Przejdź do treści
SEOmmerce
SEOmmerce DPA PlugInvVest

DPA — PlugInvVest

Obowiązuje od: 20 kwietnia 2026 r. (wersja wzorcowa v1.0)

Status dokumentu: wzór gotowy do podpisu. Wersja obowiązująca dla nowych umów po wejściu w życie 2026-05-01. Klienci istniejący otrzymują aneks do Umowy Głównej.

Jak podpisać: wersję podpisaną elektronicznie (kwalifikowany podpis lub e-mail od osoby upoważnionej) prześlij na biuro@cybersolus.com. Podpis Cybersolus otrzymasz zwrotnie w ciągu 3 dni roboczych.

Umowa powierzenia przetwarzania danych osobowych (DPA) — PlugInvVest

Strony umowy

Administrator (dalej „Klient" lub „ADO"):

  • [nazwa firmy Klienta]
  • [adres siedziby, NIP, KRS/REGON]
  • reprezentowany przez: [imię, nazwisko, stanowisko]

Podmiot przetwarzający (dalej „Cybersolus" lub „Procesor"):

  • Cybersolus sp. z o.o.
  • ul. Piotrkowska 257a/U2, 90-456 Łódź
  • KRS: 982598 (Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS)
  • NIP: 7252321463, REGON: 522591818
  • Kapitał zakładowy: 5 000 zł
  • Adres korespondencyjny: ul. Kasprowicza 1CB, Łódź
  • Adres e-mail ds. ochrony danych: biuro@cybersolus.com

Preambuła

Strony zawarły umowę, której przedmiotem jest świadczenie przez Cybersolus na rzecz Klienta usługi SaaS „PlugInvVest" obejmującej wtyczkę WordPress oraz backend licencyjny wspierający raportowanie cen mieszkań do portalu dane.gov.pl zgodnie z ustawą o jawności cen mieszkań z 2025 r. (dalej „Umowa Główna").

W związku z realizacją Umowy Głównej Cybersolus może przetwarzać w imieniu Klienta dane osobowe w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. („RODO"). Niniejsza Umowa powierzenia (dalej „DPA") określa warunki tego przetwarzania zgodnie z art. 28 RODO.

§ 1. Definicje

Pojęcia „dane osobowe", „przetwarzanie", „administrator", „podmiot przetwarzający", „podprocesor", „osoba, której dane dotyczą", „naruszenie ochrony danych osobowych", „organ nadzorczy" — mają znaczenie nadane im w RODO.

Pojęcia szczególne dla niniejszej DPA:

  • Usługa — usługa PlugInvVest świadczona przez Cybersolus na rzecz Klienta zgodnie z Umową Główną.
  • Subprocesor — dalszy podmiot przetwarzający, któremu Cybersolus powierza przetwarzanie w zakresie realizacji Usługi.
  • Dane Klienta — dane osobowe pracowników, współpracowników i osób kontaktowych Klienta przekazane Cybersolus w związku z realizacją Umowy Głównej.
  • Dane Nabywców — minimalne dane techniczne (identyfikator lokalu, metraż, cena, data) publikowane na mocy ustawy o jawności cen; zgodnie z §4 co do zasady nie stanowią danych osobowych.

§ 2. Przedmiot, czas, charakter i cel przetwarzania

  1. Przedmiot przetwarzania: dane osobowe przetwarzane przez Cybersolus w imieniu Klienta w związku ze świadczeniem Usługi.
  2. Czas przetwarzania: od dnia zawarcia Umowy Głównej do dnia jej zakończenia, powiększony o okres do 30 dni na eksport lub trwałe usunięcie danych zgodnie z §10.
  3. Charakter przetwarzania: zautomatyzowane oraz, wyjątkowo, ręczne (w ramach procedur wsparcia technicznego i reagowania na incydenty).
  4. Cel przetwarzania:
    • utrzymanie i aktualizacja licencji SaaS PlugInvVest,
    • wsparcie techniczne (helpdesk),
    • realizacja raportowania cen mieszkań do dane.gov.pl,
    • eksport danych w formatach XML/CSV wymaganych przepisami,
    • fakturowanie i obsługa płatności (za pośrednictwem subprocesora Stripe),
    • logowanie i monitoring bezpieczeństwa systemu.

