Załącznik nr 1 do Regulaminu Aplikacji Asendi

Umowa Powierzenia Danych Osobowych (DPA)

Obowiązuje od: 11 kwietnia 2026 r.

§ 1. Postanowienia ogólne i definicje

  1. Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „DPA”) stanowi załącznik do Regulaminu Aplikacji Asendi (dalej: „Regulamin”) i określa zasady przetwarzania danych osobowych przez Usługodawcę (Procesora) w imieniu Usługobiorcy (Administratora) w związku ze świadczeniem Usługi.
  2. DPA zostaje zawarta z chwilą zawarcia Umowy, o której mowa w § 4 Regulaminu, i obowiązuje przez cały okres trwania Umowy oraz przez okres retencji danych po jej rozwiązaniu, zgodnie z § 4 ust. 13 Regulaminu.
  3. Pojęcia pisane wielką literą, niezdefiniowane w DPA, mają znaczenie nadane im w Regulaminie.
  4. Dodatkowo, na potrzeby DPA, przyjmuje się następujące definicje:
    • Administrator - Usługobiorca, który jako przedsiębiorca decyduje o celach i sposobach przetwarzania danych osobowych Klientów Końcowych,
    • Procesor - Usługodawca, który przetwarza dane osobowe Klientów Końcowych w imieniu i na polecenie Administratora w celu świadczenia Usługi,
    • Dane Osobowe - dane osobowe Klientów Końcowych przetwarzane przez Procesora w związku ze świadczeniem Usługi,
    • Naruszenie - naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO,
    • Podprocesor - podmiot trzeci, któremu Procesor powierzył dalsze przetwarzanie Danych Osobowych,
    • RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
  5. W zakresie przetwarzania Danych Osobowych, postanowienia DPA mają pierwszeństwo przed postanowieniami Regulaminu w przypadku sprzeczności między tymi dokumentami.

§ 2. Przedmiot i zakres powierzenia

  1. Administrator powierza Procesorowi przetwarzanie Danych Osobowych w celu świadczenia Usługi, tj. udostępniania Chatbota AI na stronie internetowej Administratora.
  2. Przetwarzanie obejmuje następujące operacje wykonywane na Danych Osobowych:
    • zbieranie - w trakcie konwersacji Klientów Końcowych z Chatbotem,
    • utrwalanie i przechowywanie - zapis konwersacji oraz powiązanych danych w systemie informatycznym Aplikacji,
    • przetwarzanie automatyczne - klasyfikacja zapytań, wyszukiwanie produktów i generowanie odpowiedzi z wykorzystaniem modeli AI,
    • przekazywanie - przesyłanie danych do zewnętrznych dostawców AI (Podprocesorów) posiadających infrastrukturę zlokalizowaną wyłącznie na terytorium EOG, w zakresie niezbędnym do generowania odpowiedzi Chatbota,
    • usuwanie - po zakończeniu Umowy lub na żądanie Administratora.
  3. Procesor przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Administratora. Za takie polecenie uznaje się w szczególności zawarcie Umowy, postanowienia Regulaminu, konfigurację Chatbota dokonaną przez Administratora w panelu Aplikacji oraz indywidualne dyspozycje przekazane za pomocą poczty elektronicznej.
  4. Procesor nie przetwarza Danych Osobowych w celach własnych, w szczególności nie wykorzystuje ich do celów marketingowych, analitycznych ani do trenowania modeli AI.
  5. Czas trwania przetwarzania odpowiada okresowi obowiązywania Umowy. Po rozwiązaniu Umowy Procesor przetwarza Dane Osobowe wyłącznie w zakresie niezbędnym do realizacji obowiązków wynikających z Regulaminu (w tym retencji danych przez okres 90 dni zgodnie z § 4 ust. 13 Regulaminu) oraz z obowiązujących przepisów prawa.

