Umowa Powierzenia Przetwarzania Danych Osobowych

§1. Strony umowy

1. Administrator danych (dalej "Administrator") — Użytkownik aplikacji KSeF dla Shopify, czyli przedsiębiorca prowadzący sklep na platformie Shopify, który decyduje o celach i sposobach przetwarzania danych osobowych swoich klientów.
2. Podmiot przetwarzający (dalej "Procesor") — TummiSoft, NIP: 869-187-80-04, dostawca aplikacji KSeF dla Shopify, który przetwarza dane osobowe w imieniu Administratora.

§2. Przedmiot umowy

1. Procesor zobowiązuje się przetwarzać dane osobowe wyłącznie w celu świadczenia usług określonych w Regulaminie, tj. integracji sklepu Shopify z Krajowym Systemem e-Faktur (KSeF).
2. Zakres usług obejmuje:
   • Walidację numerów NIP klientów w procesie checkout
   • Pobieranie danych firm z bazy GUS
   • Weryfikację podmiotów na Białej Liście VAT
   • Generowanie faktur VAT w formacie FA(3)
   • Wysyłkę faktur do Krajowego Systemu e-Faktur
   • Wysyłkę faktur PDF na adresy email klientów

§3. Czas trwania przetwarzania

1. Umowa obowiązuje od momentu instalacji aplikacji KSeF dla Shopify w sklepie Administratora.
2. Umowa wygasa z chwilą odinstalowania aplikacji przez Administratora.
3. Po zakończeniu umowy, Procesor przechowuje faktury i powiązane dane przez okres 5 lat zgodnie z wymogami przepisów podatkowych (art. 112 ustawy o VAT), chyba że Administrator zażąda ich wcześniejszego usunięcia w zakresie dozwolonym prawem.

§4. Rodzaj danych osobowych

Procesor przetwarza następujące kategorie danych osobowych:

§5. Kategorie osób, których dane dotyczą

Dane dotyczą klientów B2B Administratora, tj. firm i przedsiębiorców dokonujących zakupów w sklepie Shopify Administratora, którzy zażądali wystawienia faktury VAT poprzez podanie numeru NIP w procesie checkout.

§6. Obowiązki Procesora

Procesor zobowiązuje się do:

1. Przetwarzania zgodnego z instrukcjami — przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, które wynika z niniejszej umowy, Regulaminu oraz działań Administratora w aplikacji.
2. Poufności — zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
3. Środków bezpieczeństwa — wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku, w tym:
   • Szyfrowanie danych w spoczynku (AES-256-GCM)
   • Szyfrowanie danych w transmisji (TLS 1.3)
   • Codzienne kopie zapasowe z 30-dniową retencją
   • Kontrola dostępu oparta na tokenach sesji
   • Weryfikacja HMAC dla webhooków Shopify
   • Hosting na serwerach w Polsce (OVH)
4. Dalszego powierzenia — korzystania z usług innego podmiotu przetwarzającego (sub-procesora) wyłącznie na warunkach określonych w §7.
5. Pomocy Administratorowi — wspomagania Administratora w wywiązywaniu się z obowiązków odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw (dostęp, sprostowanie, usunięcie, przenoszenie danych).
6. Pomocy przy naruszeniach — niezwłocznego (nie później niż w ciągu 48h) powiadomienia Administratora o każdym naruszeniu ochrony danych osobowych oraz wspomagania Administratora w zgłaszaniu naruszeń do organu nadzorczego.
7. Usunięcia danych — po zakończeniu świadczenia usług, w zależności od decyzji Administratora, usunięcia lub zwrotu wszystkich danych osobowych oraz usunięcia wszelkich istniejących kopii, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
8. Audytów — udostępniania Administratorowi informacji niezbędnych do wykazania spełnienia obowiązków wynikających z art. 28 RODO oraz umożliwiania przeprowadzania audytów, w tym inspekcji.

§7. Sub-procesorzy

1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z sub-procesorów wymienionych poniżej.
2. Lista zatwierdzonych sub-procesorów:

   Nazwa	Lokalizacja	Cel	Transfer poza EOG
   OVH Sp. z o.o.	Polska (UE)	Hosting infrastruktury	Nie
   Resend Inc	USA	Wysyłka emaili z fakturami	Tak (SCCs)

3. Procesor poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia sub-procesorów, dając Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
4. Procesor zapewnia, że każdy sub-procesor jest związany umową zawierającą zobowiązania w zakresie ochrony danych co najmniej równoważne z niniejszą umową.

§8. Transfer danych poza EOG

1. Procesor może przekazywać dane osobowe poza Europejski Obszar Gospodarczy wyłącznie do państw zapewniających odpowiedni poziom ochrony lub na podstawie odpowiednich zabezpieczeń.
2. W przypadku sub-procesora Resend Inc (USA), transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCCs) przyjętych przez Komisję Europejską.
3. Procesor zapewnia, że transfer jest zgodny z wymogami Rozdziału V RODO.

§9. Prawa osób, których dane dotyczą

1. Procesor, biorąc pod uwagę charakter przetwarzania, pomaga Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO.
2. Prawa te obejmują:
   • Prawo dostępu do danych (art. 15)
   • Prawo do sprostowania (art. 16)
   • Prawo do usunięcia „prawo do bycia zapomnianym" (art. 17)
   • Prawo do ograniczenia przetwarzania (art. 18)
   • Prawo do przenoszenia danych (art. 20)
   • Prawo do sprzeciwu (art. 21)
3. Procesor implementuje techniczne mechanizmy obsługi praw osób poprzez webhooky GDPR Shopify (customers/data_request, customers/redact, shop/redact).

§10. Naruszenie ochrony danych

1. W przypadku stwierdzenia naruszenia ochrony danych osobowych, Procesor bez zbędnej zwłoki, nie później niż w ciągu 48 godzin, powiadamia o tym Administratora.
2. Powiadomienie zawiera co najmniej:
   • Opis charakteru naruszenia
   • Kategorie i przybliżoną liczbę osób, których dane dotyczą
   • Możliwe konsekwencje naruszenia
   • Środki podjęte lub proponowane w celu zaradzenia naruszeniu
3. Procesor wspomaga Administratora w zgłaszaniu naruszenia do Prezesa UODO oraz, w stosownych przypadkach, w zawiadamianiu osób, których dane dotyczą.

§11. Odpowiedzialność

1. Procesor ponosi odpowiedzialność za szkody spowodowane przetwarzaniem wyłącznie w przypadku niedopełnienia obowiązków określonych w RODO, które nałożone są bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.
2. Odpowiedzialność Procesora jest ograniczona zgodnie z §5 Regulaminu.

§12. Postanowienia końcowe

1. Niniejsza umowa stanowi integralną część Regulaminu korzystania z aplikacji KSeF dla Shopify.
2. W sprawach nieuregulowanych niniejszą umową stosuje się przepisy RODO oraz polskiego prawa ochrony danych osobowych.
3. Wszelkie spory wynikające z niniejszej umowy będą rozstrzygane przez sąd właściwy dla siedziby Procesora.
4. Kontakt w sprawach ochrony danych osobowych: kontakt@ksef-shopify.pl