Umowa powierzenia przetwarzania danych (DPA)

1. Strony

Klient (administrator): osoba fizyczna lub prawna rejestrująca konto Clozo i przesyłająca/wprowadzająca dane osobowe osób trzecich (np. klientów, leadów, kontaktów) do usługi.

Podmiot przetwarzający: Andrei Diachenko, jednoosobowa działalność gospodarcza pod nazwą Clozo, Calle Covera 19, 5A, 33012 Oviedo, Asturia, Hiszpania. NIF Z1579875X · UE VAT ESZ1579875X.

2. Przedmiot i czas trwania (art. 28(3) wstęp)

Przedmiot: przetwarzanie danych osobowych niezbędne do świadczenia usługi Clozo (generowanie ofert, podpis elektroniczny, wystawianie i dostarczanie faktur, pobieranie płatności przez Stripe, opcjonalne wsparcie AI dla tekstu, opcjonalne generowanie formatów e-faktur). Czas trwania: od utworzenia konta do 30 dni po jego zamknięciu lub upływu najdłuższego obowiązującego ustawowego okresu przechowywania zgodnie z prawem UE/państw członkowskich (które nastąpi później).

3. Charakter i cel przetwarzania (art. 28(3)(a))

Charakter: przechowywanie, przekazywanie, transformacja (np. renderowanie PDF, generowanie XML) i ograniczone przetwarzanie automatyczne (poprawa tekstu AI z usuwaniem PII, jako podstawowa funkcja usługi — podstawa prawna art. 6(1)(b) RODO). Cel: umożliwienie Klientowi prowadzenia działalności freelancera/MŚP za pośrednictwem Clozo. Clozo przetwarza dane osobowe wyłącznie na udokumentowane polecenia Klienta, w tym w zakresie przekazywania do państw trzecich, chyba że prawo Unii lub państwa członkowskiego, któremu Clozo podlega, stanowi inaczej; w takim przypadku Clozo informuje Klienta o tym wymogu prawnym przed rozpoczęciem przetwarzania, chyba że prawo zakazuje takiej informacji ze względu na ważny interes publiczny.

4. Rodzaje danych i kategorie osób, których dane dotyczą (art. 28(3))

Rodzaje danych osobowych: identyfikacyjne (imię i nazwisko, e-mail), biznesowe (nazwa firmy, NIP, adres, IBAN/BIC), finansowe (kwoty faktur, metadane płatności Stripe), komunikacyjne (treść e-maili, opcjonalne transkrypcje czatu Crisp), techniczne (IP przez Cloudflare, user-agent, język przeglądarki). Kategorie osób, których dane dotyczą: klienci Klienta, leady, kontakty rozliczeniowe i odbiorcy końcowi dokumentów generowanych przez Clozo. Szczególne kategorie danych osobowych (art. 9) nie są rutynowo przetwarzane.

5. Obowiązki i prawa administratora (art. 28(3)(d))

Klient odpowiada za (a) posiadanie podstawy prawnej do zbierania i przekazywania danych osobowych do Clozo, (b) udzielanie osobom, których dane dotyczą, informacji wymaganych przez art. 13/14, (c) odpowiadanie na żądania osób, których dane dotyczą, kierowane bezpośrednio do Klienta, (d) zapewnienie poprawności i aktualności przekazywanych danych, (e) prowadzenie własnego rejestru czynności przetwarzania zgodnie z art. 30, (f) konfigurowanie ustawień Clozo (np. preferencji przechowywania, opt-in AI) spójnie z przyjętymi podstawami prawnymi.

6. Poufność (art. 28(3)(b))

Clozo zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. Jedyną osobą z bieżącym dostępem operacyjnym jest właściciel jednoosobowej działalności (Andrei Diachenko); pracownicy, podwykonawcy lub personel podmiotów dalszych (Stripe, Cloudflare, Resend itp.) są związani własnymi NDA i DPA.

