SIMtrix
S
SIMtrix
ZalogujWypróbuj za darmo

Umowa Powierzenia Przetwarzania Danych (DPA)

Data: 16 marca 2026 · Obowiązuje od dnia zawarcia Umowy Głównej

UMOWA POWIERZENIA PRZETWARZANIA DANYCH (DPA)

SIMtrix — Integracja SMS i Połączeń z Bitrix24

Data: 16 marca 2026

Obowiązywanie: Od dnia zawarcia do czasu rozwiązania Umowy Głównej (Regulaminu SIMtrix) lub jej wypowiedzenia

CZĘŚĆ I: POLSKI

1. DEFINICJE

Niżej wymienione terminy mają następujące znaczenia:

1.1. „Umowa Główna" — Regulamin usługi SIMtrix dostępny na stronie https://simtrix.app, regulujący warunki świadczenia usługi SIMtrix przez Procesora na rzecz Kontrolera.

1.2. „Niniejsza Umowa" — niniejsza Umowa Powierzenia Przetwarzania Danych (DPA).

1.3. „Dane Osobowe" — każde informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, zgodnie z Art. 4 ust. 1 pkt 1 Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „GDPR").

1.4. „Przetwarzanie" — każdą operację wykonywaną na Danych Osobowych, taką jak zbieranie, rejestrowanie, organizowanie, porządkowanie, przechowywanie, adaptacja, zmiana, pobieranie, zapoznawanie się, użycie, ujawnienie poprzez przesłanie, rozpowszechnianie lub inne udostępnianie, wyrównywanie lub łączenie, ograniczanie, usuwanie albo zniszczenie, w sposób określony w Art. 4 ust. 2 GDPR.

1.5. „Podmiot Danych" — zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dotyczą Dane Osobowe.

1.6. „Kontroler" (Powierzający) — osoba prawna (Klient), która określa cele i sposób Przetwarzania Danych Osobowych. W rozumieniu Art. 4 ust. 7 GDPR.

1.7. „Procesor" (Przetwarzający) — ANTENA sp. z o.o. z siedzibą w Gdyni, ul. Działdowska 16, 81-208 Gdynia, NIP: 9581754603, REGON: 541828792, która przetwarza Dane Osobowe na polecenie Kontrolera. W rozumieniu Art. 4 ust. 8 GDPR.

1.8. „Usługa SIMtrix" — Saaś (Software as a Service) będący mostem technologicznym łączącym kartę SIM w telefonie Android z systemem CRM Bitrix24, umożliwiającym wysyłanie i odbieranie SMS-ów oraz wykonywanie i odbieranie połączeń telefonicznych bezpośrednio z interfejsu Bitrix24.

1.9. „Sub-Procesor" — dowolna osoba fizyczna lub prawna (inna niż Kontroler), która przetwarza Dane Osobowe w imieniu Procesora, jak określono w Art. 28 ust. 2 GDPR i Rozdziale 4 Niniejszej Umowy.

1.10. „Naruszenie Ochrony Danych" — naruszenie bezpieczeństwa prowadzące do przypadkowego lub umyślnego zniszczenia, utraty, zmiany, nieuprawionego ujawnienia lub dostępu do Danych Osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób, jak określono w Art. 33 i 34 GDPR.

1.11. „Przepisy o Ochronie Danych" — GDPR oraz wszelkie lokalne przepisy o ochronie danych, w tym ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zmianami).

1.12. „EOG" — Europejski Obszar Gospodarczy (Unia Europejska, Islandia, Liechtenstein, Norwegia).

2. PRZEDMIOT I ZAKRES PRZETWARZANIA

2.1. Kategorie Danych Osobowych:

  • Numery telefonów kontaktów z bazy CRM Bitrix24
  • Treść wiadomości SMS
  • Metadane komunikacji (czas wysyłki/odboru, długość rozmowy, status połączenia, stan dostarczenia SMS)
  • Nagrania rozmów telefonicznych (w formacie audio, jeśli opcja nagrywania jest włączona przez Kontrolera)
  • Tokeny autoryzacyjne OAuth do Bitrix24
  • Tokeny push notifications (Firebase Cloud Messaging)

2.2. Kategorie Podmiotów Danych:

  • Kontakty biznesowe przechowywane w CRM Bitrix24 Kontrolera (leady, potencjalni i faktyczni klienci, partnerzy biznesowi)
  • Osoby, z którymi Kontroler komunikuje się poprzez usługę SIMtrix
  • Pracownicy/współpracownicy Kontrolera mający dostęp do Danych Osobowych poprzez CRM Bitrix24

2.3. Cel Przetwarzania:

  • Realizacja usługi SIMtrix: pośrednictwo komunikacji między CRM Bitrix24 a kartą SIM telefonu Android
  • Transmisja poleceń (inicjacja połączenia, wysłanie SMS) z interfejsu Bitrix24 do telefonu
  • Rejestracja przychodzących połączeń i SMS-ów w systemie CRM
  • Udostępnianie historii komunikacji w Bitrix24
  • Świadczenie wsparcia technicznego i debugowania (w ograniczonym zakresie, za zgodą Kontrolera)

