Umowa o powierzeniu przetwarzania danych

Ostatnia aktualizacja: 13 kwietnia 2026

Niniejsza Umowa o powierzeniu przetwarzania danych ("DPA") stanowi część Warunków korzystania z usługi WaiverKit zawartych pomiędzy WaiverKit ("Podmiot przetwarzający") a klientem ("Administrator") i odzwierciedla porozumienie stron w zakresie przetwarzania danych osobowych zgodnie z wymogami art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz, w stosownych przypadkach, brytyjskiego RODO i szwajcarskiej ustawy FADP.

1. Przedmiot i czas trwania

Przedmiotem przetwarzania jest świadczenie Administratorowi cyfrowej platformy oświadczeń WaiverKit. Przetwarzanie trwa tak długo, jak długo Administrator utrzymuje aktywne konto, oraz przez odpowiedni okres przechowywania po zakończeniu umowy opisany w sekcji 11.

2. Charakter i cel przetwarzania

Podmiot przetwarzający przetwarza dane osobowe wyłącznie w celu hostowania, dostarczania, zabezpieczania i wspierania usługi WaiverKit: zbierania i przechowywania podpisanych oświadczeń, generowania dokumentów PDF, wysyłania wiadomości transakcyjnych, uwierzytelniania użytkowników, przetwarzania płatności oraz tworzenia analiz w imieniu Administratora.

3. Rodzaje danych osobowych i kategorie osób, których dane dotyczą

Przetwarzane dane osobowe mogą obejmować:

Dane identyfikacyjne osoby podpisującej (imię i nazwisko, data urodzenia, adres, e-mail, telefon)
Obrazy podpisów oraz podpisy wpisywane
Dane opiekunów w przypadku nieletnich osób podpisujących
Dane konta użytkownika biznesowego (imię i nazwisko, e-mail, identyfikatory uwierzytelniania, adres IP)

Kategorie osób, których dane dotyczą, obejmują: uczestników podpisujących oświadczenia, opiekunów nieletnich uczestników oraz pracowników lub upoważnionych użytkowników Administratora.

4. Obowiązki i prawa Administratora

Administrator odpowiada za zgodność z prawem zbierania i przetwarzania danych osobowych, za uzyskanie wszelkich niezbędnych zgód osób, których dane dotyczą, za poprawność poleceń wydawanych Podmiotowi przetwarzającemu oraz za zapewnienie, że konfigurowane przez niego szablony oświadczeń i procesy są zgodne z obowiązującym prawem. Administrator zachowuje wszystkie prawa do danych osobowych i może w dowolnym momencie wydawać udokumentowane polecenia Podmiotowi przetwarzającemu.

5. Podwykonawcy przetwarzania

Administrator upoważnia Podmiot przetwarzający do korzystania z następujących podwykonawców w celu świadczenia usługi:

Clerk (uwierzytelnianie, zarządzanie sesjami i katalog użytkowników).
Stripe (przetwarzanie płatności i rozliczanie subskrypcji).
Resend (dostarczanie wiadomości transakcyjnych).
Cloudflare R2 (przechowywanie obiektowe obrazów podpisów i artefaktów PDF).
Vercel (hosting aplikacji, sieć brzegowa i kierowanie żądaniami).
Neon (Postgres) (zarządzany hosting bazy danych Postgres dla danych strukturalnych).

Podmiot przetwarzający powiadomi Administratora o każdym planowanym dodaniu lub zastąpieniu podwykonawcy, zapewniając rozsądną możliwość zgłoszenia sprzeciwu z uzasadnionych powodów.

6. Środki bezpieczeństwa

Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:

Szyfrowanie w transmisji (TLS 1.2+) i w spoczynku dla bazy danych oraz przechowywania obiektowego
Kontrola dostępu oparta na rolach oraz zasada najmniejszych uprawnień IAM w całej infrastrukturze
Izolacja najemców wymuszana na warstwie aplikacji i zapytań
Rejestrowanie działań administracyjnych oraz dostępu do danych osobowych
Regularne kopie zapasowe, automatyczne skanowanie zależności oraz procedury reagowania na incydenty

7. Prawa osób, których dane dotyczą

Uwzględniając charakter przetwarzania, Podmiot przetwarzający pomoże Administratorowi za pomocą odpowiednich środków technicznych i organizacyjnych w wypełnianiu obowiązku odpowiadania na żądania osób, których dane dotyczą, korzystających z praw dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu na mocy art. 15 do 22 RODO.

8. Powiadamianie o naruszeniu danych

Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od uzyskania informacji o naruszeniu danych osobowych dotyczącym danych Administratora. Powiadomienie będzie zawierać opis charakteru naruszenia, prawdopodobne konsekwencje, podjęte lub proponowane działania oraz punkt kontaktowy do uzyskania dalszych informacji.

9. Transfery międzynarodowe

W przypadku przekazywania danych osobowych poza Europejski Obszar Gospodarczy, Zjednoczone Królestwo lub Szwajcarię do kraju bez decyzji stwierdzającej odpowiedni stopień ochrony, takie transfery podlegają Standardowym Klauzulom Umownym (SCC) Komisji Europejskiej oraz, w stosownych przypadkach, brytyjskiemu International Data Transfer Addendum i szwajcarskiemu aneksowi, wraz z dodatkowymi środkami wymaganymi przez ocenę skutków transferu.

10. Prawa audytu

Podmiot przetwarzający udostępni Administratorowi wszystkie informacje rozsądnie niezbędne do wykazania zgodności z niniejszą DPA oraz umożliwi i wniesie wkład w audyty, w tym inspekcje, przeprowadzane przez Administratora lub audytora upoważnionego przez Administratora, z zastrzeżeniem rozsądnych obowiązków poufności, nie częściej niż raz w roku kalendarzowym, z wyjątkiem udokumentowanych incydentów bezpieczeństwa lub żądań regulacyjnych.

11. Zakończenie, zwrot i usunięcie

Po zakończeniu umowy Podmiot przetwarzający, według wyboru Administratora, usunie lub zwróci wszystkie dane osobowe przetwarzane w imieniu Administratora oraz usunie istniejące kopie, chyba że obowiązujące prawo wymaga dalszego przechowywania. Kopie zapasowe zawierające dane osobowe zostaną usunięte w normalnym cyklu retencji kopii zapasowych.

Potrzebujesz podpisanej kopii?

Ta strona stanowi standardową DPA WaiverKit. W sprawie kontrasygnowanej kopii lub dla organizacji wymagających niestandardowej DPA nasz zespół prawny chętnie pomoże.

Poproś o podpisaną kopię Skontaktuj się z nami