Powrót do strony głównej
HACCP NEXUS

Załącznik nr 1 do Regulaminu HACCP Nexus

Umowa powierzenia przetwarzania danych osobowych („Umowa Powierzenia")

Ostatnia aktualizacja: 12 maja 2026 r.

Status dokumentu: niniejsza Umowa Powierzenia stanowi integralną część Regulaminu korzystania z aplikacji HACCP Nexus (Załącznik nr 1). Akceptacja Regulaminu oznacza również akceptację DPA, jeżeli w ramach korzystania z Aplikacji dochodzi do powierzenia danych osobowych (§ 5 ust. 2 Regulaminu).

Postanowienia ogólne

  1. Niniejsza Umowa Powierzenia stanowi integralną część Regulaminu korzystania z aplikacji HACCP Nexus („Regulamin") i określa zasady przetwarzania danych osobowych przez Usługodawcę na zlecenie Klienta w związku z korzystaniem z Aplikacji.
  2. Pojęcia pisane wielką literą i niezdefiniowane odmiennie w Umowie Powierzenia mają znaczenie nadane im w Regulaminie.
  3. W zakresie danych osobowych wprowadzanych do Aplikacji:
    • Klient działa jako administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO,
    • Usługodawca działa jako podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO.
  4. Umowa Powierzenia określa zasady przetwarzania danych osobowych przez Usługodawcę w związku ze świadczeniem usług objętych Regulaminem.
  5. Aplikacja jest udostępniana w standardowym modelu SaaS.
  6. Usługodawca świadczy usługi w standardowym modelu i nie jest zobowiązany do wdrażania indywidualnych rozwiązań, chyba że Strony uzgodnią inaczej.

§ 1. Przedmiot i zakres przetwarzania

  1. Klient powierza Usługodawcy przetwarzanie danych osobowych wyłącznie w zakresie niezbędnym do świadczenia usług objętych Regulaminem.
  2. Dane osobowe przetwarzane są przez Usługodawcę w celu:
    • realizacji usług świadczonych za pośrednictwem Aplikacji,
    • zapewnienia bezpieczeństwa i prawidłowego działania Aplikacji,
    • zapewnienia wsparcia technicznego, obsługi zgłoszeń oraz usuwania błędów lub incydentów bezpieczeństwa.
  3. Charakter przetwarzania obejmuje w szczególności przechowywanie, organizowanie, zabezpieczanie, wykonywanie kopii zapasowych, udostępnianie użytkownikom upoważnionym przez Klienta oraz usuwanie lub anonimizację danych.
  4. Usługodawca nie wykorzystuje danych osobowych powierzonych przez Klienta do własnych celów marketingowych, reklamowych ani handlowych.
  5. Usługodawca przetwarza dane osobowe wyłącznie na udokumentowane polecenie Klienta, chyba że obowiązek przetwarzania wynika z przepisów prawa.
  6. Usługodawca nie monitoruje aktywnie danych wprowadzanych do Aplikacji i posiada do nich wyłącznie ograniczony dostęp techniczny niezbędny do utrzymania, zabezpieczenia i prawidłowego działania Aplikacji.
  7. Usługodawca nie weryfikuje merytorycznie danych ani dokumentów dodawanych do Aplikacji.

§ 2. Kategorie danych i osób

  1. Zakres danych osobowych powierzanych Usługodawcy zależy od sposobu korzystania z Aplikacji przez Klienta.
  2. Aplikacja nie jest przeznaczona do przetwarzania szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO.
  3. Klient zobowiązuje się nie wprowadzać do Aplikacji danych dotyczących zdrowia, wyników badań, diagnoz ani dokumentacji medycznej, chyba że posiada odpowiednią podstawę prawną i przetwarzanie takie jest zgodne z funkcjonalnościami Aplikacji.
  4. W zakresie informacji dotyczących badań sanitarno-epidemiologicznych Aplikacja umożliwia wyłącznie przechowywanie dat wydania lub ważności badań, bez przechowywania wyników badań lub dokumentacji medycznej.

