Umowa powierzenia przetwarzania danych osobowych (DPA)

Wersja 1.2 · Obowiązuje od 2026-07-07 · Data Processing Agreement zgodna z art. 28 RODO · Załącznik nr 1 do Regulaminu

Nie musisz nic podpisywać osobno. Niniejsza Umowa powierzenia (DPA) stanowi integralny Załącznik nr 1 do Regulaminu i zostaje zawarta między Tobą (Administratorem) a Usługodawcą (Podmiotem przetwarzającym) z chwilą akceptacji Regulaminu podczas rejestracji konta. Zgodnie z art. 28 ust. 9 RODO umowa powierzenia może mieć formę elektroniczną - akceptacja w formularzu rejestracji jest prawnie wiążącym zawarciem tej umowy. Klienci Enterprise mogą dodatkowo zawrzeć indywidualnie negocjowaną, podpisaną wersję DPA - patrz sekcja 15.

1. Strony i role

1.1. Administrator - Klient korzystający z platformy NavyFlame, który w ramach prowadzonej działalności decyduje o celach i sposobach przetwarzania danych osobowych swoich klientów końcowych (m.in. dane zamówień, faktur, wysyłek).

1.2. Podmiot przetwarzający (Procesor) - MDS Software Solutions Group Sp. z o.o. (prowadząca platformę pod marką „NavyFlame") z siedzibą w Opolu (45-266) przy ul. Majora „Hubala" 1/605, NIP 7543374056, REGON 540140409, KRS 0001137425, która przetwarza dane osobowe wyłącznie w imieniu i na udokumentowane polecenie Administratora.

1.3. Niniejsza Umowa powierzenia (dalej „DPA") stanowi integralną część Regulaminu i reguluje obowiązki stron wynikające z art. 28 RODO.

2. Przedmiot i czas trwania

2.1. Procesor przetwarza dane osobowe powierzone przez Administratora wyłącznie w celu świadczenia usług platformy SaaS NavyFlame, tj. orkiestracji operacji e-commerce Administratora (zarządzanie zamówieniami, fakturami, katalogiem, wysyłkami oraz integracjami skonfigurowanymi przez Administratora).

2.2. DPA obowiązuje przez cały czas trwania Umowy głównej (Regulaminu). Zakończenie świadczenia usług uruchamia procedurę zwrotu i usunięcia danych opisaną w sekcji 13 oraz w cyklu życia danych z sekcji 5 Regulaminu.

3. Charakter i cel przetwarzania

Procesor przetwarza dane osobowe w zakresie niezbędnym do realizacji następujących czynności:

CzynnośćKategorie danych osobowych
Uwierzytelnianie i RBACe-mail użytkownika, hash hasła, adres IP, user-agent, znaczniki czasu logowania
Zarządzanie zamówieniamiimię i nazwisko, e-mail, telefon, adresy dostawy/rozliczeń, pozycje zamówień klientów końcowych
Wystawianie fakturdane rozliczeniowe klientów końcowych, numery identyfikacji podatkowej (NIP/VAT)
Wysyłkiadresy klientów końcowych, zdarzenia śledzenia przesyłek
Powiadomieniae-mail klienta końcowego, preferencje powiadomień
Dziennik audytudziałania użytkowników, adres IP, znaczniki czasu
Katalog produktówbrak danych osobowych (wyłącznie dane produktowe)
Publiczne API i webhooki wychodzącete same kategorie co powyżej (m.in. dane zamówień, faktur, wysyłek klientów końcowych), a przez zakresy odczytu danych osobowych również: dane kontaktowe klientów (adres e-mail, telefon, NIP, adresy) wraz z eksportem, logi wiadomości e-mail (adresy odbiorców, tematy) oraz dane obsługi posprzedażowej (loginy i treści od kupujących); udostępniane przez API oraz przekazywane na endpointy webhooków wskazane przez Administratora

3.1. Zakaz danych szczególnych kategorii: Platforma nie jest przeznaczona do przetwarzania danych szczególnych kategorii w rozumieniu art. 9 RODO (dane o zdrowiu, biometryczne, dotyczące wyznania itp.). Administrator zobowiązuje się ich nie powierzać.

4. Kategorie osób, których dane dotyczą

  • pracownicy i współpracownicy Administratora korzystający z Platformy (użytkownicy RBAC),
  • klienci końcowi Administratora, których dane zamówień przepływają przez Platformę,
  • kontakty Administratora przechowywane w systemach zintegrowanych (np. klienci sklepu zaimportowani przez connector marketplace).

