hvacio · dokumenty
Umowa Powierzenia Przetwarzania Danych
Strony Umowy
Podmiot Przetwarzający (Procesor) - Usługodawca, tj. operator serwisu hvacio: hvacio Jakub Dziurgot, osoba fizyczna prowadząca jednoosobową działalność gospodarczą, z siedzibą pod adresem ul. Technologiczna 19, 35-213 Rzeszów, NIP: 8133955268, REGON: 545138280. Email kontaktowy: support@hvacio.pl.
Administrator - Usługobiorca, tj. osoba fizyczna prowadząca działalność gospodarczą, osoba prawna lub jednostka organizacyjna, która zawarła umowę o świadczenie Usług poprzez utworzenie Konta. Administratora identyfikują dane podane przy rejestracji i zapisane w Koncie (nazwa/firma, NIP, adres email, dane firmowe).
Z uwagi na masowy i zautomatyzowany charakter zawarcia (akceptacja Regulaminu w Serwisie), Umowa nie wymaga podpisu odręcznego ani formy papierowej. Dla swojej ważności wymaga zaznaczenia zgody na jej postanowienia w procesie rejestracji - bez tej zgody nie jest możliwe utworzenie Konta i korzystanie z Usług.
§1 Oświadczenia i przedmiot powierzenia
- Administrator oświadcza, że jest administratorem danych osobowych Klientów Usługobiorcy w rozumieniu art. 4 pkt 7 RODO oraz że posiada ważną podstawę prawną do ich przetwarzania, w tym do powierzenia ich Podmiotowi Przetwarzającemu.
- Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych w zakresie i celu opisanym w Załączniku A, wyłącznie w celu i w zakresie niezbędnym do świadczenia Usług określonych w Regulaminie (prowadzenie ewidencji Klientów, urządzeń HVAC i wizyt serwisowych, generowanie i wysyłka protokołów PDF, naklejek QR oraz pozostałych funkcji Serwisu).
- Podmiot Przetwarzający przetwarza powierzone dane wyłącznie na udokumentowane polecenie Administratora. Za polecenie uznaje się również czynności wykonywane przez Administratora (lub osoby działające w jego imieniu) w interfejsie Serwisu, a także postanowienia Regulaminu i niniejszej Umowy.
- Powierzenie nie obejmuje przeniesienia administrowania danymi - Administrator pozostaje administratorem i samodzielnie spełnia obowiązki informacyjne (art. 13–14 RODO) oraz realizuje podstawy prawne wobec swoich Klientów.
§2 Charakter, cel, czas i zakres przetwarzania
- Charakter przetwarzania: przechowywanie, utrwalanie, organizowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, udostępnianie (w zakresie wysyłki protokołów na adres email Klienta) oraz usuwanie danych - w infrastrukturze chmurowej.
- Cel: wyłącznie świadczenie Usług na rzecz Administratora zgodnie z Regulaminem.
- Czas trwania: przez okres obowiązywania umowy o świadczenie Usług (utrzymywania Konta) i akceptacji Regulaminu, do momentu usunięcia Konta lub zakończenia świadczenia Usług, z zastrzeżeniem §9.
- Rodzaj danych i kategorie osób: zgodnie z Załącznikiem A.
§3 Obowiązki Podmiotu Przetwarzającego
Podmiot Przetwarzający, zgodnie z art. 28 ust. 3 RODO, zobowiązuje się:
- przetwarzać dane wyłącznie na udokumentowane polecenie Administratora, w tym przy przekazywaniu danych do państwa trzeciego, chyba że obowiązek taki nakłada prawo UE lub państwa członkowskiego - wówczas informuje Administratora przed przetwarzaniem, o ile prawo tego nie zakazuje;
- zapewnić, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub by podlegały ustawowemu obowiązkowi zachowania tajemnicy (§4);
- podjąć środki techniczne i organizacyjne wymagane na mocy art. 32 RODO, opisane w Załączniku B;
- przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego (podpowierzenie) określonych w §5;
- w miarę możliwości pomagać Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania praw z rozdziału III RODO (art. 15–22) - §6;
- pomagać Administratorowi w wywiązaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, oceny skutków, uprzednie konsultacje), uwzględniając charakter przetwarzania i dostępne informacje - §7;
- po zakończeniu świadczenia Usług usunąć lub zwrócić Administratorowi dane oraz usunąć ich istniejące kopie, z wyjątkami przewidzianymi prawem - §9;
- udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwiać audyty i przyczyniać się do nich - §8.
