Kanbino logo Kanbino
Zaloguj się

Umowa o przetwarzaniu danych

Ostatnia aktualizacja: 4 marca 2026

1. Strony

Niniejsza umowa o przetwarzaniu danych ("Umowa") obowiązuje pomiędzy:

  • Podmiot przetwarzający: Waypointer Digital BV, z siedzibą w Holandii, numer KRS 99948710, działający pod nazwą Kanbino ("Podmiot przetwarzający")
  • Administrator: organizacja lub osoba fizyczna, która tworzy i zarządza przestrzenią roboczą Kanbino ("Administrator")

Ta umowa powierzenia przetwarzania danych jest częścią Regulaminu i Polityki Prywatności.

2. Definicje

Terminy w niniejszej umowie mają takie samo znaczenie jak w Ogólnym Rozporządzeniu o Ochronie Danych (RODO, Rozporządzenie (UE) 2016/679), chyba że poniżej zdefiniowano je inaczej:

  • Dane osobowe — wszelkie dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przetwarzane w kontekście korzystania z Kanbino
  • Processing — any operation or set of operations performed on personal data, including collection, przestrzeni, modification, consultation, disclosure and deletion
  • Podwykonawca przetwarzania — podmiot trzeci zaangażowany przez Podmiot przetwarzający do części przetwarzania
  • Naruszenie danych — naruszenie bezpieczeństwa prowadzące przypadkowo lub niezgodnie z prawem do zniszczenia, utraty, zmiany lub nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do nich

3. Przedmiot i okres obowiązywania

Podmiot przetwarzający przetwarza dane osobowe wyłącznie w celu świadczenia usługi Kanbino na rzecz Administratora. Niniejsza umowa obowiązuje tak długo, jak Administrator korzysta z Kanbino.

4. Kategorie osób, których dane dotyczą, i danych osobowych

Kategorie osób, których dane dotyczą:

  • Pracownicy i członkowie zespołu Administratora
  • External uzytkownikow (guests) invited by the Controller
  • Kontakty i klienci zarządzani w przestrzeni roboczej

Kategorie danych osobowych:

  • Imię i nazwisko, adres e-mail oraz informacje profilowe
  • Content data: tasks, comments, time registrations, files and other content entered by uzytkownikow
  • Dane techniczne: adres IP, informacje o przeglądarce i aktywność logowania

5. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się do:

  • Przetwarzania danych osobowych wyłącznie na podstawie pisemnych instrukcji Administratora, chyba że wymaga tego obowiązek prawny
  • Zapewnienia, że osoby mające dostęp do danych osobowych są zobowiązane do zachowania poufności
  • Wdrożenia odpowiednich technicznych i organizacyjnych środków bezpieczeństwa (patrz artykuł 8)
  • Wsparcia Administratora w wypełnianiu jego obowiązków wynikających z artykułów 32-36 RODO (bezpieczeństwo, naruszenia danych, DPIA)
  • After completion of processing services, at the Controller's choice, delete or return all personal data, unless przestrzeni is legally required
  • Udostępnienia wszystkich informacji niezbędnych do wykazania zgodności z niniejszą umową oraz umożliwienia audytów i inspekcji przeprowadzanych przez Administratora lub w jego imieniu

6. Podwykonawcy przetwarzania

Podmiot przetwarzający korzysta z następujących podwykonawców przetwarzania:

Podwykonawca przetwarzania Cel Lokalizacja
Hetzner Online GmbH Server hosting and data przestrzeni Falkenstein, Niemcy (UE)
Scaleway SAS File przestrzeni (S3 object przestrzeni) Amsterdam, Holandia (UE)
BunnyWay d.o.o. (Bunny.net) Sieć dostarczania treści (CDN) Lublana, Słowenia (UE)
Stripe Inc. Przetwarzanie płatności USA (standardowe klauzule umowne UE)

Administrator niniejszym udziela ogólnej pisemnej zgody na angażowanie podwykonawców przetwarzania. Podmiot przetwarzający poinformuje Administratora z wyprzedzeniem o zamierzonych zmianach dotyczących podwykonawców przetwarzania, umożliwiając Administratorowi wniesienie sprzeciwu. Ze wszystkimi podwykonawcami przetwarzania zawarto umowy o przetwarzaniu danych.

