CookieGuard
Rozpocznij
Sprawy prawne

Umowa powierzenia przetwarzania danych (DPA)

Ostatnia aktualizacja: 2026-05-03

⚠ Wersja robocza, do weryfikacji prawnej. Treść spełnia wymogi art. 28 RODO, ale przed produkcyjną akceptacją powinna zostać przejrzana przez doradcę prawnego.

§ 1. Strony i ramy

  1. Niniejsza Umowa powierzenia przetwarzania danych osobowych („DPA”) jest zawierana między Aveneo Sp. z o.o. („Procesor”) a Klientem, który zawarł umowę o świadczenie Usługi CookieGuard („Administrator”).
  2. DPA reguluje przetwarzanie przez Procesora danych osobowych w imieniu Administratora w związku ze świadczeniem Usługi (zwane „Powierzonymi Danymi”).
  3. DPA wchodzi w życie z chwilą akceptacji Regulaminu CookieGuard albo zawarcia odrębnej umowy z Aveneo.

§ 2. Przedmiot, charakter i czas przetwarzania

  • Przedmiot: świadczenie Usługi zarządzania zgodami cookies (CMP), w tym przyjmowanie, walidacja i zapis decyzji odwiedzających strony Administratora.
  • Charakter: zautomatyzowane przetwarzanie elektroniczne.
  • Cel: realizacja umowy z Administratorem oraz spełnienie obowiązków RODO/ePrivacy spoczywających na Administratorze.
  • Czas trwania: przez czas trwania umowy o świadczenie Usługi, plus 30 dni na eksport / usunięcie danych.
  • Kategorie osób: odwiedzający strony Administratora, zalogowani użytkownicy panelu Administratora.
  • Kategorie danych: identyfikator anonimowy odwiedzającego, znaczniki czasu, kraj (z nagłówków IP-Country), wybór kategorii zgody, wersja polityki, hash poprzedniego rekordu (nie przetwarzamy IP w czystej postaci).

§ 3. Obowiązki Procesora

  1. Procesor przetwarza Powierzone Dane wyłącznie na udokumentowane polecenie Administratora.
  2. Procesor zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności albo podlegają ustawowemu obowiązkowi zachowania tajemnicy.
  3. Procesor wdraża odpowiednie środki techniczne i organizacyjne, w szczególności:
    • szyfrowanie TLS 1.3 w transporcie i AES-256 dla danych w spoczynku,
    • uwierzytelnianie wieloskładnikowe dla dostępu do produkcji,
    • logowanie dostępu (Audit Log) z 12-miesięczną retencją,
    • regularne testy bezpieczeństwa i kopie zapasowe,
    • polityka „najmniejszych uprawnień” dla zespołu inżynierskiego.
  4. Procesor pomaga Administratorowi w realizacji praw osób, których dane dotyczą (art. 12–22 RODO).
  5. Procesor zgłasza Administratorowi naruszenia ochrony danych w terminie 48 godzin od ich wykrycia.

§ 4. Sub-procesorzy

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z podwykonawców (sub-procesorów) wskazanych pod /legal/subprocessors (publikowane wkrótce). Aktualnie:
    • Stripe Payments Europe Ltd. (IE) — płatności,
    • Hetzner Online GmbH (DE) — hosting,
    • Resend (US, SCC) — e-maile transakcyjne,
    • Cloudflare (US, SCC) — CDN i ochrona DDoS,
    • Sentry (US, SCC) — telemetria błędów.
  2. O zamiarze dodania albo zmiany sub-procesora Procesor informuje Administratora co najmniej 30 dni naprzód. Administrator może zgłosić uzasadniony sprzeciw — w takim wypadku przysługuje mu prawo wypowiedzenia umowy.

§ 5. Transfery do państw trzecich

W zakresie sub-procesorów z USA stosujemy Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską decyzją 2021/914 oraz dodatkowe środki techniczne (szyfrowanie, pseudonimizacja). Listę i status każdego transferu dokumentujemy w Transfer Impact Assessment, dostępnym na żądanie Administratora.

§ 6. Audyty

  1. Administrator ma prawo audytu Procesora — własnego lub przez niezależnego audytora — z 30-dniowym wyprzedzeniem, raz w roku, w zwykłych godzinach pracy, na koszt Administratora (chyba że audyt wykaże naruszenie obowiązków przez Procesora — wtedy koszty ponosi Procesor).
  2. Procesor może zaspokoić prawo audytu poprzez udostępnienie aktualnych certyfikatów bezpieczeństwa i raportów (np. SOC 2 Type II — gdy będą dostępne, ISO 27001).

§ 7. Zwrot albo usunięcie danych

Po zakończeniu świadczenia Usługi Procesor — według wyboru Administratora — zwraca albo usuwa wszystkie Powierzone Dane, w tym kopie zapasowe, w terminie 30 dni. Z usunięcia sporządzane jest potwierdzenie. Wyjątek: dane wymagane do spełnienia obowiązków prawnych Procesora (np. dane do faktur — 5 lat) są przechowywane do końca wymaganego okresu.

§ 8. Odpowiedzialność

Procesor odpowiada wobec Administratora za szkody wyrządzone niewykonaniem albo nienależytym wykonaniem DPA. Łączna odpowiedzialność jest ograniczona zgodnie z postanowieniami Regulaminu (§ 8). Powyższe ograniczenie nie dotyczy szkód umyślnych ani odpowiedzialności wobec osób, których dane dotyczą.

§ 9. Postanowienia końcowe

  1. W sprawach nieuregulowanych DPA stosuje się Regulamin CookieGuard, RODO i prawo polskie.
  2. W razie sprzeczności DPA i Regulaminu — pierwszeństwo ma DPA w zakresie ochrony danych osobowych.
  3. Spory rozstrzyga sąd właściwy dla siedziby Procesora.