Wersja dokumentu: 1.0
Data obowiązywania: 01.01.2026
§1. Strony i charakter Umowy
- Niniejsza Umowa powierzenia przetwarzania danych osobowych stanowi integralną część Regulaminu usługi ROVENS Integracja Wapro.
- Stronami Umowy są:
a) Klient korzystający z Usługi — jako Administrator danych,
b) ROVENS — jako Podmiot przetwarzający. - Umowa zostaje zawarta z chwilą akceptacji Regulaminu lub rozpoczęcia korzystania z Usługi, w zależności od tego, które zdarzenie nastąpi wcześniej.
- Umowa określa zasady przetwarzania danych osobowych powierzonych Podmiotowi przetwarzającemu przez Administratora w związku ze świadczeniem Usługi.
§2. Przedmiot i cel powierzenia
- Administrator powierza Podmiotowi przetwarzającemu dane osobowe w zakresie niezbędnym do świadczenia Usługi.
- Przedmiotem powierzenia jest przetwarzanie danych osobowych w ramach integracji systemu Wapro z Usługą oraz wybranymi systemami zewnętrznymi.
- Celem przetwarzania jest:
a) realizacja integracji,
b) synchronizacja danych,
c) obsługa zamówień,
d) wymiana danych między systemami,
e) automatyzacja procesów biznesowych,
f) diagnostyka błędów,
g) utrzymanie i rozwój Usługi,
h) zapewnienie bezpieczeństwa Usługi. - Podmiot przetwarzający nie może przetwarzać powierzonych danych osobowych w celach innych niż określone w Umowie, chyba że Administrator wyda odrębne udokumentowane polecenie lub obowiązek taki wynika z przepisów prawa.
§3. Charakter i sposób przetwarzania
- Przetwarzanie może obejmować w szczególności:
a) pobieranie,
b) przesyłanie,
c) utrwalanie,
d) przechowywanie,
e) organizowanie,
f) porządkowanie,
g) modyfikowanie,
h) odczytywanie,
i) wykorzystywanie,
j) udostępnianie systemom wskazanym przez Administratora,
k) ograniczanie,
l) usuwanie,
m) logowanie zdarzeń technicznych. - Przetwarzanie odbywa się w sposób zautomatyzowany, przy wykorzystaniu Connectora, Panelu, API, infrastruktury serwerowej oraz narzędzi technicznych niezbędnych do świadczenia Usługi.
§4. Rodzaje danych osobowych
- Zakres powierzonych danych zależy od konfiguracji integracji oraz danych znajdujących się w systemie Wapro lub innych systemach Administratora.
- Powierzone dane mogą obejmować w szczególności:
a) imię i nazwisko,
b) nazwę firmy,
c) NIP,
d) REGON,
e) adres siedziby,
f) adres dostawy,
g) adres korespondencyjny,
h) adres e-mail,
i) numer telefonu,
j) dane osoby kontaktowej,
k) dane kontrahenta,
l) dane odbiorcy zamówienia,
m) dane zamówienia,
n) dane dokumentów handlowych,
o) dane fakturowe,
p) identyfikatory klienta lub kontrahenta,
q) historię zamówień,
r) dane dotyczące produktów lub usług zakupionych przez osobę, której dane dotyczą,
s) dane techniczne związane z obsługą integracji. - Administrator zobowiązuje się nie przekazywać do Usługi szczególnych kategorii danych osobowych, danych dotyczących wyroków skazujących i czynów zabronionych, danych medycznych, danych dzieci ani innych danych nadmiarowych, chyba że Strony wyraźnie uzgodnią to w odrębnym dokumencie.
§5. Kategorie osób, których dane dotyczą
- Powierzone dane mogą dotyczyć w szczególności:
a) klientów Administratora,
b) kontrahentów Administratora,
c) osób kontaktowych u kontrahentów,
d) odbiorców zamówień,
e) dostawców,
f) pracowników lub współpracowników Administratora,
g) użytkowników systemów Administratora.
§6. Czas trwania przetwarzania
- Dane osobowe będą przetwarzane przez czas korzystania przez Administratora z Usługi.
