Umowa o przetwarzanie danych (DPA)

Niniejsza Umowa o przetwarzanie danych ("DPA") stanowi czesc Regulaminu miedzy SIMtrix ("Podmiot przetwarzajacy") a Klientem ("Administrator") i reguluje przetwarzanie danych osobowych przez Podmiot przetwarzajacy w imieniu Administratora w zwiazku z platforma SIMtrix. Niniejsza DPA obowiazuje przez czas trwania umowy o swiadczenie uslug i ulega automatycznemu rozwiazaniu po zakonczeniu uslugi.

Administrator (Klient): Okresla cele i sposoby przetwarzania danych osobowych. Administrator jest odpowiedzialny za zapewnienie zgodnosci z prawem zbierania danych oraz za dostarczenie odpowiednich informacji o prywatnosci osobom, ktorych dane dotycza. Podmiot przetwarzajacy (SIMtrix): Przetwarza dane osobowe wylacznie na udokumentowane polecenie Administratora i jedynie w celu swiadczenia Uslugi. Podmiot przetwarzajacy nie bedzie przetwarzal danych osobowych w zadnym innym celu.

Osoby, ktorych dane dotycza: Pracownicy Administratora, kontakty, leady i klienci przechowywani w Bitrix24 CRM. Kategorie danych: Numery telefonow, imiona i nazwiska (w powiazaniu z numerami telefonow w Bitrix24), tresc wiadomosci SMS (przekazywana), metadane polaczen (numery, znaczniki czasu, czas trwania), nagrania rozmow (jesli wlaczone). Operacje przetwarzania: Przekazywanie wiadomosci SMS, przekazywanie sygnalizacji telefonicznej, tymczasowe przechowywanie i przekazywanie nagran rozmow, synchronizacja danych kontaktowych z Bitrix24.

Podmiot przetwarzajacy zobowiazuje sie do: (a) Przetwarzania danych osobowych wylacznie na udokumentowane polecenie Administratora; (b) Zapewnienia, ze osoby upowaznione do przetwarzania danych osobowych zobowiazaly sie do zachowania poufnosci; (c) Wdrozenia odpowiednich technicznych i organizacyjnych srodkow bezpieczenstwa (patrz Sekcja 6); (d) Wspierania Administratora w odpowiadaniu na zadania osob, ktorych dane dotycza; (e) Usuniecia lub zwrotu wszystkich danych osobowych po zakonczeniu umowy, wedlug wyboru Administratora; (f) Udostepnienia wszystkich informacji niezbednych do wykazania zgodnosci; (g) Umozliwienia i wspierania audytow przeprowadzanych przez Administratora lub audytora wyznaczonego przez Administratora.

Administrator udziela ogolnej autoryzacji Podmiotowi przetwarzajacemu na korzystanie z podwykonawcow przetwarzania. Obecni podwykonawcy: Hetzner Online GmbH — Hosting serwerow — Niemcy (UE) Stripe, Inc. — Przetwarzanie platnosci — USA (SCC) Google LLC (Firebase) — Powiadomienia push — USA (SCC) 1C-Bitrix (Bitrix24) — Integracja CRM — Region Bitrix24 Administratora Podmiot przetwarzajacy powiadomi Administratora o zamierzonych zmianach dotyczacych podwykonawcow z co najmniej 14-dniowym wyprzedzeniem. Administrator moze zlozyc sprzeciw wobec nowego podwykonawcy w ciagu 14 dni.

Podmiot przetwarzajacy wdraza nastepujace srodki: Szyfrowanie: TLS 1.3 dla danych w transmisji; AES-256-GCM dla wrazliwych danych w spoczynku (tokeny OAuth, klucze API). Kontrola dostepu: Kontrola dostepu oparta na rolach (RBAC); izolacja wielodostepowa poprzez PostgreSQL Row Level Security (RLS); uwierzytelnianie oparte na JWT. Infrastruktura: Dedykowany VPS w Niemczech; konteneryzacja Docker; automatyczne aktualizacje bezpieczenstwa; reguly firewalla. Monitoring: Sledzenie bledow aplikacji; automatyczne alerty w przypadku anomalii; regularne przeglady logow. Kopie zapasowe: Codzienne szyfrowane kopie zapasowe z 30-dniowym okresem przechowywania; przetestowane procedury przywracania. Personel: Umowy o zachowaniu poufnosci; szkolenia z zakresu swiadomosci bezpieczenstwa.

W przypadku naruszenia ochrony danych osobowych Podmiot przetwarzajacy zobowiazuje sie do: (a) Powiadomienia Administratora bez zbednej zwloki, a w kazdym przypadku w ciagu 48 godzin od powziecia wiadomosci o naruszeniu; (b) Przekazania nastepujacych informacji: charakter naruszenia, kategorie i przyblizzona liczba osob, ktorych dane dotycza, prawdopodobne konsekwencje, srodki podjete lub proponowane w celu zaradzenia naruszeniu; (c) Wspolpracy z Administratorem w badaniu i lagodzeniu skutkow naruszenia; (d) Dokumentowania wszystkich naruszen, w tym faktow, skutkow i podjetych dzialan naprawczych.

Dane osobowe sa przechowywane i przetwarzane na terenie UE (Niemcy). W przypadku korzystania z podwykonawcow przetwarzania spoza UE, Podmiot przetwarzajacy zapewnia odpowiednie zabezpieczenia, w tym Standardowe Klauzule Umowne (SCC) przyjete przez Komisje Europejska.

Odpowiedzialnosc kazdej ze stron na mocy niniejszej DPA podlega ograniczeniom okreslonym w Regulaminie. Laczna odpowiedzialnosc Podmiotu przetwarzajacego na mocy niniejszej DPA nie przekroczy kwot zaplaconych przez Administratora za Usluge w ciagu 12 miesiecy poprzedzajacych zdarzenie stanowiace podstawe roszczenia.

Niniejsza DPA podlega prawu Rzeczypospolitej Polskiej i jest zgodnie z nim interpretowana. Wlasciwe sady w Polsce maja wylaczna jurysdykcje nad wszelkimi sporami wynikajacymi z niniejszej DPA.