Umowa powierzenia przetwarzania danych (DPA)

1. Preambuła

Niniejsza Umowa powierzenia przetwarzania danych osobowych („DPA”) stanowi integralny załącznik do Regulaminu Serwisu Braxen. Programigo Sp. z o.o. („Procesor”) przetwarza dane osobowe na zlecenie Użytkownika („Administrator”, „ADO”) w rozumieniu art. 28 RODO.

2. Strony i definicje

• Administrator/ADO: Użytkownik Serwisu Braxen.
• Procesor: Programigo Sp. z o.o., ul. M. Niedziałkowskiego 49, 41-800 Zabrze, NIP: 6342922875, REGON: 369414738, KRS: 0000717238, tel. 459 114 688, e-mail: kontakt@programigo.com.
• Dane osobowe: zgodnie z art. 4 pkt 1 RODO.
• Instrukcje: udokumentowane polecenia ADO, w tym poprzez panel Serwisu i API.
• Podprzetwarzający: podmioty trzecie, którym Procesor powierza część operacji przetwarzania.

3. Przedmiot, zakres, charakter i cel przetwarzania

• Przedmiot: świadczenie usług Braxen (automatyzacja SMS/e-mail, kampanie, analityka, API).
• Operacje: zbieranie, przechowywanie, organizowanie, wysyłka komunikatów, analityka, usuwanie oraz inne operacje niezbędne do wykonania usług.
• Cel: realizacja kampanii komunikacyjnych na zlecenie ADO.
• Czas trwania: okres umowy o świadczenie usług + okresy retencji opisane w Załączniku C/Polityce Prywatności.

4. Kategorie osób i rodzaje danych

• Kategorie osób: odbiorcy kampanii (klienci/potencjalni klienci ADO), użytkownicy kont ADO.
• Dane: imię, nazwisko, e-mail, numer telefonu, statusy zgód, preferencje, metadane komunikacji (czas, doręczenia), treść wiadomości (zakres ADO), identyfikatory kampanii.
• Szczególne kategorie/karne: nieprzewidziane; ADO nie powinien przekazywać danych z art. 9 i 10 RODO.

5. Obowiązki i prawa Administratora

• zapewnienie legalności przetwarzania (w tym zgód/opt-in zgodnych z PKE) i obowiązków informacyjnych,
• odpowiedzialność za treści i adekwatność danych,
• wydawanie Procesorowi udokumentowanych instrukcji (panel/API).

6. Obowiązki Podmiotu przetwarzającego

• przetwarzanie wyłącznie na polecenie ADO (chyba że obowiązek wynika z prawa UE/PL),
• poufność osób upoważnionych,
• wdrożenie odpowiednich środków technicznych i organizacyjnych (Załącznik A),
• wspieranie ADO w realizacji praw osób (art. 15–22), bezpieczeństwa (art. 32) i obowiązków (art. 33–36),
• prowadzenie rejestrów kategorii czynności i udostępnianie informacji niezbędnych do wykazania zgodności,
• udostępnianie logów dostępu do danych systemowych na racjonalnie uzasadniony wniosek ADO.

7. Podprzetwarzanie

Procesor może korzystać z Podprzetwarzających (hosting, bramki SMS/e-mail, monitoring, analityka). Zapewnia im obowiązki równoważne niniejszemu DPA. Aktualna lista i lokalizacje są publikowane w panelu Serwisu/Polityce Podprzetwarzających.

Procesor poinformuje ADO o zmianach z 14-dniowym wyprzedzeniem; ADO przysługuje prawo uzasadnionego sprzeciwu. W razie skutecznego sprzeciwu Strony podejmą działania ograniczające lub – jeśli to konieczne – rozwiążą Umowę w części dotyczącej danego zakresu.

8. Transfery do państw trzecich

Co do zasady dane są przetwarzane w obrębie EOG. Jeżeli przetwarzanie obejmuje transfer poza EOG, Procesor stosuje mechanizmy rozdz. V RODO (np. standardowe klauzule umowne) oraz przeprowadza Transfer Impact Assessment (TIA). Szczegóły i lokalizacje: Załącznik B/panel.