§ 3. Rodzaj danych osobowych i kategorie osób, których dane dotyczą

Kategorie danych — dane Klienta:

  • imię, nazwisko,
  • adres e-mail służbowy,
  • numer telefonu,
  • dane firmowe (nazwa, NIP, adres),
  • nazwa użytkownika w panelu administracyjnym,
  • zaszyfrowane hasło,
  • logi dostępu (data, godzina, adres IP, typ operacji),
  • dane płatnicze obsługiwane przez subprocesora Stripe — Cybersolus nie otrzymuje pełnych numerów kart; dostęp posiada wyłącznie do identyfikatorów Stripe (customer_id, subscription_id, checkout_session_id).

Kategorie osób, których dane dotyczą:

  • pracownicy i współpracownicy Klienta,
  • osoby kontaktowe po stronie Klienta wyznaczone do obsługi Usługi,
  • osoby fizyczne prowadzące jednoosobową działalność gospodarczą.

Dane szczególnych kategorii (art. 9 RODO): nie są objęte powierzeniem; Strony wykluczają przekazywanie takich danych do Usługi.

§ 4. Uwaga dotycząca danych Nabywców lokali

Raportowanie cen mieszkań zgodnie z ustawą z 11 maja 2025 r. obejmuje wyłącznie dane przedmiotu transakcji (identyfikator lokalu, parametry techniczne, cenę, datę) — bez danych osoby nabywcy. Zgodnie ze stanowiskiem UODO dane publikowane w ramach tego obowiązku co do zasady nie stanowią danych osobowych. Gdyby jednak w indywidualnej konfiguracji Klienta mogły umożliwiać identyfikację osoby fizycznej, postanowienia DPA stosuje się odpowiednio; Cybersolus nie jest w tej roli administratorem i nie udostępnia tych danych poza dane.gov.pl.

§ 5. Obowiązki i prawa Cybersolus jako Procesora

Cybersolus zobowiązuje się do:

  1. Przetwarzania wyłącznie na udokumentowane polecenie Klienta, chyba że obowiązek taki nakłada prawo Unii lub prawo państwa członkowskiego — w takim wypadku Cybersolus poinformuje Klienta, chyba że prawo tego zabrania.
  2. Zapewnienia, by osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  3. Wdrożenia środków technicznych i organizacyjnych (art. 32 RODO) — szczegóły w Załączniku B.
  4. Wspierania Klienta w realizacji obowiązków wynikających z art. 32–36 RODO (prawa osób, zgłaszanie naruszeń, DPIA, konsultacje z organem).
  5. Zgłaszania Klientowi naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od jego stwierdzenia.
  6. Po zakończeniu świadczenia Usługi — na udokumentowane żądanie Klienta — zwrócenia wszelkich danych osobowych lub ich trwałego usunięcia (§10).
  7. Udostępnienia Klientowi informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwienia audytów zgodnie z §11.
  8. Niezwłocznego informowania Klienta, jeżeli w opinii Cybersolus wydane polecenie stanowi naruszenie RODO lub innych przepisów.

§ 6. Obowiązki Klienta jako Administratora

  1. Ustalanie podstaw prawnych przetwarzania oraz samodzielne wypełnianie obowiązków informacyjnych (art. 13 i 14 RODO).
  2. Przetwarzanie danych zgodnie z prawem i w zakresie niezbędnym do realizacji celów Usługi.
  3. Nieprzekazywanie Cybersolus danych szczególnych kategorii (art. 9 RODO) bez uprzedniego pisemnego aneksu.
  4. Kontrola i utrzymywanie aktualności listy osób upoważnionych do obsługi wtyczki.
  5. Reagowanie na żądania osób, których dane dotyczą, w pierwszej kolejności samodzielnie; w razie konieczności wsparcia — zgłoszenie zgodnie z §9.

§ 7. Podpowierzenie (subprocessing)

  1. Klient udziela Cybersolus ogólnej zgody na korzystanie z subprocesorów w celu realizacji Usługi.
  2. Aktualna lista subprocesorów znajduje się w Załączniku A.
  3. O planowanych zmianach Cybersolus powiadamia Klienta e-mailem lub w panelu klienta z wyprzedzeniem co najmniej 30 dni.
  4. Klient ma prawo sprzeciwić się z uzasadnionych powodów w terminie 14 dni. W razie braku rozwiązania każda ze Stron może rozwiązać Umowę Główną ze skutkiem natychmiastowym.
  5. Za działania subprocesora Cybersolus odpowiada wobec Klienta jak za własne działania i zaniechania.