7. Środki bezpieczeństwa (art. 28(3)(c) + art. 32)

Clozo wdraża techniczne i organizacyjne środki (TOM) odpowiednie do ryzyka, m.in.: TLS 1.3 w transmisji; szyfrowanie odpowiadające AES-256 w spoczynku (Postgres w Railway UE, R2 w Cloudflare UE); uwierzytelnianie JWT z rotacją refresh-tokenu; rate-limiting na endpointach auth; codzienne zaszyfrowane kopie zapasowe bazy; wykrywanie incydentów przez Sentry; kwartalna rotacja tajemnic; zasada minimalnych uprawnień w dostępie do Railway; oddzielenie środowisk staging/produkcyjnego. Szczegółowe TOM na żądanie: legal@useclozo.com.

8. Podmioty dalsze (art. 28(2) + (4))

Klient upoważnia Clozo do korzystania z podmiotów dalszych wymienionych w publicznym rejestrze pod adresem /subprocessors. Clozo zawiadamia Klienta co najmniej z 30-dniowym wyprzedzeniem o planowanym dodaniu lub zastąpieniu poprzez mechanizm powiadomień opisany na /subprocessors (subskrypcja e-mail, kanał RSS). Klient może wnieść sprzeciw wobec nowego podmiotu dalszego, kontaktując się z privacy@useclozo.com w okresie zawiadomienia; jeżeli nie zostanie wypracowane akceptowalne rozwiązanie, Klient może rozwiązać niniejsze DPA i subskrypcję bazową. Clozo nakłada na każdy podmiot dalszy te same obowiązki ochrony danych co określone w DPA, w szczególności zapewnienie wystarczających gwarancji wdrożenia odpowiednich TOM.

9. Pomoc w realizacji praw osób, których dane dotyczą (art. 28(3)(e))

Clozo zapewnia endpointy samoobsługowe w panelu Klienta (Ustawienia → Prywatność), aby wspierać Klienta w odpowiadaniu na żądania osób, których dane dotyczą, na podstawie art. 15-22, w tym eksport danych (art. 20), usunięcie (art. 17) z 14-dniowym oknem rezygnacji oraz sprostowanie (art. 16). Dla żądań wykraczających poza endpointy samoobsługowe Clozo zapewnia dodatkową pomoc na wniosek skierowany na privacy@useclozo.com w rozsądnym terminie i bez dodatkowych opłat, w zakresie pobierania lub usuwania danych, do których Klient nie ma dostępu samodzielnie.

10. Zgłaszanie naruszeń (art. 28(3)(f) + art. 33)

Clozo zawiadamia Klienta bez zbędnej zwłoki, w każdym przypadku w ciągu 72 godzin, po powzięciu wiadomości o naruszeniu danych osobowych mającym wpływ na dane Klienta. Zawiadomienie obejmuje co najmniej charakter naruszenia, kategorie i orientacyjną liczbę osób oraz rekordów objętych naruszeniem, prawdopodobne konsekwencje oraz podjęte lub proponowane środki. Clozo współpracuje z obowiązkami Klienta dotyczącymi zgłaszania organowi nadzorczemu i osobom, których dane dotyczą, na podstawie art. 33 i 34.

11. Usunięcie lub zwrot danych osobowych (art. 28(3)(g))

Po zakończeniu subskrypcji Clozo, według wyboru Klienta, usuwa lub zwraca wszystkie dane osobowe po zakończeniu świadczenia usług i usuwa istniejące kopie, chyba że prawo Unii lub państwa członkowskiego wymaga ich przechowywania (np. obowiązek przechowywania faktur podatkowych zgodnie z Dyrektywą VAT 2006/112/WE art. 244-247: minimum 6 lat w NL, 10 lat w DE, 8 lat w PL). W przypadku ustawowego przechowywania Clozo izoluje przechowywane dane, ogranicza dostęp do niezbędnego minimum i trwale usuwa dane po upływie okresu przechowywania.

12. Kontakt i audyty (art. 28(3)(h))

We wszystkich sprawach związanych z DPA, żądaniami audytu lub prawami osób, których dane dotyczą: privacy@useclozo.com. Clozo udostępnia Klientowi wszystkie informacje niezbędne do wykazania zgodności z obowiązkami z art. 28 RODO oraz umożliwia i współdziała przy audytach — w tym inspekcjach — przeprowadzanych przez Klienta lub innego audytora wyznaczonego przez Klienta, z zachowaniem rozsądnego wyprzedzenia (30 dni) i zobowiązania do poufności.