hvacio · dokumenty

Umowa Powierzenia Przetwarzania Danych

Obowiązuje od: 1 lipca 2026 · Wersja: 1.0

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (zwana dalej „Umową") stanowi Załącznik nr 1 do Regulaminu serwisu hvacio i zostaje zawarta automatycznie z chwilą akceptacji Regulaminu oraz utworzenia Konta. Określa zasady, na jakich Usługodawca (Podmiot Przetwarzający) przetwarza dane osobowe Klientów Usługobiorcy wprowadzane do Serwisu w toku świadczenia Usług. Zawierana na podstawie art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Pojęcia pisane wielką literą mają znaczenie nadane im w Regulaminie.

Strony Umowy

Podmiot Przetwarzający (Procesor) - Usługodawca, tj. operator serwisu hvacio: hvacio Jakub Dziurgot, osoba fizyczna prowadząca jednoosobową działalność gospodarczą, z siedzibą pod adresem ul. Technologiczna 19, 35-213 Rzeszów, NIP: 8133955268, REGON: 545138280. Email kontaktowy: support@hvacio.pl.

Administrator - Usługobiorca, tj. osoba fizyczna prowadząca działalność gospodarczą, osoba prawna lub jednostka organizacyjna, która zawarła umowę o świadczenie Usług poprzez utworzenie Konta. Administratora identyfikują dane podane przy rejestracji i zapisane w Koncie (nazwa/firma, NIP, adres email, dane firmowe).

Z uwagi na masowy i zautomatyzowany charakter zawarcia (akceptacja Regulaminu w Serwisie), Umowa nie wymaga podpisu odręcznego ani formy papierowej. Dla swojej ważności wymaga zaznaczenia zgody na jej postanowienia w procesie rejestracji - bez tej zgody nie jest możliwe utworzenie Konta i korzystanie z Usług.

§1 Oświadczenia i przedmiot powierzenia

  1. Administrator oświadcza, że jest administratorem danych osobowych Klientów Usługobiorcy w rozumieniu art. 4 pkt 7 RODO oraz że posiada ważną podstawę prawną do ich przetwarzania, w tym do powierzenia ich Podmiotowi Przetwarzającemu.
  2. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych w zakresie i celu opisanym w Załączniku A, wyłącznie w celu i w zakresie niezbędnym do świadczenia Usług określonych w Regulaminie (prowadzenie ewidencji Klientów, urządzeń HVAC i wizyt serwisowych, generowanie i wysyłka protokołów PDF, naklejek QR oraz pozostałych funkcji Serwisu).
  3. Podmiot Przetwarzający przetwarza powierzone dane wyłącznie na udokumentowane polecenie Administratora. Za polecenie uznaje się również czynności wykonywane przez Administratora (lub osoby działające w jego imieniu) w interfejsie Serwisu, a także postanowienia Regulaminu i niniejszej Umowy.
  4. Powierzenie nie obejmuje przeniesienia administrowania danymi - Administrator pozostaje administratorem i samodzielnie spełnia obowiązki informacyjne (art. 13–14 RODO) oraz realizuje podstawy prawne wobec swoich Klientów.

§2 Charakter, cel, czas i zakres przetwarzania

§3 Obowiązki Podmiotu Przetwarzającego

Podmiot Przetwarzający, zgodnie z art. 28 ust. 3 RODO, zobowiązuje się:

