Dokumenty · DPA · RODO art. 28
Umowa powierzenia przetwarzania danych osobowych (DPA)
Ostatnia aktualizacja: 6 maja 2026
Strony umowy
Administrator danych- użytkownik serwisu OutreachPilot, który wyszukuje, importuje, wgrywa, zapisuje lub w inny sposób wykorzystuje dane osobowe odbiorców (leadów) w celu prowadzenia działań cold outreach B2B (dalej: „Administrator”).
Podmiot przetwarzający:
Kacper Rękawek FastLanding
ul. Janusza Kusocińskiego 8 lok. 21, 44-122 Gliwice
NIP: 6312736932 · REGON: 543406517
kontakt@outreachpilot.pl
Niniejsza umowa zawierana jest na podstawie art. 28 ust. 3 RODO przez akceptację regulaminu serwisu i rozpoczęcie korzystania z funkcji wyszukiwania, importu, zapisu leadów lub wysyłki kampanii.
§1. Przedmiot i czas trwania powierzenia
- Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych odbiorców kampanii email (leadów) w zakresie określonym w §2.
- Powierzenie obowiązuje przez czas trwania umowy o świadczenie usługi OutreachPilot. Po jej zakończeniu Podmiot przetwarzający - wedle wyboru Administratora - zwróci lub usunie wszystkie dane (z wyjątkiem przypadków, w których prawo wymaga ich zachowania).
§2. Charakter, cel, kategorie danych i osób
- Cel: wyszukiwanie i zapisywanie leadów na żądanie Administratora, wysyłka i automatyzacja wiadomości B2B, tracking reakcji, wzbogacanie danych z publicznie dostępnych źródeł, generowanie sugestii treści przez AI.
- Kategorie danych: imię i nazwisko, służbowy adres email, numer telefonu, nazwa firmy, NIP, REGON, adres siedziby, stanowisko, treść korespondencji, metryki (otwarcia, kliknięcia, odpowiedzi).
- Kategorie osób: osoby fizyczne prowadzące jednoosobową działalność gospodarczą oraz osoby kontaktowe w podmiotach gospodarczych.
- Charakter: przetwarzanie zautomatyzowane, w tym przechowywanie, organizowanie, przeszukiwanie, modyfikowanie, udostępnianie podwykonawcom (sub- procesorom), usuwanie.
Administrator odpowiada za to, że jego polecenia, kampanie, źródła danych, treści, podstawy prawne kontaktu oraz obowiązki informacyjne są zgodne z RODO, Prawem komunikacji elektronicznej i innymi właściwymi przepisami.
Podmiot przetwarzający nie decyduje o tym, kogo Administrator kontaktuje, w jakim celu, na jakiej podstawie prawnej i co Administrator robi z danymi poza technicznym zakresem usługi OutreachPilot.
§3. Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający zobowiązuje się do:
- Przetwarzania danych wyłącznie na udokumentowane polecenie Administratora - poleceniem są działania użytkownika w panelu serwisu;
- Poinformowania Administratora, jeżeli według Podmiotu przetwarzającego polecenie narusza RODO lub inne przepisy o ochronie danych, o ile prawo nie zabrania takiego poinformowania;
- Zapewnienia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy;
- Wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO (szczegóły w §4);
- Pomocy Administratorowi w realizacji praw osób, których dane dotyczą (art. 12-22 RODO) - przede wszystkim poprzez udostępnione w panelu funkcje eksportu, edycji i usunięcia leadów;
- Pomocy Administratorowi w wypełnieniu obowiązków z art. 32-36 RODO (bezpieczeństwo, naruszenia, DPIA);
- Zgłoszenia naruszenia ochrony danych Administratorowi bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od jego stwierdzenia;
- Udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków;
- Po zakończeniu świadczenia usług usunięcia lub zwrotu danych w terminie 30 dni - wedle wyboru Administratora.