9. Zgłaszanie naruszeń bezpieczeństwa

Procesor bez zbędnej zwłoki informuje ADO o naruszeniu ochrony danych, przekazując dostępne informacje (charakter naruszenia, kategorie i przybliżona liczba osób/danych, możliwe konsekwencje, środki zaradcze, punkt kontaktowy). Informacja jest przekazywana w terminie umożliwiającym ADO dokonanie oceny ryzyka i – w razie potrzeby – zgłoszenie organowi w ciągu 72 godzin od stwierdzenia naruszenia przez ADO.

10. Audyty i inspekcje

ADO może przeprowadzić raz w roku audyt (on-site lub zdalny) po 14-dniowym powiadomieniu i uzgodnieniu zakresu; w przypadkach uzasadnionych – częściej. Koszty audytu ponosi ADO; w razie stwierdzenia naruszenia po stronie Procesora – uzasadnione koszty ponosi Procesor.

11. Poufność i tajemnica

Procesor zapewnia poufność danych i informacji ADO uzyskanych w związku z wykonaniem Umowy.

12. Współpraca przy ocenie skutków (DPIA) i konsultacjach

Procesor udziela informacji niezbędnych do przeprowadzenia DPIA i ewentualnych konsultacji z organem nadzorczym.

13. Zakończenie przetwarzania: zwrot i usunięcie danych

• Po zakończeniu świadczenia Procesor – według wyboru ADO – usuwa wszystkie dane i kopie lub przekazuje je ADO w powszechnie używanym formacie, chyba że prawo wymaga dalszego przechowywania.
• Terminy: usunięcie/anonimizacja danych operacyjnych – do 30 dni; kopie zapasowe nadpisywane cyklicznie – do 90 dni, o ile przepisy nie stanowią inaczej.
• Logi dostępu systemowego – retencja do 12 miesięcy, chyba że dłuższa retencja jest wymagana do wykazania zgodności/rozliczalności.

14. Odpowiedzialność

Każda ze Stron odpowiada w zakresie wynikającym z RODO i przepisów krajowych. Odpowiedzialność Procesora ograniczona do szkód bezpośrednich powstałych z jego zawinionego naruszenia, z wyłączeniem utraconych korzyści, chyba że bezwzględnie obowiązujące przepisy stanowią inaczej.

15. Postanowienia końcowe

• Umowa podlega prawu polskiemu.
• Zmiany DPA mogą być wprowadzane na zasadach zmiany Regulaminu.
• DPA wchodzi w życie z chwilą akceptacji Regulaminu i obowiązuje przez czas trwania świadczenia usług.

Załącznik A – Środki techniczne i organizacyjne (art. 32 RODO)

• Organizacyjne: polityki bezpieczeństwa, szkolenia, upoważnienia i rejestry, kontrola dostępu, procedury usuwania, zarządzanie incydentami, oceny ryzyka.
• Techniczne: TLS w tranzycie, szyfrowanie danych spoczynkowych gdzie dotyczy, RBAC, MFA dla personelu, segmentacja sieci, monitorowanie i logowanie, testy bezpieczeństwa i aktualizacje, backupy z testami odtwarzania, pseudonimizacja/anonimizacja gdzie możliwe.
• Ciągłość działania: backupy, DRP, RTO/RPO adekwatne do usług.
• Dostępność i integralność: ochrona przed malware, aktualizacje, kontrola integralności, zasada least-privilege.

Załącznik B – Podprzetwarzający i transfery

Kategorie: hosting chmury (IaaS), bramki e-mail/SMS, systemy wysyłkowe i powiadomień, analityka, monitoring i logowanie. Aktualna lista, lokalizacje i ewentualne transfery poza EOG są publikowane w panelu Serwisu; ADO informowany jest z wyprzedzeniem i może wnieść sprzeciw.

Załącznik C – Procedury operacyjne

• Prawa osób: kanał kontaktu, weryfikacja tożsamości, realizacja w terminach RODO, rejestrowanie żądań.
• Incydenty: detekcja, klasyfikacja, eskalacja, raport do ADO, działania korygujące, post-mortem.
• Usuwanie danych: procedura operacyjna i harmonogram nadpisywania kopii zapasowych.