Umowa powierzenia przetwarzania danych
Wersja: 1.0 | Obowiązuje od: 24 lutego 2026
Umowa Powierzenia Przetwarzania Danych Osobowych
Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa") zawarta jest pomiędzy Damianem Giebas, zamieszkałym pod adresem: ul. Karłowicza 9B/4, 75-563 Koszalin, adres e-mail: damian.giebas@gmail.com, operatorem serwisu moja-kancelaria.pl (dalej: „Procesor"), a Kancelarią jako Administratorem, w związku z korzystaniem z Systemu na warunkach Regulaminu świadczenia usług drogą elektroniczną serwisu moja-kancelaria.pl (dalej: „Regulamin").
1. Strony umowy i definicje
1.1. Administrator — podmiot korzystający z Systemu na podstawie Regulaminu (dalej: „Kancelaria"), który decyduje o celach i sposobach przetwarzania danych osobowych swoich klientów i współpracowników wprowadzanych do Systemu.
1.2. Procesor — Damian Giebas, zamieszkały pod adresem: ul. Karłowicza 9B/4, 75-563 Koszalin, adres e-mail: damian.giebas@gmail.com, operator serwisu moja-kancelaria.pl, który przetwarza dane osobowe w imieniu i na udokumentowane polecenie Administratora w ramach świadczonej Usługi.
1.3. System — oprogramowanie SaaS moja-kancelaria.pl udostępniane Kancelarii na warunkach Regulaminu.
1.4. RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
1.5. Dane osobowe — dane osobowe w rozumieniu art. 4 pkt 1 RODO, wprowadzone przez Kancelarię do Systemu w toku korzystania z Usługi.
1.6. Naruszenie ochrony danych osobowych — naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
1.7. Pojęcia pisane wielką literą, niezdefiniowane w niniejszej Umowie, mają znaczenie nadane im w Regulaminie.
2. Przedmiot umowy
2.1. Na podstawie niniejszej Umowy Administrator powierza Procesorowi przetwarzanie danych osobowych, a Procesor zobowiązuje się do przetwarzania tych danych wyłącznie w zakresie i celu określonym w niniejszej Umowie, zgodnie z art. 28 RODO.
2.2. Procesor przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora — za które uznaje się korzystanie przez Administratora z Systemu zgodnie z Regulaminem — chyba że obowiązek przetwarzania wynika z prawa Unii lub prawa polskiego, któremu podlega Procesor.
2.3. Procesor nie przetwarza powierzonych danych osobowych w celach własnych, w szczególności nie przetwarza ich w celach marketingowych ani nie sprzedaje ich podmiotom trzecim.
3. Czas trwania przetwarzania
3.1. Procesor przetwarza dane osobowe przez czas obowiązywania Umowy, tj. przez okres świadczenia Usługi na rzecz Administratora na warunkach Regulaminu.
3.2. Po rozwiązaniu lub wygaśnięciu Umowy Procesor zobowiązuje się do postępowania z danymi zgodnie z zasadami określonymi w rozdziale 11 niniejszej Umowy.
4. Charakter i cel przetwarzania
4.1. Dane osobowe są przetwarzane przez Procesora w następującym celu: świadczenie Usługi polegającej na udostępnieniu Administratorowi systemu informatycznego do zarządzania kancelarią prawną, w tym przechowywanie, organizowanie, wyświetlanie i archiwizowanie danych wprowadzanych przez Administratora oraz upoważnionych przez niego użytkowników.
4.2. Charakter przetwarzania jest wyłącznie techniczny i infrastrukturalny — Procesor przetwarza dane jako podmiot świadczący usługę hostingową i aplikacyjną (SaaS), bez merytorycznej ingerencji w treść przetwarzanych danych.
4.3. Przetwarzanie odbywa się z użyciem środków zautomatyzowanych, w ramach infrastruktury chmurowej opisanej w rozdziale 8 niniejszej Umowy.
