Umowa powierzenia przetwarzania danych
Ostatnia aktualizacja: 24 lutego 2026 r.
Zgodnie z Artykuł 28 Rozporządzenia (UE) 2016/679 (RODO).
Kto potrzebuje tej umowy DPA? Niniejsza Umowa powierzenia przetwarzania danych ma zastosowanie do klientów biznesowych („Administratorów”), którzy korzystają z Veluvanto do przetwarzania danych osobowych swoich klientów, pracowników lub innych osób w ramach prowadzonej działalności gospodarczej. Jeśli korzystasz z Veluvanto wyłącznie do celów osobistych, obowiązuje standardowa Polityka prywatności.
Korzystając z Veluvanto jako klient biznesowy, wyrażasz zgodę na warunki niniejszej umowy DPA. W celu uzyskania podpisanej umowy DPA lub niestandardowej umowy DPA dla przedsiębiorstw, skontaktuj się z legal@veluvanto.com.
1. Strony i definicje
Niniejsza Umowa powierzenia przetwarzania danych („DPA”) zostaje zawarta pomiędzy:
- Administrator: Klient biznesowy lub organizacja, która zaakceptowała Regulamin Veluvanto i korzysta z Veluvanto do przetwarzania danych osobowych w ramach swojej działalności („Ty”).
- Procesor: Veluvanto s.r.o., Korunní 2569/108, Vinohrady, 101 00 Praha 10, IČO: 249 15 122 („Veluvanto”, „my”, „nas”).
Terminy niezdefiniowane w niniejszym dokumencie mają znaczenie nadane im w RODO (Rozporządzenie (UE) 2016/679).
2. Przedmiot i charakter przetwarzania
Veluvanto przetwarza dane osobowe w imieniu Administratora w celu świadczenia usług zarządzania dokumentami, w tym:
- Przechowywanie i indeksowanie dokumentów przesłanych przez Administratora
- Analiza, kategoryzacja i ekstrakcja metadanych z dokumentów wspierana przez AI
- Wyszukiwanie pełnotekstowe i semantyczne w dokumentach
- Odpowiedzi asystenta AI oparte na treści dokumentów
- Tłumaczenie i podsumowywanie dokumentów
- Automatyczne przypomnienia generowane na podstawie treści dokumentów
- Wszelkie inne funkcje opisane w dokumentacji usługi Veluvanto
3. Kategorie przetwarzanych danych osobowych
legal.dpa.section3.prose
Szczególne kategorie danych:Administrator nie powinien przesyłać dokumentów zawierających szczególne kategorie danych osobowych (dane dotyczące zdrowia, pochodzenie rasowe/etniczne itp.) zgodnie z definicją w art. 9 RODO, chyba że uzyskał uprzednią pisemną zgodę Veluvanto i posiada odpowiednią podstawę prawną do takiego przetwarzania. Kontaktlegal@veluvanto.com w celu ustalenia szczegółów.
4. Kategorie osób, których dane dotyczą
Osoby, których dane osobowe mogą być przetwarzane, to: klienci Administratora, dostawcy, partnerzy biznesowi, pracownicy, kontrahenci lub inne osoby, których dane osobowe pojawiają się w dokumentach przesłanych do Veluvanto.
5. Czas trwania przetwarzania
Przetwarzanie trwa przez okres obowiązywania umowy o świadczenie usług Veluvanto. Po rozwiązaniu umowy z danymi postępuje się zgodnie z opisem w sekcji 12 (Zwrot i usuwanie danych).