7. Transfery poza UE/EOG

Główne przetwarzanie odbywa się na terytorium Unii Europejskiej (Hetzner, Niemcy). Dla podwykonawców przetwarzania spoza UE/EOG wdrożono odpowiednie zabezpieczenia w postaci standardowych klauzul umownych UE (SCC) zgodnie z artykułem 46 ust. 2 lit. c) RODO.

8. Środki bezpieczeństwa

Podmiot przetwarzający wdraża między innymi następujące środki techniczne i organizacyjne:

  • Szyfrowanie — wszystkie połączenia przez TLS/HTTPS; hasła przechowywane w formie zaszyfrowanej (bcrypt)
  • Kontrola dostępu — kontrola dostępu oparta na rolach; pracownicy mają dostęp wyłącznie do danych niezbędnych do wykonywania ich funkcji
  • Kopie zapasowe — codzienne automatyczne kopie zapasowe, przechowywane na terytorium UE
  • Monitoring — ciągłe monitorowanie dostępności i incydentów bezpieczeństwa
  • Aktualizacje — regularne aktualizacje bezpieczeństwa systemu operacyjnego i aplikacji
  • Izolacja — ścisłe oddzielenie danych najemców na poziomie aplikacji

9. Naruszenia danych

W przypadku naruszenia danych Podmiot przetwarzający:

  • Poinformuje Administratora niezwłocznie i w ciągu 48 godzin od wykrycia
  • Opisze charakter naruszenia danych, w tym kategorie i szacowaną liczbę osób, których dane dotyczą
  • Opisze prawdopodobne konsekwencje
  • Przedstawi podjęte i proponowane środki w celu zaradzenia naruszeniu danych i złagodzenia jego negatywnych skutków
  • Zapewni wszelką współpracę, jakiej Administrator potrzebuje do wypełnienia swoich obowiązków powiadamiania (artykuły 33 i 34 RODO)

10. Pomoc dla Administratora

Podmiot przetwarzający wspiera Administratora w zakresie:

  • Odpowiadania na wnioski osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw)
  • Przeprowadzenia oceny skutków dla ochrony danych (DPIA), w stosownych przypadkach
  • Wypełnienia obowiązku zgłoszeniowego wobec organu ochrony danych

11. Audyt

Administrator ma prawo, na własny koszt i za stosownym wyprzedzeniem, przeprowadzić lub zlecić przeprowadzenie audytów w celu weryfikacji zgodności z niniejszą umową. Podmiot przetwarzający zapewnia wszelką uzasadnioną współpracę. Audyty odbywają się nie częściej niż raz w roku, chyba że istnieje powód do dodatkowego audytu (np. po naruszeniu danych).

12. Przechowywanie i usuwanie

Po zakończeniu umowy Podmiot przetwarzający usunie wszystkie dane osobowe w ciągu 30 dni, chyba że:

  • Administrator zażąda zwrotu danych (w powszechnym, nadającym się do odczytu maszynowego formacie)
  • Przechowywanie jest wymagane prawnie (np. obowiązek przechowywania do celów podatkowych)

Podmiot przetwarzający potwierdza usunięcie na piśmie na żądanie.

13. Odpowiedzialność

Regulamin ma zastosowanie do tej umowy. W przypadku sprzeczności, niniejsza umowa ma pierwszeństwo.

14. Prawo właściwe i spory

Niniejsza umowa podlega prawu holenderskiemu. Spory będą rozstrzygane przez właściwy sąd w Holandii.

15. Kontakt

W przypadku pytań dotyczących niniejszej umowy o przetwarzaniu danych:

Waypointer Digital BV
E-mail: privacy@kanbino.com