Chmurka
Dostępny jest tryb ciemny
Hosting Poczta Domeny Dla dewelopera O nas
Tryb ciemny
Załóż konto

Masz już konto? Zaloguj się

Obowiązuje od: 23 lutego 2026 r. · Wersja 14.0

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO).

§1. Definicje

  • Administrator - Klient Usługodawcy, który w ramach korzystania z usług hostingowych przechowuje dane osobowe na serwerach Usługodawcy i samodzielnie ustala cele oraz sposoby przetwarzania tych danych.
  • Podmiot przetwarzający - Firma Wojciech Guziak Chmurka.pl z siedzibą w Krakowie (NIP: 7722366375, REGON: 360957383), Rynek Główny 28, 31-010 Kraków, świadcząca usługi hostingowe oraz usługi poczty elektronicznej na rzecz Administratora.
  • Dane osobowe - dane osobowe w rozumieniu art. 4 pkt 1 RODO, powierzone Podmiotowi przetwarzającemu przez Administratora w związku z korzystaniem z usług hostingowych lub usług poczty elektronicznej.
  • Umowa główna - umowa o świadczenie usług elektronicznych zawarta między Administratorem a Podmiotem przetwarzającym na podstawie Regulaminu Świadczenia Usług Elektronicznych.
  • RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

§2. Przedmiot umowy

  1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie i na warunkach określonych w niniejszej umowie.
  2. Niniejsza umowa stanowi integralną część Umowy głównej i wchodzi w życie z chwilą rozpoczęcia korzystania przez Administratora z usług hostingowych lub usług poczty elektronicznej Podmiotu przetwarzającego.
  3. Powierzenie przetwarzania danych następuje wyłącznie w celu realizacji Umowy głównej, tj. świadczenia usług hostingowych oraz usług poczty elektronicznej.

§3. Zakres i charakter przetwarzania

  1. Podmiot przetwarzający przetwarza dane osobowe wyłącznie w zakresie niezbędnym do realizacji Umowy głównej, w szczególności poprzez: a) przechowywanie danych na serwerach; b) wykonywanie kopii bezpieczeństwa; c) udostępnianie danych Administratorowi za pośrednictwem usług hostingowych; d) usuwanie danych na żądanie Administratora lub po zakończeniu Umowy głównej.
  2. Kategorie osób, których dane dotyczą, oraz rodzaje danych osobowych są określane przez Administratora i zależą od sposobu wykorzystania usług hostingowych.
  3. Podmiot przetwarzający nie ma kontroli nad rodzajem ani zakresem danych osobowych przechowywanych przez Administratora na serwerach.
  4. Czas trwania przetwarzania: przez cały okres obowiązywania Umowy głównej, a po jej zakończeniu - przez okres niezbędny do usunięcia danych zgodnie z §8.
  5. Lokalizacja przetwarzania: dane są przechowywane na serwerach OVH sp. z o.o. zlokalizowanych w Europejskim Obszarze Gospodarczym (Francja). Transfer danych poza EOG odbywa się wyłącznie w zakresie opisanym w §5 i §10.

§4. Obowiązki Podmiotu przetwarzającego

  1. Podmiot przetwarzający zobowiązuje się do: a) przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania nakłada prawo Unii Europejskiej lub prawo polskie - w takim przypadku Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym przed rozpoczęciem przetwarzania, o ile prawo to nie zabrania udzielania takiej informacji (art. 28 ust. 3 lit. a RODO); b) zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy (art. 28 ust. 3 lit. b RODO); c) podjęcia wszelkich środków wymaganych na mocy art. 32 RODO, w szczególności:
    • szyfrowania danych podczas transmisji (TLS/SSL);
    • zapewnienia poufności, integralności, dostępności i odporności systemów;
    • zdolności do szybkiego przywrócenia dostępności danych w razie incydentu;
    • regularnego testowania i oceniania skuteczności środków technicznych i organizacyjnych; d) przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego (podpowierzenie), o których mowa w §5; e) uwzględniając charakter przetwarzania, pomagania Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw (art. 28 ust. 3 lit. e RODO); f) pomagania Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków); g) po zakończeniu świadczenia usług - usunięcia lub zwrotu wszelkich danych osobowych zgodnie z §8; h) udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków oraz umożliwiania przeprowadzania audytów zgodnie z §7; i) niezwłocznego poinformowania Administratora, jeżeli zdaniem Podmiotu przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii Europejskiej lub prawa polskiego dotyczących ochrony danych (art. 28 ust. 3 akapit trzeci RODO).

§4a. Obowiązki i prawa Administratora

  1. Administrator zobowiązuje się do: a) przetwarzania danych osobowych zgodnie z RODO i innymi przepisami o ochronie danych; b) wydawania Podmiotowi przetwarzającemu udokumentowanych poleceń dotyczących przetwarzania danych osobowych; c) nadzorowania przetwarzania, w tym przeprowadzania audytów zgodnie z §7; d) niezwłocznego informowania Podmiotu przetwarzającego o wszelkich zmianach mających wpływ na przetwarzanie danych osobowych.
  2. Administratorowi przysługuje prawo do: a) wydawania wiążących poleceń dotyczących przetwarzania danych osobowych; b) żądania informacji niezbędnych do wykazania zgodności z RODO (art. 28 ust. 3 lit. h); c) przeprowadzania audytów zgodnie z §7; d) wyrażenia sprzeciwu wobec nowych podprzetwarzających zgodnie z §5; e) żądania usunięcia lub zwrotu danych po zakończeniu umowy zgodnie z §8.