  1. przetwarzać dane wyłącznie na udokumentowane polecenie Administratora, w tym przy przekazywaniu danych do państwa trzeciego, chyba że obowiązek taki nakłada prawo UE lub państwa członkowskiego - wówczas informuje Administratora przed przetwarzaniem, o ile prawo tego nie zakazuje;
  2. zapewnić, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub by podlegały ustawowemu obowiązkowi zachowania tajemnicy (§4);
  3. podjąć środki techniczne i organizacyjne wymagane na mocy art. 32 RODO, opisane w Załączniku B;
  4. przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego (podpowierzenie) określonych w §5;
  5. w miarę możliwości pomagać Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania praw z rozdziału III RODO (art. 15–22) - §6;
  6. pomagać Administratorowi w wywiązaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, oceny skutków, uprzednie konsultacje), uwzględniając charakter przetwarzania i dostępne informacje - §7;
  7. po zakończeniu świadczenia Usług usunąć lub zwrócić Administratorowi dane oraz usunąć ich istniejące kopie, z wyjątkami przewidzianymi prawem - §9;
  8. udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwiać audyty i przyczyniać się do nich - §8.

§4 Poufność

  1. Podmiot Przetwarzający zobowiązuje się zachować w poufności wszelkie powierzone dane osobowe oraz sposoby ich zabezpieczenia, zarówno w czasie obowiązywania Umowy, jak i po jej zakończeniu.
  2. Do przetwarzania danych dopuszczane są wyłącznie osoby posiadające upoważnienie oraz zobowiązane do zachowania poufności. Dostęp jest ograniczony zasadą wiedzy koniecznej (need-to-know) i minimalizowany do zakresu niezbędnego do utrzymania i serwisowania Serwisu.

§5 Podpowierzenie (dalsi przetwarzający)

  1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot Przetwarzający z usług dalszych podmiotów przetwarzających (podprocesorów) w celu świadczenia Usług. Aktualną listę podprocesorów wraz z zakresem i lokalizacją przetwarzania zawiera Załącznik C.
  2. Podmiot Przetwarzający nakłada na każdego podprocesora - w drodze umowy - obowiązki ochrony danych odpowiadające obowiązkom z niniejszej Umowy, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia środków z art. 32 RODO. Jeżeli podprocesor nie wywiąże się ze swoich obowiązków, pełna odpowiedzialność wobec Administratora spoczywa na Podmiocie Przetwarzającym.
  3. O zamierzonej zmianie polegającej na dodaniu lub zastąpieniu podprocesora Podmiot Przetwarzający informuje Administratora (np. emailem lub poprzez aktualizację Załącznika C dostępnego w Serwisie) z wyprzedzeniem co najmniej 14 dni, dając możliwość wyrażenia sprzeciwu. Wniesienie sprzeciwu z uzasadnionych przyczyn związanych z ochroną danych uprawnia Administratora do rozwiązania umowy o świadczenie Usług i usunięcia Konta.

§6 Pomoc w realizacji praw osób, których dane dotyczą

  1. Serwis udostępnia Administratorowi narzędzia umożliwiające samodzielną realizację praw jego Klientów: dostęp, sprostowanie, usunięcie i ograniczenie przetwarzania danych (edycja i usuwanie rekordów Klientów, urządzeń i wizyt bezpośrednio w aplikacji), a także eksport danych.
  2. Jeżeli żądanie osoby, której dane dotyczą, wpłynie bezpośrednio do Podmiotu Przetwarzającego, Podmiot Przetwarzający niezwłocznie przekazuje je Administratorowi i nie realizuje go samodzielnie bez polecenia Administratora.
  3. W zakresie, w jakim samodzielna realizacja przez Administratora nie jest możliwa, Podmiot Przetwarzający udziela rozsądnej pomocy technicznej na wniosek Administratora.

§7 Naruszenia ochrony danych

  1. Podmiot Przetwarzający zgłasza Administratorowi każde naruszenie ochrony powierzonych danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od jego stwierdzenia, na adres email Administratora przypisany do Konta.
  2. Zgłoszenie zawiera, w miarę dostępnych informacji: charakter naruszenia, kategorie i przybliżoną liczbę osób oraz rekordów, których dotyczy, prawdopodobne konsekwencje oraz środki zastosowane lub proponowane w celu zaradzenia naruszeniu i zminimalizowania jego skutków.
  3. Podmiot Przetwarzający wspiera Administratora w wykonaniu obowiązków z art. 33–34 RODO (zgłoszenie organowi nadzorczemu i zawiadomienie osób). To na Administratorze, jako administratorze danych, spoczywa obowiązek zgłoszenia naruszenia organowi nadzorczemu.

