Umowa Powierzenia Przetwarzania Danych (DPA)
Wersja: 2.0 • Data obowiązywania: 1 marca 2026 r.
1. Strony umowy
Administrator danych: Użytkownik usługi PunchlineROI
Podmiot przetwarzający:
PunchlineROI – Lachezar Mihaylov
Rivierdijk 3372BV, Hardinxveld‑Giessendam, Holandia
NIP: 7011287658
Email: impact@punchlineroi.com
Strona: https://punchlineroi.com
2. Przedmiot powierzenia
Przedmiotem niniejszej Umowy jest powierzenie Podmiotowi przetwarzającemu danych osobowych w związku ze świadczeniem usługi PunchlineROI – Robot KSeF.
3. Zakres i cel przetwarzania
3.1 Zakres danych
- dane identyfikacyjne kontrahentów (NIP, nazwa, adres),
- dane zawarte na fakturach i dokumentach księgowych,
- dane użytkowników systemu (imię, nazwisko, email).
3.2 Cel przetwarzania
- automatyczne pobieranie faktur z KSeF,
- walidacja dokumentów,
- wykrywanie duplikatów i błędów,
- generowanie powiadomień,
- prezentacja danych w Dashboardzie,
- tworzenie logów i historii operacji.
4. Obowiązki Podmiotu przetwarzającego
- przetwarzanie danych wyłącznie na polecenie Administratora,
- zapewnienie poufności danych,
- stosowanie odpowiednich środków technicznych i organizacyjnych,
- wspieranie Administratora w realizacji praw osób, których dane dotyczą,
- pomoc w obsłudze naruszeń ochrony danych.
5. Środki bezpieczeństwa
- szyfrowanie transmisji danych (TLS 1.2/1.3),
- szyfrowanie danych w spoczynku (AES-256 at-rest) dla wrażliwych danych,
- uwierzytelnianie wieloskładnikowe (MFA) dla dostępu administracyjnego,
- kontrola dostępu oparta na rolach (RBAC),
- logowanie zdarzeń i audyt (logi niemodyfikowalne),
- regularne kopie zapasowe z testem odtworzenia,
- separacja środowisk (produkcyjne / testowe / staging),
- monitoring ciągłości działania i alerty bezpieczeństwa.
6. Zakaz trenowania modeli AI
6.1. Podmiot przetwarzający (PunchlineROI) zobowiązuje podprocesorów świadczących usługi AI — w szczególności Google LLC (Gemini AI API) — do nieużywania danych osobowych i danych faktur przekazanych przez Administratora do trenowania, dostrajania (fine-tuning) ani ulepszania publicznych lub ogólnodostępnych modeli AI.
6.2. Dane przekazywane do API Gemini są przetwarzane wyłącznie w celu realizacji bieżącego zapytania (inference/completion) i nie są przechowywane przez Google LLC dłużej niż jest to niezbędne do realizacji tego zapytania, zgodnie z Google Cloud Data Processing Addendum (CDPA).
6.3. Administrator może zażądać od Podmiotu przetwarzającego potwierdzenia aktualności zobowiązania, o którym mowa w ust. 6.1, w terminie 14 dni roboczych od złożenia żądania.
7. Szyfrowanie tokenów KSeF i kluczy prywatnych
7.1. Tokeny sesyjne KSeF (wydawane przez Ministerstwo Finansów) są szyfrowane w spoczynku (at-rest) algorytmem AES-256. Klucze szyfrujące przechowywane są oddzielnie od zaszyfrowanych danych, z dostępem ograniczonym do procesu robota.
7.2. Klucze prywatne RSA (używane do komunikacji z KSeF) przechowywane
są w dedykowanym katalogu .keys/, montowanym do kontenera Docker jako
wolumin tylko do odczytu (read-only). Katalog nie jest dostępny z
zewnątrz — brak ekspozycji przez żaden punkt końcowy API.
7.3. Podmiot przetwarzający zobowiązuje się do niezwłocznej rotacji kluczy i tokenów w przypadku podejrzenia ich kompromitacji, nie później niż w ciągu 4 godzin od wykrycia incydentu.
8. Podpowierzenie danych
8.1. Administrator wyraża ogólną zgodę na podpowierzenie danych podprocesorom wskazanym w Polityce Prywatności (sekcja 7 — Podprocesorzy).
8.2. O każdej zmianie listy podprocesorów (dodaniu lub zastąpieniu) Podmiot przetwarzający poinformuje Administratora z co najmniej 14-dniowym wyprzedzeniem, co umożliwi Administratorowi wyrażenie sprzeciwu. Brak sprzeciwu w tym terminie uznaje się za zgodę.
8.3. Podmiot przetwarzający nakłada na podprocesorów co najmniej takie same obowiązki w zakresie ochrony danych jak wynikające z niniejszej Umowy (art. 28 ust. 4 RODO).
9. Czas trwania umowy
Umowa obowiązuje przez cały okres świadczenia usługi PunchlineROI – Robot KSeF.
10. Zakończenie przetwarzania
Po zakończeniu świadczenia Usługi Podmiot przetwarzający:
- usuwa dane osobowe w terminie 30 dni od zakończenia umowy, lub
- zwraca je Administratorowi w formacie JSON/CSV – na jego pisemne żądanie,
z wyjątkiem danych, których dalsze przechowywanie wymagane jest przez przepisy prawa (np. dane podatkowe przez 5 lat). Podmiot przetwarzający potwierdza usunięcie danych stosownym oświadczeniem.
11. Naruszenia ochrony danych
W przypadku stwierdzenia naruszenia ochrony danych osobowych Podmiot przetwarzający zobowiązuje się do niezwłocznego powiadomienia Administratora, nie później niż w ciągu 24 godzin od wykrycia naruszenia (art. 33 ust. 2 RODO). Powiadomienie zawiera co najmniej: opis zdarzenia, kategorie i przybliżoną liczbę osób i rekordów, prawdopodobne konsekwencje oraz podjęte środki zaradcze.
12. Postanowienia końcowe
Niniejsza Umowa stanowi załącznik do Regulaminu lub odrębnej umowy głównej zawartej z Administratorem. W sprawach nieuregulowanych stosuje się przepisy RODO oraz prawo holenderskie. Wszelkie zmiany Umowy wymagają formy pisemnej lub elektronicznej pod rygorem nieważności.