Umowa powierzenia danych osobowych

1. Administrator i Podmiot przetwarzający

Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej: „Umowa”) zostaje zawarta zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) pomiędzy:

• Administrator danych — Zleceniodawca (przedsiębiorca korzystający z usług intrafakt.pl), który decyduje o celach i sposobach przetwarzania danych osobowych swoich kontrahentów.
• Podmiot przetwarzający — IVM FIRMA HANDLOWA SP. Z O.O., al. Tadeusza Kościuszki 101, 90-441 Łódź, Polska, NIP: 7272865829, KRS: 0001012820 (dalej: „intrafakt.pl”), który przetwarza dane osobowe w imieniu i na polecenie Administratora.

2. Przedmiot i cel powierzenia

Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych kontrahentów Administratora w celu generowania i składania deklaracji Intrastat w systemie PUESC. Przetwarzanie obejmuje: zbieranie, utrwalanie, przechowywanie, opracowywanie, wykorzystywanie i usuwanie danych w zakresie niezbędnym do realizacji usługi.

3. Zakres przetwarzanych danych

Podmiot przetwarzający przetwarza następujące kategorie danych w imieniu Administratora:

• Dane kontrahentów: nazwa firmy, numer NIP lub VAT ID, adres siedziby, kraj.
• Dane z faktur: numery faktur, kwoty transakcji, opisy towarów, kody CN (Nomenklatura Scalona), kraj pochodzenia/przeznaczenia.

Przetwarzane dane dotyczą wyłącznie podmiotów gospodarczych (B2B). Co do zasady, zakres przetwarzania nie obejmuje danych osobowych osób fizycznych nieprowadzących działalności gospodarczej. W przypadku, gdy dane kontrahentów zawierają dane osobowe (np. dane osób fizycznych prowadzących jednoosobową działalność gospodarczą), zastosowanie mają postanowienia niniejszej Umowy.

4. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się do:

• Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, w zakresie i celu określonym w niniejszej Umowie.
• Zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegały ustawowemu obowiązkowi poufności (art. 28 ust. 3 lit. b RODO).
• Wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania, odpowiedniego do ryzyka (art. 32 RODO), w tym m.in.: szyfrowanie danych w transmisji (TLS) i w spoczynku, kontrola dostępu oparta na rolach, regularne kopie zapasowe.
• Przestrzegania warunków korzystania z usług dalszych podmiotów przetwarzających (podprzetwarzających) określonych w pkt 5 niniejszej Umowy.
• Udzielania Administratorowi pomocy w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw (Rozdział III RODO).
• Udzielania Administratorowi pomocy w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków).
• Usunięcia lub zwrotu wszelkich danych osobowych po zakończeniu Umowy, według wyboru Administratora, oraz usunięcia istniejących kopii, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje dalsze przechowywanie.

5. Podprzetwarzający

Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z następujących dalszych podmiotów przetwarzających (podprzetwarzających):

• Vercel Inc. (hosting aplikacji) — San Francisco, USA
• Supabase Inc. (baza danych i uwierzytelnianie) — San Francisco, USA
• Resend Inc. (wysyłka wiadomości e-mail) — San Francisco, USA

Wszyscy wymienieni podprzetwarzający stosują Standardowe Klauzule Umowne (Standard Contractual Clauses, SCC) zatwierdzone decyzją wykonawczą Komisji Europejskiej 2021/914 jako podstawę przekazywania danych poza Europejski Obszar Gospodarczy. Podmiot przetwarzający poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podprzetwarzających, umożliwiając Administratorowi wyrażenie sprzeciwu.

6. Przekazywanie danych poza EOG

Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy (EOG) odbywa się wyłącznie do podmiotów, które zapewniają odpowiedni poziom ochrony danych, na podstawie Standardowych Klauzul Umownych (SCC) zgodnych z art. 46 ust. 2 lit. c RODO. Podmiot przetwarzający nie przekazuje danych do państw trzecich nieobjętych odpowiednimi mechanizmami ochrony.

7. Audyt

Administrator ma prawo do przeprowadzania audytów i inspekcji w celu weryfikacji przestrzegania postanowień niniejszej Umowy (art. 28 ust. 3 lit. h RODO). Podmiot przetwarzający zobowiązuje się udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwić przeprowadzenie audytów. Audyt wymaga uprzedniego uzgodnienia terminu z co najmniej 14-dniowym wyprzedzeniem.

8. Czas trwania

Niniejsza Umowa obowiązuje przez cały okres obowiązywania Umowy współpracy pomiędzy Stronami. Rozwiązanie umowy współpracy skutkuje automatycznym rozwiązaniem niniejszej Umowy. Po rozwiązaniu Umowy Podmiot przetwarzający usunie dane osobowe w terminie 30 dni, chyba że Administrator zażąda ich zwrotu.

9. Kontakt

Wszelkie sprawy związane z przetwarzaniem danych osobowych prosimy kierować do:

• IVM FIRMA HANDLOWA SP. Z O.O., al. Tadeusza Kościuszki 101, 90-441 Łódź
• E-mail: kontakt@intrafakt.pl
• Telefon: +48 888 976 159