§ 8. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

  1. Cybersolus co do zasady przetwarza dane wyłącznie na obszarze EOG.
  2. Wyjątkiem są dane płatnicze obsługiwane przez Stripe Inc. (USA). Podstawą przekazu są łącznie:
    • EU–US Data Privacy Framework (decyzja wykonawcza Komisji z 10 lipca 2023 r.),
    • Standardowe klauzule umowne (SCC) — decyzja wykonawcza Komisji (UE) 2021/914.
  3. W razie nieadekwatności ww. podstaw Cybersolus poinformuje Klienta i przeprowadzi ocenę (TIA) oraz wdroży dodatkowe środki.
  4. Żadne dane nie są przekazywane do innych państw trzecich bez pisemnej zgody Klienta.

§ 9. Obsługa praw osób, których dane dotyczą

  1. Cybersolus wspiera Klienta w realizacji praw osób (rozdział III RODO).
  2. Żądania skierowane bezpośrednio do Cybersolus przekazujemy Klientowi w 5 dniach roboczych.
  3. Termin udzielenia wsparcia: do 10 dni roboczych od udokumentowanego żądania.
  4. Wsparcie obejmuje: eksport, sprostowanie, ograniczenie, usunięcie, przenoszenie danych (art. 20 RODO).

§ 10. Zwrot i usunięcie danych po zakończeniu przetwarzania

  1. Po zakończeniu Usługi Klient w ciągu 30 dni wybiera:
    • (a) eksport (domyślnie JSON/CSV) + trwałe usunięcie,
    • (b) wyłącznie trwałe usunięcie.
  2. Brak wyboru oznacza wybór opcji (b).
  3. Cybersolus przeprowadza usunięcie w ciągu 30 dni i potwierdza pisemnie lub elektronicznie.
  4. Z usunięcia wyłączone są: dane wymagane prawem (np. księgowe — 5 lat), zanonimizowane statystyki, kopie zapasowe (nadpisywane w cyklu do 35 dni).
  5. W trakcie Usługi Cybersolus na żądanie Klienta usuwa wskazane dane w ciągu 30 dni.

§ 11. Audyt i inspekcja

  1. Klient ma prawo audytu nie częściej niż raz w roku kalendarzowym, na własny koszt, po powiadomieniu z wyprzedzeniem 30 dni.
  2. Audyt realizowany jest w godzinach pracy i w sposób nie zakłócający Usługi innych klientów.
  3. Audyt może obejmować: procedury bezpieczeństwa, listę subprocesorów, logi dostępów, dowody realizacji §5.
  4. Alternatywnie Cybersolus może przedstawić aktualny raport niezależnego audytora (SOC 2 Type II, ISO 27001) — zastępujący audyt bezpośredni.
  5. Wynik audytu jest poufny.

§ 12. Odpowiedzialność Stron

  1. Odpowiedzialność Stron kształtowana jest zgodnie z Umową Główną.
  2. Łączna odpowiedzialność Cybersolus w danym roku nie przekracza wynagrodzenia zapłaconego przez Klienta w tym roku.
  3. Ograniczenia nie mają zastosowania do: szkód wyrządzonych umyślnie; naruszeń art. 82 RODO w zakresie bezpośredniej odpowiedzialności wobec osób, których dane dotyczą.
  4. Cybersolus nie odpowiada za szkody wynikające z: naruszeń art. 13–14 RODO po stronie Klienta, dostarczenia danych niezgodnie z DPA, decyzji ignorujących ostrzeżenia Cybersolus.

§ 13. Postanowienia końcowe

  1. DPA stanowi załącznik do Umowy Głównej i ma pierwszeństwo w zakresie przetwarzania danych.
  2. Zmiana DPA wymaga formy pisemnej lub elektronicznej pod rygorem nieważności.
  3. DPA podlega prawu polskiemu. Spory rozstrzyga sąd właściwy dla siedziby Cybersolus (Łódź).
  4. W razie sprzeczności z Umową Główną pierwszeństwo ma DPA — w zakresie ochrony danych.
  5. DPA wchodzi w życie z dniem podpisania; przy DPA dołączonym do regulaminu — z dniem jego akceptacji.