2.4. Charakter Przetwarzania:

  • Transmisja: przechwytywanie poleceń z CRM, enkryptacja, przesłanie do telefonu Android via WebSocket/REST API
  • Przechowywanie tymczasowe treści SMS: szyfrowane AES-256-GCM, automatyczne usuwane po 7 dniach
  • Przechowywanie tymczasowe nagrań: przechowywane na serwerze przez max 24 godziny po uploadzie do Bitrix24, następnie automatycznie usuwane
  • Przechowywanie metadanych: numery telefonów, timestampy, statusy — przechowywane do 90 dni w celach audytu i debugowania
  • Przekazywanie do Bitrix24: wszystkie dane zwrotne (przychodzące SMS, połączenia, nagrania) transmitowane bezpośrednio do Bitrix24 na polecenie Kontrolera

2.5. Czas Przetwarzania:

  • Przetwarzanie trwa przez okres ważności subskrypcji SIMtrix (Umowy Głównej) oraz 30 dni po jej rozwiązaniu (na cele archiwizacji i audytu)
  • Dane Osobowe będą usunięte lub zwrócone Kontrolerowi w ciągu 30 dni od rozwiązania Umowy Głównej, chyba że obowiązujące prawo wymaga dłuższego przechowywania

2.6. Lokalizacja Przetwarzania:

  • Przetwarzanie odbywa się wyłącznie na terenie EOG, głównie na terenie Republiki Federalnej Niemiec (serwer VPS OVH SAS, zarządzany przez Procesora)
  • Transmisja metadanych poprzez Firebase Cloud Messaging (FCM) do USA odbywa się na podstawie EU-US Data Privacy Framework i standardowych klauzul umownych

3. OBOWIĄZKI PROCESORA

3.1. Obowiązek Przetwarzania na Polecenie

  • Procesor przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Kontrolera, zaniechując wszelkiego Przetwarzania niezgodnego z takim poleceniem, chyba że wymaga tego prawo UE lub prawo Państwa Członkowskiego
  • Każde polecenie Przetwarzania powinno być udokumentowane poprzez: interfejs SIMtrix (wybór opcji w panelu administracyjnym), dokumentację API Bitrix24, lub wcześniejsze pisemne umowy
  • Procesor niezwłocznie powiadomi Kontrolera o każdym poleceniu Przetwarzania, które jego zdaniem stanowi naruszenie Przepisów o Ochronie Danych

3.2. Poufność

  • Procesor zapewnia, że osoby fizyczne uprawnione do Przetwarzania Danych Osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu obowiązkowi ustawowemu dotyczącemu poufności, zgodnie z Art. 28 ust. 3 lit. a GDPR
  • Procesor na piśmie zawiera umowy o poufności z każdym pracownikiem, który ma dostęp do Danych Osobowych
  • Poufność obowiązuje po zakończeniu zatrudnienia lub współpracy

3.3. Bezpieczeństwo Przetwarzania

  • Procesor wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyka, zgodnie z Art. 32 GDPR
  • Szczegółowy opis środków technicznych i organizacyjnych zawarty jest w Załączniku 2 do Niniejszej Umowy

3.4. Sub-Procesorzy

  • Procesor nie powierza Przetwarzania żadnemu Sub-Procesorowi bez wcześniejszej szczegółowej pisemnej zgody Kontrolera
  • Procesor dostarcza Kontrolerowi listę autoryzowanych Sub-Procesorów (Załącznik 3)
  • Procesor informuje Kontrolera z rozsądnym wyprzedzeniem (minimum 14 dni) o każdej zmianie w odniesieniu do przydzielenia lub rezygnacji Sub-Procesora
  • Kontroler ma prawo wnieść uzasadniony sprzeciw wobec powierzenia Przetwarzania nowemu Sub-Procesorowi w ciągu 14 dni od powiadomienia
  • W przypadku sprzeciwu Kontroler może rozwiązać Umowę Główną bez kar, jeśli zmiana nie będzie dla niego akceptowalna
  • Procesor zapewnia, że Sub-Procesory są zobowiązane do przestrzegania tego samego poziomu ochrony danych osobowych