§ 3. Obowiązki Klienta

  1. Klient odpowiada za zgodność przetwarzania danych osobowych z obowiązującymi przepisami prawa, w szczególności za:
    • legalność danych wprowadzanych do Aplikacji,
    • spełnienie obowiązków informacyjnych,
    • realizację praw osób, których dane dotyczą,
    • prawidłowe nadawanie uprawnień użytkownikom,
    • bezpieczeństwo danych po stronie Klienta.
  2. Klient ponosi odpowiedzialność za dane i treści wprowadzane do Aplikacji oraz sposób korzystania z Aplikacji przez użytkowników działających w jego imieniu.

§ 4. Obowiązki Usługodawcy

  1. Usługodawca zobowiązuje się:
    • przetwarzać dane osobowe zgodnie z Umową Powierzenia, Regulaminem oraz udokumentowanymi poleceniami Klienta,
    • zapewnić poufność danych osobowych,
    • dopuścić do przetwarzania danych wyłącznie osoby upoważnione,
    • zapewnić, aby osoby upoważnione do przetwarzania danych były zobowiązane do zachowania poufności,
    • stosować odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 RODO,
    • pomagać Klientowi (w rozsądnym i proporcjonalnym zakresie) w realizacji obowiązków wynikających z art. 32–36 RODO.
  2. Usługodawca może odmówić wykonania instrukcji Klienta, jeżeli:
    • byłaby sprzeczna z prawem,
    • wykraczałaby poza zakres usług lub funkcjonalności Aplikacji,
    • mogłaby naruszyć bezpieczeństwo systemów lub danych innych klientów.
  3. Jeżeli zdaniem Usługodawcy instrukcja Klienta narusza przepisy dotyczące ochrony danych osobowych, Usługodawca poinformuje o tym Klienta.
  4. Instrukcje wykraczające poza standardowy zakres usług mogą wymagać odrębnych ustaleń lub dodatkowego wynagrodzenia.

§ 5. Środki techniczne i organizacyjne

  1. Usługodawca stosuje odpowiednie środki techniczne i organizacyjne zgodne z art. 32 RODO, uwzględniające charakter usług, ryzyko przetwarzania oraz aktualny stan wiedzy technicznej.
  2. Stosowane zabezpieczenia mogą obejmować w szczególności: kontrolę dostępu, uwierzytelnianie użytkowników, szyfrowanie transmisji danych, wykonywanie kopii zapasowych, monitoring bezpieczeństwa, ograniczenie dostępu administracyjnego, zabezpieczenia infrastruktury chmurowej.
  3. Usługodawca może aktualizować stosowane środki bezpieczeństwa wraz z rozwojem usług lub zmianą poziomu ryzyka.

§ 6. Podmioty podprzetwarzające

  1. Klient wyraża ogólną zgodę na korzystanie przez Usługodawcę z podmiotów podprzetwarzających w zakresie niezbędnym do świadczenia usług objętych Regulaminem.
  2. Aktualna lista podmiotów podprzetwarzających dostępna jest w Załączniku nr 2 do Umowy Powierzenia lub w dokumentacji usług.
  3. Usługodawca poinformuje Klienta o planowanym dodaniu lub zmianie podmiotu podprzetwarzającego poprzez publikację aktualizacji listy podmiotów podprzetwarzających, informację w Aplikacji lub drogą elektroniczną co najmniej 7 dni przed planowaną zmianą.
  4. Usługodawca zapewnia, aby podmioty podprzetwarzające były związane obowiązkami ochrony danych odpowiadającymi wymaganiom wynikającym z RODO.
  5. Klient może zgłosić uzasadniony sprzeciw wobec nowego podmiotu podprzetwarzającego z ważnych powodów związanych z ochroną danych osobowych w terminie 7 dni od dnia poinformowania o zmianie. Brak sprzeciwu w powyższym terminie uznaje się za akceptację zmiany.

§ 7. Transfer danych poza Europejski Obszar Gospodarczy

  1. W związku z korzystaniem z usług technologicznych dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy lub może występować możliwość dostępu do danych z państw trzecich.
  2. W przypadku transferu danych poza Europejski Obszar Gospodarczy Usługodawca stosuje mechanizmy wymagane przez RODO, w szczególności standardowe klauzule umowne lub EU-US Data Privacy Framework, jeżeli dany dostawca uczestniczy w tym programie.

