Umowa Powierzenia Przetwarzania
Danych Osobowych (DPA)

Podstawa prawna: art. 28 RODO (Rozporządzenie UE 2016/679)

Art. 1. Strony i role

Administrator danych (Controller): Klient — przedsiębiorca prowadzący sklep internetowy, który zawarł umowę o korzystanie z Usługi ŁatwyZwrot.pl (dalej: „Administrator"). Administrator decyduje o celach i środkach przetwarzania danych osobowych swoich klientów (Konsumentów) i odpowiada za ustalenie podstawy prawnej przetwarzania we własnej polityce prywatności oraz obowiązku informacyjnym wobec Konsumentów.

Podmiot przetwarzający (Processor): Dariusz Śliwa prowadząca serwis ŁatwyZwrot.pl (dalej: „Procesor") — przetwarza dane osobowe Konsumentów wyłącznie w imieniu i na udokumentowane polecenie Administratora, w celu świadczenia Usługi.

Podmioty danych: Konsumenci — końcowi użytkownicy sklepu Administratora korzystający z mechanizmu odstąpienia od umowy.

Punkt kontaktowy ds. ochrony danych po stronie Procesora:
E-mail: kontakt@latwyzwrot.pl
Osoba odpowiedzialna: Dariusz Śliwa

Art. 2. Przedmiot, cel i czas przetwarzania

1. Przedmiot: obsługa techniczna oświadczeń Konsumentów o odstąpieniu od umowy zawartej w sklepie Administratora, rejestracja tych oświadczeń i udostępnianie Administratorowi Audit Trail.
2. Cel: realizacja Usługi ŁatwyZwrot.pl zgodnie z Regulaminem — wyłącznie w interesie i na polecenie Administratora.
3. Czas trwania i retencja:
   • Dane konfiguracyjne Administratora (login, ustawienia widgetu): przetwarzane przez okres obowiązywania umowy głównej. Usuwane w terminie 30 dni od jej zakończenia.
   • Audit Trail oświadczeń odstąpienia (dane Konsumentów wraz z timestampami): eksportowane Administratorowi przed zakończeniem umowy (format CSV/JSON). Procesor przechowuje kopię przez 12 miesięcy od daty oświadczenia jako zabezpieczenie przed roszczeniami i postępowaniami administracyjnymi, chyba że Administrator wyda polecenie wcześniejszego usunięcia (na własne ryzyko) lub dłuższej retencji.
   • Dłuższa retencja wymagana prawem (przepisy podatkowe, terminy przedawnienia roszczeń) ma pierwszeństwo.

Art. 3. Rodzaj danych i kategorie podmiotów

Kategorie podmiotów danych: klienci końcowi (Konsumenci) sklepów internetowych prowadzonych przez Administratora.

Art. 4. Obowiązki Procesora

Procesor zobowiązuje się do:

1. Przetwarzania wyłącznie na udokumentowane polecenie Administratora. Procesor niezwłocznie informuje Administratora, jeśli jego zdaniem polecenie narusza RODO lub inne przepisy o ochronie danych (art. 28 ust. 3 zd. końcowe RODO).
2. Zachowania poufności — wszystkie osoby mające dostęp do danych są zobowiązane do poufności na podstawie umowy lub mocy prawa. Procesor prowadzi rejestr osób upoważnionych.
3. Wdrożenia środków bezpieczeństwa zgodnych z art. 32 RODO (szczegóły — Załącznik B).
4. Korzystania z sub-procesorów wyłącznie zgodnie z Art. 5 niniejszej Umowy.
5. Wsparcia w realizacji praw podmiotów danych (art. 12–22 RODO: dostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie, sprzeciw) — w zakresie technicznie możliwym, w terminie 5 dni roboczych od otrzymania żądania. Żądania kierowane bezpośrednio do Procesora przez Konsumentów Procesor niezwłocznie przekazuje Administratorowi.
6. Wspierania w wypełnianiu obowiązków z art. 32–36 RODO, w szczególności: zapewniania bezpieczeństwa przetwarzania, zgłaszania naruszeń (art. 33–34), DPIA (art. 35) i konsultacji uprzednich (art. 36).
7. Powiadomienia o naruszeniu ochrony danych niezwłocznie, nie później niż w ciągu 48 godzin od wykrycia; w przypadkach wysokiego ryzyka Procesor dokłada wszelkich starań aby powiadomienie nastąpiło w ciągu 24 godzin, zawierającego:
   • charakter naruszenia, kategorie i liczbę osób, których dane dotyczą;
   • dane kontaktowe punktu kontaktowego Procesora;
   • możliwe konsekwencje naruszenia;
   • zastosowane lub planowane środki zaradcze.
   Termin 24h umożliwia Administratorowi dotrzymanie 72h na zgłoszenie do PUODO (art. 33 ust. 1 RODO).
8. Usunięcia lub zwrotu wszystkich danych po zakończeniu Usługi — według wyboru Administratora w terminie 30 dni od zakończenia umowy. Brak wyboru = polecenie usunięcia. Z zastrzeżeniem Art. 2 ust. 3.
9. Udostępnienia informacji niezbędnych do wykazania zgodności z art. 28 RODO, w tym dokumentacji TOMs i wyników audytów.

