UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

wersja 1.0 — obowiązuje od 1 stycznia 2026 r.

---

§ 1. STRONY UMOWY

Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: „Umowa”) zostaje zawarta pomiędzy:

Administratorem danych — Usługobiorcą w rozumieniu Regulaminu świadczenia usług PolisaCRM, będącym przedsiębiorcą prowadzącym działalność w zakresie pośrednictwa lub agencji ubezpieczeniowej, który decyduje o celach i sposobach przetwarzania danych osobowych swoich klientów (dalej: „Administrator”),

a

Podmiotem przetwarzającym — MK Solutions Marcin Kania z siedzibą przy ul. Błędów 24A, 41-403 Chełm Śląski, NIP: 8631631783, REGON: 525412644, świadczącym usługi za pośrednictwem Aplikacji PolisaCRM (dalej: „Procesor”).

Umowa stanowi integralną część Regulaminu świadczenia usług PolisaCRM i zostaje zawarta z chwilą akceptacji Regulaminu przez Administratora.

Postanowienia niniejszej Umowy stosuje się odpowiednio w przypadku, gdy Usługobiorca przetwarza dane osobowe w charakterze podmiotu przetwarzającego w rozumieniu art. 4 pkt 8 RODO (np. na zlecenie towarzystwa ubezpieczeń) i powierza te dane do dalszego przetwarzania Procesorowi, który przetwarza je jako kolejny podmiot przetwarzający.

---

§ 2. DEFINICJE

Pojęcia pisane wielką literą, niezdefiniowane w niniejszej Umowie, mają znaczenie nadane im w Regulaminie świadczenia usług PolisaCRM oraz w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: „RODO”).

---

§ 3. PRZEDMIOT UMOWY

1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i na zasadach określonych w niniejszej Umowie.
2. Procesor zobowiązuje się przetwarzać powierzone dane osobowe zgodnie z niniejszą Umową, RODO oraz innymi obowiązującymi przepisami prawa dotyczącymi ochrony danych osobowych.

---

§ 4. ZAKRES I CEL PRZETWARZANIA

1. Cel przetwarzania: świadczenie usług drogą elektroniczną za pośrednictwem Aplikacji PolisaCRM na rzecz Administratora, obejmujących zarządzanie klientami, polisami ubezpieczeniowymi, pojazdami oraz procesami sprzedażowymi (leadami).

2. Charakter przetwarzania: przechowywanie, utrwalanie, organizowanie, porządkowanie, udostępnianie Administratorowi, usuwanie danych osobowych w systemie informatycznym Aplikacji PolisaCRM.

3. Rodzaje przetwarzanych danych osobowych:

   • dane identyfikacyjne: imię, nazwisko, PESEL, NIP, REGON;
   • dane adresowe: ulica, numer domu/lokalu, kod pocztowy, miejscowość;
   • dane kontaktowe: adres e-mail, numer telefonu;
   • dane dotyczące pojazdów: numer rejestracyjny, numer VIN;
   • dane dotyczące polis ubezpieczeniowych: numer polisy, PIN, typ ubezpieczenia, składka, okres ubezpieczenia;
   • notatki i komentarze wprowadzone przez Administratora;
   • tagi i oznaczenia kategoryzujące.

4. Kategorie osób, których dane dotyczą:

   • klienci Administratora (osoby fizyczne, osoby fizyczne prowadzące działalność gospodarczą);
   • przedstawiciele klientów firmowych Administratora;
   • inne osoby, których dane Administrator wprowadzi do Aplikacji.

5. Zakaz przekazywania danych szczególnych kategorii. Administrator zobowiązuje się nie przekazywać Procesorowi danych osobowych szczególnych kategorii w rozumieniu art. 9 RODO, w szczególności danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także danych genetycznych, biometrycznych, dotyczących zdrowia, seksualności lub orientacji seksualnej.

6. Czas trwania przetwarzania: przez okres obowiązywania Umowy o świadczenie usług PolisaCRM (Regulamin), a po jej zakończeniu — zgodnie z § 11 niniejszej Umowy.

---

§ 5. OBOWIĄZKI PROCESORA

Procesor zobowiązuje się do:

1. Przetwarzania powierzonych danych osobowych wyłącznie na udokumentowane polecenie Administratora — co obejmuje przetwarzanie w celu świadczenia usług określonych w Regulaminie — chyba że obowiązek przetwarzania nakładają na Procesora przepisy prawa Unii Europejskiej lub prawa polskiego; w takim przypadku Procesor informuje Administratora o tym obowiązku przed rozpoczęciem przetwarzania, o ile prawo tego nie zabrania.

2. Zapewnienia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

3. Podjęcia wszelkich środków wymaganych na mocy art. 32 RODO, w szczególności:

   • szyfrowania danych osobowych podczas przesyłania (TLS) i przechowywania;
   • zapewnienia poufności, integralności, dostępności i odporności systemów;
   • zdolności do szybkiego przywrócenia dostępności danych w razie incydentu;
   • regularnego testowania i oceniania skuteczności środków technicznych i organizacyjnych.

4. Przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego (dalszego procesora) zgodnie z § 7 niniejszej Umowy.

5. Biorąc pod uwagę charakter przetwarzania — w miarę możliwości pomagania Administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO.

6. Uwzględniając charakter przetwarzania oraz dostępne Procesorowi informacje — pomagania Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo przetwarzania, zgłaszanie naruszeń, ocena skutków dla ochrony danych).

7. Po zakończeniu świadczenia usług — postępowania z danymi zgodnie z § 11 niniejszej Umowy.

8. Udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienia Administratorowi przeprowadzania audytów zgodnie z § 8 niniejszej Umowy.

9. Niezwłocznego poinformowania Administratora, jeżeli w ocenie Procesora wydane mu polecenie stanowi naruszenie RODO lub innych przepisów prawa Unii Europejskiej bądź polskiego prawa powszechnie obowiązującego dotyczących ochrony danych osobowych.

---

§ 6. OBOWIĄZKI ADMINISTRATORA

Administrator zobowiązuje się do:

1. Posiadania podstawy prawnej do przetwarzania danych osobowych, które powierza Procesorowi, zgodnie z obowiązującymi przepisami prawa.

2. Spełnienia obowiązków informacyjnych wobec osób, których dane dotyczą, wynikających z art. 13 i/lub art. 14 RODO, w szczególności poinformowania tych osób o powierzeniu przetwarzania ich danych Procesorowi.

3. Współpracy z Procesorem w zakresie niezbędnym do realizacji niniejszej Umowy.

4. Niezwłocznego informowania Procesora o wszelkich żądaniach osób, których dane dotyczą, skierowanych bezpośrednio do Administratora, a wymagających udziału Procesora.

---

§ 7. DALSZE POWIERZENIE (PODPRZETWARZANIE)

1. Administrator udziela Procesorowi ogólnej pisemnej zgody na korzystanie z usług dalszych podmiotów przetwarzających (dalszych procesorów) w celu realizacji niniejszej Umowy.

2. Procesor informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych procesorów, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Informacja o zmianach będzie przekazywana drogą elektroniczną na adres e-mail Administratora z co najmniej 14-dniowym wyprzedzeniem.

3. Jeżeli Administrator zgłosi uzasadniony sprzeciw wobec dalszego procesora w terminie 14 dni od otrzymania informacji, Strony podejmą negocjacje w celu znalezienia rozwiązania. Jeżeli rozwiązanie nie zostanie osiągnięte w ciągu 30 dni, Administrator ma prawo rozwiązać Umowę o świadczenie usług z zachowaniem 30-dniowego okresu wypowiedzenia.

4. Procesor zapewnia, że dalszy procesor zostanie zobowiązany do przestrzegania tych samych obowiązków ochrony danych, jakie wynikają z niniejszej Umowy. Procesor ponosi pełną odpowiedzialność wobec Administratora za wypełnianie obowiązków przez dalszego procesora.

5. Aktualna lista dalszych procesorów stanowi Załącznik nr 1 do niniejszej Umowy.

---

§ 8. AUDYTY

1. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO.

2. Procesor umożliwia Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

3. Audyty przeprowadzane są:

   • z co najmniej 30-dniowym pisemnym wyprzedzeniem;
   • w godzinach pracy Procesora;
   • nie częściej niż raz w roku kalendarzowym, chyba że audyt wynika z uzasadnionego podejrzenia naruszenia lub żądania organu nadzorczego;
   • na koszt Administratora, z wyjątkiem sytuacji gdy audyt wykaże istotne naruszenie postanowień niniejszej Umowy przez Procesora.

4. Procesor może zaoferować Administratorowi alternatywnie aktualne certyfikaty bezpieczeństwa lub raporty z audytów przeprowadzonych przez niezależne podmioty, które mogą być uznane za spełniające wymóg audytu.

---

§ 9. ZGŁASZANIE NARUSZEŃ

1. Procesor, po stwierdzeniu naruszenia ochrony danych osobowych, bez zbędnej zwłoki — nie później niż w ciągu 24 godzin — zgłasza je Administratorowi.

2. Zgłoszenie naruszenia zawiera co najmniej:

   • opis charakteru naruszenia, w tym — w miarę możliwości — kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
   • dane kontaktowe osoby, od której można uzyskać więcej informacji;
   • opis możliwych konsekwencji naruszenia;
   • opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu, w tym — w stosownych przypadkach — środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

3. Procesor dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze.

4. Procesor współpracuje z Administratorem w zakresie wywiązania się z obowiązków zgłoszenia naruszenia organowi nadzorczemu (UODO) i zawiadomienia osób, których dane dotyczą, zgodnie z art. 33 i 34 RODO.

---

§ 10. ODPOWIEDZIALNOŚĆ

1. Procesor odpowiada za szkody spowodowane przetwarzaniem wyłącznie w przypadku, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora bądź wbrew tym instrukcjom (art. 82 ust. 2 RODO).