§ 3. Rodzaj danych osobowych i kategorie osób, których dane dotyczą

  1. Procesor przetwarza następujące kategorie Danych Osobowych Klientów Końcowych:
    • dane konwersacyjne - treść wiadomości przesyłanych w ramach konwersacji z Chatbotem, identyfikator sesji,
    • dane identyfikacyjne - imię, nazwisko, adres e-mail, numer telefonu, o ile zostały podane w trakcie konwersacji lub przekazane przez system e-commerce Administratora,
    • dane dotyczące zamówień - numer zamówienia, status zamówienia, adres dostawy, kwota zamówienia, zawartość zamówienia, o ile zostały udostępnione przez Administratora w ramach integracji z platformą e-commerce,
    • dane koszykowe - informacje o produktach dodanych do koszyka przez Klienta Końcowego,
    • dane techniczne - adres IP, rodzaj przeglądarki (user agent), znaczniki czasowe interakcji.
  2. Kategorie osób, których Dane Osobowe są przetwarzane:
    • Klienci Końcowi - osoby korzystające z Chatbota na stronie internetowej Administratora.
  3. Procesor nie przetwarza szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO (dane dotyczące zdrowia, poglądów politycznych, przekonań religijnych, pochodzenia rasowego lub etnicznego, życia seksualnego, danych biometrycznych i genetycznych). W przypadku gdy Klient Końcowy samodzielnie wprowadzi takie dane w trakcie konwersacji z Chatbotem, Procesor nie ponosi odpowiedzialności za ich przetwarzanie, a Administrator zobowiązuje się do wdrożenia odpowiednich środków minimalizujących ryzyko ich przekazania.
  4. Zakres Danych Osobowych faktycznie przetwarzanych przez Procesora zależy od konfiguracji integracji dokonanej przez Administratora oraz od treści konwersacji prowadzonych przez Klientów Końcowych.

§ 4. Obowiązki Procesora

  1. Procesor przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Administratora, zgodnie z § 2 ust. 3 DPA. Jeżeli Procesor zostanie zobowiązany do przetwarzania Danych Osobowych na podstawie przepisów prawa Unii Europejskiego lub prawa polskiego, informuje o tym Administratora przed rozpoczęciem przetwarzania, chyba że przepisy te zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny.
  2. Procesor zapewnia, by osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. Obowiązek zachowania tajemnicy obowiązuje również po zakończeniu obowiązywania DPA.
  3. Procesor wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku przetwarzania, zgodnie z art. 32 RODO. Opis stosowanych środków bezpieczeństwa określa § 8 DPA.
  4. Procesor przestrzega warunków korzystania z usług Podprocesorów określonych w § 6 DPA.
  5. Procesor, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których Dane Osobowe dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO (prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych i sprzeciwu). Szczegółowe zasady określa § 10 DPA.
  6. Procesor, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO, w szczególności w zakresie:
    • zapewnienia bezpieczeństwa przetwarzania,
    • zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu,
    • zawiadamiania osób, których dane dotyczą, o naruszeniu,
    • przeprowadzania oceny skutków dla ochrony danych (DPIA) oraz uprzednich konsultacji z organem nadzorczym, jeżeli okażą się konieczne.
  7. Procesor po zakończeniu świadczenia Usługi, w zależności od decyzji Administratora, usuwa lub zwraca Administratorowi wszelkie Dane Osobowe oraz usuwa ich istniejące kopie, chyba że prawo Unii Europejskiego lub prawo polskie nakazuje dalsze przechowywanie Danych Osobowych. Szczegółowe zasady określa § 12 DPA.
  8. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO oraz umożliwia Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Szczegółowe zasady określa § 11 DPA.
  9. Procesor niezwłocznie informuje Administratora, jeżeli w jego ocenie polecenie wydane przez Administratora stanowi naruszenie RODO lub innych przepisów prawa dotyczących ochrony danych osobowych.

§ 5. Obowiązki Administratora

  1. Administrator oświadcza, że jest administratorem Danych Osobowych w rozumieniu art. 4 pkt 7 RODO i posiada podstawę prawną do ich przetwarzania oraz do powierzenia ich przetwarzania Procesorowi.
  2. Administrator zobowiązuje się do:
    • poinformowania Klientów Końcowych o przetwarzaniu ich Danych Osobowych zgodnie z art. 13 lub 14 RODO, w tym o powierzeniu przetwarzania Procesorowi oraz o przekazywaniu danych do zewnętrznych dostawców AI w celu generowania odpowiedzi Chatbota,
    • zapewnienia, że zakres Danych Osobowych przekazywanych Procesorowi jest adekwatny i ograniczony do tego, co niezbędne do realizacji celów przetwarzania,
    • realizacji praw Klientów Końcowych wynikających z RODO, z uwzględnieniem pomocy Procesora zgodnie z § 4 ust. 5 DPA,
    • niezwłocznego informowania Procesora o wszelkich okolicznościach mających wpływ na przetwarzanie Danych Osobowych, w szczególności o żądaniach Klientów Końcowych dotyczących usunięcia danych lub ograniczenia ich przetwarzania.
  3. Administrator ponosi odpowiedzialność za treść poleceń przetwarzania kierowanych do Procesora oraz za ich zgodność z obowiązującymi przepisami prawa.