Art. 5. Sub-procesorzy

1. Administrator wyraża ogólną zgodę na korzystanie z następujących sub-procesorów:

2. Aktualna lista sub-procesorów: latwyzwrot.pl/subprocessors.
3. Procesor zachowuje pełną odpowiedzialność wobec Administratora za działania sub-procesorów (art. 28 ust. 4 RODO).
4. Procesor zawiera z każdym sub-procesorem pisemną umowę z obowiązkami nie mniej rygorystycznymi niż niniejsza Umowa.
5. Powiadomienie o zmianach: min. 30 dni przed dodaniem lub zmianą sub-procesora.
6. Prawo sprzeciwu: Administrator ma 30 dni na sprzeciw. W razie braku porozumienia Administrator może wypowiedzieć umowę z proporcjonalnym zwrotem opłaty.

Art. 6. Prawa Administratora — audyt

1. Administrator ma prawo do audytu zgodności Procesora — nie częściej niż raz w roku, z powiadomieniem min. 30 dni wcześniej, w godzinach pracy Procesora, przez audytora posiadającego NDA i niebędącego podmiotem konkurencyjnym wobec Procesora.
2. Audyt nadzwyczajny możliwy w razie uzasadnionego podejrzenia istotnego naruszenia lub żądania organu nadzorczego.
3. Koszty ponosi Administrator, chyba że audyt wykaże istotne naruszenia — wówczas Procesor.
4. Audyt nie może zakłócać normalnego funkcjonowania Usługi ani obejmować dostępu do danych innych Klientów Procesora ani informacji objętych tajemnicą przedsiębiorstwa niezwiązanych z przedmiotem audytu.
5. Procesor może zaspokoić obowiązek audytu udostępniając certyfikaty SOC 2 Type II, ISO 27001 lub ISO 27018 (nie starsze niż 12 miesięcy).

Art. 7. Środki techniczne i organizacyjne (TOMs)

Szczegółowy opis zawiera Załącznik B. Procesor może aktualizować TOMs zachowując nie niższy poziom bezpieczeństwa, informując Administratora o istotnych zmianach.

Art. 8. Odpowiedzialność Stron

1. Odpowiedzialność Stron podlega ograniczeniom z § 6 Regulaminu, z zastrzeżeniem ust. 2 i 3.
2. Ograniczenia nie naruszają przepisów art. 82 RODO dotyczących odpowiedzialności wobec Konsumentów — mają charakter bezwzględnie obowiązujący.
3. Każda ze Stron odpowiada bezpośrednio wobec Podmiotów Danych zgodnie z art. 82 RODO. Procesor odpowiada wyłącznie w zakresie, w jakim nie dopełnił obowiązków nałożonych bezpośrednio przez RODO lub działał poza/wbrew instrukcjom Administratora (art. 82 ust. 2 RODO).
4. W przypadku solidarnej odpowiedzialności (art. 82 ust. 4 RODO) Strony rozliczają się regresowo z uwzględnieniem winy i przyczynienia się każdej ze Stron.
5. Strony ponoszą pełną odpowiedzialność za szkody wyrządzone umyślnie (art. 473 § 2 KC).
6. Indemnification: Administrator zwalnia Procesora z odpowiedzialności za roszczenia wynikające z:
   • przekazania do Widgetu danych szczególnych kategorii poza zakresem Umowy;
   • naruszenia obowiązku informacyjnego wobec Konsumentów;
   • polecenia przetwarzania niezgodnego z RODO mimo uprzedniego ostrzeżenia Procesora.

