Umowa Przetwarzania Danych
Umowa Powierzenia Przetwarzania Danych Osobowych (DPA) zgodnie z art. 28 RODO
Data wejścia w życie: 1 marca 2026 r.Niniejsza Umowa Przetwarzania Danych („DPA”) stanowi integralną część Regulaminu zawartego pomiędzy Klientem („Administratorem”) a Bennovate sp. z o.o. („Podmiotem przetwarzającym”, „Avantwerk”). Określa ona zasady przetwarzania danych osobowych przez Avantwerk w imieniu Administratora w związku z korzystaniem z Platformy Avantwerk.
Spis treści
1. Definicje
Pojęcia użyte w niniejszej DPA mają znaczenie nadane im w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz w Regulaminie. Dodatkowo:
| Pojęcie | Definicja |
|---|---|
| Administrator | Klient korzystający z Platformy Avantwerk, który określa cele i sposoby przetwarzania danych osobowych swoich kontaktów i klientów. |
| Podmiot przetwarzający | Bennovate sp. z o.o. (prowadząca działalność pod marką Avantwerk), która przetwarza dane osobowe w imieniu Administratora. |
| Podwykonawca przetwarzania | Podmiot trzeci zaangażowany przez Avantwerk do przetwarzania danych osobowych w imieniu Administratora. |
| Dane osobowe | Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przetwarzane za pośrednictwem Platformy. |
| Naruszenie ochrony danych | Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych. |
2. Przedmiot i zakres przetwarzania
2.1 Przedmiot
Niniejsza DPA reguluje przetwarzanie danych osobowych przez Avantwerk w imieniu Administratora w związku ze świadczeniem Usług za pośrednictwem Platformy Avantwerk.
2.2 Charakter i cel przetwarzania
Dane osobowe są przetwarzane w celu świadczenia usług określonych w Regulaminie, w tym:
- Zarządzanie relacjami z klientami (CRM)
- Automatyzacja marketingu (e-mail, SMS, media społecznościowe)
- Komunikacja wielokanałowa (chat, VoIP, ujednolicona skrzynka)
- Analityka i raportowanie biznesowe
- Tworzenie i hosting stron internetowych
- Funkcje oparte na sztucznej inteligencji (chatboty, rekomendacje)
2.3 Kategorie osób, których dane dotyczą
- Klienci i potencjalni klienci Administratora
- Kontakty biznesowe i subskrybenci Administratora
- Pracownicy i współpracownicy Administratora (jako użytkownicy Platformy)
- Osoby odwiedzające strony internetowe Administratora hostowane na Platformie
2.4 Rodzaje danych osobowych
- Dane identyfikacyjne: imię, nazwisko, nazwa firmy
- Dane kontaktowe: adres e-mail, numer telefonu, adres pocztowy
- Dane transakcyjne: historia zakupów, faktury, płatności
- Dane komunikacyjne: treść wiadomości, historia rozmów
- Dane techniczne: adres IP, dane przeglądarki, logi aktywności
- Dane marketingowe: preferencje, zgody, historia interakcji
Ważne: Platforma nie jest przeznaczona do przetwarzania szczególnych kategorii danych osobowych (art. 9 RODO), takich jak dane dotyczące zdrowia, orientacji seksualnej, przekonań religijnych lub przynależności związkowej. Administrator nie powinien wprowadzać tego rodzaju danych do Platformy.
3. Obowiązki Podmiotu przetwarzającego
Avantwerk jako Podmiot przetwarzający zobowiązuje się do:
- Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, w tym w odniesieniu do transferów danych do państw trzecich
- Zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi zachowania poufności
- Podjęcia wszelkich środków technicznych i organizacyjnych wymaganych na mocy art. 32 RODO
- Przestrzegania warunków korzystania z usług podwykonawców przetwarzania (art. 28 ust. 2 i 4 RODO)
- Pomagania Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą
- Pomagania Administratorowi w zapewnieniu zgodności z art. 32–36 RODO
- Usunięcia lub zwrotu danych osobowych po zakończeniu świadczenia Usług, zgodnie z wyborem Administratora
- Udostępniania Administratorowi informacji niezbędnych do wykazania spełnienia obowiązków
4. Obowiązki Administratora
Administrator zobowiązuje się do:
- Zapewnienia zgodności z prawem podstawy przetwarzania danych osobowych (zgoda, umowa, prawnie uzasadniony interes itp.)
