Umowa powierzenia przetwarzania danych
Data wejścia w życie: 1 stycznia 2026
Niniejsza Umowa powierzenia przetwarzania danych uzupełnia Regulamin i ma zastosowanie, gdy Klient korzysta z funkcji Business Usługi NAOA do przetwarzania danych osobowych klientów Klienta.
1. Definicje
Administrator oznacza Klienta, który określa cele i sposoby przetwarzania Danych osobowych.
Podmiot przetwarzający oznacza Aleksandra Popka (NAOA), który przetwarza Dane osobowe w imieniu Administratora.
Dane osobowe oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Dane Klienta oznacza Dane osobowe, które Klient przesyła do Usługi lub poleca Podmiotowi przetwarzającemu przetwarzać.
Osoba, której dane dotyczą oznacza osobę, której Dane osobowe są przetwarzane (klienci Klienta).
Podwykonawca oznacza osobę trzecią zaangażowaną przez Podmiot przetwarzający do przetwarzania Danych osobowych.
SCC oznacza Standardowe klauzule umowne zatwierdzone przez Komisję Europejską dla międzynarodowych transferów danych.
Przepisy o ochronie danych oznacza RODO i inne obowiązujące przepisy o ochronie danych.
2. Zakres i role
2.1 Zastosowanie. Niniejsza UPP ma zastosowanie, gdy Klient korzysta z funkcji Business w celu tworzenia i przechowywania profili klientów Klienta oraz przetwarzania Danych osobowych osób innych niż Klient.
2.2 Role. Klient jest Administratorem – Klient określa cele i sposoby przetwarzania Danych Klienta. NAOA jest Podmiotem przetwarzającym – NAOA przetwarza Dane Klienta wyłącznie na udokumentowane polecenia Klienta.
2.3 Obowiązki Klienta jako Administratora. Klient jest odpowiedzialny za zapewnienie podstawy prawnej dla całego przetwarzania (np. zgoda, prawnie uzasadniony interes), udzielanie jasnych i zgodnych z prawem poleceń Podmiotowi przetwarzającemu, informowanie Osób, których dane dotyczą, o przetwarzaniu i ich prawach, odpowiadanie na żądania Osób, których dane dotyczą, i przestrzeganie wszystkich obowiązujących Przepisów o ochronie danych.
3. Szczegóły przetwarzania
3.1 Przedmiot. Podmiot przetwarzający świadczy usługi analizy numerologicznej i CRM, w tym przechowywanie profili klientów, generowanie analiz numerologicznych i zarządzanie danymi klientów.
3.2 Czas trwania. Przetwarzanie trwa przez okres subskrypcji Klienta, plus 30-dniowy okres przechowywania danych po rozwiązaniu.
3.3 Rodzaje Danych osobowych. Imię i nazwisko, data urodzenia, raporty numerologiczne generowane przez AI oraz wszelkie dodatkowe dane, które Klient zdecyduje się przesłać.
3.4 Kategorie Osób, których dane dotyczą. Klienci Klienta i osoby, których profile Klient tworzy w Usłudze.
3.5 Cel. Przetwarzanie Danych Klienta wyłącznie w celu świadczenia Usługi opisanej w Umowie.
4. Obowiązki Podmiotu przetwarzającego
4.1 Polecenia przetwarzania. Podmiot przetwarzający przetwarza Dane Klienta wyłącznie na udokumentowane polecenia Administratora, traktuje korzystanie przez Klienta z funkcji Usługi jako udokumentowane polecenia i informuje Administratora, jeśli polecenie narusza Przepisy o ochronie danych.
4.2 Poufność. Podmiot przetwarzający zapewnia, że personel upoważniony do przetwarzania Danych Klienta jest związany obowiązkami poufności i dostęp do Danych Klienta jest ograniczony do osób, które potrzebują go do wykonywania swoich obowiązków.
4.3 Środki bezpieczeństwa. Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, w tym szyfrowanie danych w tranzycie (TLS/HTTPS) i w spoczynku, kontrolę dostępu z zasadą minimalnych uprawnień, regularne monitorowanie bezpieczeństwa i przeglądy oraz procedury reagowania na incydenty. Zobacz Środki bezpieczeństwa (Sekcja 8) dla szczegółów.