Art. 9. Postanowienia końcowe

1. Umowa stanowi integralną część Regulaminu ŁatwyZwrot.pl.
2. W sprawach nieuregulowanych stosuje się przepisy RODO, ustawy o ochronie danych osobowych i KC.
3. Sądem właściwym jest sąd dla siedziby Procesora — z wyłączeniem mikroprzedsiębiorców-konsumentów (art. 38a UPK).
4. Umowa obowiązuje od akceptacji Regulaminu i wygasa z chwilą rozwiązania umowy głównej, z zachowaniem Art. 2 ust. 3.
5. Zmiany wymagają trybu z § 14 Regulaminu (30 dni, prawo wypowiedzenia).

Załącznik A — Opis operacji przetwarzania

Załącznik B — Środki techniczne i organizacyjne (TOMs)

1. Szyfrowanie

• Dane w tranzycie: TLS 1.3 (min. TLS 1.2); HSTS obowiązkowe.
• Dane w spoczynku: AES-256 po stronie dostawcy infrastruktury (Supabase, Railway).

2. Kontrola dostępu i bezpieczeństwo

• RBAC — zasada minimalnych uprawnień.
• MFA wymagane dla wszystkich kont administracyjnych i dostępu do bazy produkcyjnej.
• Segmentacja środowisk: produkcja / staging / dev bez dostępu między nimi.
• Logi audytowe wszystkich operacji na danych — retencja 12 miesięcy, ochrona przed modyfikacją.
• Polityka haseł: min. 12 znaków, zakaz ponownego użycia ostatnich 5 haseł.

3. Dostępność i odtwarzanie

• Backupy: automatyczne, codzienne, retencja 30 dni, geograficznie rozproszone w regionie EU.
• RPO: maks. 24 godziny.
• RTO: maks. 4 godziny dla krytycznych komponentów.
• Testy odtwarzania: kwartalne, udokumentowane.
• Plan ciągłości działania (BCP): wdrożony, aktualizowany rocznie.

4. Testowanie i ocena skuteczności

• Testy penetracyjne: co najmniej raz w roku przez zewnętrznego certyfikowanego dostawcę.
• Vulnerability scanning: miesięczne; reakcja na krytyczne podatności w SLA 48h.
• Code review: każda zmiana kodu przed wdrożeniem produkcyjnym.
• Vendor assessment sub-procesorów: roczny (certyfikaty, ankiety bezpieczeństwa, SOC 2).
• Program responsible disclosure: kontakt@latwyzwrot.pl.

5. Środki organizacyjne

• Szkolenia RODO + security awareness: przy zatrudnieniu i coroczne odświeżenia; udokumentowane.
• Wszyscy pracownicy i podwykonawcy podpisują NDA przed dostępem do danych.
• Procedura onboarding/offboarding: uprawnienia odbierane niezwłocznie po zakończeniu współpracy.
• Szyfrowanie dysków stacji roboczych; MDM/EDR na urządzeniach z dostępem do danych produkcyjnych.
• Privacy Officer / DPO: kontakt@latwyzwrot.pl.

6. Nadzór nad sub-procesorami

• Procesor wybiera sub-procesorów posiadających certyfikacje (SOC 2 Type II, ISO 27001 lub równoważne).
• Procesor zawiera z każdym sub-procesorem pisemną umowę powierzenia.
• Procesor prowadzi rejestr sub-procesorów i ich raportów audytowych.