CaterMon ← Wróć na stronę główną

Umowa Powierzenia Przetwarzania Danych Osobowych

Obowiązuje od: grudzień 2025

Informacja: Niniejsza Umowa Powierzenia stanowi integralną część Regulaminu Usługi CaterMon. Akceptacja Regulaminu oznacza jednoczesną akceptację niniejszej Umowy Powierzenia.

Preambuła

Z uwagi na fakt, że Strony zawarły umowę o świadczenie usług drogą elektroniczną (Regulamin Usługi CaterMon), w związku z wykonywaniem której Powierzający – jako administrator danych osobowych – powierza Przyjmującemu przetwarzanie danych osobowych w zakresie określonym niniejszą Umową Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa Powierzenia"), Strony postanawiają co następuje:

  • Powierzający (Administrator) – Klient, który zarejestrował Konto w Platformie CaterMon i powierza Przyjmującemu przetwarzanie danych osobowych swoich pracowników, współpracowników oraz kontrahentów (dostawców).
  • Przyjmujący (Podmiot przetwarzający) – 1 DEV Dariusz Sęk, ul. Sulęczyńska 19, 80-298 Gdańsk, NIP: 5691871041, operator Platformy CaterMon.

§1. Przedmiot Umowy Powierzenia

  • W celu wykonania Umowy o świadczenie usług, Powierzający powierza Przyjmującemu przetwarzanie danych osobowych w zakresie wskazanym w Załączniku nr 1 do niniejszej Umowy Powierzenia.
  • Przetwarzanie danych osobowych odbywa się na zasadach określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).
  • Powierzający oświadcza, że jest administratorem powierzanych danych osobowych, że dane zostały zgromadzone zgodnie z prawem i posiada podstawę prawną do ich powierzenia Przyjmującemu.
  • Przyjmujący przetwarza dane osobowe wyłącznie na udokumentowane polecenie Powierzającego. Niniejsza Umowa Powierzenia oraz Regulamin Usługi stanowią udokumentowane polecenie przetwarzania.

§2. Zakres i cel przetwarzania

  • Cel przetwarzania: Świadczenie usług Platformy CaterMon umożliwiającej zarządzanie kosztami żywności (food cost), digitalizację faktur, analizę kosztów i generowanie raportów.
  • Charakter przetwarzania: Zbieranie, utrwalanie, przechowywanie, przeglądanie, wykorzystywanie, usuwanie danych w ramach funkcjonalności Platformy.
  • Rodzaj danych osobowych:
    • Dane Użytkowników: imię, nazwisko, adres e-mail;
    • Dane z faktur: nazwy dostawców, adresy, numery NIP, dane kontaktowe osób na fakturach;
    • Obrazy faktur (zdjęcia, skany, pliki PDF) mogące zawierać dane osobowe.
  • Kategorie osób, których dane dotyczą:
    • Pracownicy i współpracownicy Powierzającego (Użytkownicy Platformy);
    • Kontrahenci Powierzającego (dostawcy, których dane znajdują się na fakturach).
  • Czas przetwarzania: Przez okres obowiązywania Umowy o świadczenie usług oraz przez 30 dni po jej zakończeniu (okres na pobranie danych przez Powierzającego).

§3. Obowiązki Przyjmującego

Przyjmujący zobowiązuje się do:

  • Przetwarzania danych osobowych wyłącznie w zakresie i celu określonym w niniejszej Umowie Powierzenia.
  • Zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi zachowania poufności.
  • Wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania, zgodnie z art. 32 RODO, w tym:
    • szyfrowanie danych w transmisji (SSL/TLS);
    • szyfrowanie danych w spoczynku;
    • kontrola dostępu i uwierzytelnianie;
    • regularne kopie zapasowe;
    • monitoring bezpieczeństwa.
  • Przestrzegania warunków korzystania z usług dalszych podmiotów przetwarzających (podprocesorów) określonych w §5.
  • Wspomagania Powierzającego w realizacji obowiązków wynikających z art. 32-36 RODO (bezpieczeństwo, ocena skutków, konsultacje z organem nadzorczym).
  • Wspomagania Powierzającego w realizacji praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przenoszenie danych).
  • Usunięcia lub zwrotu danych osobowych po zakończeniu Umowy, zgodnie z §7.
  • Udostępnienia Powierzającemu informacji niezbędnych do wykazania zgodności z RODO oraz umożliwienia przeprowadzenia audytu.