5. Obowiązki Podmiotu przetwarzającego (art. 28 ust. 3 RODO)

Procesor:

  1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora (poleceniem jest m.in. konfiguracja Platformy oraz niniejsze DPA), w tym w zakresie przekazywania danych do państw trzecich - chyba że obowiązek taki nakłada prawo,
  2. niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane polecenie (w tym skonfigurowanie webhooka na endpoint poza EOG) narusza RODO lub inne przepisy o ochronie danych (art. 28 ust. 3 zd. ostatnie RODO),
  3. zapewnia, by osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności,
  4. stosuje środki techniczne i organizacyjne zgodne z art. 32 RODO (sekcja 9),
  5. przestrzega warunków korzystania z podwykonawców (sekcja 7),
  6. w miarę możliwości pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą (sekcja 11),
  7. pomaga Administratorowi wywiązać się z obowiązków z art. 32-36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków),
  8. po zakończeniu świadczenia usług zwraca lub usuwa dane osobowe (sekcja 13),
  9. udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków oraz umożliwia audyty (sekcja 12).

6. Obowiązki i prawa Administratora

6.1. Administrator oświadcza, że posiada podstawę prawną do przetwarzania powierzonych danych i jest uprawniony do ich powierzenia.

6.2. Administrator wydaje polecenia przetwarzania zgodnie z prawem oraz odpowiada za zgodność z prawem powierzonych danych. Polecenia wykraczające poza zakres usług wymagają odrębnych ustaleń.

6.3. Dostęp przez publiczne API. Klucze API tworzone przez Administratora w panelu umożliwiają dostęp do jego własnych danych powierzonych Procesorowi. Administrator odpowiada za poufność kluczy, nadawany im zakres uprawnień oraz za działania wykonane przy ich użyciu. Dostęp przez API nie zmienia ról stron ani zakresu powierzenia.

6.4. Webhooki wychodzące jako udokumentowane polecenie. Skonfigurowanie przez Administratora subskrypcji webhooka (wskazanie zdarzenia i docelowego adresu HTTPS) stanowi udokumentowane polecenie przetwarzania w rozumieniu art. 28 ust. 3 lit. a) RODO - Administrator poleca Procesorowi przekazywanie określonych danych osobowych na wskazany przez siebie endpoint. Miejsce docelowe webhooka (np. Zapier, Make, własny serwer lub inny system Administratora) jest odbiorcą lub podmiotem przetwarzającym Administratora, a nie podwykonawcą (sub-procesorem) Procesora. Administrator zapewnia podstawę prawną przekazania oraz - w razie przekazania poza EOG - odpowiednie zabezpieczenia (sekcja 14), a także odpowiada za dalsze przetwarzanie danych w miejscu docelowym i za propagację żądań osób, których dane dotyczą (np. usunięcia), do tego miejsca. Procesor zapewnia integralność i autentyczność przekazu (podpis HMAC, TLS, blokada adresów wewnętrznych), lecz nie kontroluje odbiorcy wskazanego przez Administratora.

6.5. Retencja danych przekazu webhooków. Zapisy dostaw webhooków (treść zdarzenia oraz metadane prób) przechowywane są w bazie danych tenanta (szyfrowanej w spoczynku - sekcja 9) i usuwane automatycznie: zapisy zakończone sukcesem po 30 dniach, zapisy nieudane (kolejka DLQ) po 90 dniach (okno diagnostyki i ponawiania nieudanych dostaw). Żądanie usunięcia danych osoby, której dane dotyczą (sekcja 11), obejmuje również te zapisy. Klucze idempotencji operacji zapisu API wygasają po 24 godzinach.

7. Podwykonawcy (sub-procesorzy)

7.1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z podwykonawców przetwarzania wymienionych na liście /subprocessors (lista wersjonowana i publicznie dostępna).

7.2. Procesor informuje o zamiarze dodania lub zmiany podwykonawcy z 30-dniowym wyprzedzeniem (e-mail + baner na stronie statusu). W okresie wypowiedzenia Administratorowi przysługuje prawo sprzeciwu; w razie braku rozwiązania alternatywnego - prawo wypowiedzenia bez kar umownych.

7.3. Procesor nakłada na podwykonawców obowiązki ochrony danych odpowiadające obowiązkom z niniejszego DPA.

8. Lokalizacja danych

  • Warstwa danych (per tenant) - domyślnie UE (Polska / Niemcy, np. Contabo / Hetzner). Klient może wskazać region przy zakładaniu (zależnie od dostępności i cennika).
  • Warstwa sterowania (nf-core) - UE.
  • Kopie zapasowe - ten sam region co podstawowy VPS, o ile Klient nie zażąda replikacji międzyregionalnej.
  • CDN (Cloudflare) - globalny cache wyłącznie zasobów statycznych; dane osobowe nie są w nim cache'owane (poza tranzytem).
  • Procesor nie przekazuje danych klientów końcowych (warstwa danych tenanta) poza EOG z własnej inicjatywy. Transfery poza EOG ograniczają się do: (a) podwykonawców usług pomocniczych na podstawie SCC (sekcja 14 oraz /subprocessors) oraz (b) endpointów webhooków wskazanych przez Klienta, które inicjuje sam Klient (sekcje 6.4 i 14).