§4 Poufność
- Podmiot Przetwarzający zobowiązuje się zachować w poufności wszelkie powierzone dane osobowe oraz sposoby ich zabezpieczenia, zarówno w czasie obowiązywania Umowy, jak i po jej zakończeniu.
- Do przetwarzania danych dopuszczane są wyłącznie osoby posiadające upoważnienie oraz zobowiązane do zachowania poufności. Dostęp jest ograniczony zasadą wiedzy koniecznej (need-to-know) i minimalizowany do zakresu niezbędnego do utrzymania i serwisowania Serwisu.
§5 Podpowierzenie (dalsi przetwarzający)
- Administrator wyraża ogólną zgodę na korzystanie przez Podmiot Przetwarzający z usług dalszych podmiotów przetwarzających (podprocesorów) w celu świadczenia Usług. Aktualną listę podprocesorów wraz z zakresem i lokalizacją przetwarzania zawiera Załącznik C.
- Podmiot Przetwarzający nakłada na każdego podprocesora - w drodze umowy - obowiązki ochrony danych odpowiadające obowiązkom z niniejszej Umowy, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia środków z art. 32 RODO. Jeżeli podprocesor nie wywiąże się ze swoich obowiązków, pełna odpowiedzialność wobec Administratora spoczywa na Podmiocie Przetwarzającym.
- O zamierzonej zmianie polegającej na dodaniu lub zastąpieniu podprocesora Podmiot Przetwarzający informuje Administratora (np. emailem lub poprzez aktualizację Załącznika C dostępnego w Serwisie) z wyprzedzeniem co najmniej 14 dni, dając możliwość wyrażenia sprzeciwu. Wniesienie sprzeciwu z uzasadnionych przyczyn związanych z ochroną danych uprawnia Administratora do rozwiązania umowy o świadczenie Usług i usunięcia Konta.
§6 Pomoc w realizacji praw osób, których dane dotyczą
- Serwis udostępnia Administratorowi narzędzia umożliwiające samodzielną realizację praw jego Klientów: dostęp, sprostowanie, usunięcie i ograniczenie przetwarzania danych (edycja i usuwanie rekordów Klientów, urządzeń i wizyt bezpośrednio w aplikacji), a także eksport danych.
- Jeżeli żądanie osoby, której dane dotyczą, wpłynie bezpośrednio do Podmiotu Przetwarzającego, Podmiot Przetwarzający niezwłocznie przekazuje je Administratorowi i nie realizuje go samodzielnie bez polecenia Administratora.
- W zakresie, w jakim samodzielna realizacja przez Administratora nie jest możliwa, Podmiot Przetwarzający udziela rozsądnej pomocy technicznej na wniosek Administratora.
§7 Naruszenia ochrony danych
- Podmiot Przetwarzający zgłasza Administratorowi każde naruszenie ochrony powierzonych danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od jego stwierdzenia, na adres email Administratora przypisany do Konta.
- Zgłoszenie zawiera, w miarę dostępnych informacji: charakter naruszenia, kategorie i przybliżoną liczbę osób oraz rekordów, których dotyczy, prawdopodobne konsekwencje oraz środki zastosowane lub proponowane w celu zaradzenia naruszeniu i zminimalizowania jego skutków.
- Podmiot Przetwarzający wspiera Administratora w wykonaniu obowiązków z art. 33–34 RODO (zgłoszenie organowi nadzorczemu i zawiadomienie osób). To na Administratorze, jako administratorze danych, spoczywa obowiązek zgłoszenia naruszenia organowi nadzorczemu.
§8 Audyt i kontrola
- Podmiot Przetwarzający udostępnia Administratorowi, na jego pisemny wniosek, informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO.
- Administrator ma prawo przeprowadzić audyt (w tym inspekcję) zgodności przetwarzania z Umową, nie częściej niż raz w roku kalendarzowym oraz każdorazowo po stwierdzeniu naruszenia, po uprzednim powiadomieniu z co najmniej 14-dniowym wyprzedzeniem, w sposób niezakłócający bieżącej działalności i ciągłości Usług, z poszanowaniem poufności danych innych klientów Podmiotu Przetwarzającego.
- Obowiązek audytowy może zostać spełniony poprzez udostępnienie aktualnych certyfikatów, raportów lub dokumentacji zabezpieczeń (własnych lub dostawców infrastruktury).
§9 Zakończenie przetwarzania - usunięcie lub zwrot danych
- Po zakończeniu świadczenia Usług (usunięcie Konta lub rozwiązanie umowy), wedle wyboru Administratora, Podmiot Przetwarzający usuwa albo zwraca wszystkie powierzone dane oraz usuwa ich istniejące kopie. W braku odmiennej dyspozycji domyślnym działaniem jest usunięcie danych.
