwarzający zapewnia, że każdy podprocesor jest związany umową gwarantującą poziom ochrony danych nie niższy niż określony w niniejszej DPA.

6. Środki techniczne i organizacyjne (art. 32 RODO)

Szyfrowanie ruchu (TLS 1.2+) oraz danych w spoczynku (AES);
Izolacja danych poszczególnych Administratorów na poziomie bazy danych (Row Level Security w PostgreSQL);
Kontrola dostępu oparta o role, MFA dla kont administracyjnych, zasada najmniejszych uprawnień;
Logowanie zdarzeń dostępu i zmian o znaczeniu bezpieczeństwa;
Kopie zapasowe bazy danych z polityką retencji do 35 dni; testy odtworzenia;
Procedury reagowania na incydenty bezpieczeństwa;
Hardening infrastruktury dostarczanej przez podprocesorów (Vercel, Supabase) — zgodnie z ich certyfikacjami (m.in. SOC 2 Type II);
Pseudonimizacja w logach diagnostycznych tam, gdzie nie jest wymagane wskazanie podmiotu danych.

Środki podlegają regularnemu przeglądowi i są aktualizowane stosownie do zmieniających się ryzyk i stanu wiedzy technicznej.

7. Pomoc Administratorowi

Przetwarzający — w miarę możliwości i biorąc pod uwagę charakter przetwarzania — pomaga Administratorowi w wywiązaniu się z obowiązków:

obsługi żądań osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, sprzeciw, przenoszenie);
zapewnienia bezpieczeństwa przetwarzania;
zgłaszania naruszeń ochrony danych;
oceny skutków dla ochrony danych (DPIA) oraz uprzednich konsultacji.

Funkcje samoobsługowe Platformy (eksport danych, usunięcie projektu, usunięcie konta) stanowią podstawowy mechanizm pomocy. Wsparcie wykraczające poza standardowe funkcje może wiązać się z opłatą.

8. Naruszenia ochrony danych

W przypadku stwierdzenia naruszenia ochrony danych osobowych Przetwarzający zawiadamia Administratora bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od stwierdzenia naruszenia. Powiadomienie zawiera w szczególności:

opis charakteru naruszenia;
kategorie i przybliżoną liczbę osób oraz wpisów, których dotyczy;
możliwe konsekwencje;
środki zastosowane lub proponowane do zastosowania w celu zaradzenia naruszeniu.

Obowiązek zawiadomienia Prezesa UODO oraz osób, których dane dotyczą, spoczywa na Administratorze (art. 33–34 RODO). Przetwarzający dostarczy informacje niezbędne do realizacji tego obowiązku.

9. Audyt

Administratorowi przysługuje prawo weryfikacji wywiązywania się Przetwarzającego z obowiązków określonych w DPA. Uprawnienie to realizowane jest w pierwszej kolejności przez:

przegląd dokumentacji bezpieczeństwa udostępnianej przez Przetwarzającego;
otrzymywanie raportów z audytów zewnętrznych podprocesorów (gdy są dostępne);
odpowiedzi na pisemne pytania Administratora.

Audyt na miejscu jest możliwy w uzasadnionych przypadkach, po wcześniejszym uzgodnieniu zakresu, terminu i warunków, w tym pokrycia rozsądnych kosztów audytu przez Administratora.

10. Transfery poza Europejski Obszar Gospodarczy

Część podprocesorów zlokalizowana jest poza EOG. Transfery odbywają się na podstawie:

EU–U.S. Data Privacy Framework (DPF) — dla certyfikowanych dostawców;
standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską;
dodatkowych zabezpieczeń technicznych (szyfrowanie).

11. Zwrot lub usunięcie danych

Po zakończeniu świadczenia usługi (rozwiązanie umowy, anulowanie subskrypcji bez dalszego planu) Administrator ma prawo:

do 30 dni od zakończenia — pobrać dane w formacie ustrukturyzowanym przez funkcję eksportu w Platformie;
żądać usunięcia danych — zostaną usunięte z systemów aktywnych w ciągu 14 dni od żądania, a z kopii zapasowych — w toku ich naturalnej rotacji (do 35 dni od usunięcia z systemów aktywnych).

Po upływie powyższych terminów dane zostają trwale usunięte, chyba że obowiązek ich dalszego przechowywania wynika z przepisów prawa (np. dane do faktur — przepisy podatkowe).

12. Odpowiedzialność

Każda ze stron odpowiada za naruszenie przepisów RODO w zakresie, w jakim ponosi za nie winę. Odpowiedzialność Przetwarzającego z tytułu DPA ograniczona jest do wysokości opłat wniesionych przez Administratora w 12 miesiącach poprzedzających zdarzenie. Ograniczenie nie dotyczy szkód wyrządzonych z winy umyślnej ani odpowiedzialności wynikającej bezpośrednio z RODO.

13. Postanowienia końcowe

W sprawach nieuregulowanych zastosowanie mają przepisy RODO i prawa polskiego. W przypadku kolizji niniejszej DPA z innymi postanowieniami umowy o świadczenie usługi, w zakresie ochrony danych pierwszeństwo ma DPA.

Aktualna wersja DPA dostępna jest pod adresem czystepro.pl/dpa. O istotnych zmianach Administrator zostanie powiadomiony zgodnie z procedurą zmian regulaminu.

Kontakt w sprawach ochrony danych: rodo@czystepro.pl.