6. Obowiązki Procesora (Veluvanto)
Veluvanto (jako Procesor) zobowiązuje się do:
- Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora (Regulamin oraz niniejsza umowa DPA stanowią takie polecenie)
- Zapewnienia, że osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania poufności
- Wdrożenie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa (art. 32 RODO)
- Niekontraktowania podprocesorów bez uprzedniej zgody Administratora (szczegółowej lub ogólnej; aktualna lista podprocesorów znajduje się w sekcji 9)
- Pomoc Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw (art. 15–22 RODO)
- Pomocy Administratorowi w wywiązywaniu się z obowiązków w zakresie bezpieczeństwa, zgłaszania naruszeń, DPIA oraz konsultacji z organami nadzorczymi
- Usunięcia lub zwrotu wszystkich danych osobowych po zakończeniu świadczenia usług (patrz sekcja 12)
- Udostępnienie Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO
- Powiadomienia Administratora o naruszeniu ochrony danych osobowych bez zbędnej zwłoki (w ciągu 72 godzin od powzięcia informacji)
7. Obowiązki Administratora
Administrator zobowiązuje się do:
- Zapewnienia ważnej podstawy prawnej do przetwarzania danych osobowych przesyłanych do Veluvanto
- Przekazania osobom, których dane dotyczą, niezbędnych informacji o przetwarzaniu (w tym o korzystaniu z Veluvanto jako procesora)
- Zapewnienia, że dane osobowe przekazywane do Veluvanto są dokładne i adekwatne
- Niewydawanie Veluvanto poleceń przetwarzania danych osobowych w sposób naruszający RODO lub obowiązujące prawo
- Wypełnianie własnych obowiązków jako Administratora wynikających z RODO
8. Techniczne i organizacyjne środki bezpieczeństwa
Veluvanto wdraża następujące środki bezpieczeństwa w celu ochrony danych osobowych:
8.1 Szyfrowanie
- Dane w transmisji: szyfrowanie TLS 1.2+ dla wszystkich transferów danych
- Dane w spoczynku: szyfrowanie AES-256 dla przechowywanych danych i dokumentów
8.2 Kontrola dostępu
- Kontrola dostępu oparta na rolach (RBAC) dla każdego dostępu do systemu
- Wymagane uwierzytelnianie wieloskładnikowe dla dostępu administracyjnego
- Zasada najmniejszych uprawnień stosowana wobec całego personelu
- Prowadzenie logów dostępu dla każdego przypadku uzyskania dostępu do danych
8.3 Bezpieczeństwo infrastruktury
- Dokumenty i dane przechowywane w pamięci obiektowej Backblaze B2 w centrach danych w UE (Amsterdam, Holandia); Backblaze posiada certyfikat SOC 2 Type II
- Serwery aplikacji hostowane w infrastrukturze Hetzner Online GmbH w centrach danych w UE (Niemcy/Finlandia); Hetzner posiada certyfikat ISO/IEC 27001:2022 (SOCOTEC, ważny 2025–2028)
- Regularne oceny bezpieczeństwa i testy penetracyjne
- Procedury zarządzania podatnościami i aktualizacjami (patch management)
- Ochrona przed atakami DDoS i monitorowanie bezpieczeństwa sieci
8.4 Środki organizacyjne
- Umowy o zachowaniu poufności z personelem oraz szkolenia z zakresu ochrony danych
- Procedury reagowania na incydenty i plan reagowania na naruszenia ochrony danych
- Zasady minimalizacji danych stosowane w całym serwisie
9. Podmioty przetwarzające (Podprocesorzy)
Akceptując niniejszą Umowę powierzenia przetwarzania danych (DPA), Administrator udziela ogólnego upoważnienia Veluvanto do korzystania z usług następujących kategorii podmiotów przetwarzających:
| Podmiot przetwarzający | Cel | Lokalizacja |
|---|---|---|
| Google LLC | Dostawca tożsamości (uwierzytelnianie OAuth) | USA (SCC) |
| Microsoft Corporation | Dostawca tożsamości (uwierzytelnianie OAuth) | UE/USA (obowiązuje Aneks o ochronie danych Microsoft) |
| Paddle.com Market Ltd. | Przetwarzanie płatności (sprzedawca odpowiedzialny - merchant of record) | Wielka Brytania (Decyzja o adekwatności dla Wielkiej Brytanii) |
| Google LLC (Vertex AI) | Wnioskowanie modeli AI (modele Gemini) na potrzeby przetwarzania dokumentów, wyszukiwania semantycznego i czatu AI | UE (region europe-west Google Cloud; brak transferu poza EOG; obowiązuje Aneks o przetwarzaniu danych Google Cloud; dane z API domyślnie nie są wykorzystywane do trenowania modeli) |
| Backblaze, Inc. | Główna pamięć obiektowa dla dokumentów i kopii zapasowych (B2 Cloud Storage) | UE (Amsterdam, Holandia; certyfikat SOC 2 Type II) |
| IDrive, Inc. | Pamięć obiektowa do odzyskiwania po awarii (disaster recovery) | UE (Frankfurt, Niemcy) |
| Hetzner Online GmbH | Infrastruktura chmurowa i serwery aplikacji | UE (Niemcy / Finlandia; certyfikat ISO/IEC 27001:2022) |
| Cloudflare, Inc. | Sieć dostarczania treści (CDN), ochrona przed atakami DDoS i bezpieczeństwo sieci (przetwarza metadane żądań HTTP: adresy IP, ciągi user-agent, znaczniki czasu żądań) | USA (SCC) |
Veluvanto powiadomi Administratora o wszelkich planowanych zmianach dotyczących podmiotów przetwarzających poprzez aktualizację niniejszej listy z co najmniej 14-dniowym wyprzedzeniem (za pośrednictwem poczty e-mail lub aktualizacji strony internetowej). Administrator może wnieść sprzeciw wobec nowych podmiotów przetwarzających w terminie 14 dni od powiadomienia. Jeśli Veluvanto nie będzie mogło uwzględnić sprzeciwu, Administrator może zakończyć korzystanie z usługi.
Wszystkie podmioty przetwarzające są związane umowami powierzenia przetwarzania danych zawierającymi zobowiązania w zakresie ochrony danych równoważne z niniejszą Umową (DPA).
10. Międzynarodowe transfery danych
W przypadku przekazywania danych osobowych podmiotom przetwarzającym spoza EOG, takie transfery są chronione Standardowymi Klauzulami Umownymi (SCC) zatwierdzonymi przez Komisję Europejską (Decyzja wykonawcza Komisji (UE) 2021/914) lub innymi odpowiednimi zabezpieczeniami zgodnie z art. 46 RODO. Administrator może poprosić o kopie tych zabezpieczeń pod adresem legal@veluvanto.com.
11. Pomoc w realizacji praw osób, których dane dotyczą
Veluvanto będzie pomagać Administratorowi w realizacji żądań dotyczących praw osób, których dane dotyczą, zgodnie z art. 15–22 RODO. Tam, gdzie jest to technicznie możliwe, Administrator może realizować wiele praw bezpośrednio za pośrednictwem aplikacji Veluvanto (np. eksport danych, usunięcie konta).
W przypadku żądań wymagających bezpośredniego zaangażowania Veluvanto, prosimy o kontakt pod adresem privacy@veluvanto.com. Veluvanto odpowie w ciągu 5 dni roboczych i udzieli pomocy w terminie umożliwiającym Administratorowi dotrzymanie terminów odpowiedzi wynikających z RODO.
12. Zwrot i usuwanie danych
Po zakończeniu świadczenia usługi lub na żądanie Administratora:
- Eksport danych: Administrator może wyeksportować wszystkie dokumenty i dane za pomocą funkcji eksportu w aplikacji w dowolnym momencie trwania usługi
- Usuwanie po zakończeniu: W ciągu 30 dni od usunięcia konta lub zakończenia świadczenia usługi Veluvanto trwale usunie wszystkie dane osobowe, w tym dokumenty, metadane i treści wygenerowane przez AI, chyba że ich przechowywanie jest wymagane przez obowiązujące przepisy prawa
- Potwierdzenie: Na żądanie Veluvanto dostarczy pisemne potwierdzenie usunięcia danych
Dokumentacja rozliczeniowa i wymagane prawem logi audytowe mogą być przechowywane zgodnie z czeskim prawem o rachunkowości (ustawa nr 563/1991 Dz.U.) przez okres do 10 lat.
13. Prawo do audytu
Veluvanto udostępni wszelkie informacje niezbędne do wykazania zgodności z niniejszą Umową (DPA). Administrator może zażądać audytu działań Veluvanto w zakresie przetwarzania danych poprzez:
- Żądanie dokumentacji dotyczącej środków bezpieczeństwa i raportów z przestrzegania przepisów
- Żądanie raportów z audytów zewnętrznych (certyfikat ISO 27001, SOC 2 itp.), jeśli są dostępne
- Przeprowadzanie audytów lub inspekcji po uprzednim umówieniu się (z co najmniej 30-dniowym wyprzedzeniem, na koszt Administratora i z zachowaniem uzasadnionych zobowiązań do zachowania poufności)
14. Powiadomienie o naruszeniu ochrony danych
W przypadku naruszenia ochrony danych osobowych dotyczącego danych Administratora, Veluvanto powiadomi Administratora bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od powzięcia wiadomości o naruszeniu. Powiadomienie będzie zawierać dostępne informacje o: charakterze naruszenia, kategoriach i przybliżonej liczbie osób, których dane dotyczą, prawdopodobnych konsekwencjach oraz podjętych lub proponowanych środkach. Dodatkowe informacje będą przekazywane w miarę ich uzyskiwania.
15. Prawo właściwe
Niniejsza Umowa (DPA) podlega prawu Republiki Czeskiej oraz obowiązującemu prawu UE, w tym RODO. Wszelkie spory będą rozstrzygane zgodnie z postanowieniami dotyczącymi prawa właściwego zawartymi w Regulaminie Veluvanto.
16. Podpisana Umowa DPA
Jeśli Twoja organizacja wymaga oddzielnie sporządzonej i podpisanej Umowy DPA (np. ze względu na wymogi korporacyjne), prosimy o kontakt pod adresem legal@veluvanto.com. Dostarczymy podpisaną kopię w rozsądnym terminie.
17. Kontakt
W przypadku wszelkich zapytań związanych z Umową DPA:
Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-mail: legal@veluvanto.com
Prywatność: privacy@veluvanto.com