9. Środki bezpieczeństwa (art. 32 RODO)

Procesor wdraża odpowiednie środki techniczne i organizacyjne, w tym:

  • Szyfrowanie w tranzycie - TLS 1.3 (przeglądarka - CDN - VPS tenanta), mTLS między agentem noda a backendem,
  • Szyfrowanie w spoczynku - AES-256 dla bazy tenanta, szyfrowanie kopii zapasowych kluczem per tenant,
  • Izolacja tenantów - dane każdego Klienta na dedykowanym VPS z dedykowaną bazą PostgreSQL (brak wspólnych tabel z danymi osobowymi),
  • Kontrola dostępu - RBAC z zasadą najmniejszych uprawnień i logowaniem dostępów,
  • Uwierzytelnianie wieloskładnikowe (MFA) - dostępne dla użytkowników, wymagane dla personelu Procesora,
  • Dziennik audytu - każde istotne działanie logowane z użytkownikiem, IP i znacznikiem czasu,
  • Kopie zapasowe - codzienne, z testami odtwarzania oraz retencją zgodną z polityką,
  • Zgłaszanie podatności - kanał security@navyflame.com.

10. Zgłaszanie naruszeń ochrony danych

Procesor zawiadamia Administratora o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia. Zawiadomienie obejmuje: charakter naruszenia, kategorie i przybliżoną liczbę osób oraz rekordów, prawdopodobne konsekwencje oraz środki podjęte lub proponowane. Termin 24 h jest krótszy niż 72-godzinny termin zgłoszenia do organu (art. 33 RODO), aby Administrator zdążył dopełnić własnych obowiązków.

11. Pomoc w realizacji praw osób, których dane dotyczą

Procesor pomaga Administratorowi w obsłudze żądań osób (art. 12-22 RODO) - prawo dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia danych i sprzeciwu - poprzez funkcje samoobsługowe w panelu (eksport i usuwanie danych) oraz, w razie potrzeby, wsparcie operatora w ramach zgłoszenia. Standardowy termin: 30 dni od żądania (art. 12 ust. 3 RODO).

12. Audyty

Administrator może przeprowadzić audyt przetwarzania raz w roku kalendarzowym, z 30-dniowym wyprzedzeniem - w formie audytu zdalnego (przegląd dokumentacji, próbkowanie logów, weryfikacja umów z podwykonawcami) lub na miejscu w siedzibie Procesora w UE. Raporty z corocznych testów penetracyjnych są dostępne na żądanie (po podpisaniu NDA) bez konieczności uruchamiania pełnego audytu.

13. Zwrot i usunięcie danych po zakończeniu

Po zakończeniu Umowy głównej Procesor - zgodnie z wyborem Administratora - zwraca dane (eksport w panelu) i usuwa je zgodnie z cyklem życia danych opisanym w sekcji 5 Regulaminu (terminacja VPS, okno wznowienia 90 dni, trwałe usunięcie). Administrator może zażądać natychmiastowego usunięcia danych (z odstępstwem od cyklu domyślnego). Wyjątkiem są dane retencjonowane prawem (faktury, dziennik audytu).

14. Transfery międzynarodowe

W przypadku podwykonawców spoza EOG Procesor opiera transfer na standardowych klauzulach umownych (SCC - moduł 3: procesor do sub-procesora) wraz z oceną skutków transferu (TIA) dostępną na żądanie. Aktualni podwykonawcy spoza EOG (m.in. Cloudflare, Stripe, AWS, GitHub) działają w oparciu o SCC oraz Data Privacy Framework. Pełna lista i mechanizmy transferu: /subprocessors.

14.1. Transfery inicjowane przez Administratora (webhooki). Przekazanie danych na endpoint webhooka wskazany przez Administratora następuje wyłącznie na jego udokumentowane polecenie (sekcja 6.4). Jeżeli endpoint znajduje się poza EOG (np. Zapier, Make), za zapewnienie odpowiedniego mechanizmu transferu (SCC lub inna podstawa z rozdziału V RODO) oraz podstawy prawnej odpowiada Administrator jako administrator danych. W relacji między Stronami za zapewnienie mechanizmu transferu oraz podstawy prawnej odpowiada Administrator; Procesor nie zawiera w jego imieniu SCC z wybranym przez niego odbiorcą. Odbiorca ten nie jest podwykonawcą Procesora i nie figuruje na liście /subprocessors.

15. Modyfikacje (rider / side-letter) - Enterprise

Klienci Enterprise mogą zawrzeć indywidualnie negocjowaną, podpisaną wersję DPA lub aneks (side-letter) obejmujący m.in.:

  • rozszerzoną retencję dziennika audytu (domyślnie 90 dni, dla branż regulowanych do 7 lat),
  • wybór konkretnego regionu / centrum danych (zależnie od dostępności u dostawcy VPS),
  • skrócony czas powiadomienia o naruszeniu (poniżej 24 h),
  • częstsze audyty (ponad raz w roku).

W tej sprawie skontaktuj się z zespołem prawnym: legal@navyflame.com.

Dokumenty powiązane

Pytania dotyczące zgodności i ochrony danych: legal@navyflame.com.