Umowa Powierzenia Przetwarzania Danych Osobowych

Obowiązuje od: 19 marca 2026 r.

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: “Umowa Powierzenia” lub “DPA”) stanowi integralną część Regulaminu świadczenia usług drogą elektroniczną platformy ZYNQ i określa zasady przetwarzania danych osobowych klientów Użytkowników Platformy zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: “RODO”).

§ 1. Strony

1. Administrator — Użytkownik Platformy ZYNQ (przedsiębiorca), który decyduje o celach i sposobach przetwarzania danych osobowych swoich klientów (kupujących), wprowadzanych do Platformy lub importowanych z Serwisów Zewnętrznych.
2. Podmiot Przetwarzający (dalej: “Procesor”) — ZYNQ sp. z o.o., ul. Estetyczna 4, 43-100 Tychy, NIP: 6462979033, REGON: 384394091, KRS: 0000804450 (Sąd Rejonowy Katowice-Wschód w Katowicach, VIII Wydział Gospodarczy KRS), kapitał zakładowy: 5 000 zł, e-mail: kontakt@zynq.pl.
3. Zawarcie niniejszej Umowy Powierzenia następuje z chwilą akceptacji Regulaminu przez Administratora podczas tworzenia Konta. Niniejsza Umowa Powierzenia obowiązuje przez cały okres obowiązywania Umowy głównej (Regulaminu).

§ 2. Przedmiot, charakter i cel powierzenia

1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu niezbędnym do świadczenia przez Procesora usług określonych w Regulaminie, w szczególności:
   • obsługi zamówień Administratora oraz jego klientów,
   • zarządzania katalogiem produktów, stanami magazynowymi i cenami,
   • wystawiania i przechowywania dokumentów handlowych (faktur, paragonów, korekt, dokumentów magazynowych),
   • integracji z Krajowym Systemem e-Faktur (KSeF),
   • generowania przesyłek i etykiet kurierskich,
   • wysyłki wiadomości e-mail do klientów Administratora na podstawie szablonów skonfigurowanych przez Administratora,
   • uruchamiania automatyzacji procesów sprzedażowych zdefiniowanych przez Administratora.
2. Charakter przetwarzania: zautomatyzowane przetwarzanie w systemie informatycznym ZYNQ (SaaS), obejmujące zbieranie, utrwalanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, ujawnianie przez przesłanie do Serwisów Zewnętrznych (na polecenie Administratora) oraz usuwanie.
3. Cel przetwarzania: wykonanie Umowy zawartej pomiędzy Administratorem a Procesorem oraz umożliwienie Administratorowi prowadzenia działalności gospodarczej z wykorzystaniem Platformy.
4. Czas trwania przetwarzania: przez okres obowiązywania Umowy głównej oraz w zakresie wynikającym z obowiązujących przepisów prawa, w szczególności przepisów podatkowych nakazujących przechowywanie dokumentacji księgowej przez 5 lat.

§ 3. Rodzaj danych i kategorie osób

1. Procesor przetwarza w imieniu Administratora dane osobowe następujących kategorii osób:
   • klienci Administratora (kupujący na platformach handlowych lub w sklepie internetowym),
   • kontrahenci, dostawcy i odbiorcy Administratora,
   • osoby fizyczne wskazane jako odbiorcy przesyłek,
   • osoby fizyczne wskazane jako nabywcy na dokumentach handlowych.
2. Zakres powierzonych danych obejmuje w szczególności:
   • Dane identyfikacyjne: imię i nazwisko, nazwa firmy,
   • Dane kontaktowe: adres e-mail, numer telefonu,
   • Dane adresowe: adres dostawy, adres do faktury,
   • Dane identyfikacji podatkowej: NIP (opcjonalnie),
   • Dane transakcyjne: historia zamówień, wartość zakupów, metoda płatności, metoda dostawy,
   • Dane uzupełniające: uwagi do zamówień, korespondencja z klientem.
3. Procesor nie przetwarza w imieniu Administratora szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO. Administrator zobowiązuje się do nieprzekazywania takich danych do Platformy.

§ 4. Obowiązki Procesora

1. Procesor zobowiązuje się przetwarzać powierzone dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym w zakresie konfiguracji Platformy, integracji oraz reguł automatyzacji ustawionych przez Administratora. Za udokumentowane polecenie uważa się również niniejszą Umowę Powierzenia oraz funkcjonalności Platformy uruchamiane przez Administratora.
2. Procesor zapewnia, że osoby upoważnione do przetwarzania danych osobowych w jego imieniu zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi zachowania tajemnicy.
3. Procesor wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, zgodnie z § 5.
4. Procesor, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi — poprzez odpowiednie środki techniczne i organizacyjne dostępne w Platformie — wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania praw określonych w rozdziale III RODO.
5. Procesor pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO, uwzględniając charakter przetwarzania oraz dostępne mu informacje.
6. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO, na pisemny wniosek złożony za pośrednictwem adresu kontakt@zynq.pl.