- Informowania osób, których dane dotyczą, o przetwarzaniu ich danych zgodnie z art. 13 i 14 RODO
- Zapewnienia, że instrukcje przetwarzania są zgodne z obowiązującymi przepisami o ochronie danych
- Wdrożenia odpowiednich środków bezpieczeństwa po stronie użytkowników (silne hasła, MFA, kontrola dostępu)
- Nieoprowadzania do Platformy szczególnych kategorii danych osobowych (art. 9 RODO)
5. Środki techniczne i organizacyjne
Avantwerk wdraża i utrzymuje następujące środki bezpieczeństwa zgodnie z art. 32 RODO:
Szyfrowanie
AES-256 w spoczynku, TLS 1.2+ w transmisji. Pełne szyfrowanie połączeń z bazą danych.
Kontrola dostępu
Uprawnienia oparte na rolach (RBAC), uwierzytelnianie wieloskładnikowe (MFA), zasada minimalnych uprawnień.
Kopie zapasowe
Automatyczne codzienne kopie zapasowe, szyfrowane, georedundantne. 30-dniowa retencja.
Monitoring
Monitoring bezpieczeństwa 24/7, wykrywanie zagrożeń, dzienniki audytu aktywności.
Infrastruktura
Hosting na infrastrukturze z certyfikatami SOC 2 Type II i ISO 27001. Przechowywanie danych w UE.
Zarządzanie incydentami
Formalne procedury reagowania na incydenty, regularne testy penetracyjne i oceny podatności.
6. Podwykonawcy przetwarzania (sub-procesory)
6.1 Zgoda ogólna
Administrator wyraża ogólną pisemną zgodę na korzystanie przez Avantwerk z podwykonawców przetwarzania wymienionych poniżej. Avantwerk zawiera z każdym podwykonawcą umowę zapewniającą poziom ochrony danych nie niższy niż wynikający z niniejszej DPA.
6.2 Aktualna lista podwykonawców
| Podwykonawca | Podmiot prawny | Siedziba | Cel przetwarzania |
|---|---|---|---|
| HighLevel | GoHighLevel Inc. | USA | Infrastruktura bazowa platformy SaaS (CRM, automatyzacja, komunikacja) |
| Google Cloud Platform | Google LLC | USA | Hosting infrastruktury chmurowej, przechowywanie danych, obliczenia |
| Amazon Web Services | Amazon Web Services Inc. | USA | Dodatkowe usługi chmurowe, przechowywanie danych, sieci dostarczania treści |
| Mailgun | Sinch AB | Szwecja | Dostarczanie wiadomości e-mail transakcyjnych i marketingowych |
| Twilio | Twilio Inc. | USA | Usługi SMS, komunikacja głosowa (VoIP) |
| Stripe | Stripe Inc. | USA | Przetwarzanie płatności, zarządzanie subskrypcjami |
| Cloudflare | Cloudflare Inc. | USA | CDN, ochrona DDoS, firewall aplikacji webowych, zarządzanie DNS |
6.3 Powiadomienie o zmianach
O planowanym dodaniu lub zmianie podwykonawcy przetwarzania Avantwerk powiadomi Administratora z co najmniej 30-dniowym wyprzedzeniem. Administrator ma prawo zgłosić uzasadniony sprzeciw w ciągu 14 dni od powiadomienia. W przypadku braku sprzeciwu uznaje się, że Administrator zaakceptował zmianę.