§4. Zgłaszanie naruszeń ochrony danych

  • Przyjmujący zobowiązuje się do powiadomienia Powierzającego o stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od momentu stwierdzenia naruszenia.
  • Powiadomienie zostanie przesłane na adres e-mail Powierzającego wskazany przy rejestracji Konta.
  • Powiadomienie o naruszeniu zawiera co najmniej:
    • opis charakteru naruszenia, w tym kategorie i przybliżoną liczbę osób, których dane dotyczą;
    • dane kontaktowe osoby, od której można uzyskać więcej informacji;
    • opis możliwych konsekwencji naruszenia;
    • opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu.
  • Jeżeli wszystkich informacji nie można udzielić jednocześnie, Przyjmujący przekazuje je sukcesywnie bez zbędnej zwłoki.
  • Przyjmujący zobowiązuje się do podjęcia natychmiastowych działań w celu usunięcia skutków naruszenia i zapobieżenia podobnym naruszeniom w przyszłości.

§5. Dalsze podmioty przetwarzające (podprocesorzy)

  • Powierzający wyraża ogólną zgodę na korzystanie przez Przyjmującego z usług dalszych podmiotów przetwarzających (podprocesorów) wymienionych w Załączniku nr 2.
  • Przyjmujący zobowiązuje się do informowania Powierzającego o każdej zamierzonej zmianie dotyczącej dodania lub zastąpienia podprocesora z co najmniej 14-dniowym wyprzedzeniem.
  • Powierzający może wnieść sprzeciw wobec zmiany podprocesora w terminie 14 dni od otrzymania informacji. W przypadku sprzeciwu Strony podejmą negocjacje w celu znalezienia rozwiązania.
  • Przyjmujący zapewnia, że podprocesorzy spełniają wymagania RODO i są związani umowami powierzenia zawierającymi zobowiązania nie mniej restrykcyjne niż niniejsza Umowa Powierzenia.
  • Przyjmujący odpowiada za działania i zaniechania podprocesorów jak za własne działania.

§6. Transfer danych poza Europejski Obszar Gospodarczy

  • W związku z korzystaniem z usług Google Cloud Platform (Firebase) oraz Google Vertex AI, dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy, w tym do Stanów Zjednoczonych.
  • Transfer danych odbywa się na podstawie:
    • Decyzji Komisji Europejskiej o adekwatności dla EU-U.S. Data Privacy Framework;
    • Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską.
  • Google LLC jest uczestnikiem programu EU-U.S. Data Privacy Framework, co zostało potwierdzone przez Komisję Europejską jako zapewniające odpowiedni poziom ochrony danych.
  • Przyjmujący zobowiązuje się do monitorowania ważności podstaw prawnych transferu danych i informowania Powierzającego o istotnych zmianach.

§7. Czas trwania i usunięcie danych

  • Umowa Powierzenia obowiązuje przez czas trwania Umowy o świadczenie usług (Regulaminu).
  • Po zakończeniu Umowy o świadczenie usług:
    • Powierzający ma 30 dni na pobranie swoich danych z Platformy;
    • Po upływie 30 dni Przyjmujący usunie wszystkie dane osobowe, chyba że przepisy prawa wymagają ich dalszego przechowywania.
  • Usunięcie danych obejmuje wszystkie kopie danych znajdujące się w systemach Przyjmującego i podprocesorów, z wyjątkiem kopii zapasowych, które zostaną usunięte zgodnie z harmonogramem rotacji kopii (maksymalnie 90 dni).
  • Na żądanie Powierzającego, Przyjmujący potwierdzi usunięcie danych na piśmie.

§8. Prawo do audytu

  • Powierzający ma prawo do przeprowadzenia audytu zgodności przetwarzania danych z niniejszą Umową Powierzenia i RODO.
  • Audyt może być przeprowadzony przez Powierzającego lub upoważnionego audytora, po uprzednim uzgodnieniu terminu z co najmniej 14-dniowym wyprzedzeniem.
  • Audyt przeprowadzany jest w godzinach pracy Przyjmującego i nie może zakłócać normalnego funkcjonowania Platformy.
  • Koszty audytu ponosi Powierzający, chyba że audyt wykaże istotne naruszenia – wówczas koszty ponosi Przyjmujący.
  • Przyjmujący może zaproponować Powierzającemu zapoznanie się z wynikami niezależnego audytu bezpieczeństwa (np. SOC 2, ISO 27001) jako alternatywę dla audytu własnego.