§4. Środki bezpieczeństwa
- Szyfrowanie połączeń TLS 1.3
- Szyfrowanie haseł SMTP/IMAP i tokenów OAuth (AES-256-GCM at rest)
- Row-Level Security (RLS) na poziomie bazy danych - izolacja danych między kontami
- Hasła użytkowników zaszyfrowane przez Supabase Auth
- Codzienne kopie zapasowe (Supabase point-in-time recovery)
- Kontrola dostępu oparta na rolach (RBAC) i logowanie zdarzeń bezpieczeństwa
- Rate-limiting i ochrona przed atakami brute-force
- Monitoring błędów aplikacji (Sentry) z ograniczeniem PII w eventach
§5. Sub-procesorzy (dalsi przetwarzający)
Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z następujących kategorii sub-procesorów i dostawców technicznych:
| Sub-procesor | Zakres | Lokalizacja |
|---|---|---|
| Supabase Inc. | Baza danych, autentykacja | UE (Frankfurt) |
| Vercel Inc. | Hosting aplikacji | USA / EOG (DPF, SCC lub inny mechanizm RODO) |
| Resend Inc. | Wysyłka emaili transakcyjnych (od OutreachPilot) | USA / EOG (DPF, SCC lub inny mechanizm RODO) |
| Stripe Payments Europe Ltd. | Płatności | UE/USA (DPF, SCC lub inny mechanizm RODO) |
| Sentry (Functional Software, Inc.) | Monitoring błędów | USA / EOG (DPF, SCC lub inny mechanizm RODO) |
| Inngest Inc. | Kolejka zadań, cron | USA / EOG (DPF, SCC lub inny mechanizm RODO) |
| Upstash Inc. | Redis (rate-limit, cache) | UE |
| OpenRouter, Inc. / DeepSeek | Generowanie treści wiadomości (tylko gdy użytkownik świadomie korzysta z funkcji AI; zakres przekazywanych danych zależy od treści promptu i konfiguracji funkcji) | USA / EOG (DPF, SCC lub inny mechanizm RODO) |
O każdej zmianie sub-procesorów (dodanie/usunięcie) Administrator zostanie poinformowany emailem na adres przypisany do konta z co najmniej 14-dniowym wyprzedzeniem. Administrator może wnieść uzasadniony sprzeciw - w takim wypadku przysługuje mu prawo rozwiązania umowy i otrzymania zwrotu proporcjonalnej części opłaty za niewykorzystany okres.
§6. Przekazywanie danych poza EOG
Część sub-procesorów lub dostawców technicznych może przetwarzać dane poza EOG, w szczególności w USA. Transfer odbywa się na podstawie dostępnych mechanizmów RODO, w tym:
- EU-US Data Privacy Framework (DPF), jeżeli dostawca jest certyfikowany (lista: dataprivacyframework.gov/list);
- standardowych klauzul umownych (SCC 2021/914) albo innych mechanizmów dopuszczonych przez RODO.
§7. Audyt
Administrator ma prawo do przeprowadzenia audytu (samodzielnie lub przez upoważniony podmiot) z 30-dniowym wyprzedzeniem, nie częściej niż raz na 12 miesięcy, na własny koszt. Audyt nie może zakłócać normalnej pracy Podmiotu przetwarzającego. Podmiot przetwarzający może zamiast audytu udostępnić aktualne raporty z certyfikacji (np. SOC 2, ISO 27001) sub-procesorów.
§8. Odpowiedzialność
Każda strona odpowiada za szkody wynikłe z naruszenia przez nią obowiązków wynikających z RODO i niniejszej umowy zgodnie z art. 82 RODO. Podmiot przetwarzający odpowiada za szkodę spowodowaną przetwarzaniem tylko wtedy, gdy nie dopełnił obowiązków skierowanych bezpośrednio do podmiotów przetwarzających albo działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew takim instrukcjom.
Administrator odpowiada za legalność poleceń, danych, kampanii i podstaw kontaktu. Administrator zobowiązuje się zwolnić Podmiot przetwarzający z odpowiedzialności oraz pokryć uzasadnione koszty roszczeń, kar i obsługi prawnej wynikające z niezgodnych z prawem poleceń Administratora, nielegalnych źródeł danych, treści kampanii lub naruszeń obowiązków Administratora.
W maksymalnym zakresie dopuszczalnym przez prawo łączna odpowiedzialność Podmiotu przetwarzającego jest ograniczona zgodnie z regulaminem serwisu. Ograniczenie nie ma zastosowania w zakresie, w jakim bezwzględnie obowiązujące przepisy prawa zakazują takiego ograniczenia.
§9. Postanowienia końcowe
W sprawach nieuregulowanych stosuje się przepisy RODO i prawa polskiego. Spory rozstrzyga sąd właściwy dla siedziby Podmiotu przetwarzającego (Gliwice). DPA stanowi integralną część regulaminu serwisu OutreachPilot.