Umowa Powierzenia Przetwarzania Danych Osobowych

Data Processing Agreement (DPA) — art. 28 RODO/GDPR

Obowiazuje od: 24 marca 2026 r. Wersja 1.0
Uwaga: Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa Powierzenia” lub „DPA”) stanowi integralna czesc Regulaminu swiadczenia uslug droga elektroniczna serwisu GroomerSystem i wchodzi w zycie z chwila utworzenia Konta w Serwisie. Akceptacja Regulaminu oznacza jednoczesna akceptacje niniejszej Umowy Powierzenia.

§1. Strony Umowy

  1. Administrator danych osobowych (dalej: „Administrator”):
    Uzytkownik serwisu GroomerSystem — osoba fizyczna prowadzaca dzialalnosc gospodarcza, osoba prawna lub jednostka organizacyjna prowadzaca salon groomerski, ktora korzysta z Serwisu GroomerSystem i wprowadza do niego dane osobowe swoich klientow.

    Administrator jest podmiotem, ktory samodzielnie lub wspolnie z innymi ustala cele i sposoby przetwarzania danych osobowych swoich klientow (klientow salonu groomerskiego) w rozumieniu art. 4 pkt 7 RODO.
  2. Podmiot przetwarzajacy (dalej: „Procesor”):
    IT-SERVICE Przemysław Milner
    Przemysław Milner
    Bahnhofstraße 22, 52134 Herzogenrath, Niemcy
    USt-IdNr (VAT-ID): DE368329037
    E-mail: kontakt@groomersystem.pl
    Telefon: +48 571 006 960
    Strona: groomersystem.pl

    Procesor jest podmiotem, ktory przetwarza dane osobowe w imieniu Administratora w rozumieniu art. 4 pkt 8 RODO.

§2. Przedmiot Umowy

  1. Przedmiotem niniejszej Umowy Powierzenia jest powierzenie przez Administratora Procesorowi przetwarzania danych osobowych klientow salonu groomerskiego Administratora w zwiazku ze swiadczeniem uslugi GroomerSystem (system CRM typu SaaS).
  2. Umowa Powierzenia zostaje zawarta na podstawie art. 28 Rozporzadzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osob fizycznych w zwiazku z przetwarzaniem danych osobowych i w sprawie swobodnego przeplywu takich danych (RODO/GDPR).
  3. Procesor przetwarza dane osobowe wylacznie w imieniu i na polecenie Administratora, w zakresie i w celach okreslonych w niniejszej Umowie.

§3. Czas trwania przetwarzania

  1. Powierzenie przetwarzania danych obowiazuje przez caly okres korzystania przez Administratora z uslug serwisu GroomerSystem, tj. od momentu utworzenia Konta do momentu rozwiazania umowy o swiadczenie uslug droga elektroniczna (wyrejestrowania z Serwisu lub zakonczenia subskrypcji).
  2. Po zakonczeniu okresu przetwarzania Procesor postepuje zgodnie z §12 niniejszej Umowy (usunięcie lub zwrot danych).

§4. Charakter i cel przetwarzania

  1. Charakter przetwarzania: przetwarzanie danych odbywa sie w sposob zautomatyzowany (w systemie informatycznym) w ramach swiadczenia uslugi SaaS GroomerSystem.
  2. Cel przetwarzania: umozliwienie Administratorowi zarzadzania salonem groomerskim za posrednictwem systemu CRM GroomerSystem, w tym w szczegolnosci:
    1. przechowywanie i zarzadzanie baza klientow salonu i ich zwierzat,
    2. prowadzenie kalendarza wizyt i rezerwacji,
    3. przechowywanie historii uslug i notatek groomerskich,
    4. wysylanie powiadomien (SMS, e-mail) do klientow salonu w imieniu Administratora,
    5. generowanie raportow i statystyk dla Administratora,
    6. obsluga modulu rezerwacji online,
    7. tworzenie kopii zapasowych danych.
  3. Operacje przetwarzania obejmuja: zbieranie, utrwalanie, organizowanie, przechowywanie, adaptowanie, pobieranie, przegladanie, wykorzystywanie, ujawnianie poprzez przeslanie (powiadomienia), usuwanie i niszczenie danych.