- Po zakończeniu świadczenia Usługi Podmiot przetwarzający, zgodnie z decyzją Administratora, usuwa albo zwraca powierzone dane osobowe, chyba że prawo Unii Europejskiej lub prawo polskie nakazuje dalsze przechowywanie określonych danych.
- Jeżeli Administrator nie wyda odrębnej instrukcji w terminie 30 dni od zakończenia Usługi, Podmiot przetwarzający może usunąć dane po upływie okresu technicznego potrzebnego do zamknięcia konta, rozliczenia Usługi i usunięcia danych z aktywnych systemów.
- Dane znajdujące się w kopiach zapasowych mogą być usuwane zgodnie z cyklem retencji backupów, nie dłużej niż przez 30 dni, chyba że dłuższy okres wynika z przepisów prawa lub uzasadnionego interesu obrony przed roszczeniami.
§7. Obowiązki Administratora
- Administrator oświadcza, że:
a) jest administratorem powierzonych danych osobowych,
b) posiada podstawę prawną do ich przetwarzania,
c) jest uprawniony do powierzenia danych Podmiotowi przetwarzającemu,
d) zakres danych przekazywanych do Usługi jest adekwatny i niezbędny do realizacji celu,
e) poinformował osoby, których dane dotyczą, o przetwarzaniu ich danych zgodnie z wymaganiami RODO, jeżeli obowiązek taki ma zastosowanie. - Administrator odpowiada za prawidłową konfigurację integracji oraz za decyzję, jakie dane są przesyłane do Usługi.
- Administrator zobowiązuje się nie przekazywać danych nadmiarowych względem celu integracji.
§8. Obowiązki Podmiotu przetwarzającego
- Podmiot przetwarzający zobowiązuje się:
a) przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora,
b) zapewnić, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności,
c) stosować odpowiednie środki techniczne i organizacyjne ochrony danych,
d) wspierać Administratora w realizacji obowiązków wobec osób, których dane dotyczą, w zakresie możliwym i adekwatnym do charakteru Usługi,
e) wspierać Administratora w realizacji obowiązków dotyczących bezpieczeństwa przetwarzania, zgłaszania naruszeń, oceny skutków dla ochrony danych oraz konsultacji z organem nadzorczym, w zakresie wynikającym z RODO i charakteru Usługi,
f) po zakończeniu świadczenia Usługi usunąć albo zwrócić dane zgodnie z decyzją Administratora,
g) udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO,
h) umożliwiać audyty lub inspekcje na zasadach określonych w Umowie. - Jeżeli Podmiot przetwarzający uzna, że polecenie Administratora narusza RODO lub inne przepisy o ochronie danych, poinformuje o tym Administratora.
§9. Poufność
- Podmiot przetwarzający zapewnia, że osoby mające dostęp do powierzonych danych osobowych zostały zobowiązane do zachowania poufności.
- Obowiązek poufności obowiązuje również po zakończeniu współpracy z Administratorem.
§10. Środki techniczne i organizacyjne
- Podmiot przetwarzający stosuje środki techniczne i organizacyjne opisane w dokumencie „Środki techniczne i organizacyjne ochrony danych”.
- Środki te mogą być aktualizowane w celu uwzględnienia rozwoju technologii, zmian w Usłudze, zmian ryzyka lub zmian organizacyjnych.
- Aktualizacja środków bezpieczeństwa nie wymaga zmiany Umowy, o ile nie obniża ogólnego poziomu bezpieczeństwa przetwarzania.
§11. Podprocesorzy
- Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z dalszych podmiotów przetwarzających, zwanych dalej Podprocesorami, w zakresie niezbędnym do świadczenia Usługi.
- Aktualna lista Podprocesorów jest dostępna w dokumencie „Lista podprocesorów”.
- Podmiot przetwarzający informuje Administratora o planowanych zmianach dotyczących dodania lub zastąpienia Podprocesorów poprzez aktualizację Listy podprocesorów, wiadomość e-mail, komunikat w Panelu lub inny przyjęty kanał komunikacji.
- Administrator może zgłosić sprzeciw wobec nowego Podprocesora w terminie 14 dni od otrzymania informacji o zmianie, jeżeli wykaże uzasadnione podstawy związane z ochroną danych osobowych.