§ 5. Środki bezpieczeństwa

1. Procesor stosuje następujące środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych osobowych:
   • szyfrowanie haseł algorytmem bcrypt,
   • szyfrowanie wrażliwych danych (tokenów OAuth, haseł SMTP, danych uwierzytelniających do integracji) algorytmem AES-256-GCM,
   • komunikację wyłącznie przez protokół HTTPS z wymuszonym HSTS,
   • ochronę przed atakami XSS, CSRF, clickjacking, MIME sniffing,
   • ograniczanie częstotliwości zapytań (rate limiting) w celu ochrony przed atakami brute-force i DoS,
   • rejestrowanie zdarzeń bezpieczeństwa (logi logowań, logi audytowe),
   • automatyczne wylogowanie po okresie nieaktywności,
   • izolację danych między Organizacjami (multi-tenancy),
   • kontrolę dostępu opartą na rolach (RBAC),
   • kopie zapasowe bazy danych wykonywane cyklicznie,
   • monitoring stabilności i bezpieczeństwa infrastruktury.
2. Procesor dokonuje regularnego przeglądu i aktualizacji stosowanych środków bezpieczeństwa w celu zapewnienia ich adekwatności do identyfikowanych zagrożeń.

§ 6. Podpowierzenie (Podprocesorzy)

1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z innych podmiotów przetwarzających (Podprocesorów) w celu wykonywania Umowy.
2. Na dzień obowiązywania Umowy Powierzenia Procesor korzysta z następujących Podprocesorów:

3. Aktualizacja listy Podprocesorów następuje poprzez zmianę treści niniejszej Umowy Powierzenia. Procesor informuje Administratora o planowanych zmianach dotyczących dodania lub zastąpienia Podprocesorów drogą elektroniczną z co najmniej 14-dniowym wyprzedzeniem, dając Administratorowi możliwość wyrażenia sprzeciwu.
4. W przypadku wyrażenia uzasadnionego sprzeciwu wobec nowego Podprocesora Administratorowi przysługuje prawo rozwiązania Umowy głównej z 30-dniowym okresem wypowiedzenia. Do czasu rozwiązania Umowy Procesor zobowiązany jest powstrzymać się od przekazywania danych Administratora do tego Podprocesora — o ile jest to technicznie możliwe bez istotnego ograniczenia funkcjonalności Platformy.
5. Procesor zapewnia, że każdy Podprocesor jest związany umową gwarantującą poziom ochrony danych osobowych nie niższy niż określony w niniejszej Umowie Powierzenia.
6. Procesor ponosi wobec Administratora pełną odpowiedzialność za niewywiązywanie się przez Podprocesora z obowiązków w zakresie ochrony danych osobowych.
7. Odrębną kategorię stanowią Serwisy Zewnętrzne(Allegro, Amazon, Erli, Empik, InPost, DPD, DHL, KSeF i inne), z którymi Platforma zapewnia integrację. Serwisy te przetwarzają dane osobowe jako odrębni administratorzy i nie stanowią Podprocesorów Procesora. Aktywacja integracji przez Administratora stanowi udokumentowane polecenie przekazania danych do danego Serwisu Zewnętrznego.

§ 7. Transfer danych poza EOG

1. W przypadku przekazania danych osobowych do państwa trzeciego (poza EOG), Procesor zapewnia stosowanie odpowiednich zabezpieczeń, w szczególności standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (SCC).
2. Lista odbiorców w państwach trzecich oraz podstawa prawna transferu określone są w § 6 ust. 2 niniejszej Umowy Powierzenia.

§ 8. Zgłaszanie naruszeń ochrony danych

1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Procesor zgłasza naruszenie Administratorowi bez zbędnej zwłoki, nie później niż w terminie 48 godzin od momentu jego wykrycia, drogą elektroniczną na adres e-mail Administratora przypisany do Konta.
2. Zgłoszenie naruszenia zawiera w szczególności:
   • opis charakteru naruszenia,
   • kategorie i przybliżoną liczbę osób, których dane dotyczą,
   • kategorie i przybliżoną liczbę wpisów danych osobowych,
   • opis możliwych konsekwencji naruszenia,
   • opis środków podjętych lub proponowanych w celu zaradzenia naruszeniu.
3. Zgłoszenie naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz powiadomienie osób, których dane dotyczą, leży w gestii Administratora. Procesor udziela Administratorowi wszelkiego niezbędnego wsparcia w celu wywiązania się z tych obowiązków.