2. Odpowiedzialność Procesora z tytułu niniejszej Umowy jest ograniczona do wysokości opłat uiszczonych przez Administratora na rzecz Procesora w okresie 12 miesięcy poprzedzających zdarzenie powodujące szkodę, z wyjątkiem szkód wynikających z umyślnego działania lub rażącego niedbalstwa Procesora.

3. Procesor nie ponosi odpowiedzialności za przetwarzanie danych osobowych niezgodne z prawem, jeżeli to niezgodne z prawem przetwarzanie wynika z działań lub zaniechań Administratora.

---

§ 11. ZASADY POSTĘPOWANIA Z DANYMI PO ZAKOŃCZENIU UMOWY

1. Po zakończeniu obowiązywania Umowy o świadczenie usług PolisaCRM, Procesor — w zależności od decyzji Administratora:

   • zwraca Administratorowi wszystkie dane osobowe w formacie umożliwiającym ich dalsze przetwarzanie (eksport danych w formacie CSV lub JSON); lub
   • usuwa wszystkie dane osobowe i wszelkie ich istniejące kopie.

2. Administrator ma 90 dni od daty zakończenia Umowy na pobranie danych z Aplikacji (eksport) lub przekazanie Procesorowi instrukcji dotyczących usunięcia danych.

3. Po upływie okresu, o którym mowa w ust. 2, Procesor usuwa wszystkie dane osobowe powierzone przez Administratora, w tym kopie zapasowe, w terminie kolejnych 30 dni, chyba że obowiązujące przepisy prawa wymagają przechowywania danych przez dłuższy okres.

4. Procesor potwierdza usunięcie danych na piśmie (drogą elektroniczną) na żądanie Administratora.

---

§ 12. TRANSFER DANYCH DO PAŃSTW TRZECICH

1. Procesor nie przekazuje powierzonych danych osobowych do państw trzecich (poza Europejski Obszar Gospodarczy) bez uprzedniej pisemnej zgody Administratora.

2. W przypadku, gdy dalszy procesor przetwarza dane osobowe poza EOG, Procesor zapewnia, że transfer danych odbywa się na podstawie jednego z mechanizmów przewidzianych w rozdziale V RODO, w szczególności:

   • decyzji stwierdzającej odpowiedni stopień ochrony (art. 45 RODO);
   • standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO);
   • wiążących reguł korporacyjnych (art. 47 RODO).

3. Procesor informuje Administratora o każdym przypadku transferu danych poza EOG, wskazując podstawę prawną transferu.

---

§ 13. CZAS TRWANIA, ZMIANA I ROZWIĄZANIE

1. Niniejsza Umowa obowiązuje przez cały okres obowiązywania Umowy o świadczenie usług PolisaCRM (Regulaminu) i wygasa automatycznie z chwilą jej zakończenia.

2. Zmiany niniejszej Umowy wymagają formy pisemnej lub elektronicznej pod rygorem nieważności. Procesor informuje Administratora o zmianach z co najmniej 14-dniowym wyprzedzeniem. Do zmian stosuje się odpowiednio postanowienia Regulaminu dotyczące zmiany dokumentów prawnych.

3. W przypadku istotnego naruszenia postanowień niniejszej Umowy przez Procesora, Administrator ma prawo rozwiązać Umowę o świadczenie usług ze skutkiem natychmiastowym.

---

§ 14. POSTANOWIENIA KOŃCOWE

1. W sprawach nieuregulowanych niniejszą Umową zastosowanie mają przepisy RODO, polskiego Kodeksu cywilnego oraz inne obowiązujące przepisy dotyczące ochrony danych osobowych.

2. Wszelkie spory wynikłe z niniejszej Umowy będą rozstrzygane przez sąd właściwy dla siedziby Procesora.

3. Niniejsza Umowa została sporządzona w języku polskim.

4. Jeżeli którekolwiek z postanowień niniejszej Umowy okaże się nieważne lub bezskuteczne, pozostałe postanowienia pozostają w mocy. Strony zobowiązują się zastąpić nieważne lub bezskuteczne postanowienie postanowieniem ważnym i skutecznym, oddającym w możliwie największym stopniu cel gospodarczy postanowienia zastępowanego.

---

ZAŁĄCZNIK NR 1 — LISTA DALSZYCH PROCESORÓW

Podmiot	Zakres przetwarzania	Lokalizacja danych	Podstawa transferu
Amazon Web Services, Inc. (AWS)	Hosting i infrastruktura serwerowa Aplikacji	UE (Frankfurt, eu-central-1)	EU-US Data Privacy Framework
Hetzner Online GmbH	Hosting i infrastruktura serwerowa	UE (Niemcy/Finlandia)	— (EOG, nie wymaga)

Lista dalszych procesorów będzie aktualizowana w miarze potrzeb. Administrator zostanie poinformowany o każdej zmianie zgodnie z § 7 Umowy.