3.5. Pomoc Kontrolerowi w Realizacji Praw Podmiotów Danych

  • Procesor pomoże Kontrolerowi w spełnieniu jego obowiązków wobec Podmiotów Danych, w szczególności poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, uwzględniając charakter Przetwarzania, Procesor pomaga Kontrolerowi w realizacji praw Podmiotów Danych, takich jak:
    • Prawo dostępu (Art. 15 GDPR) — Procesor udostępni stosowne dane w formacie zrozumiałym dla Kontrolera
    • Prawo do sprostowania (Art. 16 GDPR) — Procesor umożliwi sprostowanie błędnych danych lub usunięcie
    • Prawo do usunięcia (Art. 17 GDPR) — Procesor usunie Dane Osobowe na żądanie Kontrolera, chyba że obowiązujące prawo wymaga ich przechowywania
    • Prawo do ograniczenia Przetwarzania (Art. 18 GDPR) — Procesor ograniczy Przetwarzanie, jeśli Kontroler tego zażąda
    • Prawo do przenoszenia danych (Art. 20 GDPR) — Procesor udostępni Dane Osobowe w formacie strukturalnym, powszechnie używanym i czytelnym maszynowo
    • Prawo sprzeciwu (Art. 21 GDPR) — Procesor zaniecha Przetwarzania na żądanie Kontrolera
  • Procesor odpowie na żądanie w ciągu 10 dni roboczych od jego otrzymania (lub szybciej, jeśli będzie to możliwe)

3.6. Pomoc w Bezpieczeństwie i Naruszeniach

  • Procesor pomoże Kontrolerowi w zapewnieniu zgodności z Art. 32, 33, 34 i 35 GDPR poprzez:
    • Przeprowadzanie ocen wpływu na ochronę danych (DPIA), jeśli będzie to konieczne
    • Testowanie bezpieczeństwa i oceny podatności
    • Dostarczanie informacji niezbędnych do wykazania compliance

3.7. Usuwanie i Zwrot Danych

  • Po zakończeniu świadczenia usług w ramach Umowy Głównej Procesor, na żądanie Kontrolera:
    • Usunie lub zwróci wszystkie Dane Osobowe (w zależności od instrukcji Kontrolera)
    • Usunie istniejące kopie zapasowe, chyba że prawo UE lub prawo Państwa Członkowskiego wymaga przechowywania
  • Jeśli Kontroler zażąda zwrotu danych, Procesor dostarczy je w formacie strukturalnym, powszechnie używanym i czytelnym maszynowo (CSV, JSON, XML lub inny format uzgodniony)
  • Potwierdzenie usunięcia zostanie dostarczone na piśmie w ciągu 30 dni

3.8. Dokumentacja i Audyty

  • Procesor dokumentuje wszystkie Przetwarzanie i utrzymuje rejestr, zgodnie z Art. 28 ust. 3 lit. e GDPR
  • Procesor udostępnia Kontrolerowi informacje niezbędne do wykazania zgodności z GDPR
  • Procesor na żądanie Kontrolera (z uwzględnieniem rozsądnych ograniczeń) umożliwia audyty i inspekcje przeprowadzane przez Kontrolera lub jego audytora (patrz Rozdział 10)

3.9. Międzynarodowe Transfery Danych

  • Jeśli Przetwarzanie obejmuje transfery Danych Osobowych poza EOG, Procesor wdraża mechanizmy ochrony zgodnie z Rozdziałem V GDPR (np. EU-US Data Privacy Framework, standardowe klauzule umowne)
  • Szczegóły transferów zawarte są w Rozdziale 6 Niniejszej Umowy

4. OBOWIĄZKI KONTROLERA

4.1. Uprawniony Cel Przetwarzania

  • Kontroler jest odpowiedzialny za zapewnienie, że Przetwarzanie Danych Osobowych ma uprawnioną podstawę prawną zgodnie z Art. 6 GDPR
  • Kontroler jest odpowiedzialny za zapewnienie, że wszelkie Dane Osobowe powierzone Procesorowi są przetwarzane zgodnie z Art. 9 GDPR (dane szczególnie wrażliwe)
  • Usługa SIMtrix NIE jest przeznaczona do przetwarzania danych szczególnych kategorii w rozumieniu Art. 9 GDPR. Kontroler zobowiązuje się nie wykorzystywać Usługi w sposób celowy do transmisji lub przetwarzania takich danych. Jeżeli dane szczególnych kategorii pojawią się w treści komunikacji, Kontroler ponosi wyłączną odpowiedzialność za zapewnienie odpowiedniej podstawy prawnej i środków ochrony zgodnie z Art. 9 ust. 2 GDPR.

4.2. Instrukcje Przetwarzania

  • Kontroler wydaje jasne i udokumentowane instrukcje dotyczące Przetwarzania Danych Osobowych
  • Instrukcje obejmują: cel Przetwarzania, kategorie Danych Osobowych, kategorie Podmiotów Danych, czas trwania Przetwarzania, lokalizację Przetwarzania i prawa Podmiotów Danych
  • Instrukcje są przekazywane Procesorowi poprzez: (a) akceptację Regulaminu SIMtrix, (b) konfigurację opcji w panelu administracyjnym, (c) pisemne polecenia (e-mail, ticketing system)

4.3. Zgodność z Prawem

  • Kontroler zapewnia, że Przetwarzanie Danych Osobowych jest zgodne z Przepisami o Ochronie Danych
  • Kontroler jest odpowiedzialny za zapewnienie podstawy prawnej dla Przetwarzania i informowanie Podmiotów Danych o Przetwarzaniu (Art. 13, 14 GDPR)