§5. Rodzaje danych osobowych

  1. Procesor przetwarza nastepujace kategorie danych osobowych powierzonych przez Administratora:
Kategoria danych Szczegolowe dane
Dane identyfikacyjne klientow salonu Imie, nazwisko
Dane kontaktowe klientow salonu Numer telefonu, adres e-mail, adres zamieszkania (opcjonalnie)
Dane zwierzat Imie zwierzecia, rasa, gatunek, wiek, waga, kolor siersci, cechy szczegolne, informacje o stanie zdrowia/pielegnacji (alergie, uczulenia, problemy skorne), historia szczepien (o ile wprowadzona)
Dane wizyt Data i godzina wizyty, rodzaj wykonanej uslugi, cena uslugi, notatki groomerskie, zdjecia przed/po (o ile dodane przez Administratora), preferencje klienta
Notatki i komunikacja Notatki Administratora dotyczace klientow, historia komunikacji (tresc wyslanych powiadomien SMS/e-mail)
  1. Procesor nie przetwarza szczegolnych kategorii danych osobowych w rozumieniu art. 9 RODO (dane dotyczace zdrowia ludzi, dane biometryczne, itp.). Dane dotyczace stanu zdrowia zwierzat nie stanowia danych osobowych w rozumieniu RODO.

§6. Kategorie osob, ktorych dane dotycza

  1. Dane przetwarzane na podstawie niniejszej Umowy dotycza nastepujacych kategorii osob:
    1. klienci salonu groomerskiego — osoby fizyczne korzystajace z uslug salonu prowadzonego przez Administratora,
    2. opiekunowie zwierzat — osoby fizyczne bedace wlascicielami lub opiekunami zwierzat przyprowadzanych do salonu (w przypadku gdy roznia sie od klienta salonu).

§7. Obowiazki Procesora

  1. Procesor zobowiazuje sie do:
    1. przetwarzania danych wylacznie na udokumentowane polecenie Administratora (art. 28 ust. 3 lit. a RODO) — poleceniem Administratora jest korzystanie z funkcjonalnosci Serwisu GroomerSystem zgodnie z Regulaminem; Procesor nie przetwarza danych w celach wlasnych,
    2. zapewnienia poufnosci (art. 28 ust. 3 lit. b RODO) — wszystkie osoby upowaznizone do przetwarzania danych osobowych sa zobowiazane do zachowania poufnosci lub podlegaja ustawowemu obowiazkowi zachowania tajemnicy,
    3. stosowania odpowiednich srodkow technicznych i organizacyjnych (art. 28 ust. 3 lit. c w zw. z art. 32 RODO) — zapewniajacych stopien bezpieczenstwa odpowiedni do ryzyka, w szczegolnosci:
      1. szyfrowanie transmisji danych (SSL/TLS),
      2. szyfrowanie danych w spoczynku (kopie zapasowe),
      3. zapewnienie poufnosci, integralnosci, dostepnosci i odpornosci systemow,
      4. regularne testowanie i ocenianie skutecznosci srodkow bezpieczenstwa,
      5. izolacja danych pomiedzy uzytkownikami Serwisu (tenant isolation),
      6. kontrola dostepu na zasadzie minimalnych uprawnien,
      7. automatyczne, szyfrowane kopie zapasowe,
      8. hosting danych w centrach danych na terytorium Polski/UE spelniajacych normy ISO 27001,
    4. przestrzegania warunkow korzystania z podpowierzenia (art. 28 ust. 3 lit. d RODO) — zgodnie z §8 niniejszej Umowy,
    5. pomagania Administratorowi w wywiazywaniu sie z obowiazkow wobec osob, ktorych dane dotycza (art. 28 ust. 3 lit. e RODO) — w szczegolnosci w zakresie realizacji praw osob: prawa dostepu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych i sprzeciwu,
    6. pomagania Administratorowi w wywiazywaniu sie z obowiazkow okreslonych w art. 32-36 RODO (bezpieczenstwo przetwarzania, zglaszanie naruszen, ocena skutkow) — art. 28 ust. 3 lit. f RODO,
    7. usunięcia lub zwrotu danych po zakonczeniu przetwarzania — zgodnie z §12 niniejszej Umowy (art. 28 ust. 3 lit. g RODO),
    8. udostepnienia Administratorowi informacji niezbednych do wykazania spelniania obowiazkow i umozliwienia przeprowadzenia audytu — zgodnie z §10 niniejszej Umowy (art. 28 ust. 3 lit. h RODO),
    9. niezwlocznego informowania Administratora, jezeli zdaniem Procesora wydane mu polecenie stanowi naruszenie RODO lub innych przepisow o ochronie danych (art. 28 ust. 3 zdanie ostatnie RODO).

