🔐 Załącznik do regulaminu

Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

Załącznik nr 1 do Regulaminu Serwisu Faktury-Alert.pl · Wersja obowiązująca od dnia 06.03.2026 r.

DPA Wprowadzenie

Niniejsza Umowa stanowi integralną część Regulaminu świadczenia usług serwisu Faktury-Alert.pl i zostaje zawarta pomiędzy Użytkownikiem (dalej: Administratorem) a MAMP Sp. z o.o. z siedzibą we Wrocławiu, ul. Księcia Witolda 49/15, 50-202 Wrocław, KRS 0001100277, NIP 8982306643 (dalej: Procesorem), zwanymi dalej łącznie „Stronami”.

📎Dokument jest przygotowany jako załącznik nr 1 do Regulaminu i może zostać opublikowany jako osobna podstrona, np. /dpa.html.

§ 1 Przedmiot umowy i charakter przetwarzania

  1. Administrator powierza Procesorowi przetwarzanie danych osobowych w celu realizacji Usługi monitoringu KSeF, przesyłania alertów SMS i e-mail oraz generowania zestawień, na zasadach opisanych w Regulaminie.
  2. Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora. Za udokumentowane polecenie uznaje się: akceptację Regulaminu, konfigurację NIP Monitorowanego w Serwisie oraz wszelkie dyspozycje i zmiany konfiguracji dokonane za pośrednictwem Konta lub Kanałów Automatycznych (w tym bota), które System rejestruje i przechowuje jako logi operacyjne.
  3. Przetwarzanie odbywa się w systemach informatycznych Procesora zlokalizowanych na terytorium Unii Europejskiej, przy czym infrastruktura serwerowa znajduje się we Francji.

§ 2 Zakres i kategorie danych

🛡️System został zaprojektowany w modelu Privacy by Design i domyślnie nie pobiera pełnej treści faktur, o ile nie jest to niezbędne do wykonania specyficznej operacji zleconej przez Użytkownika.

Procesor będzie przetwarzał dane osobowe zawarte w:

  • metadanych faktur pobieranych z KSeF,
  • danych konfiguracyjnych Konta.
Kategorie osób i rodzaje danych
Kategorie osóbKlienci, kontrahenci oraz pracownicy Administratora, których dane widnieją na fakturach kosztowych, a także osoby fizyczne wskazane jako kontakty do alertów.
Rodzaj danych osobowychNIP, nazwa firmy (w przypadku JDG często tożsama z imieniem i nazwiskiem osoby fizycznej), adres siedziby, numer rachunku bankowego IBAN, kwota transakcji (netto/VAT/brutto), termin płatności, tytuł przelewu, adres e-mail do zestawień i alertów, numer telefonu do alertów SMS.
Ograniczenie zakresuProcesor przetwarza wyłącznie dane niezbędne do realizacji celu określonego w § 1 ust. 1.

§ 3 Obowiązki Procesora

  1. Procesor zobowiązuje się do zabezpieczenia danych przed nieuprawnionym dostępem poprzez stosowanie szyfrowania — standard AES-256 dla danych w spoczynku oraz protokół SSL/TLS dla danych w transmisji.
  2. Procesor zapewnia, by osoby upoważnione do przetwarzania danych osobowych były zobowiązane do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  3. Procesor wdraża i utrzymuje odpowiednie techniczne i organizacyjne środki bezpieczeństwa, o których mowa w art. 32 RODO.
  4. Procesor pomaga Administratorowi, w miarę możliwości i stosownie do charakteru przetwarzania, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą.
  5. Procesor wspiera Administratora w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO, w tym dotyczących bezpieczeństwa, zgłaszania naruszeń i oceny skutków.
  6. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
⏱️Po powzięciu informacji o naruszeniu ochrony danych osobowych Procesor bez zbędnej zwłoki, nie później niż w ciągu 48 godzin, zgłasza je Administratorowi, przekazując co najmniej opis charakteru naruszenia, kategorię i przybliżoną liczbę osób i rekordów, prawdopodobne konsekwencje oraz zastosowane lub proponowane środki zaradcze.

§ 4 Podpowierzenie (Sub-processing)

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług innych podmiotów przetwarzających (dalej: Subprocesorzy) w celu realizacji Usługi.
Aktualna lista Subprocesorów
Subprocesor Zakres przetwarzania Siedziba
OVH SAS Hosting i utrzymanie infrastruktury serwerowej Francja (EOG)
DialCom24 Sp. z o.o. (Przelewy24) Procesowanie płatności Polska (EOG)
Operator bramki SMS Dostarczanie alertów SMS EOG
Dostawca usług e-mail Dostarczanie alertów e-mail i zestawień EOG
  1. Procesor zapewnia, że nałoży na Subprocesorów obowiązki ochrony danych osobowych nie mniej rygorystyczne niż określone w niniejszej Umowie, w szczególności poprzez zawarcie stosownych umów powierzenia przetwarzania.
  2. Procesor informuje Administratora o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia Subprocesorów, dając Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Informacja przekazywana jest drogą mailową lub poprzez aktualizację listy Subprocesorów w Serwisie z co najmniej 14-dniowym wyprzedzeniem.
  3. Przetwarzanie danych przez Subprocesorów odbywa się wyłącznie na terytorium Europejskiego Obszaru Gospodarczego. Procesor nie przekazuje danych osobowych do państw trzecich ani organizacji międzynarodowych.