4.4. Odpowiedzialność Wobec Podmiotów Danych

  • Kontroler jest głównym odpowiedzialnym wobec Podmiotów Danych za realizację ich praw
  • Kontroler odpowiada za obsługę żądań dostępu, sprostowania, usunięcia i innych roszczeń Podmiotów Danych
  • Procesor wspomaga Kontrolera w realizacji tych praw (patrz Rozdział 3.5)

5. SUB-PROCESORY

5.1. Lista Autoryzowanych Sub-Procesorów

  • Procesor powierza Przetwarzanie następującym Sub-Procesorom:
    1. OVH SAS, 2 Rue Kellermann, 59100 Roubaix, Francja — Hosting serwerów (infrastruktura VPS w Niemczech, baza danych PostgreSQL, storage), lokalizacja: Niemcy (EOG)
    2. Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA — Firebase Cloud Messaging (FCM), transfer danych na podstawie EU-US Data Privacy Framework, zawartych standardowych klauzul umownych (SCCs)
    3. Paddle.com Market Limited, 15 Briery Close, Great Oakley, Corby, Northamptonshire, NN18 8JG, UK — Przetwarzanie płatności (Paddle jest niezależnym kontrolerem danych płatniczych, nie Sub-Procesorem sensu stricto, wymieniamy dla przejrzystości)

5.2. Zmiana Sub-Procesorów

  • Procesor powiadomi Kontrolera z rozsądnym wyprzedzeniem (minimum 14 dni) o każdej planowanej zmianie w odniesieniu do przydzielenia lub rezygnacji Sub-Procesora
  • Powiadomienie będzie zawierać informacje o nowym Sub-Procesorze i uzasadnienie zmiany
  • Kontroler ma prawo wnieść uzasadniony sprzeciw wobec nowego Sub-Procesora w ciągu 14 dni
  • Jeśli Kontroler wzniesie sprzeciw, może rozwiązać Umowę Główną bez kar

5.3. Zobowiązania Sub-Procesorów

  • Każdy Sub-Procesor jest zobowiązany do przestrzegania tego samego poziomu ochrony danych osobowych co Procesor
  • Procesor zawiera z każdym Sub-Procesorem pisemne umowy determinujące obowiązki z zakresu Przetwarzania na warunkach nie mniej chroniących Dane Osobowe niż postanowienia Niniejszej Umowy
  • Procesor pozostaje w pełni odpowiedzialny wobec Kontrolera za wykonanie obowiązków Sub-Procesora

6. TRANSFERY DANYCH POZA EOG

6.1. Mechanizmy Transferu

  • Większość Przetwarzania odbywa się na terenie EOG (serwery OVH w Niemczech)
  • Transfery do USA (Firebase Cloud Messaging) odbywają się na podstawie:
    • EU-US Data Privacy Framework (adekwatna decyzja Komisji Europejskiej z 10 lipca 2023 r.)
    • Standardowych Klauzul Umownych (SCCs) zawartych w Warunkach Usługi Google LLC
    • Przeprowadzanej przez Google oceny transferu

6.2. Prawo do Informacji o Transferach

  • Kontroler ma prawo żądać informacji o wszystkich transferach Danych Osobowych poza EOG
  • Procesor dostarczy takie informacje w ciągu 10 dni roboczych

6.3. Prawo do Sprzeciwu

  • Jeśli Kontroler nie zgadza się na transfer poza EOG, ma prawo rozwiązać Umowę Główną bez kar
  • Kontroler musi złożyć takie oświadczenie w ciągu 30 dni od powiadomienia o transferze

7. BEZPIECZEŃSTWO PRZETWARZANIA

7.1. Ogólne Zasady

  • Procesor wdraża i utrzymuje środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa odpowiadający ryzyku, zgodnie z Art. 32 GDPR
  • Środki te obejmują szyfrowanie, pseudonimizację, kontrolę dostępu, testy bezpieczeństwa, monitorowanie i reagowanie na incydenty

7.2. Szczegółowe Środki Techniczne

  • Szczegółowy opis środków technicznych zawarty jest w Załączniku 2 — Środki Techniczne i Organizacyjne
  • Główne środki to:
    • Szyfrowanie danych w tranzycie: TLS 1.3 (HTTPS, WSS)
    • Szyfrowanie danych at rest: AES-256-GCM
    • Izolacja danych tenantów: PostgreSQL Row-Level Security (RLS)
    • Kontrola dostępu: JWT + refresh tokens, SSH key authentication
    • Monitoring: Grafana + Prometheus
    • Backup z szyfrowaniem
    • Docker containerization

7.3. Przegląd Bezpieczeństwa

  • Procesor przeprowadza regularne przeglądy bezpieczeństwa (minimum 1x/rok)
  • Testy penetracyjne przeprowadzane minimum raz w roku przez niezależnego audytora
  • Wyniki są dokumentowane i dostępne na żądanie Kontrolera