§8. Podpowierzenie przetwarzania (dalsi procesorzy)

  1. Administrator wyrazana niniejszym ogolna pisemna zgode na korzystanie przez Procesora z dalszych podmiotow przetwarzajacych (podprocesorow) w rozumieniu art. 28 ust. 2 RODO, pod warunkami okreslonymi w niniejszym paragrafie.
  2. Na dzien wejscia w zycie niniejszej Umowy Procesor korzysta z nastepujacych dalszych podmiotow przetwarzajacych:
Podprocesor Zakres przetwarzania Lokalizacja danych
Dostawca hostingu (serwer dedykowany / VPS) Przechowywanie bazy danych Serwisu, obsluga aplikacji, kopie zapasowe Polska / Unia Europejska
Dostawca kopii zapasowych (backup offsite) Przechowywanie szyfrowanych kopii zapasowych bazy danych Unia Europejska
Dostawca uslug e-mail (powiadomienia transakcyjne) Wysylka powiadomien e-mail do klientow salonu w imieniu Administratora (np. przypomnienia o wizytach) Unia Europejska / EOG
Dostawca uslug SMS (powiadomienia SMS) Wysylka powiadomien SMS do klientow salonu w imieniu Administratora Polska / Unia Europejska
  1. Procesor zobowiazuje sie do:
    1. informowania Administratora o wszelkich zmianach dotyczacych dodania lub zastapienia dalszych podmiotow przetwarzajacych z co najmniej 14-dniowym wyprzedzeniem, dajac Administratorowi mozliwosc wyrazenia sprzeciwu,
    2. nalozenia na kazdego dalszego podmiot przetwarzajacy obowiazkow ochrony danych co najmniej rownowaznych z obowiazkami okreslonymi w niniejszej Umowie, na mocy umowy lub innego aktu prawnego,
    3. ponoszenia pelnej odpowiedzialnosci wobec Administratora za dzialania dalszych podmiotow przetwarzajacych w zakresie ochrony danych osobowych.
  2. W przypadku sprzeciwu Administratora wobec nowego podprocesora, strony podejma negocjacje w dobrej wierze. Jezeli nie zostanie osiagniete porozumienie, Administrator ma prawo rozwiazac umowe o swiadczenie uslug.
  3. Dane Salonu (dane klientow salonu) nie sa przekazywane poza Europejski Obszar Gospodarczy (EOG). Wszyscy dalsi procesorzy przetwarzaja dane na terytorium Polski lub UE/EOG.

§9. Obowiazki Administratora

  1. Administrator zobowiazuje sie do:
    1. posiadania odpowiedniej podstawy prawnej do przetwarzania danych osobowych klientow salonu (np. art. 6 ust. 1 lit. b RODO — wykonanie umowy uslugi groomerskiej, art. 6 ust. 1 lit. f — prawnie uzasadniony interes, lub art. 6 ust. 1 lit. a — zgoda),
    2. spelnienia obowiazku informacyjnego wobec osob, ktorych dane dotycza (art. 13 i 14 RODO), w tym poinformowania klientow salonu o powierzeniu przetwarzania ich danych Procesorowi (GroomerSystem),
    3. niepowierzania Procesorowi szczegolnych kategorii danych osobowych w rozumieniu art. 9 RODO, chyba ze zostanie to odrębnie uzgodnione,
    4. wspolpracy z Procesorem w zakresie niezbednym do realizacji obowiazkow wynikajacych z RODO,
    5. niezwlocznego informowania Procesora o wszelkich zmianach majacych wplyw na przetwarzanie powierzonych danych.