4.4 Podwykonawcy. Podmiot przetwarzający prowadzi listę autoryzowanych Podwykonawców (zobacz stronę Podwykonawcy), powiadamia Administratora o zmianach Podwykonawców poprzez publikowanie aktualizacji na stronie Podwykonawcy, zapewnia Administratorowi 14 dni na zgłoszenie sprzeciwu wobec nowych Podwykonawców, zapewnia, że Podwykonawcy są związani obowiązkami ochrony danych równoważnymi z niniejszą UPP i pozostaje odpowiedzialny za zgodność Podwykonawców.
4.5 Żądania Osób, których dane dotyczą. Podmiot przetwarzający pomaga Administratorowi w odpowiadaniu na żądania Osób, których dane dotyczą, przekierowuje wszelkie żądania otrzymane bezpośrednio do Administratora i zapewnia narzędzia do eksportu i usuwania danych przez Usługę.
4.6 Powiadomienie o naruszeniu ochrony danych. W przypadku naruszenia ochrony Danych osobowych dotyczącego Danych Klienta, Podmiot przetwarzający powiadamia Administratora bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia informacji o naruszeniu, przekazuje szczegóły naruszenia: charakter, kategorie danych, przybliżoną liczbę Osób, których dane dotyczą, prawdopodobne konsekwencje i podjęte środki, współpracuje z Administratorem w zakresie dochodzenia i działań naprawczych i dokumentuje wszystkie naruszenia i udostępnia dokumentację Administratorowi.
4.7 Oceny skutków dla ochrony danych. Na żądanie Podmiot przetwarzający pomaga Administratorowi w ocenach skutków dla ochrony danych i uprzednich konsultacjach z organami nadzorczymi.
4.8 Audyty. Podmiot przetwarzający udostępnia informacje niezbędne do wykazania zgodności z niniejszą UPP, zezwala na audyty i inspekcje przeprowadzane przez Administratora lub upoważnionego audytora, z rozsądnym wyprzedzeniem (30 dni) i akceptuje odpowiednie certyfikaty osób trzecich jako dowód zgodności.
5. Obowiązki Administratora
5.1 Zgodne z prawem przetwarzanie. Administrator zapewnia podstawę prawną dla całego przetwarzania Danych Klienta, nie udziela poleceń, które spowodowałyby naruszenie Przepisów o ochronie danych przez Podmiot przetwarzający i uzyskuje wszystkie niezbędne zgody od Osób, których dane dotyczą.
5.2 Polecenia. Polecenia Administratora dla Podmiotu przetwarzającego to: niniejsza UPP i Umowa, korzystanie z funkcji i ustawień Usługi i pisemne polecenia przekazywane oficjalnymi kanałami komunikacji.
5.3 Komunikacja z Osobami, których dane dotyczą. Administrator jest odpowiedzialny za przekazywanie Osobom, których dane dotyczą, odpowiednich informacji o prywatności, informowanie Osób, których dane dotyczą, że ich dane są przetwarzane za pomocą Usługi i obsługę żądań i skarg Osób, których dane dotyczą.
6. Międzynarodowe transfery
6.1 Główna lokalizacja przetwarzania. Dane Klienta są głównie przechowywane i przetwarzane w Unii Europejskiej (region Google Cloud europe-west1, Belgia).
6.2 Transfery Podwykonawców. Niektórzy Podwykonawcy mogą przetwarzać dane poza UE. Dla takich transferów Podmiot przetwarzający zapewnia odpowiednie zabezpieczenia, transfery do Stanów Zjednoczonych opierają się na Standardowych klauzulach umownych (SCC) i Podwykonawcy z operacjami w USA podpisali Umowy powierzenia przetwarzania danych z SCC.
6.3 Mechanizmy transferu. Następujące mechanizmy są stosowane do międzynarodowych transferów: Standardowe klauzule umowne UE (Moduł 3: Podmiot przetwarzający do Podmiotu przetwarzającego) i zgodność Podwykonawców z obowiązującymi ramami ochrony danych. Zobacz stronę Podwykonawcy dla szczegółów dotyczących lokalizacji i zabezpieczeń każdego Podwykonawcy.
7. Zwrot i usunięcie danych
7.1 W trakcie subskrypcji. Administrator może eksportować Dane Klienta w dowolnym momencie za pomocą funkcji eksportu Usługi.
7.2 Po rozwiązaniu. Po rozwiązaniu subskrypcji Administrator ma 30 dni na eksport Danych Klienta. Po 30 dniach Dane Klienta są trwale usuwane. Podmiot przetwarzający przekazuje zaświadczenie o usunięciu na żądanie.
