Umowa Powierzenia Przetwarzania Danych Osobowych

Ostatnia aktualizacja: 11 marca 2026

Niniejsza umowa zawierana jest na podstawie art. 28 RODO między Klubem (administratorem danych) a ClubSystem (podmiotem przetwarzającym) z chwilą rejestracji konta. Wersja angielska dostępna jest pod adresem /data-processing-agreement/.

§1. Przedmiot Umowy

Niniejsza umowa reguluje zasady powierzenia przez Klub (dalej: „Administrator") przetwarzania danych osobowych podmiotowi ClubSystem (dalej: „Podmiot Przetwarzający") w związku ze świadczeniem usługi SaaS — systemu zarządzania rezerwacjami stołów bilardowych / sportowych, opisanej w Regulaminie świadczenia usług.

Umowa zawierana jest na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) i wchodzi w życie z chwilą zawarcia umowy o świadczenie usług (tj. ukończenia rejestracji i akceptacji Regulaminu).

Podmiot Przetwarzający: Bartosz Olchówka, ul. Reja 55/54, 50-343 Wrocław, NIP: PL8451894280. Kontakt: contact@clubsystem.app.

§2. Zakres i cel przetwarzania

Cel przetwarzania: Świadczenie Usługi — zarządzanie rezerwacjami stołów, obsługa rejestracji i weryfikacji klientów, przechowywanie historii rezerwacji, wysyłka SMS i e-mail do klientów Administratora.

Rodzaje danych osobowych przetwarzanych w imieniu Administratora:

  • numery telefonów klientów Administratora,
  • imiona i nazwiska klientów Administratora (jeśli podane),
  • adresy e-mail klientów Administratora (jeśli podane),
  • historia rezerwacji (data, godzina, stolik, czas trwania),
  • tymczasowe kody weryfikacyjne SMS.

Dane rejestracyjne właściciela/administratora klubu służące do założenia konta w ClubSystem (imię, nazwisko, e-mail, numer telefonu) są przetwarzane przez ClubSystem w charakterze administratora danych na podstawie Regulaminu świadczenia usług i wykraczają poza zakres niniejszej umowy.

Kategorie osób, których dane dotyczą: klienci końcowi Administratora (osoby rezerwujące stoły) oraz pracownicy i administratorzy Administratora (personel klubu).

Czas trwania przetwarzania: przez czas obowiązywania umowy o świadczenie Usługi, a po jej rozwiązaniu — przez 30 dni w związku z możliwością eksportu danych, następnie niezwłoczne bezpieczne usunięcie (§9).

§3. Obowiązki Podmiotu Przetwarzającego

Podmiot Przetwarzający zobowiązuje się do:

  1. Przetwarzania danych wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego.
  2. Zapewnienia poufności — osoby upoważnione do przetwarzania danych zostaną objęte zobowiązaniem do zachowania tajemnicy.
  3. Wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32 RODO): szyfrowanie w tranzycie i w spoczynku, kontrola dostępu, regularne kopie zapasowe, monitorowanie bezpieczeństwa.
  4. Zarządzania dalszymi podmiotami przetwarzającymi zgodnie z §5.
  5. Pomocy Administratorowi w realizacji praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw).
  6. Pomocy Administratorowi w wywiązaniu się z obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, DPIA, konsultacje z organem nadzorczym).
  7. Udostępnienia wszelkich informacji niezbędnych do wykazania spełnienia obowiązków oraz umożliwienia przeprowadzenia audytów (§8).
  8. Niezwłocznego informowania Administratora, jeśli zdaniem Podmiotu Przetwarzającego wydane polecenie stanowi naruszenie RODO.

§4. Obowiązki Administratora

Administrator zobowiązuje się do:

  1. Korzystania z Usługi zgodnie z Regulaminem i Polityką Prywatności ClubSystem.
  2. Pozyskiwania danych osobowych klientów zgodnie z obowiązującymi przepisami, w szczególności na podstawie odpowiedniej podstawy prawnej (art. 6 RODO).
  3. Realizowania praw osób, których dane dotyczą, za pośrednictwem interfejsu Usługi lub kontaktu z Podmiotem Przetwarzającym.
  4. Informowania klientów (w swojej polityce prywatności) o korzystaniu z ClubSystem jako procesora danych.

§5. Podpowierzenie przetwarzania

Administrator udziela Podmiotowi Przetwarzającemu ogólnej zgody na korzystanie z dalszych podmiotów przetwarzających (podprocesorów) wymienionych poniżej. Podmiot Przetwarzający zobowiązuje się powiadamiać Administratora o planowanych zmianach dotyczących dodania lub zastąpienia podprocesora z co najmniej 14-dniowym wyprzedzeniem.

W przypadku gdy dalszy podmiot przetwarzający nie wywiąże się ze swoich obowiązków w zakresie ochrony danych, Podmiot Przetwarzający pozostaje w pełni odpowiedzialny wobec Administratora za wykonanie obowiązków tego dalszego podmiotu (art. 28 ust. 4 RODO).

Aktualnie zatwierdzone dalsze podmioty przetwarzające (podprocesory):

Podmiot Kraj Cel Podstawa transferu
Hetzner Online GmbH Niemcy (UE) Hosting serwera i bazy danych Nie wymagana (EOG)
P4 Sp. z o.o. (SMSAPI.pl) Polska (UE) Wysyłka SMS Nie wymagana (EOG)
Resend, Inc. USA E-mail transakcyjny DPF / SCC (art. 46 RODO)
Functional Software, Inc. (Sentry) USA Monitoring błędów (bez PII) DPF / SCC (art. 46 RODO)
Netlify, Inc. USA Hosting frontendu, CDN DPF / SCC (art. 46 RODO)

W odniesieniu do podmiotów z USA transfer danych odbywa się na podstawie programu EU–US Data Privacy Framework (DPF) lub Standardowych Klauzul Umownych (SCC).

§6. Naruszenia ochrony danych

Podmiot Przetwarzający zobowiązuje się niezwłocznie powiadomić Administratora — najpóźniej w ciągu 48 godzin od wykrycia — o każdym naruszeniu ochrony danych osobowych (art. 4 pkt 12 RODO). Termin 48-godzinny zapewnia Administratorowi wystarczający czas na spełnienie własnego obowiązku zgłoszenia naruszenia do UODO (72h).

Powiadomienie będzie zawierać co najmniej:

  • opis charakteru naruszenia,
  • kategorie i przybliżoną liczbę osób, których naruszenie dotyczy,
  • możliwe konsekwencje naruszenia,
  • środki zastosowane lub proponowane w celu usunięcia naruszenia.

Zgłoszenia dotyczące naruszeń i incydentów bezpieczeństwa należy kierować na adres: contact@clubsystem.app.

Administrator jest odpowiedzialny za ocenę, czy naruszenie wymaga zgłoszenia do UODO i/lub powiadomienia osób, których dotyczy.

§7. Prawa osób, których dane dotyczą

Podmiot Przetwarzający niezwłocznie przekazuje Administratorowi wszelkie żądania kierowane bezpośrednio do Podmiotu Przetwarzającego przez osoby, których dane dotyczą, i nie odpowiada na nie samodzielnie bez upoważnienia Administratora.

Podmiot Przetwarzający udostępnia w interfejsie Usługi narzędzia umożliwiające Administratorowi samodzielną realizację praw osób, w tym eksport i usunięcie danych.

§8. Audyty i inspekcje

Administrator ma prawo do przeprowadzania audytów i inspekcji dotyczących przestrzegania niniejszej umowy przez Podmiot Przetwarzający, nie częściej niż raz w roku, z co najmniej 14-dniowym uprzednim powiadomieniem. Audyt przeprowadzany jest na koszt Administratora, chyba że wykaże naruszenia przez Podmiot Przetwarzający.

§9. Usunięcie lub zwrot danych po zakończeniu umowy

Po rozwiązaniu lub wygaśnięciu umowy o świadczenie Usługi Administrator ma 30 dni na dokonanie wyboru między pobraniem danych (eksport CSV/JSON z panelu administracyjnego) a żądaniem ich niezwłocznego usunięcia. W razie braku pisemnej dyspozycji w tym terminie Podmiot Przetwarzający przystępuje do usunięcia danych.

Po upływie 30-dniowego okresu Podmiot Przetwarzający bezpowrotnie usuwa wszystkie dane Administratora i jego klientów — w tym kopie u podprocesorów — chyba że przepisy prawa wymagają dalszego przechowywania. Na żądanie Podmiot Przetwarzający potwierdzi dokonanie usunięcia w terminie 14 dni.

§10. Odpowiedzialność

Podmiot Przetwarzający ponosi odpowiedzialność za szkody spowodowane przetwarzaniem wyłącznie wtedy, gdy nie dopełnił obowiązków nałożonych przez RODO i niniejszą umowę lub działał poza udokumentowanymi instrukcjami Administratora lub wbrew nim.

Odpowiedzialność za szkody pośrednie i następcze (w tym utracone korzyści) jest wyłączona między stronami, z wyjątkiem przypadków umyślnego działania lub rażącego niedbalstwa. Całkowita łączna odpowiedzialność Podmiotu Przetwarzającego ograniczona jest do wysokości wynagrodzenia netto zapłaconego przez Administratora w ciągu 12 miesięcy poprzedzających zdarzenie.

Ograniczenia te nie mają zastosowania do odpowiedzialności na podstawie art. 82 RODO wobec osób, których dane dotyczą, ani do odpowiedzialności wynikającej z bezwzględnie obowiązujących przepisów prawa.

§11. Postanowienia końcowe

Niniejsza umowa podlega prawu polskiemu. W sprawach nieuregulowanych stosuje się przepisy Kodeksu cywilnego, RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Sądem właściwym jest sąd właściwy dla siedziby Podmiotu Przetwarzającego (Wrocław).

Zmiany niniejszej umowy wymagają formy pisemnej lub elektronicznej, z wyłączeniem aktualizacji listy podprocesorów (§5), o których Podmiot Przetwarzający powiadamia z 14-dniowym wyprzedzeniem.

Wersja angielska umowy dostępna jest pod adresem /data-processing-agreement/.