§ 5 Odpowiedzialność Procesora

  1. Procesor ponosi odpowiedzialność za szkody spowodowane przetwarzaniem wyłącznie wtedy, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza udokumentowanymi poleceniami Administratora lub wbrew tym poleceniom.
  2. Procesor nie ponosi odpowiedzialności wobec Administratora za naruszenia wynikające z:
    • udostępnienia przez Administratora danych dostępowych do Konta lub Kanałów Automatycznych osobom trzecim,
    • błędów, luk w zabezpieczeniach lub naruszeń po stronie systemów Ministerstwa Finansów (KSeF) lub innych systemów zewnętrznych,
    • działań lub zaniechań Subprocesorów, o ile Procesor dochował należytej staranności przy ich wyborze i nadzorze.
  3. Łączna odpowiedzialność odszkodowawcza Procesora wobec Administratora z tytułu naruszenia niniejszej Umowy jest ograniczona do wysokości ostatniego opłaconego abonamentu miesięcznego za jeden NIP Monitorowany. Ograniczenie to dotyczy wyłącznie wzajemnych roszczeń Stron i nie narusza praw osób trzecich ani uprawnień organów nadzorczych wynikających z art. 82 i 83 RODO.

§ 6 Prawo kontroli

  1. Administrator ma prawo do uzyskania od Procesora wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO, a także do przeprowadzania audytów lub inspekcji.
  2. Strony ustalają, że audyty przeprowadzane są co do zasady w formie kwestionariuszy elektronicznych przesyłanych na adres biuro@mamp.pl. Audyt w innej formie wymaga uprzedniego pisemnego uzgodnienia zakresu i terminu z Procesorem, z co najmniej 14-dniowym wyprzedzeniem, i nie może zakłócać ciągłości działania Systemu ani naruszać praw innych klientów Procesora.
  3. Koszty audytu ponosi Administrator, chyba że audyt wykazał naruszenie obowiązków przez Procesora — wówczas koszty ponosi Procesor.

§ 7 Czas trwania i przechowywanie danych po zakończeniu Usługi

🗄️Dane zawarte w kopiach bezpieczeństwa mogą zostać usunięte w zwykłym cyklu nadpisywania, nie dłuższym niż 90 dni od dnia złożenia żądania usunięcia lub zakończenia okresu przechowywania.
  1. Niniejsza Umowa obowiązuje przez cały okres świadczenia Usługi i wygasa z chwilą jej zakończenia.
  2. Po zakończeniu świadczenia Usługi dane osobowe przetwarzane przez Procesora są przechowywane przez okres niezbędny do:
    • obrony przed roszczeniami lub ich dochodzenia przez Strony, nie dłużej niż 3 lata od dnia zakończenia Usługi, zgodnie z ogólnym terminem przedawnienia roszczeń,
    • wypełnienia obowiązków prawnych ciążących na Procesorze, w szczególności wynikających z przepisów podatkowych i rachunkowych.
  3. Administrator może w każdym momencie złożyć żądanie usunięcia danych osobowych kierowane na adres biuro@mamp.pl. Procesor usuwa wskazane dane w terminie 30 dni od otrzymania żądania, chyba że ich dalsze przechowywanie jest niezbędne z uwagi na obowiązki prawne lub obronę przed roszczeniami.
  4. Administrator przyjmuje do wiadomości, że usunięcie danych z Systemu jest nieodwracalne oraz że po usunięciu danych Procesor nie jest w stanie przywrócić historii faktur ani zestawień.
  5. Dane zawarte w kopiach bezpieczeństwa (backupach) mogą zostać usunięte w zwykłym cyklu nadpisywania, nie dłuższym niż 90 dni od dnia złożenia żądania usunięcia lub zakończenia okresu przechowywania.

§ 8 Postanowienia końcowe

  1. W sprawach nieuregulowanych niniejszą Umową stosuje się przepisy RODO oraz prawa polskiego.
  2. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej lub elektronicznej pod rygorem nieważności, z zastrzeżeniem § 4 ust. 4 dotyczącego aktualizacji listy Subprocesorów.
  3. Niniejsza Umowa zastępuje wszelkie wcześniejsze ustalenia Stron dotyczące powierzenia przetwarzania danych osobowych w ramach Serwisu.
  4. W przypadku sprzeczności między postanowieniami niniejszej Umowy a Regulaminem, w zakresie przetwarzania danych osobowych, pierwszeństwo mają postanowienia niniejszej Umowy.