§10. Audyt

  1. Administrator ma prawo do przeprowadzenia audytu zgodnosci przetwarzania danych przez Procesora z postanowieniami niniejszej Umowy i wymogami RODO (art. 28 ust. 3 lit. h RODO).
  2. Audyt moze byc przeprowadzony:
    1. przez Administratora lub upowaznionego przez niego audytora zewnetrznego,
    2. po uprzednim powiadomieniu Procesora z co najmniej 30-dniowym wyprzedzeniem,
    3. nie czesciej niz raz w roku kalendarzowym, chyba ze audyt jest wymagany przez organ nadzorczy lub jest uzasadniony podejrzeniem naruszenia.
  3. Procesor zobowiazuje sie do:
    1. udostepnienia Administratorowi informacji niezbednych do wykazania spelniania obowiazkow wynikajacych z art. 28 RODO,
    2. wspolpracy przy przeprowadzaniu audytu w zakresie rozumnym i proporcjonalnym,
    3. umozliwienia audytu w godzinach pracy (pon.-pt., 9:00-17:00 CET) w sposob niezaklócajacy biezacej dzialalnosci.
  4. Koszty audytu ponosi Administrator, chyba ze audyt wykazal istotne naruszenie postanowien niniejszej Umowy przez Procesora — w takim przypadku koszty ponosi Procesor.
  5. Procesor moze zaproponowac przekazanie Administratorowi aktualnych certyfikatow bezpieczenstwa, raportow z audytow wewnetrznych lub certyfikatow zgodnosci (np. ISO 27001 dostawcy hostingu) jako alternatywe lub uzupelnienie audytu na miejscu.

§11. Zglaszanie naruszen ochrony danych osobowych

  1. Procesor zobowiazuje sie do niezwlocznego, nie pozniej niz w ciagu 72 godzin od powziecia wiadomosci, poinformowania Administratora o kazdym naruszeniu ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO, dotyczacym powierzonych danych.
  2. Zgloszenie naruszenia powinno zawierac co najmniej:
    1. opis charakteru naruszenia ochrony danych osobowych, w tym w miare mozliwosci kategorie i przybliziona liczbe osob, ktorych dane dotycza, oraz kategorie i przybliziona liczbe wpisow danych osobowych, ktorych dotyczy naruszenie,
    2. imie, nazwisko i dane kontaktowe osoby, od ktorej mozna uzyskac informacje na temat naruszenia,
    3. opis mozliwych konsekwencji naruszenia,
    4. opis srodkow zasteosowanych lub proponowanych przez Procesora w celu zaradzenia naruszeniu, w tym w stosownych przypadkach srodkow w celu zminimalizowania jego ewentualnych negatywnych skutkow.
  3. Procesor wspolpracuje z Administratorem w celu zbadania naruszenia i podejmie wszelkie rozumne srodki w celu zlagodzenia skutkow naruszenia i zminimalizowania ryzyka przyszlych naruszen.
  4. Zgloszenie naruszenia przez Procesora nie stanowi przyznania winy ani odpowiedzialnosci za naruszenie.
  5. To Administrator podejmuje decyzje o:
    1. zgloszeniu naruszenia do organu nadzorczego (art. 33 RODO) — w terminie 72 godzin od stwierdzenia naruszenia,
    2. powiadomieniu osob, ktorych dane dotycza (art. 34 RODO) — w przypadku wysokiego ryzyka naruszenia praw i wolnosci tych osob.
    Procesor udzieli Administratorowi wszelkiej niezbednej pomocy w realizacji tych obowiazkow.

§12. Usunięcie lub zwrot danych po zakonczeniu przetwarzania

  1. Po zakonczeniu umowy o swiadczenie uslug (wygasnieciu licencji, rezygnacji z uslugi lub rozwiazaniu umowy), Procesor — zgodnie z wyborem Administratora:
    1. zwroci Administratorowi wszystkie powierzone dane osobowe w ustrukturyzowanym, powszechnie uzywanym formacie nadajacym sie do odczytu maszynowego (np. CSV, JSON), lub
    2. usunie wszystkie powierzone dane osobowe.
  2. Administrator moze zlozyc dyspozycje eksportu danych w dowolnym momencie korzystania z Serwisu za posrednictwem funkcji eksportu dostepnej w panelu Konta.
  3. W przypadku braku dyspozycji ze strony Administratora, Procesor:
    1. przechowuje dane przez okres 30 dni od dnia zakonczenia umowy, w trakcie ktorego Administrator moze zadac eksportu danych,
    2. po uplywie 30 dni trwale i nieodwracalnie usuwa wszystkie powierzone dane osobowe, w tym ich kopie zapasowe.
  4. Procesor potwierdzi dokonanie usunięcia danych na zadanie Administratora.
  5. Obowiazek usunięcia nie dotyczy danych, ktorych przechowywanie jest wymagane przez obowiazujace prawo (np. dane rozliczeniowe na potrzeby podatkowe). W takim przypadku Procesor poinformuje Administratora o zakresie i podstawie prawnej dalszego przechowywania.

