Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

Wersja: v1.0 · Data: 2026-04-21

Niniejsza Umowa Powierzenia (dalej: „DPA”) zostaje zawarta pomiędzy:

• Administratorem danych — Użytkownikiem Aplikacji CzystoApp (przedsiębiorcą)
• Podmiotem przetwarzającym — Arek Niewiński, marka Gravity AI, arek@aigravity.pl

Akceptacja DPA następuje poprzez zaznaczenie pola „Akceptuję DPA” podczas rejestracji w Aplikacji CzystoApp. Akceptacja jest warunkiem koniecznym korzystania z Aplikacji.

§1. Przedmiot powierzenia

1. Administrator powierza Podmiotowi Przetwarzającemu dane osobowe klientów końcowych Administratora w zakresie niezbędnym do świadczenia usług Aplikacji.
2. Zakres danych: imię i nazwisko, numer telefonu, email, adres, notatki, historia świadczonych usług.
3. Cel przetwarzania: umożliwienie Administratorowi prowadzenia CRM, wyceny usług i komunikacji SMS z klientami końcowymi.
4. Kategorie osób, których dane dotyczą: klienci i potencjalni klienci firmy Administratora.

§2. Czas trwania

1. DPA obowiązuje przez okres korzystania Administratora z Aplikacji.
2. Po rozwiązaniu umowy dane zostaną usunięte w ciągu 30 dni (z zachowaniem 30-dniowego okresu backupu).
3. Administrator może w każdej chwili zażądać eksportu danych (JSON) lub ich usunięcia.

§3. Obowiązki Podmiotu Przetwarzającego

1. Przetwarzać dane wyłącznie na udokumentowane polecenie Administratora (akceptacja DPA + korzystanie z Aplikacji).
2. Zapewnić, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy.
3. Wdrożyć środki techniczne i organizacyjne opisane w §5.
4. Pomagać Administratorowi w wywiązywaniu się z obowiązków wobec osób, których dane dotyczą (DSAR).
5. Zgłaszać Administratorowi naruszenia ochrony danych w terminie 24 godzin od stwierdzenia naruszenia.
6. Usunąć lub zwrócić wszystkie dane po zakończeniu umowy.

§4. Podpowierzenie

Administrator wyraża ogólną zgodę na korzystanie przez Podmiot Przetwarzający z następujących podprocesorów:

• Supabase Inc. (USA) — hosting bazy danych i uwierzytelnianie. Podstawa transferu: Standard Contractual Clauses (SCC) + DPF.
• Vercel Inc. (USA) — hosting aplikacji. Podstawa transferu: SCC + DPF.
• SMSAPI sp. z o.o. (Polska) — bramka SMS.
• Anthropic PBC (USA) — AI Vision (przetwarza obrazy przesłane przez Administratora). SCC + DPF.
• Stripe Payments Europe Ltd. (Irlandia) — płatności (po becie).

O zmianach w liście podprocesorów Podmiot Przetwarzający poinformuje Administratora z 30-dniowym wyprzedzeniem. Administrator ma prawo sprzeciwu — w takim przypadku umowa może zostać rozwiązana bez okresu wypowiedzenia.

§5. Środki techniczne i organizacyjne

• Szyfrowanie transportu danych (TLS 1.3)
• Szyfrowanie bazy danych at rest (Supabase)
• Row-Level Security — każdy Administrator widzi wyłącznie swoje dane
• Hasła hashowane bcrypt
• Logi dostępu retencja 90 dni
• Rotacja kluczy API co 6 miesięcy lub po incydencie
• Backup codzienny, retencja 30 dni (Supabase PITR)

§6. Audyt

1. Administrator ma prawo do audytu zgodności Podmiotu Przetwarzającego z DPA raz w roku kalendarzowym.
2. Audyt wymaga 30-dniowego wyprzedzenia i musi być przeprowadzony w sposób nieuciążliwy dla działalności Podmiotu Przetwarzającego.
3. Alternatywą dla audytu jest dostarczenie przez Podmiot Przetwarzający raportu z niezależnego audytu zewnętrznego (gdy taki istnieje).

§7. Odpowiedzialność

1. Każda ze stron odpowiada za szkody wyrządzone drugiej stronie z winy własnej.
2. Odpowiedzialność Podmiotu Przetwarzającego ograniczona jest do wysokości opłat wniesionych przez Administratora za ostatnie 12 miesięcy (w fazie beta: 0 zł).
3. Ograniczenia nie dotyczą naruszeń umyślnych i rażącego niedbalstwa.

§8. Transfer danych poza EOG

W zakresie korzystania z podprocesorów w USA (Supabase, Vercel, Anthropic) stosowane są Standard Contractual Clauses (SCC) oraz EU-US Data Privacy Framework (DPF) jako podstawa legalnego transferu danych poza EOG.

§9. Postanowienia końcowe

1. W sprawach nieuregulowanych DPA zastosowanie mają przepisy RODO i prawa polskiego.
2. Zmiana DPA wymaga formy elektronicznej (email + akceptacja w panelu).
3. Akceptowana wersja DPA oraz data akceptacji są logowane przez system (pola `dpa_accepted_at`, `dpa_version`).

Uwaga prawna: Szablon DPA przygotowany w oparciu o art. 28 RODO. Przed fazą publiczną dokument zostanie zweryfikowany z radcą prawnym. W przypadku wymagań Administratora dotyczących indywidualnej umowy — kontakt: arek@aigravity.pl.