7.3 Wyjątki. Dane Klienta mogą być przechowywane dłużej niż 30-dniowy okres, jeśli wymagane przez obowiązujące prawo, niezbędne do toczących się postępowań prawnych lub objęte blokadą prawną. Podmiot przetwarzający informuje Administratora o takich wymogach przechowywania.
8. Środki bezpieczeństwa
Podmiot przetwarzający wdraża następujące techniczne i organizacyjne środki bezpieczeństwa:
8.1 Szyfrowanie danych. W tranzycie: TLS 1.2 lub wyższy (HTTPS). W spoczynku: Szyfrowanie AES-256 (domyślne dla Firebase/Google Cloud).
8.2 Kontrola dostępu. Kontrola dostępu oparta na rolach (RBAC), zasada minimalnych uprawnień i uwierzytelnianie wieloskładnikowe dla dostępu administracyjnego.
8.3 Bezpieczeństwo infrastruktury. Google Cloud Platform (Firebase) z bezpieczeństwem klasy enterprise, dane przechowywane w regionie UE (europe-west1), automatyczne kopie zapasowe z odzyskiwaniem w określonym punkcie czasu i możliwości redundancji i przełączania awaryjnego.
8.4 Bezpieczeństwo aplikacji. Walidacja i sanityzacja danych wejściowych, ochrona przed SQL injection, XSS, CSRF i regularne aktualizacje bezpieczeństwa i łatanie.
8.5 Monitorowanie i reagowanie na incydenty. Śledzenie i monitorowanie błędów (Sentry), automatyczne alerty dla zdarzeń bezpieczeństwa, udokumentowane procedury reagowania na incydenty i przeglądy po incydentach.
8.6 Bezpieczeństwo personelu. Umowy o poufności dla całego personelu, szkolenia z zakresu świadomości bezpieczeństwa i sprawdzanie przeszłości, gdzie ma to zastosowanie.
8.7 Minimalizacja danych. Zbieranie ograniczone do niezbędnych danych, anonimizacja, gdzie to możliwe i regularny przegląd przechowywania danych.
9. Odpowiedzialność
9.1 Odpowiedzialność Podmiotu przetwarzającego. Podmiot przetwarzający ponosi odpowiedzialność za szkody spowodowane przetwarzaniem, które nie jest zgodne z Przepisami o ochronie danych mającymi zastosowanie do Podmiotów przetwarzających lub jest poza lub wbrew zgodnym z prawem poleceniom Administratora.
9.2 Odpowiedzialność Administratora. Administrator ponosi odpowiedzialność za szkody spowodowane przetwarzaniem, które nie jest zgodne z Przepisami o ochronie danych mającymi zastosowanie do Administratorów lub wynika z poleceń Administratora dla Podmiotu przetwarzającego.
9.3 Ograniczenie. Odpowiedzialność na podstawie niniejszej UPP podlega ograniczeniom określonym w Umowie (Regulamin).
9.4 Zwolnienie z odpowiedzialności. Administrator zwalnia Podmiot przetwarzający z odpowiedzialności za roszczenia wynikające z naruszenia Przepisów o ochronie danych przez Administratora, przetwarzania wykonanego na polecenie Administratora i roszczeń Osób, których dane dotyczą, związanych z obowiązkami Administratora.
10. Okres obowiązywania i rozwiązanie
10.1 Okres obowiązywania. Niniejsza UPP obowiązuje od momentu akceptacji Umowy przez Klienta i trwa przez okres korzystania przez Klienta z funkcji Business.
10.2 Dalsze obowiązywanie. Następujące postanowienia obowiązują po rozwiązaniu: obowiązki poufności, obowiązki usunięcia danych i postanowienia dotyczące odpowiedzialności i zwolnienia z odpowiedzialności.
11. Zmiany
Niniejsza UPP może być zmieniona przez Podmiot przetwarzający z co najmniej 30-dniowym wyprzedzeniem, w celu odzwierciedlenia zmian w Przepisach o ochronie danych lub w celu aktualizacji list Podwykonawców lub środków bezpieczeństwa.
Dalsze korzystanie z funkcji Business po wejściu zmian w życie oznacza akceptację.
12. Kontakt
W przypadku pytań dotyczących niniejszej UPP lub wykonywania praw na jej podstawie, skontaktuj się:
E-mail: hello@naoa.app
Adres: Aleksander Popek ul. Pawia 3/14 05-803 Pruszków, Polska
Załączniki
Załącznik A: Autoryzowani podwykonawcy
Załącznik B: Środki bezpieczeństwa – zobacz Sekcję 8 niniejszej UPP