§ 6. Podpowierzenie przetwarzania danych

  1. Administrator udziela Procesorowi ogólnej zgody na korzystanie z Podprocesorów w celu realizacji Usługi, na warunkach określonych w niniejszym paragrafie.
  2. Aktualna lista Podprocesorów, obejmująca ich nazwy, zakres przetwarzania oraz lokalizację przetwarzania danych, jest dostępna pod adresem: https://asendi.pl/subprocessors. Procesor zobowiązuje się do utrzymywania tej listy w stanie aktualnym.
  3. Procesor informuje Administratora o zamiarze dodania nowego Podprocesora lub zastąpienia dotychczasowego za pomocą poczty elektronicznej, z co najmniej 14-dniowym wyprzedzeniem przed planowaną zmianą.
  4. Administrator ma prawo zgłosić uzasadniony sprzeciw wobec nowego Podprocesora w terminie 14 (czternastu) dni od dnia otrzymania powiadomienia, o którym mowa w ust. 3. Sprzeciw powinien zawierać uzasadnienie wskazujące na konkretne zagrożenia dla ochrony Danych Osobowych.
  5. W przypadku zgłoszenia sprzeciwu Procesor podejmuje w dobrej wierze działania zmierzające do znalezienia rozwiązania uwzględniającego zastrzeżenia Administratora. Jeżeli strony nie osiągną porozumienia w terminie 30 (trzydziestu) dni od dnia zgłoszenia sprzeciwu, Administrator ma prawo wypowiedzieć Umowę ze skutkiem natychmiastowym.
  6. Procesor zobowiązuje się nałożyć na każdego Podprocesora, w drodze umowy, obowiązki ochrony Danych Osobowych co najmniej równoważne obowiązkom wynikającym z DPA.
  7. Procesor ponosi pełną odpowiedzialność wobec Administratora za działania i zaniechania Podprocesorów w zakresie przetwarzania Danych Osobowych, tak jakby były to jego własne działania i zaniechania.
  8. Brak zgłoszenia sprzeciwu w terminie wskazanym w ust. 4 uznaje się za akceptację nowego Podprocesora.

§ 7. Przekazywanie danych poza Europejski Obszar Gospodarczy

  1. Procesor przechowuje i przetwarza Dane Osobowe na serwerach zlokalizowanych na terenie Europejskiego Obszaru Gospodarczego (EOG).
  2. Procesor nie przekazuje Danych Osobowych do państw trzecich (poza EOG) ani do organizacji międzynarodowych, chyba że jest to wymagane na podstawie przepisów prawa Unii Europejskiego lub prawa polskiego. W takim przypadku Procesor informuje o tym Administratora przed rozpoczęciem przekazywania, o ile przepisy prawa nie zabraniają udzielenia takiej informacji.
  3. W przypadku gdy realizacja Usługi będzie wymagała przekazania Danych Osobowych poza EOG, Procesor zobowiązuje się do:
    • uprzedniego poinformowania Administratora o planowanym przekazaniu,
    • zapewnienia odpowiedniego poziomu ochrony Danych Osobowych zgodnie z rozdziałem V RODO, w szczególności poprzez zastosowanie standardowych klauzul umownych przyjętych przez Komisję Europejską lub oparcie się na decyzji stwierdzającej odpowiedni stopień ochrony,
    • uzyskania uprzedniej zgody Administratora na takie przekazanie.

