Umowa powierzenia przetwarzania danych (DPA)

Niniejsza umowa powierzenia (dalej: Umowa) zawierana jest pomiędzy:

• Administratorem — Klientem korzystającym z Platformy NTSPC na podstawie umowy o świadczenie usług płatnych,
• Podmiotem przetwarzającym — Net-Factory Marcin Guzik, Łososina Górna 79, 34-600 Limanowa, NIP 7372102870 (dalej: Usługodawca).

Administrator powierza Usługodawcy przetwarzanie danych osobowych w zakresie i w celu niezbędnym do świadczenia usług Platformy, zgodnie z Regulaminem.

1. Cel przetwarzania: świadczenie przez Usługodawcę usług Platformy NTSPC, w tym obsługa konfiguratora 3D, generowanie zapytań ofertowych oraz zarządzanie leadami.
2. Charakter przetwarzania: przechowywanie, organizowanie, udostępnianie w panelu, usuwanie danych — w zakresie technicznym niezbędnym do działania usługi.
3. Rodzaj danych osobowych: dane osób kontaktujących się z Administratorem za pośrednictwem konfiguratora (m.in. imię i nazwisko, adres e-mail, numer telefonu, treść zapytania, dane konfiguracji produktu).
4. Kategorie osób: klienci końcowi i potencjalni klienci Administratora (leady).
5. Usługodawca nie przetwarza powierzonych danych w celach własnych i nie rości sobie do nich praw.

Usługodawca zobowiązuje się do:

1. Przetwarzania danych wyłącznie na udokumentowane polecenie Administratora (którym jest m.in. zawarcie umowy i korzystanie z Platformy), chyba że obowiązek wynika z przepisów prawa.
2. Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności.
3. Stosowania odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych (art. 32 RODO), w tym szyfrowania transmisji, kontroli dostępu i kopii zapasowych.
4. Wspierania Administratora w realizacji praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przeniesienie).
5. Wspierania Administratora w wykonaniu obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków).
6. Niezwłocznego, nie później niż w ciągu 48 godzin, powiadomienia Administratora o stwierdzonym naruszeniu ochrony powierzonych danych.
7. Usunięcia lub zwrotu danych po zakończeniu świadczenia usług — na zasadach określonych w Regulaminie (okres karencji 30 dni, usunięcie backupów do 90 dni).
8. Udostępnienia Administratorowi informacji niezbędnych do wykazania zgodności oraz umożliwienia audytów na uzasadnione żądanie.

1. Administrator wyraża ogólną zgodę na korzystanie przez Usługodawcę z dalszych podmiotów przetwarzających (subprocesorów), niezbędnych do świadczenia usług.
2. Aktualna lista subprocesorów na dzień zawarcia Umowy:

   Podmiot	Rola	Lokalizacja przetwarzania
   Dostawca hostingu	hosting aplikacji	UE — Polska
   Dostawca bazy danych	przechowywanie danych	UE — Polska
   Google Analytics	analiza ruchu w serwisie	UE / poza EOG (SCC)
   Google Ads	działania marketingowe i remarketing	UE / poza EOG (SCC)
   Meta (Facebook Pixel)	analityka i działania marketingowe	UE / poza EOG (SCC)

   W przypadku narzędzi, które mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym (EOG), przekazanie odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską.

3. Usługodawca zapewnia, że subprocesorzy są zobowiązani do ochrony danych na poziomie nie niższym niż wynikający z niniejszej Umowy.
4. O zamiarze dodania lub zmiany subprocesora Usługodawca informuje Administratora z wyprzedzeniem, umożliwiając wniesienie sprzeciwu. Sprzeciw uniemożliwiający świadczenie usługi może skutkować rozwiązaniem umowy.

1. Umowa obowiązuje przez czas trwania umowy o świadczenie usług Platformy.
2. Każda ze stron odpowiada za szkody spowodowane przetwarzaniem niezgodnym z RODO w zakresie naruszenia własnych obowiązków.
3. W sprawach nieuregulowanych stosuje się przepisy RODO oraz prawa polskiego.