Prawne

Umowa o powierzeniu przetwarzania danych

Ostatnia aktualizacja: 18 maja 2026

Niniejsza Umowa o powierzeniu przetwarzania danych ("DPA") reguluje przetwarzanie danych osobowych prowadzone przez Zentrię w twoim imieniu w ramach świadczenia Usługi. Implementuje ona artykuł 28 RODO i stanowi integralną część naszych Warunków świadczenia usług.

Automatyczna akceptacja. Akceptując Warunki świadczenia usług i wykorzystując Zentrię do przetwarzania danych osobowych, akceptujesz niniejsze DPA w imieniu swojej organizacji, która staje się Administratorem. Kontrasygnata nie jest wymagana. Jeśli potrzebujesz podpisanej kopii na papierze firmowym do swojej dokumentacji, napisz do zentriacrm@happycloudstudio.com, a dostarczymy ją.

1. Strony

Podmiot przetwarzający: Happy Cloud Studio Sp. z o.o., Ul. Grzybowska 87, 00-844 Warszawa, Polska, NIP 5272786566 ("my", "nas" lub "Zentria").
Administrator: klient, który zaakceptował Warunki świadczenia usług Zentrii ("ty" lub "Administrator").

2. Definicje

Terminy pisane wielką literą mają znaczenia nadane im przez RODO (Rozporządzenie (UE) 2016/679). "Dane osobowe", "Przetwarzanie", "Administrator", "Podmiot przetwarzający", "Podwykonawca", "Osoba, której dane dotyczą" i "Naruszenie ochrony danych osobowych" są używane w znaczeniu tam zdefiniowanym. "Usługa" ma znaczenie podane w Warunkach świadczenia usług.

3. Przedmiot i czas trwania

Niniejsze DPA obejmuje Przetwarzanie Danych osobowych, które Zentria prowadzi w twoim imieniu wyłącznie w celu świadczenia Usługi. Przetwarzanie trwa tak długo, jak masz aktywny workspace, i kończy się z zamknięciem workspace, z zastrzeżeniem obowiązków usunięcia i zwrotu zawartych w sekcji 12.

4. Charakter, cel i typy danych

Szczegóły znajdują się w Załączniku 1 (Opis Przetwarzania).

5. Twoje polecenia

Przetwarzamy Dane osobowe wyłącznie na podstawie twoich udokumentowanych poleceń. Korzystanie z Usługi w jej standardowej konfiguracji stanowi udokumentowane polecenie. Warunki świadczenia usług, niniejsze DPA oraz wszelkie funkcje, które aktywujesz w Usłudze, razem określają zakres tych poleceń. Możesz wydać dodatkowe polecenia na piśmie; powiadomimy cię, jeśli uznamy, że polecenie narusza obowiązujące prawo ochrony danych, przed jego wykonaniem.

6. Poufność

Zapewniamy, że personel upoważniony do przetwarzania Danych osobowych podlega pisemnym zobowiązaniom do zachowania poufności lub odpowiednim ustawowym obowiązkom poufności, oraz że dostęp jest ograniczony do personelu, który potrzebuje go do wykonywania swoich obowiązków.

7. Bezpieczeństwo przetwarzania

Wdrażamy odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa adekwatnego do ryzyka, biorąc pod uwagę stan techniki i charakter przetwarzanych danych. Opis aktualnych środków znajduje się w Załączniku 3 (Środki techniczne i organizacyjne).

8. Podwykonawcy

Udzielasz nam ogólnego upoważnienia do angażowania Podwykonawców w celu świadczenia Usługi. Każdy Podwykonawca jest związany pisemną umową, która nakłada obowiązki ochrony danych nie mniej restrykcyjne niż te przewidziane w niniejszym DPA.

Aktualna lista Podwykonawców znajduje się w Załączniku 2. Powiadomimy cię z co najmniej 30-dniowym wyprzedzeniem przed dodaniem lub zastąpieniem Podwykonawcy, e-mailem do Właściciela workspace lub poprzez powiadomienie w Usłudze. Jeśli sprzeciwisz się zmianie z uzasadnionych względów ochrony danych, możesz wypowiedzieć subskrypcję w odniesieniu do dotkniętej Usługi, zanim nowy Podwykonawca rozpocznie przetwarzanie. Rozwiązanie z tego powodu w trakcie planu płatnego uprawnia cię do proporcjonalnego zwrotu zapłaconych z góry opłat.

Pozostajemy odpowiedzialni za działania i zaniechania naszych Podwykonawców w takim samym zakresie, w jakim jesteśmy odpowiedzialni na mocy niniejszego DPA.