§5. Podpowierzenie przetwarzania

  1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z usług dalszych podmiotów przetwarzających (podprzetwarzających) w celu realizacji Umowy głównej.
  2. Aktualna lista podprzetwarzających jest dostępna w §13 Polityki Prywatności. Na dzień zawarcia niniejszej umowy Podmiot przetwarzający korzysta z następujących podprzetwarzających: a) OVH sp. z o.o. (Francja, EOG) - infrastruktura serwerowa; b) Cloudflare, Inc. (USA) - usługi CDN, na podstawie standardowych klauzul umownych; c) Sentry (Functional Software, Inc.) (USA) - monitoring błędów, na podstawie standardowych klauzul umownych; d) ClouDNS Ltd (Bułgaria, EOG) - zarządzanie strefami DNS; e) Internet Security Research Group / Let's Encrypt (USA) - wydawanie certyfikatów SSL, na podstawie standardowych klauzul umownych.
  3. Podmiot przetwarzający poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podprzetwarzających drogą elektroniczną z co najmniej 14-dniowym wyprzedzeniem, dając Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
  4. Jeżeli Administrator wyrazi uzasadniony sprzeciw wobec nowego podprzetwarzającego, Podmiot przetwarzający podejmie rozsądne starania, aby zapewnić alternatywne rozwiązanie. Jeżeli alternatywne rozwiązanie nie jest możliwe, Administrator ma prawo wypowiedzieć Umowę główną ze skutkiem na dzień planowanego wprowadzenia zmiany.
  5. Podmiot przetwarzający nakłada na podprzetwarzających te same obowiązki ochrony danych, które wynikają z niniejszej umowy, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych.

§6. Naruszenie ochrony danych

  1. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin, zgłasza je Administratorowi drogą elektroniczną na adres e-mail przypisany do konta Administratora w Serwisie Transakcyjnym.
  2. Zgłoszenie zawiera co najmniej: a) opis charakteru naruszenia, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie (art. 33 ust. 3 lit. a RODO); b) imię i nazwisko oraz dane kontaktowe osoby, od której można uzyskać więcej informacji; c) opis możliwych konsekwencji naruszenia; d) opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu.
  3. Podmiot przetwarzający współpracuje z Administratorem w celu umożliwienia mu wywiązania się z obowiązku zgłoszenia naruszenia organowi nadzorczemu (art. 33 RODO) oraz powiadomienia osoby, której dane dotyczą (art. 34 RODO).

§7. Audyt

  1. Podmiot przetwarzający udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
  2. Administrator lub upoważniony przez niego audytor ma prawo do przeprowadzenia audytu zgodności Podmiotu przetwarzającego z niniejszą umową, po uprzednim uzgodnieniu terminu z co najmniej 14-dniowym wyprzedzeniem.
  3. Audyt przeprowadzany jest w godzinach pracy Podmiotu przetwarzającego i nie może zakłócać normalnego funkcjonowania usług.
  4. Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenia niniejszej umowy przez Podmiot przetwarzający.
  5. Administrator może przeprowadzić nie więcej niż jeden audyt w roku kalendarzowym, chyba że zachodzą uzasadnione przesłanki wskazujące na naruszenie ochrony danych.

§8. Zakończenie umowy i usunięcie danych

  1. Po zakończeniu Umowy głównej Podmiot przetwarzający, zgodnie z wyborem Administratora: a) usunie wszystkie dane osobowe i ich kopie, chyba że prawo Unii Europejskiej lub prawo polskie nakazuje dalsze przechowywanie danych; lub b) zwróci dane osobowe Administratorowi w powszechnie używanym formacie i usunie istniejące kopie.
  2. Administrator powinien zgłosić swój wybór przed zakończeniem Umowy głównej lub w terminie 14 dni od jej zakończenia. W przypadku braku dyspozycji Administratora dane zostaną usunięte po upływie terminu określonego w §6d Regulaminu Świadczenia Usług Elektronicznych.
  3. Podmiot przetwarzający potwierdzi usunięcie danych drogą elektroniczną.

§9. Odpowiedzialność

  1. Każda ze stron ponosi odpowiedzialność za naruszenie niniejszej umowy zgodnie z obowiązującymi przepisami prawa, w tym RODO.
  2. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie w przypadku niedopełnienia obowiązków nałożonych na niego przez RODO lub niniejszą umowę, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew nim (art. 82 ust. 2 RODO).

§10. Transfer danych do państw trzecich

  1. Podmiot przetwarzający nie przekazuje danych osobowych do państw trzecich ani organizacji międzynarodowych, z wyjątkiem sytuacji opisanych w §5 (podprzetwarzający), gdzie transfer odbywa się na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO).
  2. W przypadku konieczności przekazania danych do państwa trzeciego Podmiot przetwarzający uprzednio informuje o tym Administratora.

§11. Postanowienia końcowe

  1. Niniejsza umowa obowiązuje przez cały okres obowiązywania Umowy głównej.
  2. W sprawach nieuregulowanych niniejszą umową zastosowanie mają przepisy RODO oraz Kodeksu cywilnego.
  3. Zmiany niniejszej umowy wymagają formy pisemnej lub elektronicznej pod rygorem nieważności. O zmianach Podmiot przetwarzający informuje Administratora z co najmniej 30-dniowym wyprzedzeniem.
  4. W przypadku sprzeczności między niniejszą umową a Umową główną, w zakresie ochrony danych osobowych pierwszeństwo mają postanowienia niniejszej umowy.

Używamy plików cookie i innych technologii śledzenia, aby poprawić jakość przeglądania naszej witryny, wyświetlać spersonalizowane treści i analizować ruch w naszej witrynie. Więcej informacji w naszej Polityce Prywatności.