Dokument prawny
Umowa Powierzenia Przetwarzania Danych Osobowych
Ostatnia aktualizacja: 2026-06-29
1. Definicje i zakres
Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych („DPA") stanowi część Regulaminu („umowa główna") między klientem („Administrator") a Bartłomiej Paczesny, osoba fizyczna prowadząca działalność nierejestrowaną (art. 5 ustawy Prawo przedsiębiorców), ul. Narutowicza 16, 05-870 Błonie, Polska, operatorem Paczesny Analytics („Podmiot przetwarzający"), i reguluje przetwarzanie danych osobowych przez Podmiot przetwarzający w imieniu Administratora na podstawie art. 28 ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679, „RODO").
Pojęcia takie jak „dane osobowe", „przetwarzanie", „administrator", „podmiot przetwarzający", „osoba, której dane dotyczą" oraz „organ nadzorczy" mają znaczenie nadane im w RODO. W przypadku sprzeczności między niniejszym DPA a umową główną w zakresie ochrony danych pierwszeństwo ma niniejsze DPA.
2. Przedmiot, czas trwania i charakter przetwarzania
Przedmiotem przetwarzania są dane osobowe zawarte w zdarzeniach analityki witryny oraz w danych Google Search Console, które Administrator przekazuje do Paczesny Analytics lub do których zbierania upoważnia Podmiot przetwarzający. Charakter i cel przetwarzania to świadczenie analityki internetowej bez plików cookie oraz raportowania skuteczności w wyszukiwarce, zgodnie z umową główną.
Przetwarzanie trwa przez okres obowiązywania umowy głównej i ustaje z chwilą jej rozwiązania, z zastrzeżeniem obowiązków zwrotu lub usunięcia danych określonych w sekcji 12. Kategorie osób, których dane dotyczą, oraz kategorie danych osobowych określa Załącznik A.
3. Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym w zakresie przekazywania danych do państw trzecich, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego; w takim przypadku Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym przed rozpoczęciem przetwarzania, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności, wspiera Administratora w wywiązywaniu się z jego obowiązków oraz udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO.
4. Polecenia Administratora
Kompletne i ostateczne polecenia Administratora są określone w niniejszym DPA oraz w umowie głównej. Wszelkie dodatkowe lub odmienne polecenia wymagają formy pisemnej. Podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem polecenie narusza RODO lub inne przepisy o ochronie danych.
5. Poufność i personel
Podmiot przetwarzający ogranicza dostęp do danych osobowych do personelu, który potrzebuje takiego dostępu do wykonania umowy, i zobowiązuje ten personel do zachowania poufności. Dostęp do kolekcji wrażliwych jest ograniczony do administracyjnych kont serwisowych i podlega rejestrowaniu.
6. Bezpieczeństwo przetwarzania
Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku, zgodnie z Załącznikiem B.
7. Podmioty podprzetwarzające
Administrator udziela Podmiotowi przetwarzającemu ogólnego pisemnego upoważnienia do korzystania z podmiotów podprzetwarzających. Podmiot przetwarzający prowadzi aktualną listę podmiotów podprzetwarzających pod adresem /sub-processors i umożliwia Administratorowi zapisanie się na wcześniejsze powiadomienia o zamierzonych zmianach — z co najmniej 30-dniowym wyprzedzeniem — tak aby Administrator mógł zgłosić sprzeciw.
Podmiot przetwarzający nakłada na każdy podmiot podprzetwarzający obowiązki w zakresie ochrony danych nie mniej rygorystyczne niż określone w niniejszym DPA i pozostaje w pełni odpowiedzialny wobec Administratora za wykonanie obowiązków przez każdy taki podmiot.
8. Pomoc w realizacji praw osób, których dane dotyczą
Uwzględniając charakter przetwarzania, Podmiot przetwarzający pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości, w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Żądania otrzymane bezpośrednio przez Podmiot przetwarzający są bez zbędnej zwłoki przekazywane Administratorowi.