9. Transfery międzynarodowe

Dane osobowe są przetwarzane głównie w Europejskim Obszarze Gospodarczym. Gdy Dane osobowe są przekazywane do kraju spoza EOG, który nie został uznany przez Komisję Europejską za zapewniający odpowiedni poziom ochrony, transfer jest regulowany Standardowymi klauzulami umownymi Komisji Europejskiej (Moduł 3 dla transferów Podmiot przetwarzający-Podmiot przetwarzający, Moduł 2 dla transferów Administrator-Podmiot przetwarzający, gdy jest to istotne), z uzupełniającymi środkami technicznymi i organizacyjnymi tam, gdzie jest to właściwe. Upoważniasz nas do zawierania Standardowych klauzul umownych z Podwykonawcami w twoim imieniu w tym celu.

10. Pomoc w realizacji praw osób, których dane dotyczą

Usługa zawiera funkcje pozwalające ci, jako Administratorowi, bezpośrednio realizować żądania Osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie i eksport danych z ustawień workspace). Gdy otrzymamy żądanie od Osoby, której dane dotyczą, dotyczące twojego workspace, bez zbędnej zwłoki:

Prześlemy żądanie do ciebie.
Nie odpowiemy bezpośrednio na żądanie, z wyjątkiem potwierdzenia otrzymania i skierowania Osoby, której dane dotyczą, do ciebie.

Pomożemy ci, na twój koszt, gdy pomoc jest znacząca, w odpowiadaniu na takie żądania poprzez odpowiednie środki techniczne i organizacyjne.

11. Naruszenia ochrony danych osobowych

Powiadomimy cię bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od chwili powzięcia wiadomości o Naruszeniu ochrony danych osobowych dotyczącym twoich Danych osobowych. Powiadomienie będzie zawierać, w zakresie znanym:

Charakter naruszenia, w tym kategorie i przybliżone liczby Osób, których dane dotyczą, i rekordów.
Prawdopodobne konsekwencje naruszenia.
Środki podjęte lub proponowane w celu zaradzenia naruszeniu i ograniczenia jego skutków.
Imię, nazwisko i dane kontaktowe osoby, z którą można się skontaktować w celu uzyskania dodatkowych informacji.

Pozostajesz odpowiedzialny za powiadomienie właściwego organu nadzorczego oraz, gdy jest to wymagane, dotkniętych Osób, których dane dotyczą, zgodnie z artykułami 33 i 34 RODO.

12. Usunięcie i zwrot danych

Po rozwiązaniu lub wygaśnięciu twojej subskrypcji, według twojego wyboru:

Możesz wyeksportować zawartość workspace w formacie nadającym się do odczytu maszynowego z Usługi przed zakończeniem.
Po usunięciu workspace Dane Klienta są natychmiast usuwane w trybie soft i trwale czyszczone w ciągu 30 dni, z wyjątkiem sytuacji, gdy przechowywanie jest wymagane przez prawo (na przykład faktury wymagane przez polskie prawo podatkowe).
Kopie zapasowe zawierające usunięte dane są rotowane i nadpisywane w ciągu 30 dni.

Na twoje pisemne żądanie potwierdzimy zakończenie usunięcia na piśmie.

13. Audyty i inspekcje

Udostępnimy wszelkie informacje rozsądnie niezbędne do wykazania zgodności z artykułem 28 RODO, w tym poprzez dostarczenie podsumowań stosownych raportów z audytów stron trzecich naszych Podwykonawców (takich jak raporty SOC 2). Możesz, po wcześniejszym pisemnym powiadomieniu i nie więcej niż raz na dwanaście miesięcy, przeprowadzić audyt ograniczony do weryfikacji naszej zgodności z niniejszym DPA. Audyty są przeprowadzane na twój koszt, w normalnych godzinach pracy, w sposób nieprzerywający nieuzasadnienie naszych operacji i z zachowaniem obowiązków poufności.

14. Odpowiedzialność

Odpowiedzialność każdej ze stron na podstawie niniejszego DPA podlega ograniczeniom odpowiedzialności określonym w Warunkach świadczenia usług. Żadne postanowienie niniejszej sekcji nie ogranicza prawa Osoby, której dane dotyczą, do wniesienia roszczeń przeciwko którejkolwiek ze stron na podstawie artykułu 82 RODO.

15. Konflikt

Jeśli jakiekolwiek postanowienie Warunków świadczenia usług jest sprzeczne z niniejszym DPA w odniesieniu do Przetwarzania Danych osobowych, pierwszeństwo ma niniejsze DPA.

16. Prawo właściwe

Niniejsze DPA podlega prawu polskiemu, bez uszczerbku dla ochrony przysługującej Osobom, których dane dotyczą, na mocy ich prawa lokalnego.