5. Rodzaj danych osobowych i kategorie osób
5.1. Procesor przetwarza następujące kategorie danych osobowych wprowadzonych przez Administratora do Systemu:
| Kategoria danych | Zakres danych | Kategoria osób | Podstawa prawna Administratora |
|---|---|---|---|
| Konta użytkowników Systemu | Nazwa użytkownika, adres e-mail, imię, nazwisko | Pracownicy i współpracownicy Kancelarii | Art. 6 ust. 1 lit. b RODO |
| Rekordy akceptacji dokumentów prawnych | Adres e-mail, adres IP, nazwa Kancelarii | Użytkownicy Systemu | Art. 6 ust. 1 lit. c RODO |
| Dane klientów — osoby fizyczne | Imię, nazwisko, PESEL, NIP, adres zamieszkania/korespondencyjny | Klienci Kancelarii (osoby fizyczne) | Art. 6 ust. 1 lit. b RODO |
| Dane klientów — podmioty gospodarcze | Nazwa, KRS, NIP, adres | Klienci Kancelarii (osoby prawne i jednostki organizacyjne) | Art. 6 ust. 1 lit. b RODO |
| Pełnomocnicy | Imię, nazwisko, adres, adres e-mail, numer wpisu, dane pełnomocnictwa | Pełnomocnicy klientów Kancelarii | Art. 6 ust. 1 lit. b RODO |
| Dziennik operacji (audit log) | Identyfikator użytkownika, adres IP, nagłówek User-Agent | Użytkownicy Systemu | Art. 6 ust. 1 lit. f RODO |
| Wnioski rejestracyjne Kancelarii | Imię, nazwisko, adres e-mail wnioskodawcy | Osoby rejestrujące Kancelarię w Systemie | Art. 6 ust. 1 lit. b RODO |
| Konfiguracja IMAP | Nazwa użytkownika konta e-mail, hasło (szyfrowane) | Użytkownicy Systemu | Art. 6 ust. 1 lit. b RODO |
| Importowana poczta elektroniczna | Nadawca, odbiorcy, temat wiadomości | Korespondenci Kancelarii | Art. 6 ust. 1 lit. b RODO |
| Zdjęcia kopert pocztowych (OCR) | Obrazy kopert mogące zawierać imiona, nazwiska i adresy | Nadawcy i odbiorcy korespondencji pocztowej | Art. 6 ust. 1 lit. b RODO |
5.2. Procesor nie przetwarza szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO, chyba że Administrator celowo wprowadzi takie dane do Systemu — w takim przypadku Administrator ponosi wyłączną odpowiedzialność za zapewnienie odpowiedniej podstawy prawnej ich przetwarzania.
6. Obowiązki Administratora
6.1. Administrator oświadcza, że jest uprawniony do powierzenia Procesorowi przetwarzania danych osobowych opisanych w rozdziale 5 niniejszej Umowy oraz że posiada odpowiednią podstawę prawną do ich przetwarzania.
6.2. Administrator zobowiązuje się do:
- przetwarzania danych osobowych zgodnie z RODO i przepisami krajowymi o ochronie danych osobowych,
- wypełniania obowiązków informacyjnych wobec osób, których dane dotyczą, zgodnie z art. 13 i 14 RODO,
- reagowania na żądania osób, których dane dotyczą, w zakresie realizacji ich praw wynikających z rozdziału III RODO,
- niezwłocznego informowania Procesora o wszelkich zmianach mających wpływ na zakres lub sposób przetwarzania danych osobowych,
- wydawania Procesorowi udokumentowanych poleceń dotyczących przetwarzania danych osobowych wyłącznie w formie pisemnej lub poprzez konfigurację i korzystanie z Systemu.
6.3. Administrator jest wyłącznie odpowiedzialny za treść i zakres danych wprowadzanych do Systemu, w szczególności za zasadność i legalność przetwarzania danych klientów Kancelarii.
7. Obowiązki Procesora
7.1. Procesor zobowiązuje się do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, o którym mowa w pkt 2.2 niniejszej Umowy.
7.2. Procesor zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
7.3. Procesor wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne, o których mowa w art. 32 RODO, zapewniające ochronę danych osobowych adekwatną do ryzyka, w szczególności:
- szyfrowanie transmisji danych z użyciem HTTPS (z nagłówkiem HSTS) oraz TLS dla połączeń SMTP,
- szyfrowanie wybranych pól wrażliwych w bazie danych (np. haseł do kont pocztowych),
- uwierzytelnianie wieloskładnikowe (MFA) dla użytkowników Systemu (django-otp),
- system ról i uprawnień ograniczający dostęp do danych na zasadzie minimalnych uprawnień,
- architekturę multi-tenant z izolacją danych każdej Kancelarii w odrębnym schemacie PostgreSQL,
- dziennik operacji (OperationLog) rejestrujący wszystkie istotne działania w Systemie,
- ochronę przed atakami CSRF oraz bezpieczne pliki cookie z odpowiednimi atrybutami,
- automatyczne wygasanie sesji użytkownika po 24 godzinach od zalogowania,
- walidatory haseł zgodne z wymogami bezpieczeństwa oraz haszowanie haseł algorytmem PBKDF2 z SHA256,
- ciągłą ochronę bazy danych Heroku PostgreSQL (continuous protection) z kopiami zapasowymi.
7.4. Procesor pomaga Administratorowi wywiązywać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO, w szczególności poprzez udostępnienie odpowiednich funkcji Systemu umożliwiających eksport, modyfikację i usunięcie danych.