§8 Audyt i kontrola

  1. Podmiot Przetwarzający udostępnia Administratorowi, na jego pisemny wniosek, informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO.
  2. Administrator ma prawo przeprowadzić audyt (w tym inspekcję) zgodności przetwarzania z Umową, nie częściej niż raz w roku kalendarzowym oraz każdorazowo po stwierdzeniu naruszenia, po uprzednim powiadomieniu z co najmniej 14-dniowym wyprzedzeniem, w sposób niezakłócający bieżącej działalności i ciągłości Usług, z poszanowaniem poufności danych innych klientów Podmiotu Przetwarzającego.
  3. Obowiązek audytowy może zostać spełniony poprzez udostępnienie aktualnych certyfikatów, raportów lub dokumentacji zabezpieczeń (własnych lub dostawców infrastruktury).

§9 Zakończenie przetwarzania - usunięcie lub zwrot danych

  1. Po zakończeniu świadczenia Usług (usunięcie Konta lub rozwiązanie umowy), wedle wyboru Administratora, Podmiot Przetwarzający usuwa albo zwraca wszystkie powierzone dane oraz usuwa ich istniejące kopie. W braku odmiennej dyspozycji domyślnym działaniem jest usunięcie danych.
  2. Usunięcie obejmuje dane w bazie produkcyjnej oraz pliki binarne (zdjęcia urządzeń, notatki głosowe, wygenerowane protokoły PDF) w magazynie obiektowym. Usunięcie następuje w terminie do 14 dni roboczych od żądania, zgodnie z procedurą opisaną pod adresem hvacio.pl/usun-konto.
  3. Podmiot Przetwarzający może zachować dane wyłącznie w zakresie i przez okres wymagany przepisami prawa (np. dokumenty rozliczeniowe - 5 lat) oraz w zaszyfrowanych kopiach zapasowych podlegających rotacji (do 90 dni), po czym ulegają one trwałemu usunięciu. Do czasu usunięcia dane w kopiach zapasowych są zabezpieczone i nieprzetwarzane do innych celów.

§10 Odpowiedzialność i postanowienia końcowe

  1. Każda ze stron odpowiada za szkody wyrządzone przetwarzaniem na zasadach art. 82 RODO. Zasady i ograniczenia odpowiedzialności Usługodawcy określone w Regulaminie stosuje się odpowiednio, w granicach dopuszczalnych prawem.
  2. W sprawach nieuregulowanych stosuje się Regulamin, Politykę Prywatności, RODO oraz przepisy prawa polskiego. W razie rozbieżności w zakresie przetwarzania powierzonych danych pierwszeństwo ma niniejsza Umowa.
  3. Zmiany Umowy następują w trybie zmiany Regulaminu (powiadomienie email z co najmniej 14-dniowym wyprzedzeniem).
  4. Umowa wchodzi w życie z dniem akceptacji Regulaminu i utworzenia Konta. Niniejsza wersja obowiązuje od 1 lipca 2026.

Załącznik A - Zakres danych i kategorie osób

A.1. Kategorie osób, których dane dotyczą

A.2. Rodzaje (kategorie) powierzonych danych osobowych

ObszarZakres danych
Dane identyfikacyjne i kontaktowe Klientaimię i nazwisko / nazwa firmy, numer telefonu, adres email, NIP, REGON
Dane adresowe / lokalizacyjneulica, numer budynku, kod pocztowy, miejscowość; współrzędne geograficzne (lat/lng) wyznaczone na podstawie adresu na potrzeby planowania trasy
Dane urządzeń HVACtyp, marka, model, numer seryjny, moc, daty instalacji i przeglądów, uwagi - powiązane z adresem Klienta
Dokumentacja serwisowahistoria i opis wizyt, wykonane czynności, zużyte materiały, koszt, notatki tekstowe (pole swobodne), notatki głosowe (nagrania audio), zdjęcia urządzeń i miejsca wykonania usługi, protokoły PDF
Dane generowane przez systemznaczniki czasu, identyfikatory rekordów, kody QR naklejek urządzeń