7.4. Zarządzanie Dostępem

  • Dostęp do Danych Osobowych ograniczony jest do pracowników/współpracowników Procesora, którzy:
    • Mają udzielone uprawnienia zgodnie z zasadą najmniejszych uprawnień
    • Podlegają obowiązkowi poufności
    • Otrzymali szkolenie z zakresu ochrony danych
  • Dostęp monitorowany i logowany

8. NARUSZENIA OCHRONY DANYCH

8.1. Obowiązek Powiadomienia

  • Procesor niezwłocznie, a w każdym razie w ciągu 48 godzin od odkrycia Naruszenia, powiadomi Kontrolera o każdym Naruszeniu Ochrony Danych, chyba że Naruszenie jest mało prawdopodobne, aby spowodować ryzyko dla praw i wolności Podmiotów Danych
  • Powiadomienie będzie zawierać:
    • Opis Naruszenia i jego zakresu
    • Kategorie i przybliżoną liczbę dotkniętych Podmiotów Danych
    • Kategorie i przybliżoną liczbę dotkniętych rekordów Danych Osobowych
    • Możliwe konsekwencje Naruszenia
    • Podjęte lub proponowane środki zaradcze
    • Kontakt osoby odpowiedzialnej w Procesorze

8.2. Wsparcie w Komunikacji z PUODO

  • Procesor wspiera Kontrolera w przygotowaniu powiadomienia dla Prezesa Urzędu Ochrony Danych Osobowych (PUODO) i komunikacji z PUODO
  • Procesor nie powiadamia PUODO bezpośrednio; powiadomienie jest obowiązkiem Kontrolera
  • Kontroler ma obowiązek powiadomić PUODO w ciągu 72 godzin od odkrycia Naruszenia, jeśli Naruszenie stanowi ryzyko dla praw i wolności

8.3. Dokumentacja

  • Procesor dokumentuje wszystkie Naruszenia i działania podjęte w odpowiedzi
  • Dokumentacja jest dostępna do przeglądu przez Kontrolera na żądanie

9. PRAWA PODMIOTÓW DANYCH

9.1. Realizacja Praw

  • Procesor wspomaga Kontrolera w realizacji praw Podmiotów Danych zgodnie z Rozdziałem 3.5 Niniejszej Umowy
  • W przypadku bezpośredniego żądania od Podmiotu Danych, Procesor niezwłocznie powiadomi Kontrolera

9.2. Ograniczenia

  • Procesor nie będzie realizować bezpośrednio żądań Podmiotów Danych bez instrukcji od Kontrolera
  • Wszystkie żądania są przekazywane Kontrolerowi w ciągu 2 dni roboczych

10. AUDYTY I INSPEKCJE

10.1. Prawo do Audytu

  • Kontroler ma prawo przeprowadzić audyt lub inspekcję pomieszczeń, systemów i dokumentacji Procesora w celu weryfikacji zgodności z Niniejszą Umową i Przepisami o Ochronie Danych
  • Audyty mogą być przeprowadzane przez Kontrolera bezpośrednio lub przez niezależnego audytora/konsultanta wskazanego przez Kontrolera

10.2. Ograniczenia i Procedury

  • Audyty mogą być przeprowadzane maksymalnie 1 raz w roku, chyba że poprzedni audyt wykazał znaczne naruszenia
  • Kontroler musi złożyć żądanie audytu z minimum 14 dnią wyprzedzeniem
  • Audyty odbywają się wyłącznie w godzinach biznesowych (9:00-17:00 w strefie czasowej Niemiec)
  • Audyty nie mogą kolidować z operacyjnym działaniem systemów
  • Audity mogą być przeprowadzane wyłącznie na terenie siedziby Procesora lub poprzez zdalne przeglądy dokumentacji i systemów

10.3. Koszty Audytu

  • Koszty audytu (w tym wynagrodzenie niezależnego audytora, jeśli nie jest on pracownikiem Kontrolera) ponosi Kontroler
  • Procesor nie ponosi dodatkowych kosztów operacyjnych audytu, z wyjątkiem czasu pracy swoich pracowników bezpośrednio zaangażowanych w audit

10.4. Utajnienie

  • Jeśli audyt jest przeprowadzany przez trzecią stronę (audytora), ta strona musi podpisać umowę o poufności
  • Procesor może zahtać, aby informacje wrażliwe technologicznie (np. kod źródłowy infrastruktury, hasła) były zreaksjonisane lub nie udostępniane

10.5. Raport Audytu

  • Raport audytu musi być dostarczony Procesorowi do zatwierdzenia co do dokładności faktów technicznych przed ostatecznym opublikowaniem
  • Procesor ma prawo skorygować błędy faktyczne w raporcie w ciągu 10 dni