9. Zgłaszanie naruszeń ochrony danych osobowych
Podmiot przetwarzający zawiadamia Administratora bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od stwierdzenia naruszenia ochrony danych osobowych dotyczącego danych Administratora, przekazując informacje, których Administrator w uzasadniony sposób potrzebuje do wykonania własnych obowiązków zgłoszeniowych wynikających z art. 33 i 34 RODO. Zgłoszenia naruszeń można kierować na adres dpa@paczesny.pl.
10. Przekazywanie danych do państw trzecich
Jeżeli przetwarzanie wiąże się z przekazaniem danych osobowych do państwa trzeciego, Podmiot przetwarzający opiera się na odpowiednim mechanizmie przekazywania zgodnym z rozdziałem V RODO. Mechanizm właściwy dla każdego podmiotu podprzetwarzającego jest wskazany pod adresem /sub-processors.
11. Odpowiedzialność i zwolnienie z odpowiedzialności
Odpowiedzialność każdej ze stron na podstawie niniejszego DPA podlega ograniczeniom i wyłączeniom odpowiedzialności określonym w umowie głównej. Żadne z postanowień niniejszego DPA nie ogranicza ani nie wyłącza odpowiedzialności, której nie można ograniczyć ani wyłączyć na podstawie obowiązującego prawa. [LEGAL-DRAFT]
12. Okres obowiązywania i rozwiązanie
Niniejsze DPA wchodzi w życie z chwilą jego zaakceptowania przez Administratora i obowiązuje przez okres przetwarzania. Po zakończeniu, według wyboru Administratora, Podmiot przetwarzający usuwa albo zwraca wszystkie dane osobowe oraz usuwa istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie tych danych.
Sprawy dotyczące niniejszego DPA, w tym wniosek o kontrasygnowany egzemplarz oraz wskazanie podmiotu prawnego Podmiotu przetwarzającego pod adresem ul. Narutowicza 16, 05-870 Błonie, Polska, można kierować na adres dpa@paczesny.pl.
Załącznik A — Czynności przetwarzania
- Kategorie osób, których dane dotyczą: odwiedzający witryny Administratora oraz upoważnieni użytkownicy Administratora.
- Kategorie danych osobowych: pseudonimizowane identyfikatory odwiedzających oraz metadane zdarzeń (strona, źródło wejścia, klasa urządzenia, kraj), a także — gdy Administrator połączy Google Search Console — dane o skuteczności w wyszukiwarce dla zweryfikowanych właściwości Administratora.
- Operacje przetwarzania: zbieranie, pseudonimizacja, agregacja, przechowywanie oraz prezentacja danych analitycznych i danych o skuteczności w wyszukiwarce.
- Czas trwania: surowe dane zdarzeń są przechowywane przez 30 dni; dane zagregowane są przechowywane do czasu usunięcia witryny lub konta przez Administratora, zgodnie z Polityką prywatności.
Załącznik B — Środki techniczne i organizacyjne
- Szyfrowanie danych w trakcie przesyłania z wykorzystaniem TLS dla wszystkich połączeń z usługą.
- Szyfrowanie wrażliwych danych uwierzytelniających w spoczynku — tokeny odświeżania OAuth Google przechowywane są z użyciem uwierzytelnionego szyfrowania AES-256-GCM.
- Pseudonimizacja identyfikatorów odwiedzających za pomocą codziennie rotowanego solonego skrótu, bez przechowywania surowego adresu IP w ramach danych analityki odwiedzin.
- Kontrola dostępu ograniczająca dane osobowe do właściciela konta, przy czym kolekcje wrażliwe są dostępne wyłącznie przez administracyjne konta serwisowe.
- Rejestrowanie (audyt) dostępu do kolekcji wrażliwych.
- Automatyczne, oparte na czasie usuwanie surowych danych zdarzeń po upływie zdefiniowanego okresu przechowywania.
- Izolacja sieciowa i platformowa na samodzielnie hostowanej infrastrukturze pod kontrolą Podmiotu przetwarzającego.
- Okresowy przegląd środków technicznych i organizacyjnych.
Załącznik C — Podmioty podprzetwarzające
Aktualna lista podmiotów podprzetwarzających wraz z ich celami, lokalizacjami i mechanizmami przekazywania danych jest prowadzona pod adresem /sub-processors i stanowi część niniejszego DPA.