§9. Odpowiedzialność

  • Przyjmujący odpowiada za szkody wynikające z przetwarzania danych niezgodnego z niniejszą Umową Powierzenia lub RODO.
  • Przyjmujący nie odpowiada za szkody wynikające z:
    • przetwarzania danych zgodnie z udokumentowanymi poleceniami Powierzającego;
    • nieprawidłowych lub niekompletnych danych przekazanych przez Powierzającego;
    • działań lub zaniechań Powierzającego niezgodnych z RODO.
  • Odpowiedzialność Przyjmującego podlega ograniczeniom określonym w §8 Regulaminu Usługi.

§10. Postanowienia końcowe

  • Zmiany niniejszej Umowy Powierzenia wymagają formy pisemnej lub elektronicznej pod rygorem nieważności.
  • W sprawach nieuregulowanych zastosowanie mają przepisy RODO oraz prawa polskiego.
  • Wszelkie spory wynikające z Umowy Powierzenia będą rozstrzygane przez sąd właściwy dla siedziby Przyjmującego.
  • Załączniki stanowią integralną część Umowy Powierzenia.

Załącznik nr 1 – Zakres powierzenia danych osobowych

A. Cel przetwarzania

Świadczenie usług Platformy CaterMon: digitalizacja faktur, zarządzanie kosztami żywności (food cost), analiza danych, generowanie raportów.

B. Kategorie osób, których dane dotyczą

  • Pracownicy i współpracownicy Powierzającego (Użytkownicy Platformy)
  • Kontrahenci Powierzającego (dostawcy, których dane znajdują się na fakturach)

C. Rodzaje danych osobowych

  • Dane Użytkowników: imię, nazwisko, adres e-mail
  • Dane Klienta: nazwa firmy, adres, NIP, dane kontaktowe
  • Dane z faktur: nazwy dostawców, adresy dostawców, numery NIP dostawców, dane kontaktowe osób wskazanych na fakturach
  • Obrazy dokumentów: zdjęcia, skany, pliki PDF faktur mogące zawierać dane osobowe

D. Operacje przetwarzania

Zbieranie, utrwalanie, organizowanie, przechowywanie, adaptowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, usuwanie, niszczenie.

Załącznik nr 2 – Wykaz dalszych podmiotów przetwarzających

Podmiot Siedziba Usługa Lokalizacja danych
Google Cloud Platform (Firebase) Google Ireland Ltd, Irlandia Hosting infrastruktury, baza danych, przechowywanie plików Europa (eur3) / USA*
Google Vertex AI (Gemini) Google Ireland Ltd, Irlandia Rozpoznawanie danych z faktur (OCR/AI) Europa / USA*
Brevo (Sendinblue) Sendinblue SAS, Francja E-mail transakcyjny Europa (EU)
Stripe Stripe Payments Europe Ltd, Irlandia Obsługa płatności Europa / USA*
Rejestr.io Polska Weryfikacja danych firm (NIP) Polska (EU)
CEIDG API Ministerstwo Rozwoju, Polska Weryfikacja danych firm (NIP) Polska (EU)

* Transfer danych do USA odbywa się na podstawie EU-U.S. Data Privacy Framework oraz Standardowych Klauzul Umownych (SCC).

Załącznik nr 3 – Środki techniczne i organizacyjne

Środki techniczne

  • Szyfrowanie danych w transmisji (TLS 1.2+)
  • Szyfrowanie danych w spoczynku (AES-256)
  • Uwierzytelnianie wieloskładnikowe (2FA) dla dostępu administracyjnego
  • Automatyczne kopie zapasowe z retencją 30 dni
  • Firewall i systemy wykrywania włamań
  • Monitoring bezpieczeństwa 24/7
  • Regularne aktualizacje oprogramowania i łatki bezpieczeństwa

Środki organizacyjne

  • Polityka bezpieczeństwa informacji
  • Szkolenia z zakresu ochrony danych osobowych dla pracowników
  • Umowy o zachowaniu poufności z pracownikami i współpracownikami
  • Kontrola dostępu oparta na rolach (RBAC)
  • Okresowe przeglądy uprawnień dostępu
  • Procedury reagowania na incydenty bezpieczeństwa
  • Rejestr czynności przetwarzania

Ostatnia aktualizacja: grudzień 2025