11. USUNIĘCIE I ZWROT DANYCH PO ZAKOŃCZENIU UMOWY

11.1. Instrukcje Kontrolera

  • Po zakończeniu lub rozwiązaniu Umowy Głównej Kontroler wyda Procesorowi instrukcje dotyczące Danych Osobowych:
    • Zwrot: Procesor zwróci wszystkie Dane Osobowe w formacie strukturalnym, powszechnie używanym i czytelnym maszynowo
    • Usunięcie: Procesor bezpiecznie usunie wszystkie Dane Osobowe

11.2. Czas Wykonania

  • Instrukcje będą wykonane w ciągu 30 dni od zakończenia Umowy Głównej
  • Jeśli zwrot danych jest niemożliwy techniczne, Procesor powiadomi Kontrolera i podejmie wszelkie starania, aby umożliwić zwrot w innym formacie

11.3. Wyjątki

  • Procesor może przechowywać Dane Osobowe, jeśli wymaga tego prawo UE lub prawo Państwa Członkowskiego
  • W takim przypadku Procesor powiadomi Kontrolera o:
    • Podstawie prawnej przechowywania
    • Czasem przechowywania
    • Środkami technicznymi zapewniającymi bezpieczeństwo

11.4. Potwierdzenie

  • Po usunięciu lub zwrocie Danych Osobowych Procesor dostarczy Kontrolerowi pisemne potwierdzenie w ciągu 5 dni

12. ODPOWIEDZIALNOŚĆ

12.1. Limit Odpowiedzialności Procesora

  • Ograniczenie odpowiedzialności Procesora:
    • Łączna odpowiedzialność Procesora wobec Kontrolera (lub osób trzecich) nie może przekroczyć sumy opłat faktycznie zapłaconych przez Kontrolera za usługę SIMtrix w ciągu 3 miesięcy poprzedzających zdarzenie stanowiące podstawę roszczenia
    • Ani w żadnym wypadku nie może przekroczyć 5000 EUR
  • Limity stosują się do wszelkich roszczeń, niezależnie od ich podstawy (umowa, prawo, czyn niedozwolony, gwarancja itp.)

12.2. Wyłączenia z Limitu Odpowiedzialności

  • Limit odpowiedzialności nie stosuje się do:
    • Odszkodowania za naruszenie poufności przez Procesora
    • Odszkodowania za naruszenie bezpieczeństwa Danych Osobowych wynikającego z zaniedbania rażącego Procesora
    • Roszczeń z tytułu naruszenia praw Podmiotów Danych wynikającego z działania lub zaniechania Procesora sprzecznego z instrukcjami Kontrolera
    • Roszczeń z tytułu naruszenia Art. 28, 32, 33 GDPR (obowiązki Procesora dotyczące poufności, bezpieczeństwa, naruszenia)
    • Zobowiązań wynikających z art. 82 GDPR (naruszenie GDPR)

12.3. Współodpowiedzialność

  • Jeśli Naruszenie wynika częściowo z działania lub zaniechania Kontrolera, odpowiedzialność Procesora jest zmniejszana proporcjonalnie do stopnia winy Kontrolera

12.4. **Brak Odpowiedzialności ZA:

  • Utratę dochodów, zysków, możliwości, danych, reputacji lub innych strat o charakterze pośrednim, przypadkowym, karnym lub specjalnym
  • Działanie lub zaniechanie Kontrolera lub osób trzecich niezwiązanych z Procesorem
  • Działanie siły wyższej (vis maior)
  • Przerwę w usługach z przyczyn technicznych, które nie wynikają z zaniedbania Procesora

13. CZAS TRWANIA I ROZWIĄZANIE

13.1. Wejście w Życie

  • Niniejsza Umowa wchodzi w życie z dniem zawarcia Umowy Głównej (Regulaminu SIMtrix)

13.2. Czas Trwania

  • Niniejsza Umowa trwa przez cały okres ważności Umowy Głównej (subskrypcji SIMtrix)
  • Niniejsza Umowa pozostaje w mocy przez 30 dni po rozwiązaniu Umowy Głównej w celu umożliwienia zwrotu lub usunięcia Danych Osobowych

13.3. Rozwiązanie

  • Niniejsza Umowa rozwiązuje się automatycznie z dniem rozwiązania Umowy Głównej
  • Postanowienia dotyczące poufności, bezpieczeństwa, odpowiedzialności i praw Podmiotów Danych pozostają w mocy przez 5 lat po rozwiązaniu

14. PRAWO WŁAŚCIWE I JURYSDYKCJA

14.1. Prawo Właściwe

  • Niniejsza Umowa podlegać będzie prawu Rzeczypospolitej Polskiej, z wyjątkiem jej przepisów kolizyjnych