- Usunięcie obejmuje dane w bazie produkcyjnej oraz pliki binarne (zdjęcia urządzeń, notatki głosowe, wygenerowane protokoły PDF) w magazynie obiektowym. Usunięcie następuje w terminie do 14 dni roboczych od żądania, zgodnie z procedurą opisaną pod adresem hvacio.pl/usun-konto.
- Podmiot Przetwarzający może zachować dane wyłącznie w zakresie i przez okres wymagany przepisami prawa (np. dokumenty rozliczeniowe - 5 lat) oraz w zaszyfrowanych kopiach zapasowych podlegających rotacji (do 90 dni), po czym ulegają one trwałemu usunięciu. Do czasu usunięcia dane w kopiach zapasowych są zabezpieczone i nieprzetwarzane do innych celów.
§10 Odpowiedzialność i postanowienia końcowe
- Każda ze stron odpowiada za szkody wyrządzone przetwarzaniem na zasadach art. 82 RODO. Zasady i ograniczenia odpowiedzialności Usługodawcy określone w Regulaminie stosuje się odpowiednio, w granicach dopuszczalnych prawem.
- W sprawach nieuregulowanych stosuje się Regulamin, Politykę Prywatności, RODO oraz przepisy prawa polskiego. W razie rozbieżności w zakresie przetwarzania powierzonych danych pierwszeństwo ma niniejsza Umowa.
- Zmiany Umowy następują w trybie zmiany Regulaminu (powiadomienie email z co najmniej 14-dniowym wyprzedzeniem).
- Umowa wchodzi w życie z dniem akceptacji Regulaminu i utworzenia Konta. Niniejsza wersja obowiązuje od 1 lipca 2026.
Załącznik A - Zakres danych i kategorie osób
A.1. Kategorie osób, których dane dotyczą
- Klienci Usługobiorcy - klienci końcowi serwisanta HVAC (osoby fizyczne, w tym prowadzące działalność gospodarczą, oraz osoby kontaktowe podmiotów), u których wykonywane są usługi serwisowe.
- Osoby kontaktowe i osoby trzecie incydentalnie ujawnione w treściach swobodnych (notatkach) lub na zdjęciach urządzeń wykonywanych w miejscu wykonania usługi.
A.2. Rodzaje (kategorie) powierzonych danych osobowych
| Obszar | Zakres danych |
|---|---|
| Dane identyfikacyjne i kontaktowe Klienta | imię i nazwisko / nazwa firmy, numer telefonu, adres email, NIP, REGON |
| Dane adresowe / lokalizacyjne | ulica, numer budynku, kod pocztowy, miejscowość; współrzędne geograficzne (lat/lng) wyznaczone na podstawie adresu na potrzeby planowania trasy |
| Dane urządzeń HVAC | typ, marka, model, numer seryjny, moc, daty instalacji i przeglądów, uwagi - powiązane z adresem Klienta |
| Dokumentacja serwisowa | historia i opis wizyt, wykonane czynności, zużyte materiały, koszt, notatki tekstowe (pole swobodne), notatki głosowe (nagrania audio), zdjęcia urządzeń i miejsca wykonania usługi, protokoły PDF |
| Dane generowane przez system | znaczniki czasu, identyfikatory rekordów, kody QR naklejek urządzeń |
Dane szczególnych kategorii (art. 9 RODO) nie są celowo gromadzone. Administrator zobowiązuje się nie wprowadzać do pól swobodnych (notatki) ani nie utrwalać w nagraniach i na zdjęciach danych szczególnych kategorii bez odrębnej podstawy prawnej; ryzyko z tym związane obciąża Administratora jako autora treści.
A.3. Charakter i cel przetwarzania
Przechowywanie i organizacja dokumentacji serwisowej urządzeń HVAC, planowanie i rejestrowanie wizyt, generowanie i wysyłka protokołów serwisowych na adres email Klienta oraz pozostałe funkcje Serwisu opisane w Regulaminie. Wyłącznie na potrzeby świadczenia Usług na rzecz Administratora.
Załącznik B - Środki techniczne i organizacyjne (art. 32 RODO)
Podmiot Przetwarzający wdraża i utrzymuje co najmniej następujące środki, adekwatne do ryzyka:
B.1. Szyfrowanie i transmisja
- Szyfrowanie transmisji TLS 1.2+ (HTTPS) dla wszystkich połączeń z Serwisem i jego API.
- Kopie zapasowe bazy danych szyfrowane symetrycznie (GPG / AES-256) - klucz/hasło nigdy nie jest zapisywane na dysku, dane szyfrowane strumieniowo.