§ 8. Bezpieczeństwo przetwarzania

  1. Procesor wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku przetwarzania, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, zgodnie z art. 32 RODO.
  2. Procesor stosuje w szczególności następujące środki bezpieczeństwa:
    • szyfrowanie danych w transmisji z wykorzystaniem protokołu TLS/SSL,
    • szyfrowanie danych przechowywanych na nośnikach (encryption at rest),
    • uwierzytelnianie dostępu do panelu Aplikacji z wykorzystaniem systemu autentykacji opartego na tokenach (JWT),
    • kontrola dostępu oparta na rolach (RBAC) zapewniająca rozdzielenie uprawnień między Administratora a Procesora,
    • uwierzytelnianie żądań Chatbota z wykorzystaniem mechanizmu podpisów kryptograficznych (HMAC),
    • izolacja danych poszczególnych Administratorów w architekturze wielodostępnej (multi-tenant) na poziomie bazy danych,
    • regularne tworzenie kopii zapasowych bazy danych,
    • monitorowanie i rejestrowanie zdarzeń w systemie informatycznym Aplikacji,
    • ochrona infrastruktury sieciowej z wykorzystaniem zapory sieciowej i systemu CDN.
  3. Procesor regularnie ocenia i w razie potrzeby aktualizuje stosowane środki bezpieczeństwa, uwzględniając zmiany w stanie wiedzy technicznej, zidentyfikowane zagrożenia oraz wyniki przeprowadzonych ocen.
  4. Procesor zobowiązuje się, że dostęp do Danych Osobowych mają wyłącznie osoby, którym dostęp ten jest niezbędny do realizacji Usługi, i które zostały zobowiązane do zachowania tajemnicy zgodnie z § 4 ust. 2 DPA.

§ 9. Zgłaszanie naruszeń ochrony danych osobowych

  1. Procesor zgłasza Administratorowi każde Naruszenie bez zbędnej zwłoki, nie później niż w terminie 48 (czterdziestu ośmiu) godzin od momentu stwierdzenia Naruszenia.
  2. Zgłoszenie Naruszenia zawiera co najmniej:
    • opis charakteru Naruszenia, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których Dane Osobowe dotyczą, oraz kategorii i przybliżonej liczby wpisów Danych Osobowych, których dotyczy Naruszenie,
    • imię i nazwisko oraz dane kontaktowe osoby, od której można uzyskać więcej informacji o Naruszeniu,
    • opis możliwych konsekwencji Naruszenia,
    • opis środków zastosowanych lub proponowanych przez Procesora w celu zaradzenia Naruszeniu, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
  3. Jeżeli Procesor nie jest w stanie podać wszystkich informacji, o których mowa w ust. 2, jednocześnie, przekazuje je sukcesywnie, bez zbędnej zwłoki, w miarę ich uzyskiwania.
  4. Procesor dokumentuje wszelkie Naruszenia, w tym okoliczności ich wystąpienia, ich skutki oraz podjęte działania naprawcze. Dokumentacja ta jest udostępniana Administratorowi na jego żądanie.
  5. Procesor współpracuje z Administratorem w zakresie niezbędnym do zgłoszenia Naruszenia organowi nadzorczemu oraz do zawiadomienia osób, których dane dotyczą, zgodnie z art. 33 i 34 RODO.
  6. Procesor nie informuje osób, których Dane Osobowe dotyczą, o Naruszeniu bez uprzedniej konsultacji z Administratorem, chyba że obowiązek taki wynika bezpośrednio z przepisów prawa.

§ 10. Pomoc w realizacji praw osób, których dane dotyczą

  1. Procesor, biorąc pod uwagę charakter przetwarzania, pomaga Administratorowi w realizacji żądań Klientów Końcowych dotyczących wykonywania ich praw wynikających z rozdziału III RODO, w szczególności prawa dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz sprzeciwu.
  2. W przypadku gdy Klient Końcowy zwróci się bezpośrednio do Procesora z żądaniem dotyczącym swoich Danych Osobowych, Procesor niezwłocznie przekazuje to żądanie Administratorowi i nie podejmuje samodzielnych działań w tym zakresie bez instrukcji Administratora.
  3. Procesor udziela Administratorowi wsparcia w realizacji żądań, o których mowa w ust. 1, w terminie 10 (dziesięciu) dni roboczych od dnia otrzymania instrukcji Administratora, w szczególności poprzez:
    • udostępnienie Administratorowi informacji o zakresie Danych Osobowych przetwarzanych w Aplikacji dotyczących danego Klienta Końcowego,
    • usunięcie lub ograniczenie przetwarzania Danych Osobowych wskazanych przez Administratora,
    • udostępnienie Danych Osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON).
  4. Koszty realizacji żądań, o których mowa w niniejszym paragrafie, ponosi Procesor, chyba że żądanie jest nadmiernie skomplikowane lub powtarzalne, w którym to przypadku strony uzgodnią zasady pokrycia kosztów.