§ 8. Naruszenia ochrony danych osobowych

  1. Usługodawca wdraża procedury umożliwiające wykrywanie i obsługę incydentów bezpieczeństwa oraz naruszeń ochrony danych osobowych.
  2. W przypadku stwierdzenia naruszenia ochrony danych osobowych dotyczącego danych powierzonych przez Klienta Usługodawca poinformuje Klienta bez zbędnej zwłoki.
  3. Usługodawca podejmie odpowiednie działania mające na celu ograniczenie skutków naruszenia oraz zabezpieczenie danych przed dalszym naruszeniem.

§ 9. Realizacja praw osób, których dane dotyczą

  1. Klient realizuje prawa osób, których dane dotyczą, samodzielnie.
  2. Usługodawca zapewnia Klientowi rozsądną pomoc przy realizacji obowiązków wynikających z RODO, o ile jest to możliwe poprzez funkcjonalności Aplikacji lub standardowe działania Usługodawcy.
  3. Jeżeli osoba, której dane dotyczą, skieruje żądanie bezpośrednio do Usługodawcy, Usługodawca może przekazać takie żądanie Klientowi lub poinformować o konieczności kontaktu z Klientem.

§ 10. Audyty i informacje

  1. Usługodawca udostępnia Klientowi informacje niezbędne do wykazania zgodności z art. 28 RODO.
  2. Realizacja obowiązków informacyjnych następuje w pierwszej kolejności poprzez przekazanie dokumentacji, informacji lub wyjaśnień w formie elektronicznej.
  3. Klient może żądać dodatkowych informacji dotyczących przetwarzania danych osobowych objętych Umową Powierzenia.
  4. Audyty mogą być prowadzone wyłącznie wyjątkowo, po wcześniejszym uzgodnieniu terminu i zakresu, w sposób nienaruszający bezpieczeństwa usług, tajemnicy przedsiębiorstwa oraz danych innych klientów.
  5. Usługodawca może ograniczyć zakres udostępnianych informacji lub zakres audytu w zakresie niezbędnym do ochrony bezpieczeństwa systemów, danych innych klientów lub tajemnicy przedsiębiorstwa.

§ 11. Okres przetwarzania i usuwanie danych

  1. Dane osobowe są przetwarzane przez okres świadczenia usług oraz przez okres niezbędny do realizacji obowiązków prawnych, zabezpieczenia roszczeń lub utrzymania kopii zapasowych.
  2. O ile funkcjonalności Aplikacji na to pozwalają, Klient może przed zakończeniem korzystania z usług wyeksportować dane osobowe.
  3. Po zakończeniu świadczenia usług dane osobowe są usuwane lub anonimizowane zgodnie z politykami retencji Usługodawcy, chyba że przepisy prawa wymagają dalszego przechowywania danych. Klient może zażądać zwrotu lub eksportu danych.
  4. Dane mogą czasowo pozostawać w kopiach zapasowych oraz logach technicznych zgodnie z procedurami bezpieczeństwa stosowanymi przez Usługodawcę.

§ 12. Odpowiedzialność

  1. Każda ze Stron odpowiada za naruszenie obowiązków wynikających z RODO zgodnie z obowiązującymi przepisami prawa.
  2. Usługodawca odpowiada wyłącznie za szkody wynikające z naruszenia obowiązków nałożonych bezpośrednio na Usługodawcę przez RODO lub z przetwarzania danych niezgodnie z Umową Powierzenia.
  3. Usługodawca nie ponosi odpowiedzialności za:
    • legalność danych wprowadzanych przez Klienta,
    • sposób korzystania z Aplikacji przez Klienta,
    • działania użytkowników Klienta,
    • treść danych i dokumentów dodawanych do Aplikacji,
    • decyzje podejmowane przez Klienta na podstawie danych dostępnych w Aplikacji.
  4. W maksymalnym zakresie dopuszczalnym przez prawo całkowita odpowiedzialność Usługodawcy związana z Umową Powierzenia ograniczona jest do wysokości opłat uiszczonych przez Klienta za okres ostatnich 12 miesięcy korzystania z usług.
  5. Żadne postanowienie Umowy Powierzenia nie może być interpretowane jako zobowiązanie Usługodawcy do zapewnienia zgodności działalności Klienta z przepisami prawa ani jako świadczenie usług doradczych lub compliance.

