Deccore

DPA Deccore

Umowa powierzenia przetwarzania danych osobowych (DPA)

między Pracownią (Administrator) a Deccore Sp. z o.o. (Procesor)

Data: 22.05.2026 r.
Deccore Sp. z o.o., ul. Grzybowska 4/96, 00-131 Warszawa
KRS: 0001083010 | NIP: 5252989674

Preambuła

Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: „DPA”) zawierana jest między Pracownią zarejestrowaną w Serwisie Deccore (dalej: „Administrator”) a Deccore Sp. z o.o., ul. Grzybowska 4/96, 00-131 Warszawa, KRS: 0001083010, NIP: 5252989674 (dalej: „Procesor”).

Strony zawierają DPA w wykonaniu art. 28 RODO, w związku z korzystaniem przez Administratora z Serwisu Deccore.

§ 1. Definicje

RODO
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
Dane Powierzone
dane osobowe Klientów Administratora, jego pracowników oraz współpracowników oraz innych osób trzecich, które Administrator wprowadza do Serwisu Deccore w ramach prowadzonych Projektów (dane kontaktowe, treści wiadomości, dane z plików projektowych, dane nieruchomości, dane z listy zakupowej i inne).
Naruszenie
naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO.
Podprocesor
inny podmiot przetwarzający, któremu Procesor powierza przetwarzanie Danych Powierzonych w ramach świadczenia usług Serwisu.

Pozostałe pojęcia mają znaczenie nadane im w Regulaminie Serwisu Deccore.

§ 2. Przedmiot powierzenia

Administrator powierza Procesorowi przetwarzanie Danych Powierzonych wyłącznie w celu i w zakresie niezbędnym do świadczenia usług w ramach Serwisu Deccore — w szczególności udostępnienia funkcjonalności Serwisu, przechowywania Danych Powierzonych, umożliwienia ich edycji i zarządzania oraz zapewnienia bezpieczeństwa technicznego.

Procesor przetwarza Dane Powierzone wyłącznie na udokumentowane polecenie Administratora. Udokumentowanymi poleceniami są: DPA, ustawienia Administratora w Serwisie oraz korzystanie z funkcji Serwisu zgodnie z Regulaminem.

Procesor nie wykorzystuje Danych Powierzonych do własnych celów ani do profilowania Klientów Administratora.

Procesor zobowiązuje się niezwłocznie poinformować Administratora drogą elektroniczną, jeżeli w jego ocenie polecenie, instrukcja lub działanie podjęte przez Administratora w ramach korzystania z Serwisu stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

W przypadku przekazania informacji, o której mowa w ust. 4, Procesor jest uprawniony do wstrzymania wykonywania danego polecenia lub instrukcji (w tym do czasowego zablokowania określonych funkcjonalności Serwisu lub zawieszenia przetwarzania określonych Danych Powierzonych) do czasu potwierdzenia, modyfikacji lub wycofania polecenia przez Administratora w formie pisemnej lub za pośrednictwem poczty elektronicznej. Wstrzymanie to nie stanowi niewykonania lub nienależytego wykonania umowy głównej (Regulaminu Serwisu) ani DPA i nie może być podstawą jakichkolwiek roszczeń odszkodowawczych lub kar umownych wobec Procesora.

Jeżeli Administrator, pomimo powiadomienia o naruszeniu przepisów, podtrzyma swoje polecenie lub instrukcję w formie pisemnej lub elektronicznej, wszelką odpowiedzialność cywilną i administracyjną za skutki realizacji tego polecenia ponosi wyłącznie Administrator. Procesor jest w takim przypadku uprawniony do rozwiązania umowy o świadczenie usług ze skutkiem natychmiastowym z winy Administratora.

§ 3. Czas trwania, kategorie danych i osób

DPA zostaje zawarta na czas obowiązywania umowy o świadczenie usług drogą elektroniczną między Stronami.

Kategorie osób, których dane dotyczą: Klienci Administratora, pracownicy i współpracownicy Administratora upoważnieni do korzystania z Serwisu oraz inne osoby trzecie, których dane Administrator wprowadza do Serwisu.

Kategorie Danych Powierzonych: dane identyfikacyjne i kontaktowe (e-mail), dane projektowe, treści wiadomości, dane z plików projektowych, dane nieruchomości, dane finansowe Projektu (kosztorys, listy zakupowe) oraz inne dane wprowadzane przez Administratora.

Charakter i cel przetwarzania: hostowanie, przechowywanie, udostępnianie i umożliwianie edycji Danych Powierzonych w ramach Serwisu Deccore.