- Podmiot przetwarzający zapewnia, że z Podprocesorem zostanie zawarta umowa nakładająca na niego obowiązki ochrony danych nie mniej rygorystyczne niż wynikające z niniejszej Umowy.
- Podmiot przetwarzający odpowiada wobec Administratora za działania i zaniechania Podprocesora w zakresie wymaganym przez RODO.
§12. Transfer danych poza EOG
- Podmiot przetwarzający nie przekazuje powierzonych danych osobowych poza Europejski Obszar Gospodarczy, chyba że:
a) wynika to z konfiguracji Usługi lub wyboru systemu zewnętrznego przez Administratora,
b) wynika to z korzystania z Podprocesora,
c) Administrator wydał takie polecenie,
d) transfer odbywa się zgodnie z RODO. - Jeżeli transfer poza EOG ma miejsce, Podmiot przetwarzający stosuje odpowiedni mechanizm zgodności przewidziany w RODO.
§13. Pomoc w realizacji praw osób, których dane dotyczą
- Podmiot przetwarzający, w miarę możliwości technicznych i organizacyjnych, pomaga Administratorowi w realizacji żądań osób, których dane dotyczą.
- Jeżeli osoba, której dane dotyczą, zwróci się bezpośrednio do Podmiotu przetwarzającego w sprawie danych powierzonych przez Administratora, Podmiot przetwarzający przekaże żądanie Administratorowi, o ile będzie możliwe ustalenie Administratora.
- Podmiot przetwarzający nie odpowiada samodzielnie na żądania osób, których dane dotyczą, chyba że Administrator wyda takie polecenie lub obowiązek taki wynika z prawa.
§14. Naruszenia ochrony danych osobowych
- Podmiot przetwarzający informuje Administratora o stwierdzonym naruszeniu ochrony danych osobowych bez zbędnej zwłoki po jego stwierdzeniu.
- Zgłoszenie naruszenia powinno zawierać informacje dostępne Podmiotowi przetwarzającemu, w szczególności:
a) opis charakteru naruszenia,
b) przybliżone kategorie danych i osób, których naruszenie dotyczy,
c) możliwe konsekwencje naruszenia,
d) środki zastosowane lub proponowane w celu zaradzenia naruszeniu,
e) dane kontaktowe do dalszej komunikacji. - Podmiot przetwarzający wspiera Administratora w ocenie naruszenia i realizacji obowiązków zgłoszeniowych, w zakresie wynikającym z charakteru Usługi i dostępnych informacji.
§15. Audyt i informacje
- Administrator ma prawo uzyskać informacje niezbędne do wykazania zgodności przetwarzania z Umową i art. 28 RODO.
- W pierwszej kolejności Podmiot przetwarzający udostępnia Administratorowi dokumenty, opisy, oświadczenia, ankiety bezpieczeństwa lub inne informacje potwierdzające stosowanie środków ochrony danych.
- Audyt bezpośredni może zostać przeprowadzony po wcześniejszym uzgodnieniu terminu, zakresu i zasad, z uwzględnieniem bezpieczeństwa infrastruktury, tajemnicy przedsiębiorstwa oraz praw innych klientów.
- Audyt nie może prowadzić do ujawnienia danych innych klientów, kodu źródłowego, tajemnic handlowych, informacji o zabezpieczeniach w zakresie, który mógłby obniżyć poziom bezpieczeństwa, ani informacji prawnie chronionych.
- Koszty audytu ponosi Administrator, chyba że Strony uzgodnią inaczej.
§16. Zakończenie Umowy
- Umowa obowiązuje przez okres świadczenia Usługi.
- Zakończenie korzystania z Usługi powoduje zakończenie Umowy powierzenia, z zastrzeżeniem obowiązków dotyczących usunięcia lub zwrotu danych, poufności, rozliczalności oraz przechowywania danych wymaganych prawem.
- Postanowienia dotyczące poufności obowiązują bezterminowo.
§17. Postanowienia końcowe
- W sprawach nieuregulowanych Umową zastosowanie mają przepisy RODO oraz prawa polskiego.
- W przypadku sprzeczności pomiędzy Regulaminem a Umową powierzenia w zakresie przetwarzania danych osobowych, pierwszeństwo mają postanowienia Umowy powierzenia.
- Kontakt w sprawach danych osobowych: [email protected].