§13. Przekazywanie danych do panstw trzecich

  1. Procesor nie przekazuje powierzonych danych osobowych (danych klientow salonu) do panstw trzecich spoza Europejskiego Obszaru Gospodarczego (EOG).
  2. Wszystkie systemy i infrastruktura wykorzystywane do przetwarzania powierzonych danych sa zlokalizowane na terytorium Polski i Unii Europejskiej.
  3. W przypadku zamiaru przekazania danych do panstwa trzeciego Procesor zobowiazuje sie do uprzedniego uzyskania pisemnej zgody Administratora i zapewnienia odpowiednich zabezpieczen zgodnie z rozdzialem V RODO (np. standardowe klauzule umowne, decyzja o adekwatnosci).

§14. Odpowiedzialnosc

  1. Kazda ze Stron ponosi odpowiedzialnosc za szkody spowodowane przetwarzaniem naruszajacym RODO zgodnie z art. 82 RODO.
  2. Procesor ponosi odpowiedzialnosc za szkody spowodowane przetwarzaniem wylacznie w przypadku niedopelnienia obowiazkow, ktore RODO naklada bezposrednio na podmioty przetwarzajace, lub gdy dzialal poza zgodnymi z prawem poleceniami Administratora albo wbrew nim.
  3. Procesor jest zwolniony z odpowiedzialnosci, jezeli udowodni, ze w zadnym razie nie ponosi winy za zdarzenie, ktore spowodowalo szkode (art. 82 ust. 3 RODO).

§15. Czas obowiazywania i rozwiazanie

  1. Niniejsza Umowa Powierzenia obowiazuje przez caly okres obowiazywania umowy o swiadczenie uslug droga elektroniczna (Regulaminu) pomiedzy Stronami.
  2. Rozwiazanie umowy o swiadczenie uslug skutkuje rozwiazaniem niniejszej Umowy Powierzenia, z zastrzezeniem obowiazkow dotyczacych usunięcia lub zwrotu danych (§12) oraz obowiazkow wynikajacych z bezwzglednie obowiazujacych przepisow prawa.
  3. Administrator moze rozwiazac niniejsza Umowe Powierzenia ze skutkiem natychmiastowym w przypadku istotnego naruszenia przez Procesora obowiazkow wynikajacych z niniejszej Umowy lub z RODO, po uprzednim wezwaniu do usunięcia naruszen w terminie 14 dni.

§16. Postanowienia koncowe

  1. Niniejsza Umowa Powierzenia stanowi integralna czesc Regulaminu swiadczenia uslug droga elektroniczna serwisu GroomerSystem.
  2. W sprawach nieuregulowanych niniejsza Umowa stosuje sie przepisy RODO (w szczegolnosci art. 28-36), a w zakresie nieuregulowanym przez RODO — przepisy prawa niemieckiego (BGB) z uwzglednieniem bezwzglednie obowiazujacych przepisow prawa polskiego w odniesieniu do konsumentow.
  3. Wszelkie zmiany niniejszej Umowy wymagaja formy pisemnej lub elektronicznej (dokumentowej) pod rygorem niewaznosci.
  4. O istotnych zmianach Umowy Powierzenia Procesor poinformuje Administratora z co najmniej 14-dniowym wyprzedzeniem.
  5. Jezeli jakiekolwiek postanowienie niniejszej Umowy okaze sie niewazne lub nieskuteczne, nie wplywa to na waznosc pozostalych postanowien. Strony zastąpią niewazne postanowienie postanowieniem mozliwie najblizszym celowi gospodarczemu postanowienia niewaznego.
  6. Spory wynikajace z niniejszej Umowy Strony beda rozstrzygac w pierwszej kolejnosci polubownie. W przypadku braku porozumienia wlasciwy bedzie sad okreslony zgodnie z przepisami obowiazujacego prawa.
  7. Niniejsza Umowa Powierzenia wchodzi w zycie z dniem 24 marca 2026 r.
  8. Kontakt w sprawach dotyczacych niniejszej Umowy:
    IT-SERVICE Przemysław Milner
    E-mail: kontakt@groomersystem.pl
    Telefon: +48 571 006 960
    Bahnhofstraße 22, 52134 Herzogenrath, Niemcy