7.5. Procesor udziela Administratorowi wszelkich niezbędnych informacji do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia przeprowadzanie audytów i inspekcji na zasadach określonych w rozdziale 9 niniejszej Umowy.
7.6. Procesor niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane polecenie stanowi naruszenie RODO lub innych przepisów prawa Unii lub prawa polskiego dotyczących ochrony danych.
8. Podprzetwarzanie
8.1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług podprocesora (dalej: „Podprocesor") w zakresie niezbędnym do świadczenia Usługi, pod warunkiem spełnienia wymagań art. 28 ust. 2 i 4 RODO.
8.2. Procesor korzysta z następujących Podprocesorów:
| Podprocesor | Rola | Przetwarzane dane | Lokalizacja |
|---|---|---|---|
| Heroku (Salesforce, Inc.) | Hosting aplikacji i bazy danych | Wszystkie dane przechowywane w bazie danych Systemu | UE |
| Sentry (Functional Software, Inc.) | Monitoring błędów aplikacji | Dane użytkowników (PII w śladach błędów), adresy IP, nagłówki User-Agent, adresy e-mail | UE |
| Magazyn plików kompatybilny z S3 (Cloudflare R2 lub AWS S3) | Przechowywanie załączników | Pliki załączników przesyłane przez użytkowników | UE |
| Dostawca usług SMTP | Wysyłanie powiadomień e-mail | Adresy e-mail odbiorców powiadomień systemowych | Zależna od konfiguracji |
| Cloudflare Turnstile (Cloudflare, Inc.) | Weryfikacja CAPTCHA przy rejestracji | Adres IP, nagłówek User-Agent | Globalnie |
| Dostawca usług AI (OpenAI, Anthropic lub Google) | Optyczne rozpoznawanie danych adresowych z kopert pocztowych (OCR) | Obrazy kopert pocztowych mogące zawierać dane osobowe (imiona, nazwiska, adresy) | UE / USA |
8.3. Procesor zobowiązuje się nakładać na każdego Podprocesora, w drodze umowy, takie same obowiązki ochrony danych jak określone w niniejszej Umowie, zgodnie z art. 28 ust. 4 RODO.
8.4. Procesor informuje Administratora o planowanych zmianach dotyczących Podprocesorów (dodaniu lub zastąpieniu) z co najmniej 30-dniowym wyprzedzeniem, poprzez komunikat opublikowany w Systemie lub wiadomość e-mail na adres Administratora Kancelarii. Administrator ma prawo wnieść uzasadniony sprzeciw wobec takiej zmiany. Brak sprzeciwu w terminie 14 dni od dnia powiadomienia oznacza akceptację zmiany.
8.5. Procesor pozostaje w pełni odpowiedzialny wobec Administratora za wypełnianie przez Podprocesora jego obowiązków w zakresie ochrony danych.
8.6. W zakresie, w jakim korzystanie z usług Podprocesorów wiąże się z przekazywaniem danych osobowych do państw trzecich spoza Europejskiego Obszaru Gospodarczego (w szczególności dostawcy usług AI oraz Cloudflare Turnstile), Procesor zapewnia, że przekazywanie odbywa się na podstawie odpowiednich zabezpieczeń przewidzianych w rozdziale V RODO, w szczególności standardowych klauzul umownych (SCC) przyjętych przez Komisję Europejską lub decyzji o adekwatności ochrony danych (EU-US Data Privacy Framework).
9. Audyty i kontrole
9.1. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami wynikającymi z art. 28 RODO.
9.2. Administrator ma prawo przeprowadzić lub zlecić podmiotowi trzeciemu audyt bezpieczeństwa przetwarzania danych w zakresie czynności wykonywanych przez Procesora, nie częściej niż raz w roku kalendarzowym.
9.3. Audyt przeprowadzany jest:
- po uprzednim pisemnym zawiadomieniu Procesora z co najmniej 14-dniowym wyprzedzeniem,
- w sposób nienaruszający poufności danych innych Administratorów korzystających z Systemu,
- na koszt Administratora, chyba że audyt wykaże istotne naruszenia niniejszej Umowy — wówczas koszty ponosi Procesor.
9.4. Procesor może odmówić udziału w audycie przeprowadzanym przez podmiot, który jest jego bezpośrednim konkurentem. W takim przypadku Strony uzgodnią innego, niezależnego audytora.
9.5. Procesor niezwłocznie informuje Administratora, jeżeli jego zdaniem żądanie audytu narusza przepisy prawa lub uzasadniony interes innego administratora danych.