14.2. Jurysdykcja i Rozstrzyganie Sporów

  • Wszelkie spory wynikające z Niniejszej Umowy lub związane z nią będą rozstrzygane przez sądy powszechne Rzeczypospolitej Polskiej
  • Sądem właściwym jest sąd rejonowy właściwy dla siedziby Procesora, tj. Sąd Rejonowy Gdańsk-Północ w Gdańsku (dla spraw cywilnych)
  • Strony zgadzają się na właściwość wyłączną tych sądów
  • Przed wszczęciem postępowania sądowego strony zobowiązują się do próby rozwiązania sporu poprzez mediację

14.3. Język Umowy

  • Niniejsza Umowa jest sporządzona w języku polskim i angielskim (poniżej — Część II)
  • W przypadku rozbieżności między wersjami polska i angielska, wersja polska ma pierwszeństwo

15. POSTANOWIENIA KOŃCOWE

15.1. Integracja

  • Niniejsza Umowa wraz z Umową Główną stanowią pełną umowę między stronami dotyczącą Przetwarzania Danych Osobowych
  • Niniejsza Umowa zastępuje wszelkie wcześniejsze porozumienia dotyczące Przetwarzania Danych Osobowych między stronami

15.2. Zmiana Postanowień

  • Żadna zmiana w Niniejszej Umowie nie jest ważna, chyba że dokonana na piśmie i podpisana przez obie strony
  • Procesor może unilateralnie zmienić Niniejszą Umowę w celu dostosowania do zmian w Przepisach o Ochronie Danych, z powiadomieniem Kontrolera z minimum 30-dniowym wyprzedzeniem
  • W przypadku zmiany Przepisów o Ochronie Danych wymagającej natychmiastowego wdrożenia, Procesor powiadomi Kontrolera niezwłocznie

15.3. Nieważność Postanowień

  • Jeśli jakiekolwiek postanowienie Niniejszej Umowy okaże się nieważne lub niemożliwe do wykonania, pozostałe postanowienia pozostają w mocy
  • Nieważne postanowienie będzie zastąpione postanowieniem ważnym, które w najwyższym stopniu realizuje cel postanowienia nieważnego

15.4. Brak Odstąpienia od Praw

  • Brak egzekwowania jakiegokolwiek postanowienia Niniejszej Umowy nie stanowi rezygnacji z tego postanowienia
  • Brak skutecznego wykonania przez jedną stronę nie pozbawia drugiej strony prawa do domagania się wykonania

15.5. Powiadomienia

  • Wszelkie powiadomienia wymagane na mocy Niniejszej Umowy powinny być przekazane na piśmie (e-mail, list rejestrowany, kurier) na adresy podane poniżej:
    • Dla Procesora: ANTENA sp. z o.o., ul. Działdowska 16, 81-208 Gdynia, [email protected]
    • Dla Kontrolera: adres e-mail podany podczas rejestracji usługi SIMtrix

15.6. Stron Umowy

  • Niniejsza Umowa jest zawierana między:
    • Procesor: ANTENA sp. z o.o., ul. Działdowska 16, 81-208 Gdynia, NIP: 9581754603, REGON: 541828792
    • Kontroler: osoba prawna (Klient) akceptująca Regulamin SIMtrix, zidentyfikowana poprzez dane rejestracyjne w panelu administracyjnym

ZAŁĄCZNIK 1: OPIS PRZETWARZANIA DANYCH OSOBOWYCH

ElementOpis
Powierzający (Kontroler)Klient SIMtrix — osoba prawna korzystająca z usługi
Przetwarzający (Procesor)ANTENA sp. z o.o., Gdynia
Przedmiot przetwarzaniaNumery telefonów, treść SMS, nagrania rozmów, metadane komunikacji, tokeny OAuth
Cel przetwarzaniaRealizacja usługi SIMtrix — pośrednictwo komunikacji SMS i połączeń telefonicznych
Kategorie podmiotówKontakty biznesowe klientów CRM (leady, kontakty, klienci)
Charakter operacjiTransmisja, przechowywanie tymczasowe, logowanie, szyfrowanie
Czas przechowywaniaSMS — 7 dni, nagrania — 24h, metadane — 90 dni, łącznie — czas trwania subskrypcji + 30 dni
Lokalizacja przetwarzaniaEOG, głównie Niemcy (OVH), częściowo USA (FCM via EU-US DPF)

ZAŁĄCZNIK 2: ŚRODKI TECHNICZNE I ORGANIZACYJNE

A. ŚRODKI TECHNICZNE

ŚrodekOpis
Szyfrowanie w tranzycieTLS 1.3 (HTTPS), WSS dla WebSocket; wszystkie połączenia między klientami a serwerem szyfrowane
Szyfrowanie at restAES-256-GCM dla: treści SMS, tokenów OAuth, nagrań tymczasowych
Hashing hasełbcrypt z salt, minimum 10 rund
TokenizacjaJWT z refresh tokenami, wygaśnięcie tokenu: 15 minut, refresh: 7 dni
Kontrola dostępuSSH key authentication (ed25519), brak haseł SSH
Izolacja danychPostgreSQL Row-Level Security (RLS) — każdy tenant widzi tylko swoje dane
Firewall aplikacyjnyWAF (Web Application Firewall) via Caddy; rate limiting; CORS
DDoS protectionCaddy reverse proxy; limitowanie żądań
MonitorowanieGrafana + Prometheus; logging aplikacji; alerting
BackupCodzienne backupy bazy danych z szyfrowaniem; 30-dniowa retencja; test restore 1x/miesiąc
ContainerizationDocker z minimalnymi obrazami bazowymi; bezstanowe kontenery
Skanowanie podatnościTrivy na obrazy Docker; OWASP ZAP na API; cadence: 1x/tydzień
Testy penetracyjneNiezależny audytor; cadence: 1x/rok