Załącznik A — Lista subprocesorów

Stan na dzień 20 kwietnia 2026 r.

Subprocesor Rola Lokalizacja Podstawa transferu
Stripe Payments Europe Ltd. obsługa płatności — warstwa UE Dublin, Irlandia — (EOG)
Stripe, Inc. backend platformy płatniczej San Francisco, USA EU–US DPF + SCC moduł 3
Zammad GmbH helpdesk / system zgłoszeń Berlin, Niemcy — (EOG)
Cybersolus sp. z o.o. hosting backendu licencyjnego (własna infrastruktura) Łódź, Polska — (EOG)
home.pl SA / OVH SAS hosting domen i usług pomocniczych Szczecin, PL / Roubaix, FR — (EOG)

Załącznik B — Środki techniczne i organizacyjne (art. 32 RODO)

B.1. Środki organizacyjne

  • polityka bezpieczeństwa informacji podpisana przez pracowników i współpracowników,
  • zobowiązania do zachowania poufności w umowach,
  • rejestr czynności przetwarzania (art. 30 RODO),
  • procedura reakcji na incydenty (Załącznik C).

B.2. Kontrola dostępu

  • uwierzytelnianie panelu administracyjnego: hasło + JWT z TTL 8 h,
  • zalecane 2FA (TOTP) dla administratora,
  • segregacja ról; brak współdzielonych kont,
  • logowanie zdarzeń dostępu z retencją 90 dni.

B.3. Szyfrowanie

  • transport: TLS 1.2+ dla wszystkich połączeń,
  • dane płatnicze: szyfrowanie po stronie Stripe,
  • dane spoczynkowe: szyfrowanie dysków systemowych,
  • hasła w bazie: hashowane (bcrypt).

B.4. Integralność i dostępność

  • backup codzienny bazy licencyjnej na zewnętrzny storage,
  • retencja backupów: 30 dni (nadpisywanie rotacyjne),
  • testowe odtworzenie (recovery drill) co najmniej raz w roku,
  • monitoring uptime z alertem mailowym,
  • firewall UFW + Fail2Ban na SSH i panel admin.

B.5. Bezpieczeństwo aplikacji

  • weryfikacja podpisów webhooków Stripe (HMAC-SHA256),
  • CORS z jawną białą listą origin,
  • ochrona przed XSS/CSRF w panelu administracyjnym,
  • kwartalne aktualizacje zależności,
  • planowane: helmet, express-rate-limit.

B.6. Segregacja środowisk

  • osobne środowiska: produkcja, staging,
  • dane produkcyjne nie są kopiowane do staging bez anonimizacji.

B.7. Bezpieczeństwo fizyczne

  • serwer produkcyjny w monitorowanym pomieszczeniu Cybersolus,
  • kontrola dostępu kluczem + alarm,
  • UPS dla ciągłości zasilania,
  • łącze internetowe z redundancją (operator podstawowy + LTE jako failover — plan).

Załącznik C — Procedura reakcji na naruszenie ochrony danych

  1. Wykrycie i klasyfikacja (do 4 h): potwierdzenie naruszenia; klasyfikacja niski/średni/wysoki.
  2. Zabezpieczenie i ograniczenie skutków (do 12 h): izolacja, rotacja kluczy, zamknięcie wektora ataku.
  3. Powiadomienie Klienta (do 24 h): e-mail z opisem zakresu, konsekwencji, działań.
  4. Zgłoszenie do UODO (do 72 h — jeżeli wymagane): zgłasza ADO; Cybersolus dostarcza informacje techniczne.
  5. Informacja dla osób (art. 34 RODO — jeżeli wymagane): przekazuje ADO; Cybersolus wspiera narzędziowo.
  6. Post-mortem (do 30 dni): raport i plan zapobiegania nawrotom.

Kanał zgłoszeń naruszeń przez Klienta do Cybersolus: biuro@cybersolus.com

Pytania do DPA: biuro@cybersolus.com · Wsparcie PlugInvVest: support@invvest.pl

Silo

Spis treści

Kliknij „Silo” aby zamknąć

Pillars

Serwis