§ 11. Prawo audytu

  1. Procesor umożliwia Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów zgodności przetwarzania Danych Osobowych z postanowieniami DPA oraz wymogami RODO.
  2. Audyt może być przeprowadzony nie częściej niż raz w roku kalendarzowym, z zastrzeżeniem ust. 5 poniżej.
  3. Administrator informuje Procesora o zamiarze przeprowadzenia audytu z co najmniej 30-dniowym wyprzedzeniem, wskazując zakres i planowany termin audytu. Strony uzgadniają szczegółowy harmonogram audytu w sposób minimalizujący zakłócenia w bieżącej działalności Procesora.
  4. Audyt przeprowadzany jest w godzinach roboczych Procesora. Koszty przeprowadzenia audytu, w tym koszty zaangażowania audytora, ponosi Administrator.
  5. W przypadku stwierdzenia Naruszenia lub uzasadnionego podejrzenia naruszenia postanowień DPA, Administrator ma prawo przeprowadzić audyt dodatkowy, niezależnie od ograniczenia, o którym mowa w ust. 2, po uprzednim powiadomieniu Procesora z co najmniej 7-dniowym wyprzedzeniem.
  6. Audytor wyznaczony przez Administratora nie może być bezpośrednim konkurentem Procesora. Audytor jest zobowiązany do podpisania umowy o zachowaniu poufności (NDA) przed przystąpieniem do audytu, obejmującej w szczególności informacje techniczne, organizacyjne i handlowe Procesora.
  7. Procesor może zaproponować Administratorowi, jako alternatywę dla audytu, udostępnienie aktualnego raportu z audytu przeprowadzonego przez niezależnego audytora lub certyfikatu potwierdzającego zgodność z odpowiednimi normami bezpieczeństwa (np. ISO 27001, SOC 2). Decyzja o przyjęciu takiej alternatywy należy do Administratora.

§ 12. Usunięcie i zwrot danych po zakończeniu Umowy

  1. Po rozwiązaniu Umowy, niezależnie od przyczyny, Procesor zaprzestaje przetwarzania Danych Osobowych, z wyjątkiem czynności niezbędnych do ich zwrotu lub usunięcia.
  2. Procesor przechowuje Dane Osobowe przez okres 90 (dziewięćdziesięciu) dni od dnia rozwiązania Umowy, zgodnie z § 4 ust. 13 Regulaminu. W tym okresie Administrator może zażądać:
    • zwrotu Danych Osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON),
    • niezwłocznego usunięcia Danych Osobowych przed upływem okresu retencji.
  3. Po upływie okresu, o którym mowa w ust. 2, lub po dokonaniu zwrotu danych na żądanie Administratora, Procesor trwale usuwa wszystkie Dane Osobowe ze swoich systemów, w tym z kopii zapasowych, w terminie 30 (trzydziestu) dni.
  4. Procesor potwierdza Administratorowi dokonanie trwałego usunięcia Danych Osobowych za pomocą poczty elektronicznej, na żądanie Administratora.
  5. Obowiązek usunięcia nie dotyczy Danych Osobowych, których dalsze przechowywanie jest wymagane na podstawie przepisów prawa Unii Europejskiego lub prawa polskiego. W takim przypadku Procesor informuje Administratora o zakresie i podstawie prawnej dalszego przechowywania.

§ 13. Postanowienia końcowe

  1. DPA zostaje zawarta w formie elektronicznej z chwilą zawarcia Umowy, zgodnie z § 2 ust. 2 DPA, i obowiązuje przez cały okres trwania Umowy oraz przez okres retencji danych po jej rozwiązaniu.
  2. Zmiany DPA wymagają formy pisemnej lub elektronicznej pod rygorem nieważności.
  3. W zakresie nieuregulowanym w DPA zastosowanie mają przepisy RODO oraz powszechnie obowiązującego prawa polskiego.
  4. Całkowita odpowiedzialność Procesora z tytułu niewykonania lub nienależytego wykonania DPA jest ograniczona do kwot określonych w § 10 ust. 5 Regulaminu, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa, w tym art. 82 RODO.
  5. W przypadku sprzeczności między postanowieniami DPA a postanowieniami Regulaminu w zakresie dotyczącym przetwarzania Danych Osobowych, pierwszeństwo mają postanowienia DPA.
  6. Wszelka korespondencja związana z wykonywaniem DPA kierowana jest na adresy poczty elektronicznej wskazane w § 1 ust. 5 Regulaminu (dla Procesora) oraz na adres poczty elektronicznej przypisany do Konta Administratora w Aplikacji.