§ 4. Obowiązki Procesora

Procesor zobowiązuje się:

  • przetwarzać Dane Powierzone wyłącznie na udokumentowane polecenie Administratora,
  • zapewnić, że osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy,
  • wdrożyć odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 RODO (§ 7),
  • pomagać Administratorowi w wykonywaniu obowiązków z art. 32–36 RODO oraz w realizacji żądań osób z art. 12–22 RODO — w zakresie funkcjonalności Serwisu,
  • po zakończeniu świadczenia usług usunąć lub zwrócić Dane Powierzone zgodnie z § 9,
  • udostępnić Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO,
  • przestrzegać warunków powierzania danych podprocesorom (§ 5),
  • niezwłocznie informować Administratora, jeżeli polecenie Administratora narusza RODO lub inne przepisy o ochronie danych.

§ 5. Podprocesorzy

Administrator udziela Procesorowi ogólnej zgody na korzystanie z podprocesorów w celu świadczenia usług Serwisu — w szczególności dostawców infrastruktury chmurowej, hostingu, poczty transakcyjnej oraz innych narzędzi niezbędnych do świadczenia Serwisu.

Procesor zawiera z podprocesorami umowy nakładające obowiązki ochrony danych nie mniej rygorystyczne niż niniejsza DPA, i odpowiada wobec Administratora za działania podprocesorów jak za własne.

Aktualna lista podprocesorów udostępniana jest na pisemne żądanie Administratora skierowane na adres kontakt@deccore.pl.

Procesor informuje Administratora o zamiarze dodania lub zmiany podprocesora z co najmniej 14-dniowym wyprzedzeniem poprzez opublikowanie informacji w panelu Serwisu lub przesłanie jej drogą elektroniczną.

Administrator ma prawo wnieść uzasadniony sprzeciw wobec zaangażowania nowego podprocesora w terminie 7 dni od powiadomienia. Sprzeciw uznaje się za uzasadniony wyłącznie w sytuacji, gdy Administrator udowodni, że proponowany podprocesor nie zapewnia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych w celu spełnienia wymogów RODO. Prawo wniesienia sprzeciwu nie przysługuje, jeżeli zmiana podprocesora jest podyktowana koniecznością nagłego usunięcia awarii technicznej, zapewnienia ciągłości działania platformy lub zapobieżenia bezpośredniemu incydentowi bezpieczeństwa.

W przypadku braku porozumienia stron po wniesieniu uzasadnionego sprzeciwu, każda ze Stron może rozwiązać umowę o świadczenie usług ze skutkiem na dzień wprowadzenia planowanej zmiany podprocesora (skrócony okres wypowiedzenia), przy czym Administratorowi nie przysługują z tego tytułu żadne roszczenia odszkodowawcze ani prawo do zwrotu uiszczonych opłat abonamentowych.

§ 6. Naruszenia ochrony danych

Procesor niezwłocznie, nie później niż w ciągu 72 godzin od stwierdzenia Naruszenia dotyczącego Danych Powierzonych, zawiadamia Administratora drogą elektroniczną.

Zawiadomienie zawiera: opis Naruszenia, kategorie i przybliżoną liczbę osób oraz wpisów dotkniętych, prawdopodobne konsekwencje, środki zaradcze, dane kontaktowe osoby odpowiedzialnej.

Procesor współpracuje z Administratorem przy obsłudze Naruszenia — w tym przy zgłoszeniu do UODO i zawiadomieniu osób, jeżeli takie obowiązki wynikają z art. 33–34 RODO.

§ 7. Środki techniczne i organizacyjne (TOM)

Procesor wdraża środki techniczne i organizacyjne adekwatne do ryzyka, zgodnie z art. 32 RODO. Do podstawowych środków należą:

  • szyfrowanie transmisji danych protokołem TLS (HTTPS),
  • kontrola dostępu na zasadzie minimalnych uprawnień; uwierzytelnianie indywidualnymi loginami i hasłami; hasła w postaci zaszyfrowanej,
  • regularne kopie zapasowe Danych Powierzonych,
  • monitorowanie zdarzeń bezpieczeństwa i procedura reagowania na incydenty,
  • zobowiązanie pracowników i współpracowników do zachowania tajemnicy; aktualizacje oprogramowania Serwisu.

Procesor weryfikuje i aktualizuje środki TOM. Szczegółowy opis dostępny jest na pisemne żądanie Administratora.

§ 8. Pomoc w realizacji praw osób

Jeżeli osoba, której dane dotyczą, skieruje żądanie realizacji praw RODO bezpośrednio do Procesora — Procesor przekazuje żądanie Administratorowi niezwłocznie, nie później niż w ciągu 7 dni roboczych.

Procesor pomaga Administratorowi w realizacji żądań osób w zakresie technicznych możliwości Serwisu (eksport danych, usuwanie Konta, edycja danych).

§ 9. Po zakończeniu świadczenia usług

Po zakończeniu świadczenia usług Procesor — zgodnie z wyborem Administratora wyrażonym w terminie 30 dni od zakończenia — usuwa Dane Powierzone lub zwraca je Administratorowi w ustrukturyzowanym, powszechnie używanym formacie. W braku wyboru — Procesor usuwa Dane Powierzone.