- Pliki binarne (zdjęcia, audio) przechowywane w prywatnym magazynie obiektowym, udostępniane wyłącznie przez ograniczone czasowo, podpisane adresy URL (presigned URL).
B.2. Kontrola dostępu i uwierzytelnianie
- Hasła użytkowników przechowywane wyłącznie w postaci skrótu kryptograficznego (bcrypt / scrypt), nigdy jawnie.
- Uwierzytelnianie tokenami JWT z mechanizmem unieważniania wszystkich sesji po zmianie hasła lub dezaktywacji konta.
- Izolacja danych najemców (multi-tenant): każde zapytanie o dane Klientów jest ograniczane do właściciela Konta - Administrator widzi wyłącznie dane swoich Klientów, urządzeń, zdjęć i nagrań.
- Zasada wiedzy koniecznej i minimalizacja dostępu personelu do bazy produkcyjnej.
- Ograniczanie liczby zapytań (rate limiting) na wrażliwych punktach końcowych (logowanie, reset hasła).
B.3. Bezpieczeństwo infrastruktury i ciągłość działania
- Hosting w certyfikowanej infrastrukturze chmurowej w regionie UE; dostęp do bazy danych ograniczony do sieci wewnętrznej dostawcy.
- Nagłówki bezpieczeństwa aplikacji webowych (X-Frame-Options, X-Content-Type-Options, Referrer-Policy).
- Restrykcyjna polityka CORS ograniczona do domen Serwisu; blokady startu aplikacji w razie niebezpiecznej konfiguracji.
- Kopie zapasowe bazy danych wykonywane dwukrotnie na dobę, szyfrowane, z retencją do 90 dni; procedura odtworzenia (restore) udokumentowana i zweryfikowana.
- Monitorowanie błędów i podatności z wyłączeniem przekazywania danych osobowych (PII) do narzędzi diagnostycznych.
B.4. Środki organizacyjne
- Zobowiązania do poufności dla osób upoważnionych (§4).
- Rejestrowanie istotnych czynności administracyjnych (dziennik audytowy działań administratora wraz z adresem IP).
- Aktualizacja zależności oprogramowania i reagowanie na zgłoszone podatności.
Załącznik C - Lista podprocesorów (dalszych podmiotów przetwarzających)
Na dzień obowiązywania niniejszej wersji Umowy Podmiot Przetwarzający korzysta z następujących podprocesorów:
| Podprocesor | Cel / zakres danych | Lokalizacja przetwarzania |
|---|---|---|
| Render Services, Inc. | Hosting aplikacji, bazy danych i magazynu sesji - całość powierzonych danych w środowisku produkcyjnym | Unia Europejska (Frankfurt) |
| Cloudflare, Inc. (R2) | Magazyn plików binarnych: zdjęcia urządzeń, notatki głosowe, protokoły PDF | Unia Europejska (jurysdykcja UE) |
| Cloudflare R2 / Backblaze B2 | Zaszyfrowane (GPG/AES-256) kopie zapasowe bazy danych | Poza EOG (USA) - dane zaszyfrowane przed wysłaniem; klucz wyłącznie po stronie Procesora |
| Sendinblue SAS (Brevo) | Wysyłka wiadomości transakcyjnych (protokoły PDF, powiadomienia) - adres email i imię/nazwisko odbiorcy, treść protokołu | Unia Europejska (Francja) |
| Functional Software, Inc. (Sentry) | Monitorowanie błędów i wydajności aplikacji - może obejmować adres IP oraz dane żądania | Poza EOG (USA) - standardowe klauzule umowne (SCC) |
| Stripe, Inc. | Obsługa płatności subskrypcji i zamówień - dane rozliczeniowe, adres dostawy (zamówienia sprzętu) | USA / globalnie (standardowe klauzule umowne / DPF) |
| Główny Urząd Statystyczny RP | Weryfikacja danych firmowych po numerze NIP/REGON | Polska (rejestr publiczny) |
| OpenStreetMap (Nominatim) | Geokodowanie adresu Klienta na współrzędne (planowanie trasy) | Unia Europejska |
| Expo (exp.host) → Google FCM / Apple APNs | Dostarczanie powiadomień push - token urządzenia, treść powiadomienia | USA (standardowe klauzule umowne / DPF) |
Podprocesorzy obsługujący przekazania poza EOG działają w oparciu o standardowe klauzule umowne (SCC) lub równoważne mechanizmy, a kopie zapasowe są dodatkowo zabezpieczone szyfrowaniem przed przekazaniem. Aktualna lista podprocesorów jest dostępna na żądanie i może być aktualizowana w trybie §5 ust. 3.