Umowa powierzenia przetwarzania danych osobowych (DPA)

Administrator danych- użytkownik serwisu OutreachPilot, który wyszukuje, importuje, wgrywa, zapisuje lub w inny sposób wykorzystuje dane osobowe odbiorców (leadów) w celu prowadzenia działań cold outreach B2B (dalej: „Administrator”).

Podmiot przetwarzający:

Niniejsza umowa zawierana jest na podstawie art. 28 ust. 3 RODO przez akceptację regulaminu serwisu i rozpoczęcie korzystania z funkcji wyszukiwania, importu, zapisu leadów lub wysyłki kampanii.

1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych odbiorców kampanii email (leadów) w zakresie określonym w §2.
2. Powierzenie obowiązuje przez czas trwania umowy o świadczenie usługi OutreachPilot. Po jej zakończeniu Podmiot przetwarzający - wedle wyboru Administratora - zwróci lub usunie wszystkie dane (z wyjątkiem przypadków, w których prawo wymaga ich zachowania).

• Cel: wyszukiwanie i zapisywanie leadów na żądanie Administratora, wysyłka i automatyzacja wiadomości B2B, tracking reakcji, wzbogacanie danych z publicznie dostępnych źródeł, generowanie sugestii treści przez AI.
• Kategorie danych: imię i nazwisko, służbowy adres email, numer telefonu, nazwa firmy, NIP, REGON, adres siedziby, stanowisko, treść korespondencji, metryki (otwarcia, kliknięcia, odpowiedzi).
• Kategorie osób: osoby fizyczne prowadzące jednoosobową działalność gospodarczą oraz osoby kontaktowe w podmiotach gospodarczych.
• Charakter: przetwarzanie zautomatyzowane, w tym przechowywanie, organizowanie, przeszukiwanie, modyfikowanie, udostępnianie podwykonawcom (sub- procesorom), usuwanie.

Administrator odpowiada za to, że jego polecenia, kampanie, źródła danych, treści, podstawy prawne kontaktu oraz obowiązki informacyjne są zgodne z RODO, Prawem komunikacji elektronicznej i innymi właściwymi przepisami.

Podmiot przetwarzający nie decyduje o tym, kogo Administrator kontaktuje, w jakim celu, na jakiej podstawie prawnej i co Administrator robi z danymi poza technicznym zakresem usługi OutreachPilot.

Podmiot przetwarzający zobowiązuje się do:

1. Przetwarzania danych wyłącznie na udokumentowane polecenie Administratora - poleceniem są działania użytkownika w panelu serwisu;
2. Poinformowania Administratora, jeżeli według Podmiotu przetwarzającego polecenie narusza RODO lub inne przepisy o ochronie danych, o ile prawo nie zabrania takiego poinformowania;
3. Zapewnienia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy;
4. Wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO (szczegóły w §4);
5. Pomocy Administratorowi w realizacji praw osób, których dane dotyczą (art. 12-22 RODO) - przede wszystkim poprzez udostępnione w panelu funkcje eksportu, edycji i usunięcia leadów;
6. Pomocy Administratorowi w wypełnieniu obowiązków z art. 32-36 RODO (bezpieczeństwo, naruszenia, DPIA);
7. Zgłoszenia naruszenia ochrony danych Administratorowi bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od jego stwierdzenia;
8. Udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków;
9. Po zakończeniu świadczenia usług usunięcia lub zwrotu danych w terminie 30 dni - wedle wyboru Administratora.

• Szyfrowanie połączeń TLS 1.3
• Szyfrowanie haseł SMTP/IMAP i tokenów OAuth (AES-256-GCM at rest)
• Row-Level Security (RLS) na poziomie bazy danych - izolacja danych między kontami
• Hasła użytkowników zaszyfrowane przez Supabase Auth
• Codzienne kopie zapasowe (Supabase point-in-time recovery)
• Kontrola dostępu oparta na rolach (RBAC) i logowanie zdarzeń bezpieczeństwa
• Rate-limiting i ochrona przed atakami brute-force
• Monitoring błędów aplikacji (Sentry) z ograniczeniem PII w eventach

Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z następujących kategorii sub-procesorów i dostawców technicznych:

O każdej zmianie sub-procesorów (dodanie/usunięcie) Administrator zostanie poinformowany emailem na adres przypisany do konta z co najmniej 14-dniowym wyprzedzeniem. Administrator może wnieść uzasadniony sprzeciw - w takim wypadku przysługuje mu prawo rozwiązania umowy i otrzymania zwrotu proporcjonalnej części opłaty za niewykorzystany okres.

Część sub-procesorów lub dostawców technicznych może przetwarzać dane poza EOG, w szczególności w USA. Transfer odbywa się na podstawie dostępnych mechanizmów RODO, w tym:

• EU-US Data Privacy Framework (DPF), jeżeli dostawca jest certyfikowany (lista: dataprivacyframework.gov/list);
• standardowych klauzul umownych (SCC 2021/914) albo innych mechanizmów dopuszczonych przez RODO.

Administrator ma prawo do przeprowadzenia audytu (samodzielnie lub przez upoważniony podmiot) z 30-dniowym wyprzedzeniem, nie częściej niż raz na 12 miesięcy, na własny koszt. Audyt nie może zakłócać normalnej pracy Podmiotu przetwarzającego. Podmiot przetwarzający może zamiast audytu udostępnić aktualne raporty z certyfikacji (np. SOC 2, ISO 27001) sub-procesorów.

Każda strona odpowiada za szkody wynikłe z naruszenia przez nią obowiązków wynikających z RODO i niniejszej umowy zgodnie z art. 82 RODO. Podmiot przetwarzający odpowiada za szkodę spowodowaną przetwarzaniem tylko wtedy, gdy nie dopełnił obowiązków skierowanych bezpośrednio do podmiotów przetwarzających albo działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew takim instrukcjom.

Administrator odpowiada za legalność poleceń, danych, kampanii i podstaw kontaktu. Administrator zobowiązuje się zwolnić Podmiot przetwarzający z odpowiedzialności oraz pokryć uzasadnione koszty roszczeń, kar i obsługi prawnej wynikające z niezgodnych z prawem poleceń Administratora, nielegalnych źródeł danych, treści kampanii lub naruszeń obowiązków Administratora.

W maksymalnym zakresie dopuszczalnym przez prawo łączna odpowiedzialność Podmiotu przetwarzającego jest ograniczona zgodnie z regulaminem serwisu. Ograniczenie nie ma zastosowania w zakresie, w jakim bezwzględnie obowiązujące przepisy prawa zakazują takiego ograniczenia.

W sprawach nieuregulowanych stosuje się przepisy RODO i prawa polskiego. Spory rozstrzyga sąd właściwy dla siedziby Podmiotu przetwarzającego (Gliwice). DPA stanowi integralną część regulaminu serwisu OutreachPilot.