B. ŚRODKI ORGANIZACYJNE

ŚrodekOpis
Umowy o poufnościKażdy pracownik/współpracownik podpisuje NDA przed dostępem do Danych Osobowych
SzkoleniaSzkolenie z ochrony danych i bezpieczeństwa informatycznego dla wszystkich pracowników z dostępem; cadence: 1x/rok
Kontrola dostępuZasada najmniejszych uprawnień (PoLP); audyt uprawnień 1x/kwartał
Logging i auditingLogowanie wszystkich dostępów do Danych Osobowych; retencja logów: 90 dni
Zarządzanie incydentamiProcedura reagowania na naruszenia; zespół wyznaczony; ćwiczenia: 2x/rok
Zarządzanie hasłamiPassword manager dla wspólnych haseł; rotacja co 90 dni
Zarządzanie podatnościRejestr podatności; plan napraw; priorityzacja wg CVSS
DokumentacjaDokumentacja systemów, procedur bezpieczeństwa, plany ciągłości; przechowywanie offline
Fizyczne zabezpieczeniaSerwer na dedykowanej fizycznej infrastrukturze OVH; dostęp kontrolowany przez dostawcę
Dostęp zdalnyVPN dla dostępu do systemów produkcyjnych; MFA (Multi-Factor Authentication) obowiązkowe
Incydenty bezpieczeństwaRaport incydentów 1x/miesiąc dla Kontrolera na żądanie

ZAŁĄCZNIK 3: LISTA SUB-PROCESORÓW

1. OVH SAS

  • Nazwa: OVH SAS
  • Siedziba: 2 Rue Kellermann, 59100 Roubaix, Francja
  • Strona: https://www.ovhcloud.com
  • Rodzaj usługi: Hosting infrastruktury (VPS w Niemczech, zarządzany przez Procesora, baza danych PostgreSQL, storage)
  • Dane przetwarzane: Wszystkie Dane Osobowe (przechowywane na fizycznym serwerze w Niemczech)
  • Lokalizacja przetwarzania: Niemcy (EOG)
  • Podstawa transferu: Infrastruktura w EOG — brak transferu poza EOG
  • Umowa: OVH General Terms of Service zawierają klauzule GDPR
  • DPA: Dostępne na stronie OVH (https://www.ovhcloud.com/en/personal-data-protection/)

2. Google LLC

  • Nazwa: Google LLC
  • Siedziba: 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
  • Strona: https://www.google.com
  • Rodzaj usługi: Firebase Cloud Messaging (FCM) — wysyłanie powiadomień push do aplikacji Android
  • Dane przetwarzane: Tokeny push notifications (FCM registration tokens), metadane transmisji
  • Lokalizacja przetwarzania: USA (poza EOG)
  • Podstawa transferu: EU-US Data Privacy Framework (DPF) — adekwatna decyzja Komisji Europejskiej z 10 lipca 2023 r.
  • Umowa: Warunki usługi Firebase (https://firebase.google.com/terms)
  • DPA: Google Data Processing Addendum (https://cloud.google.com/terms/data-processing-addendum)
  • Uwagi: Google jest certyfikowany pod EU-US DPF; tokeny FCM nie zawierają treści SMS ani nagrań, tylko identyfikatory sesji

3. Paddle.com Market Limited

  • Nazwa: Paddle.com Market Limited
  • Siedziba: 15 Briery Close, Great Oakley, Corby, Northamptonshire, NN18 8JG, UK
  • Strona: https://www.paddle.com
  • Rodzaj usługi: Merchant of Record (MoR) — przetwarzanie płatności, fakturowanie
  • Dane przetwarzane: Dane płatnicze (imię, nazwisko, adres e-mail, wersja karty kredytowej — LAST 4 digits only), adresy IP, user agent
  • Lokalizacja przetwarzania: Wielka Brytania (EOG) i USA
  • Podstawa transferu: Standardowe klauzule umowne (SCCs)
  • Umowa: Warunki usługi Paddle (https://www.paddle.com/legal)
  • Uwagi: Paddle jest niezależnym kontrolerem danych płatniczych — nie Sub-Procesorem sensu stricto w rozumieniu Art. 28 GDPR; wymieniono dla przejrzystości informacyjnej

Kontakt w sprawie DPA: [email protected]