Umowa o przetwarzanie danych
Ostatnia aktualizacja: Kwiecień 2026
Niniejsza Umowa o przetwarzanie danych (DPA) reguluje sposób, w jaki przetwarzamy i chronimy dane Twoich klientów jako zaufany podmiot przetwarzający.
Strony umowy
Niniejsza DPA stanowi część Warunków Usługi między BINARY BRAIN TECHNOLOGIES SP. Z O.O. (NIP: 7133142056, REGON: 54334690400000, KRS: 0001207918), z siedzibą w Polsce, z witryną https://binarybrain.dev ("Podmiot przetwarzający", "my") a klientem ("Administrator", "Ty") korzystającym z Convertly.
1. Definicje
"Dane osobowe" oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. "Przetwarzanie" oznacza każdą operację wykonywaną na danych osobowych. "Podwykonawca przetwarzania" oznacza każdą stronę trzecią zaangażowaną przez nas do przetwarzania danych osobowych. "Osoba, której dane dotyczą" oznacza osobę, której dane osobowe dotyczą. "RODO" oznacza Rozporządzenie (UE) 2016/679.
2. Zakres i cel
Przetwarzamy dane osobowe w Twoim imieniu w celu świadczenia usługi Convertly. Kategorie danych: dane kontaktowe respondentów quizów, odpowiedzi na quizy, dane śledzenia zaangażowania. Osoby, których dane dotyczą: Twoi respondenci quizów (leady), członkowie Twojego zespołu. Czynności przetwarzania: przechowywanie, analityka, powiadomienia email, renderowanie quizów, zarządzanie leadami.
3. Obowiązki podmiotu przetwarzającego
Zobowiązujemy się: przetwarzać dane osobowe wyłącznie na podstawie Twoich udokumentowanych instrukcji; zapewnić, że osoby upoważnione do przetwarzania danych są zobowiązane do zachowania poufności; wdrożyć odpowiednie techniczne i organizacyjne środki bezpieczeństwa; pomagać Ci w realizacji praw osób, których dane dotyczą; usunąć lub zwrócić dane osobowe po zakończeniu usługi; udostępnić wszelkie informacje niezbędne do wykazania zgodności; umożliwić i uczestniczyć w audytach przeprowadzanych przez Ciebie lub Twojego audytora.
4. Środki bezpieczeństwa
Wdrażamy następujące środki bezpieczeństwa: szyfrowanie w spoczynku (AES-256 przez Supabase); szyfrowanie w tranzycie (TLS 1.2+); bezpieczeństwo na poziomie wierszy dla izolacji danych przestrzeni roboczej; regularne przeglądy dostępu i aktualizacje bezpieczeństwa; procedury wykrywania i reagowania na incydenty; automatyczne kopie zapasowe z odzyskiwaniem do punktu w czasie.
5. Podwykonawcy przetwarzania
Aktualni podwykonawcy przetwarzania: Supabase Inc. (UE) — baza danych, uwierzytelnianie, przechowywanie plików; Vercel Inc. (Global, UE edge) — hosting aplikacji; Paddle.com Market Ltd (UK/UE) — przetwarzanie płatności; Resend Inc. (US, SCC obowiązują) — wysyłka emaili transakcyjnych; PostHog Inc. (UE) — analityka produktowa; Sentry (US, SCC obowiązują) — monitorowanie błędów; Upstash Inc. (UE) — ograniczanie szybkości zapytań i cache. Powiadomimy Cię przed dodaniem lub zastąpieniem podwykonawców przetwarzania. Możesz zgłosić sprzeciw w ciągu 30 dni.
6. Międzynarodowe transfery danych
Główne przetwarzanie danych odbywa się w UE (Supabase region UE). Dane są przekazywane poza UE/EOG do: Resend Inc. (US), Sentry (US) i Vercel Inc. (globalne CDN). Dla wszystkich transferów międzynarodowych zapewniamy odpowiednie zabezpieczenia: Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską; decyzje o adekwatności tam, gdzie mają zastosowanie.
7. Prawa osób, których dane dotyczą
Pomożemy Ci w odpowiadaniu na żądania osób, których dane dotyczą, w tym: prawo dostępu (Art. 15 RODO); prawo do sprostowania (Art. 16); prawo do usunięcia (Art. 17); prawo do ograniczenia (Art. 18); prawo do przenoszenia danych (Art. 20); prawo do sprzeciwu (Art. 21). Czas odpowiedzi: w ciągu 72 godzin od otrzymania Twojego żądania.
8. Powiadomienie o naruszeniu danych
Powiadomimy Cię o każdym naruszeniu danych osobowych bez zbędnej zwłoki, nie później niż 48 godzin po uzyskaniu informacji. Powiadomienie będzie zawierać: charakter naruszenia, kategorie danych, których dotyczy, przybliżoną liczbę osób, których dane dotyczą, prawdopodobne konsekwencje, podjęte środki.
9. Przechowywanie i usuwanie danych
Przechowujemy dane osobowe przez okres obowiązywania umowy o świadczenie usług. Po zakończeniu: dane są usuwane w ciągu 30 dni. Dane śledzenia/analityki: automatycznie usuwane po 2 latach. Kopie zapasowe: usuwane w ciągu 90 dni od usunięcia konta.
10. Prawa do audytu
Możesz przeprowadzić audyt naszej zgodności z niniejszą DPA raz w roku. Audyty wymagają 30-dniowego pisemnego powiadomienia. Zapewnimy rozsądną współpracę i dostęp do odpowiedniej dokumentacji.
11. Odpowiedzialność
Nasza odpowiedzialność w ramach niniejszej DPA podlega ograniczeniom określonym w Warunkach Usługi. Każda ze stron ponosi odpowiedzialność za szkody spowodowane przetwarzaniem naruszającym RODO.
12. Okres obowiązywania i rozwiązanie
Niniejsza DPA obowiązuje przez okres korzystania z Convertly. Zobowiązania dotyczące usunięcia danych obowiązują po rozwiązaniu umowy.
Kontakt
W sprawach dotyczących ochrony danych skontaktuj się z nami pod adresem support@convertly.buzz