17. Kontakt

Happy Cloud Studio Sp. z o.o.
Ul. Grzybowska 87, 00-844 Warszawa, Polska
Kontakt ds. prywatności: Franco Toccu
Adres email: zentriacrm@happycloudstudio.com

Załącznik 1: Opis przetwarzania

Przedmiot

Świadczenie Usługi CRM Zentria, w tym hosting, przechowywanie i prezentacja Danych Klienta w imieniu Administratora.

Czas trwania

Czas trwania subskrypcji Administratora na Usługę, plus wszelkie okresy przechowywania po zakończeniu, zgodnie z opisem w sekcji 12.

Charakter i cel

Przechowywanie, organizowanie, pobieranie, wyświetlanie i eksportowanie Danych Klienta, aby Administrator i jego upoważnieni użytkownicy mogli zarządzać swoim pipelinem handlowym.

Kategorie Osób, których dane dotyczą

Upoważnieni użytkownicy Administratora (Właściciel workspace, Handlowcy).
Klienci, potencjalni klienci i kontakty biznesowe Administratora, wprowadzeni do Usługi.

Typy Danych osobowych

Dane identyfikacyjne i kontaktowe: imiona, adresy email, numery telefonów, nazwy firm, stanowiska.
Dane handlowe: wartość transakcji, waluta, etap pipeline, źródło leadu, notatki, zadania, załączniki wgrane do Usługi.
Dane uwierzytelnienia dla upoważnionych użytkowników: hashe haseł, tokeny sesji.
Wszelkie dodatkowe Dane osobowe, które Administrator zdecyduje się wprowadzić w polach tekstowych.

Administrator zobowiązuje się nie wprowadzać do Usługi szczególnych kategorii Danych osobowych (zgodnie z definicją w art. 9 RODO) ani danych dotyczących wyroków skazujących (art. 10 RODO).

Załącznik 2: Podwykonawcy

Aktualna lista na datę "Ostatnia aktualizacja" powyżej. Najnowsza wersja jest zawsze publikowana pod adresem zentriacrm.com/pl/dpa.

Podwykonawca	Usługa	Lokalizacja
Supabase Inc.	Zarządzana baza Postgres, uwierzytelnianie, przechowywanie obiektów	Frankfurt, Niemcy (UE). Podmiot korporacyjny w Stanach Zjednoczonych.
Cloudflare, Inc.	Hosting webowy, CDN, runtime edge aplikacji, ochrona DDoS	Globalna sieć edge. Podmiot korporacyjny w Stanach Zjednoczonych.
Formspree, Inc.	Doręczanie wiadomości wysyłanych przez formularz kontaktowy na naszej stronie	Stany Zjednoczone

Planowane uzupełnienia, które zostaną dodane do niniejszego Załącznika z co najmniej 30-dniowym wyprzedzeniem przed rozpoczęciem przetwarzania Danych osobowych:

Brevo (Sendinblue SAS): doręczanie e-maili transakcyjnych, Francja (UE).
Revolut Bank UAB: obsługa płatności dla subskrypcji płatnych, Litwa (UE).

Załącznik 3: Środki techniczne i organizacyjne

Kontrola dostępu

Dostęp oparty na rolach w aplikacji (Właściciel, Handlowiec, Superuser).
Polityki bezpieczeństwa na poziomie wiersza w warstwie bazy danych w celu egzekwowania izolacji workspace.
Zasada najmniejszych uprawnień dla dostępu personelu do systemów produkcyjnych.
Uwierzytelnianie wieloskładnikowe dostępne dla kont użytkowników.

Szyfrowanie

TLS 1.2 lub nowszy dla wszystkich danych w tranzycie.
Szyfrowanie w spoczynku dla bazy danych i przechowywania obiektów na poziomie infrastruktury.
Hasła przechowywane jako hashe z soleniem; brak haseł w postaci jawnej na dysku.

Integralność i dostępność

Regularne automatyczne kopie zapasowe produkcyjnej bazy danych, przechowywane do 30 dni.
Okresowe testy przywracania.
Ochrona DDoS i Web Application Firewall na edge.
Logi aplikacji przeglądane pod kątem anomalii.

Poufność i personel

Pisemne zobowiązania do poufności dla całego personelu z dostępem do danych produkcyjnych.
Oczekiwania dotyczące świadomości bezpieczeństwa komunikowane personelowi.

Reagowanie na incydenty

Udokumentowana procedura reagowania na Naruszenia ochrony danych osobowych z celem powiadomienia administratora w ciągu 72 godzin.
Zdefiniowane obowiązki i wewnętrzna ścieżka eskalacji.

Ciągły przegląd

Środki te są okresowo przeglądane i aktualizowane, aby odzwierciedlić zmiany w technologii, zagrożeniach i naszych działaniach przetwarzania.