Umowa Powierzenia Danych
Umowa powierzenia przetwarzania danych osobowych — art. 28 RODO
Data wejścia w życie: 10 maja 2026 r.
§1 Definicje
- Administrator danych — Klient, tj. podmiot zawierający umowę z Noxify (osoba prawna lub fizyczna prowadząca działalność gospodarczą), który samodzielnie ustala cele i sposoby przetwarzania danych osobowych swoich pracowników, techników i kontaktów serwisowych.
- Procesor — Noxify, podmiot prowadzący Platformę, który przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora.
- Dane osobowe — dane przetwarzane przez Klienta w ramach Platformy, w szczególności dane pracowników, techników serwisowych i kontaktów lokalizacji (imię, nazwisko, adres e-mail, numer telefonu, dane dostępowe).
- Platforma — oprogramowanie SaaS Noxify służące do zarządzania zgłoszeniami serwisowymi, harmonogramami i komunikacją.
§2 Przedmiot i cel powierzenia
Administrator powierza Procesorowi przetwarzanie danych osobowych w celu świadczenia usługi Platformy Noxify, obejmującej zarządzanie zgłoszeniami serwisowymi, harmonogramami oraz komunikacją pomiędzy użytkownikami systemu.
Procesor przetwarza dane wyłącznie w zakresie i w celu niezbędnym do realizacji powyższej usługi, zgodnie z postanowieniami niniejszej umowy oraz Regulaminu Noxify.
§3 Charakter i zakres przetwarzania
- Charakter przetwarzania: przechowywanie i udostępnianie danych osobowych w ramach Platformy na potrzeby operacyjne Administratora.
- Czas przetwarzania: przez okres trwania umowy z Klientem (aktywna subskrypcja Platformy).
- Kategorie osób, których dane dotyczą: pracownicy Klienta, technicy serwisowi, kontakty lokalizacji i inne osoby wskazane przez Administratora.
- Kategorie danych osobowych: imię, nazwisko, adres e-mail, numer telefonu, dane dostępowe (login, zaszyfrowane hasło).
§4 Obowiązki Procesora (Noxify)
Procesor zobowiązuje się do:
- przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z przepisów prawa Unii lub prawa polskiego,
- zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania ich poufności lub podlegają stosownemu ustawowemu obowiązkowi zachowania tajemnicy,
- wdrożenia i utrzymywania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku, zgodnie z art. 32 RODO,
- nieangażowania kolejnych podmiotów przetwarzających bez uprzedniej zgody Administratora, z wyjątkiem podprocesorów wymienionych w §5 niniejszej umowy,
- niezwłocznego poinformowania Administratora o każdym naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia,
- usunięcia lub zwrócenia Administratorowi wszelkich danych osobowych po zakończeniu świadczenia usług, stosownie do decyzji Administratora, oraz usunięcia istniejących kopii, chyba że przepisy prawa nakazują przechowywanie danych.
§4a Dostęp operatora do danych w celach technicznych
Procesor jest uprawniony do uzyskiwania dostępu do danych przetwarzanych w ramach Platformy w zakresie niezbędnym do:
- świadczenia usługi i zapewnienia jej ciągłości,
- usuwania awarii i błędów technicznych,
- zapewnienia bezpieczeństwa systemu i danych,
- udzielania wsparcia technicznego (helpdesk) na żądanie Administratora.
Dostęp, o którym mowa powyżej, odbywa się wyłącznie w celach operacyjnych, jest ograniczony do minimum niezbędnego w danej sytuacji i jest rejestrowany w wewnętrznym dzienniku zdarzeń systemowych Procesora. Procesor nie wykorzystuje dostępu do danych w celach innych niż wymienione powyżej.
§5 Podprocesory
Administrator udziela Procesorowi ogólnej zgody na korzystanie z podprocesorów. Procesor korzysta z następujących zatwierdzonych podprocesorów:
- Supabase Inc. (San Francisco, USA) — hosting bazy danych i przechowywanie plików. Dane osobowe są przechowywane na serwerach w regionie eu-central-1 (Frankfurt). Transfer danych do USA odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską.
- Dostawca e-maili transakcyjnych OVH SMTP (ssl0.ovh.net, kontakt@noxify.pl) — wysyłka powiadomień systemowych (zaproszenia, potwierdzenia konta, alerty serwisowe). Dane przekazywane temu podprocesorowi to wyłącznie adres e-mail odbiorcy i treść wiadomości.
- Cloudflare, Inc. (San Francisco, USA) — hosting strony chatbota osadzanego na publicznych podstronach Procesora pod adresem brand-widget.pages.dev. Cel: dostarczenie skryptu widgetu chatbota do przeglądarki użytkownika końcowego odwiedzającego stronę publiczną Procesora. Transfer danych do USA odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską oraz w oparciu o uczestnictwo Cloudflare w programie EU-US Data Privacy Framework (DPF).
- Supabase Inc. — odrębna instancja wswijojuslscvxurukxn.supabase.co — backend chatbota osadzonego na stronach publicznych Procesora (przechowywanie historii wiadomości chatbota, uwierzytelnianie sesji użytkownika chatbota). Dane są przechowywane na serwerach w regionie eu-central-1 (Frankfurt). Transfer danych do USA odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską oraz w oparciu o EU-US Data Privacy Framework (DPF).
O planowanych zmianach w wykazie podprocesorów Procesor informuje Administratora drogą e-mailową z wyprzedzeniem co najmniej 14 dni, dając Administratorowi możliwość wniesienia sprzeciwu.
§6 Prawa Administratora
Administrator ma prawo do przeprowadzenia lub zlecenia audytu zgodności Procesora z postanowieniami niniejszej umowy oraz przepisami RODO. Audyt może być przeprowadzony po uprzednim powiadomieniu Procesora z co najmniej 14-dniowym wyprzedzeniem. Koszty audytu ponosi Administrator, chyba że audyt ujawni naruszenia ze strony Procesora.
Procesor udziela Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia przeprowadzanie audytów i inspekcji.
§7 Czas trwania
Niniejsza umowa obowiązuje przez cały okres świadczenia usługi Platformy Noxify na rzecz Klienta i wygasa automatycznie z chwilą rozwiązania umowy głównej (Regulaminu), niezależnie od przyczyny rozwiązania.
Po wygaśnięciu umowy Procesor usuwa dane osobowe zgodnie z §4 pkt 6 niniejszej umowy, z zachowaniem terminów wynikających z przepisów prawa.
§8 Akceptacja
Niniejsza umowa jest akceptowana elektronicznie w trakcie procesu rejestracji i konfiguracji konta w Platformie Noxify. Poprzez zaakceptowanie Regulaminu Administrator jednocześnie akceptuje warunki niniejszej umowy powierzenia przetwarzania danych osobowych.
Data i godzina akceptacji są rejestrowane w systemie i stanowią dowód zawarcia niniejszej umowy. Aktualna wersja umowy jest zawsze dostępna pod adresem serwis.noxify.pl/umowa-powierzenia-danych.