§ 13. Postanowienia końcowe

  1. W przypadku sprzeczności pomiędzy Umową Powierzenia a Regulaminem pierwszeństwo mają postanowienia Umowy Powierzenia w zakresie dotyczącym przetwarzania danych osobowych.
  2. Usługodawca może aktualizować Umowę Powierzenia w zakresie niezbędnym do dostosowania jej do zmian prawa, zmian technologicznych lub rozwoju usług.
  3. Aktualna wersja Umowy Powierzenia publikowana jest wraz z Regulaminem lub w Aplikacji.
  4. W sprawach nieuregulowanych zastosowanie mają przepisy RODO oraz prawa polskiego.

Załącznik nr 1 do Umowy Powierzenia

ElementOpis
Cel przetwarzaniaUdostępnienie, utrzymanie, zabezpieczenie i zapewnienie ciągłości działania Aplikacji HACCP Nexus, w tym wsparcie techniczne, konfiguracja, monitoring bezpieczeństwa, wykonywanie kopii zapasowych oraz utrzymanie infrastruktury IT.
Kategorie osóbUżytkownicy Aplikacji, pracownicy Klienta, współpracownicy, dostawcy, kontrahenci oraz inne osoby, których dane Klient wprowadza do Aplikacji.
Kategorie danychImię i nazwisko, adres e-mail, numer telefonu, dane dotyczące stanowiska lub organizacji użytkownika, dane identyfikacyjne działalności gospodarczej (adres, NIP), a także dane zawarte w dokumentacji HACCP, rejestrach, formularzach oraz dokumentach dodawanych do Aplikacji, które mogą zawierać dane osobowe.
Dane szczególnych kategoriiCo do zasady nie. Aplikacja nie jest przeznaczona do przetwarzania szczególnych kategorii danych osobowych, jednak dane takie mogą pojawić się incydentalnie w wyniku działań Klienta lub użytkowników Klienta.
Operacje wykonywane na danychZbieranie, przechowywanie, organizowanie, zabezpieczanie, wykonywanie kopii zapasowych, udostępnianie użytkownikom upoważnionym przez Klienta, usuwanie lub anonimizacja danych.
Charakter przetwarzaniaPrzetwarzanie ciągłe przez okres obowiązywania Umowy Powierzenia oraz okres wynikający z polityk retencji.
Sposób przetwarzaniaPrzetwarzanie w systemach informatycznych oraz infrastrukturze chmurowej, z ograniczonym dostępem technicznym Usługodawcy.

Załącznik nr 2 do Umowy Powierzenia — Podmioty podprzetwarzające

Nazwa podmiotuCel podpowierzeniaPodstawa transferu
Supabase Inc.Hosting bazy danych, uwierzytelnianie użytkowników, przechowywanie danych i plikówDane mogą być przetwarzane poza EOG z zastosowaniem odpowiednich zabezpieczeń wymaganych przez art. 46 RODO, w szczególności standardowych klauzul umownych.
Vercel Inc.Hosting i utrzymanie infrastruktury aplikacjiDane mogą być przetwarzane poza Europejskim Obszarem Gospodarczym. Dostawca uczestniczy w programie EU-US Data Privacy Framework, stanowiącym podstawę transferu danych zgodnie z decyzją Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony.
Resend Inc.Obsługa wysyłki wiadomości e-mailDane mogą być przetwarzane poza Europejskim Obszarem Gospodarczym. Dostawca uczestniczy w programie EU-US Data Privacy Framework, stanowiącym podstawę transferu danych zgodnie z decyzją Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony.
Stripe, Inc.Obsługa płatności i subskrypcjiDane mogą być przetwarzane poza Europejskim Obszarem Gospodarczym. Dostawca uczestniczy w programie EU-US Data Privacy Framework, stanowiącym podstawę transferu danych zgodnie z decyzją Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony.
Cloudflare, Inc.Bezpieczeństwo infrastruktury i CDNDane mogą być przetwarzane poza Europejskim Obszarem Gospodarczym. Dostawca uczestniczy w programie EU-US Data Privacy Framework, stanowiącym podstawę transferu danych zgodnie z decyzją Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony.