GlobalSell  /  Umowa powierzenia (DPA)

Umowa powierzenia.

Powierzenie przetwarzania danych osobowych (art. 28 RODO). Klient jest administratorem, DODO POINT — podmiotem przetwarzającym dane w jego imieniu.

Data obowiązywania: 19 czerwca 2026 r.

Podmiot przetwarzający: DODO POINT Dominik Dudzik, NIP 8393210223, ul. Wita Stwosza 11A, 76-200 Słupsk

Administrator: Klient (firma korzystająca z GlobalSell, akceptująca niniejszą umowę przy rejestracji).

Regulamin

§1. Przedmiot i charakter umowy

  1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usług GlobalSell.
  2. Przetwarzanie odbywa się w celu: obsługi aplikacji czasu pracy, obsługi wiadomości z marketplace’ów, przechowywania danych w panelu, zapewnienia integracji, wsparcia technicznego, tworzenia kopii zapasowych oraz zapewnienia bezpieczeństwa systemu.
  3. Charakter przetwarzania: operacje w chmurze/SaaS (zbieranie, przechowywanie, porządkowanie, udostępnianie w panelu, usuwanie). Czas trwania: okres obowiązywania umowy o korzystanie z GlobalSell.

§2. Zakres i rodzaj danych

  1. Rodzaje danych oraz kategorie osób określa Załącznik nr 1.
  2. Podmiot przetwarzający nie przetwarza powierzonych danych w celach własnych. Wykorzystanie danych do celów własnych (np. analityka, trenowanie modeli) czyniłoby go administratorem w tym zakresie i wymagałoby odrębnej podstawy prawnej.

§3. Czas trwania

  1. Dane są przetwarzane przez czas trwania umowy o korzystanie z GlobalSell.
  2. Po zakończeniu współpracy dane zostaną usunięte lub zwrócone Administratorowi (zob. §7), chyba że przepisy prawa wymagają dalszego przechowywania.

§4. Obowiązki podmiotu przetwarzającego

  1. przetwarzanie danych wyłącznie na udokumentowane polecenie Administratora (w tym akceptację niniejszej umowy i konfigurację konta),
  2. stosowanie środków bezpieczeństwa opisanych w Załączniku nr 2,
  3. dopuszczanie do danych wyłącznie osób upoważnionych, zobowiązanych do poufności,
  4. wspieranie Administratora w realizacji praw osób, których dane dotyczą,
  5. informowanie Administratora o naruszeniach ochrony danych bez zbędnej zwłoki (zob. §6),
  6. umożliwienie Administratorowi audytu w uzgodnionym zakresie oraz udostępnianie informacji niezbędnych do wykazania zgodności,
  7. korzystanie z podprocesorów wyłącznie zgodnie z §5.

§5. Podprocesorzy

  1. Administrator wyraża ogólną zgodę na korzystanie z podprocesorów niezbędnych do działania GlobalSell. Aktualna lista stanowi Załącznik nr 3.
  2. O zamiarze dodania lub zmiany podprocesora Podmiot przetwarzający poinformuje Administratora z wyprzedzeniem, umożliwiając zgłoszenie uzasadnionego sprzeciwu.
  3. Podmiot przetwarzający nakłada na podprocesorów obowiązki ochrony danych nie mniejsze niż wynikające z niniejszej umowy i odpowiada za ich działania jak za własne.

§6. Naruszenia ochrony danych

  1. Podmiot przetwarzający informuje Administratora o stwierdzonym naruszeniu ochrony danych osobowych bez zbędnej zwłoki.
  2. Informacja zawiera, o ile to możliwe: opis naruszenia, kategorie i przybliżoną liczbę osób/rekordów, możliwe skutki, podjęte i rekomendowane środki zaradcze.

§7. Usunięcie lub zwrot danych

  1. Administrator może w trakcie i po zakończeniu współpracy zażądać eksportu danych. Eksport jest możliwy przez 30 dni od zakończenia umowy.
  2. Po tym okresie dane są usuwane z systemu produkcyjnego (do 30 dni) oraz z kopii zapasowych (maksymalnie do 90 dni), chyba że przepisy prawa wymagają dalszego przechowywania.

§8. Postanowienia końcowe

  1. W sprawach nieuregulowanych stosuje się RODO oraz prawo polskie.
  2. Niniejsza umowa jest zawierana przez akceptację przy rejestracji konta i stanowi integralną część regulaminu GlobalSell.

Załącznik nr 1 — Kategorie danych i osób

Kategorie osób

  • pracownicy i współpracownicy Administratora (moduł czasu pracy),
  • klienci końcowi marketplace oraz osoby kontaktujące się przez marketplace,
  • użytkownicy konta Administratora (właściciel, administrator, osoby upoważnione).

Kategorie danych

  • imię i nazwisko, login/nick,
  • adres e-mail, numer telefonu,
  • numer zamówienia, treść wiadomości i załączniki, dane adresowe występujące w wiadomościach,
  • dane czasu pracy (godziny rozpoczęcia/zakończenia, historia obecności, identyfikator pracownika),
  • dane techniczne: adres IP, historia logowań, identyfikator urządzenia,
  • inne dane wprowadzone lub pobrane przez Administratora.

Jeżeli włączysz funkcje monitorujące (GPS, zrzuty ekranu, aktywność), dopisz je tutaj wprost — to zmienia zakres i obowiązki informacyjne.

Załącznik nr 2 — Środki techniczne i organizacyjne (TOM)

  • Szyfrowanie transmisji — cały ruch przez HTTPS/TLS (certyfikaty Let’s Encrypt) na wszystkich domenach serwisu.
  • Izolacja danych najemców — w module Czas pracy każda firma ma osobny schemat bazy danych (PostgreSQL), w module Wiadomości obowiązuje izolacja wierszowa per najemca; rozdział egzekwowany na poziomie aplikacji i bazy.
  • Hasła — przechowywane wyłącznie w postaci zabezpieczonej (hashowanej), nigdy jako tekst jawny.
  • Uwierzytelnianie dwuskładnikowe (2FA) — dostępne w panelu modułu Wiadomości.
  • Weryfikacja adresu e-mail przy rejestracji oraz ograniczenie automatycznego logowania między aplikacjami do kont potwierdzonych.
  • Tokeny i sesje — ograniczony czas życia tokenów panelu; logowanie jednokrotne (SSO) oparte o podpis HMAC z jednorazowym, krótkożyciowym tokenem.
  • Ograniczenie prób logowania (throttling), w tym wspólny licznik dla procesów aplikacji.
  • Kontrola dostępu i role — uprawnienia użytkowników, ograniczony dostęp administracyjny dostawcy.
  • Nagłówki bezpieczeństwa — m.in. Content-Security-Policy, X-Frame-Options, X-Content-Type-Options.
  • Kopie zapasowe bazy danych oraz rozdzielenie środowisk (izolowane kontenery per usługa).
  • Rejestrowanie zdarzeń — logi bezpieczeństwa i historia logowań.

Środki dobierane odpowiednio do ryzyka (art. 32 RODO) i mogą być rozwijane w miarę rozwoju systemu.

Załącznik nr 3 — Lista podprocesorów

  • Dostawca infrastruktury / hostingu serwerównazwa i kraj — do uzupełnienia (operator serwera, na którym działa GlobalSell).
  • Dostawca poczty transakcyjnej — hosting-home.pl (serwer pocztowy domeny globalsell.pl, wysyłka powiadomień i potwierdzeń e-mail).
  • Operator płatności — Revolut Bank UAB (rozliczenia abonamentu) + ewentualnie Stripe po uruchomieniu.

Lista jest aktualizowana. O zmianach informujemy Administratora z wyprzedzeniem (zob. §5).

Wzór do finalnej weryfikacji prawnej przed udostępnieniem klientom. Pola do uzupełnienia wypełnij rzeczywistymi danymi.