Dane szczególnych kategorii (art. 9 RODO) nie są celowo gromadzone. Administrator zobowiązuje się nie wprowadzać do pól swobodnych (notatki) ani nie utrwalać w nagraniach i na zdjęciach danych szczególnych kategorii bez odrębnej podstawy prawnej; ryzyko z tym związane obciąża Administratora jako autora treści.

A.3. Charakter i cel przetwarzania

Przechowywanie i organizacja dokumentacji serwisowej urządzeń HVAC, planowanie i rejestrowanie wizyt, generowanie i wysyłka protokołów serwisowych na adres email Klienta oraz pozostałe funkcje Serwisu opisane w Regulaminie. Wyłącznie na potrzeby świadczenia Usług na rzecz Administratora.

Załącznik B - Środki techniczne i organizacyjne (art. 32 RODO)

Podmiot Przetwarzający wdraża i utrzymuje co najmniej następujące środki, adekwatne do ryzyka:

B.1. Szyfrowanie i transmisja

B.2. Kontrola dostępu i uwierzytelnianie

B.3. Bezpieczeństwo infrastruktury i ciągłość działania

B.4. Środki organizacyjne

Załącznik C - Lista podprocesorów (dalszych podmiotów przetwarzających)

Na dzień obowiązywania niniejszej wersji Umowy Podmiot Przetwarzający korzysta z następujących podprocesorów:

PodprocesorCel / zakres danychLokalizacja przetwarzania
Render Services, Inc.Hosting aplikacji, bazy danych i magazynu sesji - całość powierzonych danych w środowisku produkcyjnymUnia Europejska (Frankfurt)
Cloudflare, Inc. (R2)Magazyn plików binarnych: zdjęcia urządzeń, notatki głosowe, protokoły PDFUnia Europejska (jurysdykcja UE)
Cloudflare R2 / Backblaze B2Zaszyfrowane (GPG/AES-256) kopie zapasowe bazy danychPoza EOG (USA) - dane zaszyfrowane przed wysłaniem; klucz wyłącznie po stronie Procesora
Sendinblue SAS (Brevo)Wysyłka wiadomości transakcyjnych (protokoły PDF, powiadomienia) - adres email i imię/nazwisko odbiorcy, treść protokołuUnia Europejska (Francja)
Functional Software, Inc. (Sentry)Monitorowanie błędów i wydajności aplikacji - może obejmować adres IP oraz dane żądaniaPoza EOG (USA) - standardowe klauzule umowne (SCC)
Stripe, Inc.Obsługa płatności subskrypcji i zamówień - dane rozliczeniowe, adres dostawy (zamówienia sprzętu)USA / globalnie (standardowe klauzule umowne / DPF)
Główny Urząd Statystyczny RPWeryfikacja danych firmowych po numerze NIP/REGONPolska (rejestr publiczny)
OpenStreetMap (Nominatim)Geokodowanie adresu Klienta na współrzędne (planowanie trasy)Unia Europejska
Expo (exp.host) → Google FCM / Apple APNsDostarczanie powiadomień push - token urządzenia, treść powiadomieniaUSA (standardowe klauzule umowne / DPF)

Podprocesorzy obsługujący przekazania poza EOG działają w oparciu o standardowe klauzule umowne (SCC) lub równoważne mechanizmy, a kopie zapasowe są dodatkowo zabezpieczone szyfrowaniem przed przekazaniem. Aktualna lista podprocesorów jest dostępna na żądanie i może być aktualizowana w trybie §5 ust. 3.