Umowa o przetwarzaniu danych osobowych
Data Processing Agreement (DPA) — zgodnie z art. 28 Rozporządzenia RODO (UE) 2016/679
Administrator
Klient — osoba fizyczna lub prawna, która zawarła umowę na korzystanie z systemu GemiSys™ ze spółką Xbiz s.r.o. (dalej „Administrator")
Podmiot przetwarzający
Xbiz s.r.o., Rosina 541, 013 22 Rosina, Republika Słowacka, NIP: 51654814 (dalej „Podmiot przetwarzający")
1. Przedmiot i cel przetwarzania
Podmiot przetwarzający udostępnia Administratorowi system GemiSys™ do zarządzania piekarnią lub cukiernią. W ramach świadczenia tej usługi Podmiot przetwarzający technicznie przetwarza dane osobowe wprowadzane przez Administratora do systemu — wyłącznie w celu świadczenia i utrzymania uzgodnionej usługi.
Podstawa prawna: art. 28 RODO — przetwarzanie w imieniu administratora.
2. Kategorie przetwarzanych danych
- Imiona, nazwiska i dane kontaktowe klientów piekarni
- Historia zakupów i zamówień
- Zapisy operacyjne (produkcja, zapasy, receptury)
- Dane logowania pracowników (imię, e-mail)
Podmiot przetwarzający nie przetwarza szczególnych kategorii danych wrażliwych.
„Wszystkie dane wprowadzone przez Administratora do systemu GemiSys™ są i pozostają wyłączną własnością Administratora. Podmiot przetwarzający nie wykorzystuje ich w żadnym innym celu niż prowadzenie systemu dla tego konkretnego klienta."
3. Techniczny dostęp Podmiotu przetwarzającego
Podmiot przetwarzający ma techniczny dostęp do bazy danych Administratora wyłącznie w następujących przypadkach:
- Na żądanie Administratora — przy rozwiązywaniu zgłoszonego problemu technicznego
- Przy awarii systemu — w celu przywrócenia funkcjonalności i integralności danych
- Regularne kopie zapasowe — automatyczne, bez przeglądania treści
- Monitoring bezpieczeństwa — dostępność i wydajność, nie treść
Podmiot przetwarzający zobowiązuje się nie uzyskiwać dostępu do bazy danych bez uzasadnionego technicznego powodu i nie przeglądać, analizować ani wykorzystywać danych biznesowych do własnych celów.
4. Izolacja danych
Każdy klient systemu GemiSys™ posiada własną izolowaną bazę danych, fizycznie i logicznie oddzieloną od baz innych klientów. Podmiot przetwarzający nie łączy, nie agreguje ani nie powiązuje danych różnych klientów. Żaden inny klient systemu GemiSys™ nie ma i nie może mieć dostępu do danych Administratora.
5. Podpodmioty przetwarzające
- Google LLC (Vertex AI) — asystentka AI Linda. Gwarantowane umownie: dane klientów nigdy nie są wykorzystywane do trenowania modeli AI.
- Cloudflare, Inc. — ochrona warstwy sieciowej. Treść danych nie jest przetwarzana.
Serwery fizyczne są obsługiwane wyłącznie przez Podmiot przetwarzający w Rosinie, SR. Dane nie opuszczają terytorium Unii Europejskiej.
6. Prawa Administratora
- Zażądać eksportu swoich danych w dowolnym momencie
- Zażądać usunięcia danych po zakończeniu umowy
- Przeprowadzić lub zlecić audyt przetwarzania danych osobowych
- Otrzymać informację o każdym dostępie Podmiotu przetwarzającego do jego bazy danych
7. Obowiązki Podmiotu przetwarzającego
- Przetwarzać dane wyłącznie na podstawie udokumentowanych poleceń Administratora
- Zachować poufność przetwarzanych danych
- Niezwłocznie poinformować Administratora o incydencie bezpieczeństwa
- Usunąć lub zwrócić wszystkie dane osobowe w ciągu 30 dni od zakończenia umowy
8. Prawo właściwe
Niniejsza umowa podlega prawu Republiki Słowackiej i właściwym przepisom UE (RODO). Kontakt: [email protected]