§ 9. Audyt i kontrola

1. Administrator ma prawo żądania od Procesora informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO.
2. Audyt może zostać przeprowadzony w jednej z następujących form, wybranej przez Procesora:
   • udostępnienie aktualnych certyfikatów, raportów z audytów wewnętrznych lub zewnętrznych, dokumentacji bezpieczeństwa,
   • odpowiedź pisemna na kwestionariusz przedstawiony przez Administratora,
   • audyt na miejscu w siedzibie Procesora — wyłącznie w uzasadnionych przypadkach, po wcześniejszym uzgodnieniu terminu z co najmniej 30-dniowym wyprzedzeniem.
3. Audyt na miejscu odbywa się w dni robocze, w sposób nieutrudniający bieżącej działalności Procesora oraz z poszanowaniem tajemnicy przedsiębiorstwa i poufności danych innych Administratorów (multi-tenant).
4. Koszty audytu inicjowanego przez Administratora ponosi Administrator, chyba że audyt wykaże istotne naruszenie obowiązków przez Procesora — w takim przypadku koszty obciążają Procesora.
5. Wszelkie informacje uzyskane w trakcie audytu objęte są obowiązkiem zachowania poufności.

§ 10. Prawa osób, których dane dotyczą

1. Realizacja praw osób, których dane dotyczą (art. 15–22 RODO), w tym udzielanie odpowiedzi na żądania tych osób, stanowi obowiązek Administratora.
2. Jeżeli osoba, której dane dotyczą, skieruje żądanie bezpośrednio do Procesora, Procesor niezwłocznie przekaże takie żądanie Administratorowi i powstrzyma się od samodzielnej odpowiedzi — z wyjątkiem przypadków, gdy odpowiedź wymagana jest na mocy obowiązujących przepisów prawa.
3. Procesor udostępnia Administratorowi w Platformie funkcjonalności umożliwiające realizację praw osób, których dane dotyczą, w szczególności funkcje wglądu, eksportu, sprostowania i usuwania danych.

§ 11. Zwrot i usuwanie danych

1. Po zakończeniu Umowy głównej (z dowolnej przyczyny) Procesor — według wyboru Administratora — usuwa wszystkie dane osobowe lub zwraca je Administratorowi w ustrukturyzowanym, powszechnie używanym formacie (JSON / CSV) oraz usuwa wszelkie istniejące kopie, chyba że prawo Unii lub państwa członkowskiego nakazują przechowywanie danych.
2. Administrator może żądać eksportu danych w dowolnym momencie obowiązywania Umowy głównej za pośrednictwem dostępnych w Platformie funkcjonalności eksportu lub poprzez zgłoszenie na adres kontakt@zynq.pl.
3. Procesor usuwa dane osobowe w terminie 30 dni od dnia rozwiązania Umowy głównej, z zastrzeżeniem obowiązku przechowywania danych niezbędnych do realizacji obowiązków prawnych (w szczególności dokumentów księgowych przez okres 5 lat).
4. Kopie zapasowe zawierające dane Administratora są usuwane zgodnie z polityką retencji kopii zapasowych Procesora, nie później jednak niż w terminie 90 dni od rozwiązania Umowy głównej.

§ 12. Odpowiedzialność

1. Każda ze stron odpowiada za szkody spowodowane naruszeniem niniejszej Umowy Powierzenia lub przepisów RODO na zasadach określonych w art. 82 RODO oraz w obowiązujących przepisach prawa.
2. Łączna odpowiedzialność Procesora z tytułu Umowy Powierzenia podlega ograniczeniom określonym w § 9 Regulaminu, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa.
3. Administrator ponosi pełną odpowiedzialność za:
   • posiadanie odpowiedniej podstawy prawnej do przetwarzania danych osobowych przekazywanych Procesorowi,
   • spełnienie obowiązków informacyjnych wobec osób, których dane dotyczą,
   • prawidłowość konfiguracji Platformy, w tym integracji i reguł automatyzacji,
   • polecenia wydawane Procesorowi za pośrednictwem funkcjonalności Platformy.

§ 13. Postanowienia końcowe

1. W sprawach nieuregulowanych niniejszą Umową Powierzenia stosuje się przepisy RODO oraz obowiązujące przepisy prawa polskiego, w szczególności ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych.
2. W przypadku sprzeczności pomiędzy niniejszą Umową Powierzenia a Regulaminem, pierwszeństwo w zakresie ochrony danych osobowych mają postanowienia niniejszej Umowy Powierzenia.
3. Procesor zastrzega prawo do zmiany niniejszej Umowy Powierzenia, z zachowaniem trybu określonego w § 17 Regulaminu (14-dniowe wyprzedzenie, możliwość rozwiązania Umowy w razie braku akceptacji zmian).
4. Sądem właściwym do rozstrzygania sporów wynikających z niniejszej Umowy Powierzenia jest sąd powszechny właściwy miejscowo dla siedziby Procesora.