10. Naruszenia ochrony danych
10.1. Procesor, po stwierdzeniu Naruszenia ochrony danych osobowych dotyczącego powierzonych danych, zobowiązuje się do postępowania według następującej procedury:
- wykrycie i wstępna ocena incydentu — w ciągu 24 godzin od jego stwierdzenia,
- powiadomienie Administratora — bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od stwierdzenia Naruszenia, z uwzględnieniem wszelkich dostępnych informacji niezbędnych do wypełnienia przez Administratora obowiązku zgłoszenia naruszenia do organu nadzorczego,
- współpraca z Administratorem w celu umożliwienia mu zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w terminie 72 godzin, zgodnie z art. 33 RODO.
10.2. W przypadku Naruszenia mogącego powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Procesor wspiera Administratora w realizacji obowiązku zawiadomienia tych osób zgodnie z art. 34 RODO.
10.3. Powiadomienie, o którym mowa w pkt 10.1, zawiera co najmniej:
- opis charakteru Naruszenia, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą,
- dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego Procesora,
- opis możliwych konsekwencji Naruszenia,
- opis środków zastosowanych lub proponowanych przez Procesora w celu zaradzeniu Naruszeniu.
10.4. Procesor dokumentuje wszelkie Naruszenia ochrony danych osobowych, w tym okoliczności ich zaistnienia, ich skutki oraz podjęte działania zaradcze.
11. Usunięcie lub zwrot danych po zakończeniu umowy
11.1. Po rozwiązaniu lub wygaśnięciu Umowy, w tym po zamknięciu Konta Kancelarii, Procesor stosuje następującą politykę retencji danych:
| Kategoria danych | Okres przechowywania po zakończeniu Umowy | Podstawa |
|---|---|---|
| Konta użytkowników Systemu | Do anonimizacji lub usunięcia — zgodnie z Regulaminem | Czas trwania umowy o świadczenie usług |
| Rekordy akceptacji dokumentów prawnych | Bezterminowo | Art. 6 ust. 1 lit. c RODO (obowiązek prawny) |
| Dziennik operacji (audit log) | 5 lat | Uzasadniony interes prawny |
| Dane akt spraw i klientów Kancelarii | Zgodnie z polityką Kancelarii (minimum 10 lat) | Przepisy archiwalne dotyczące dokumentacji prawnej |
| Załączniki do spraw | Jak dane akt spraw | Przepisy archiwalne dotyczące dokumentacji prawnej |
| Wnioski rejestracyjne Kancelarii (odrzucone) | 30 dni od dnia odrzucenia | Art. 6 ust. 1 lit. b RODO |
11.2. Na pisemne żądanie Administratora, zgłoszone przed upływem 30 dni od dnia zamknięcia Konta Kancelarii, Procesor umożliwia eksport danych w formacie elektronicznym, zgodnie z funkcjonalnością dostępną w Systemie.
11.3. Po upływie terminów retencji wskazanych w pkt 11.1 Procesor dokonuje trwałego i bezpiecznego usunięcia lub anonimizacji danych osobowych, uniemożliwiającego ich odtworzenie, z zastrzeżeniem obowiązków wynikających z bezwzględnie obowiązujących przepisów prawa.
11.4. Na żądanie Administratora Procesor może poświadczyć na piśmie fakt usunięcia danych osobowych.
12. Postanowienia końcowe
12.1. Niniejsza Umowa stanowi integralną część Regulaminu i wchodzi w życie z chwilą akceptacji Regulaminu przez Administratora Kancelarii.
12.2. W przypadku sprzeczności między postanowieniami niniejszej Umowy a Regulaminem, w zakresie ochrony danych osobowych pierwszeństwo mają postanowienia niniejszej Umowy.
12.3. Zmiany niniejszej Umowy wymagają zachowania formy pisemnej lub elektronicznej pod rygorem nieważności. O planowanych zmianach Administrator zostanie powiadomiony zgodnie z zasadami określonymi w Regulaminie.
12.4. W przypadku zmiany powszechnie obowiązujących przepisów prawa dotyczących ochrony danych osobowych Strony zobowiązują się do dostosowania niniejszej Umowy do nowych wymogów w rozsądnym terminie.
12.5. Niniejsza Umowa podlega prawu polskiemu. W sprawach nieuregulowanych w niniejszej Umowie stosuje się przepisy RODO oraz polskie przepisy o ochronie danych osobowych.
12.6. Wszelkie spory wynikające z niniejszej Umowy lub z nią związane będą rozstrzygane przez sąd właściwy dla siedziby Procesora.
12.7. Niniejsza Umowa zostaje zawarta na czas trwania stosunku umownego wynikającego z Regulaminu i ulega rozwiązaniu z chwilą jego wygaśnięcia lub rozwiązania, z zastrzeżeniem postanowień rozdziału 11 dotyczących dalszego przetwarzania danych po zakończeniu Umowy.
12.8. Każda wersja niniejszej Umowy jest oznaczona numerem wersji i datą wejścia w życie.