Procesor może zachować Dane Powierzone wyłącznie w zakresie i przez okres, w jakim wymaga tego prawo Unii lub państwa członkowskiego — z obowiązkiem ich ochrony do końca okresu przechowywania.

§ 10. Audyt i inspekcje

Procesor umożliwia Administratorowi audyty (w tym inspekcje) potwierdzające spełnienie obowiązków z art. 28 RODO — na pisemne żądanie z 30-dniowym wyprzedzeniem, raz na 12 miesięcy (chyba że wystąpiły uzasadnione podejrzenia Naruszenia).

Audyt odbywa się w formie zdalnej weryfikacji dokumentacji (kwestionariusz audytowy, certyfikaty, polityki). Przeprowadzenie fizycznej inspekcji w siedzibie lub w obiektach podlegających Procesorowi dopuszczalne jest wyłącznie jako środek ostateczny, w przypadku gdy:

  • uprzednia zdalna weryfikacja dokumentacji nie pozwoliła na obiektywne potwierdzenie spełnienia przez Procesora obowiązków wynikających z art. 28 RODO, lub
  • u Procesora wystąpiło udokumentowane naruszenie ochrony Danych Powierzonych.

Fizyczna inspekcja, o której mowa powyżej, wymaga uprzedniego, pisemnego uzgodnienia przez Strony szczegółowych warunków oraz harmonogramu jej przebiegu z co najmniej 30-dniowym wyprzedzeniem. Warunkiem koniecznym do przystąpienia do fizycznej inspekcji jest uprzednie pokrycie lub zabezpieczenie przez Administratora wszelkich udokumentowanych, uzasadnionych kosztów operacyjnych Procesora, w tym kosztów zaangażowania personelu Procesora dedykowanego do obsługi tej inspekcji.

Koszty audytu ponosi Administrator. W przypadku stwierdzenia rzeczywistych naruszeń DPA — koszty pokrywa Procesor.

Administrator zobowiązuje się zapewnić, że przed przystąpieniem do audytu lub inspekcji, audytorzy (zarówno wewnętrzni, jak i zewnętrzni) podpiszą z Procesorem umowę o zachowaniu poufności (NDA) w odniesieniu do wszelkich informacji uzyskanych w toku kontroli, pod rygorem odmowy dopuszczenia do audytu.

§ 11. Postanowienia końcowe

Całkowita łączna odpowiedzialność odszkodowawcza Procesora z tytułu niewykonania lub nienależytego wykonania DPA, w tym z tytułu naruszenia przepisów o ochronie danych osobowych, a także z tytułu odpowiedzialności regresowej na podstawie art. 82 RODO, podlega ograniczeniom, wyłączeniom oraz limitom kwotowym określonym w § 17 ust. 3.2 Regulaminu Serwisu. Wszelkie roszczenia cywilnoprawne wynikające z niniejszej DPA są traktowane jako roszczenia kontraktowe podlegające tym ograniczeniom.

Odpowiedzialność regresowa Procesora wobec Administratora z tytułu wypłaconych przez Administratora odszkodowań na rzecz osób, których dane dotyczą, zostaje wyłączona w zakresie szkód pośrednich, następczych, utraconych korzyści oraz szkód wizerunkowych, a w pozostałym zakresie (szkoda rzeczywista) zostaje ograniczona do łącznej kwoty ryczałtowej określonej w § 17 ust. 3.2 Regulaminu Serwisu Deccore.

Administrator zobowiązuje się zwolnić Procesora z wszelkiej odpowiedzialności odszkodowawczej wobec osób trzecich (w tym Klientów Administratora, jego pracowników i współpracowników) oraz pokryć wszelkie koszty obrony prawnej Procesora, w przypadku gdy roszczenia tych osób wynikają z faktu wprowadzenia przez Administratora do Serwisu Danych Powierzonych bez wymaganej podstawy prawnej lub z naruszeniem obowiązków informacyjnych określonych w art. 13 i 14 RODO.

Procesor nie ponosi odpowiedzialności za niewykonanie lub nienależyte wykonanie obowiązków wynikających z DPA, jeżeli było ono bezpośrednim następstwem działania Siły Wyższej, rozumianej zgodnie z § 17 ust. 5 Regulaminu Serwisu Deccore.

Odpowiedzialność Stron z tytułu DPA regulują postanowienia Regulaminu Serwisu Deccore.

W sprawach nieuregulowanych DPA stosuje się przepisy RODO oraz prawa polskiego. Spory rozstrzygane są przez sąd właściwy zgodnie z Regulaminem Serwisu Deccore.

DPA wchodzi w życie z chwilą jej zaakceptowania przez Administratora w panelu Serwisu. Zmiany DPA wymagają poinformowania Administratora z co najmniej 14-dniowym wyprzedzeniem.