Pełna i aktualna lista podwykonawców przetwarzania dostępna jest na stronie Podwykonawcy.
7. Transfery międzynarodowe danych
Niektórzy podwykonawcy przetwarzania mają siedzibę poza Europejskim Obszarem Gospodarczym (EOG). Aby zapewnić odpowiednią ochronę danych przy transferach międzynarodowych, Avantwerk stosuje:
7.1 Standardowe klauzule umowne (SCC)
Zatwierdzone przez Komisję Europejską Standardowe Klauzule Umowne (decyzja wykonawcza EU 2021/914) są włączone do umów z podwykonawcami spoza EOG.
7.2 Dodatkowe zabezpieczenia
- Ocena wpływu transferu (Transfer Impact Assessment) dla każdego podwykonawcy spoza EOG
- Szyfrowanie danych w tranzycie i w spoczynku
- Minimalizacja danych przekazywanych poza EOG
- Monitorowanie zmian legislacyjnych w krajach docelowych
7.3 UK International Data Transfer Addendum
W przypadku transferów danych z Wielkiej Brytanii stosujemy Addendum ICO do Międzynarodowego Transferu Danych, zapewniając zgodność z wymogami UK GDPR.
8. Prawa osób, których dane dotyczą
Avantwerk pomaga Administratorowi w realizacji praw osób, których dane dotyczą, zgodnie z art. 15–22 RODO:
- Prawo dostępu (art. 15) – eksport danych z Platformy
- Prawo do sprostowania (art. 16) – edycja danych kontaktowych w CRM
- Prawo do usunięcia (art. 17) – usunięcie kontaktów i powiązanych danych
- Prawo do ograniczenia przetwarzania (art. 18) – zawieszenie aktywności marketingowej
- Prawo do przenoszenia danych (art. 20) – eksport w formacie CSV/JSON
- Prawo do sprzeciwu (art. 21) – mechanizmy opt-out w komunikacji
Wbudowane narzędzia: Platforma Avantwerk udostępnia wbudowane funkcje do zarządzania wnioskami osób, których dane dotyczą. Administrator może wyszukiwać, eksportować, korygować lub usuwać dane kontaktowe bezpośrednio z pulpitu.
W przypadku wniosków, których realizacja wymaga naszej pomocy, Administrator powinien skontaktować się z nami na adres [email protected]. Odpowiemy w ciągu 5 dni roboczych.
9. Naruszenia ochrony danych
9.1 Powiadomienie
Avantwerk powiadomi Administratora o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od powzięcia wiadomości o naruszeniu.
9.2 Treść powiadomienia
Powiadomienie zawiera:
- Charakter naruszenia, w tym kategorie i przybliżoną liczbę osób, których dane dotyczą
- Dane kontaktowe Inspektora Ochrony Danych lub innego punktu kontaktowego
- Prawdopodobne konsekwencje naruszenia
- Środki podjęte lub proponowane w celu zarządzenia naruszeniem i złagodzenia jego skutków
9.3 Współpraca
Avantwerk będzie współpracować z Administratorem w zakresie dochodzenia i łagodzenia skutków naruszenia, a także dostarczy informacje niezbędne do spełnienia przez Administratora obowiązków powiadomienia organów nadzorczych (art. 33 RODO) i osób, których dane dotyczą (art. 34 RODO).
10. Audyty i inspekcje
Avantwerk udostępni Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO oraz umożliwi przeprowadzenie audytów.
10.1 Audyty dokumentacyjne
Na żądanie Administratora, Avantwerk udostępni aktualne raporty z audytów bezpieczeństwa, certyfikaty zgodności oraz wyniki testów penetracyjnych (z zastrzeżeniem poufności informacji technicznych).
10.2 Audyty na miejscu
Administrator może przeprowadzić audyt na miejscu (lub zlecić go niezależnemu, wykwalifikowanemu audytorowi) z zachowaniem 30-dniowego wyprzedzenia. Audyt nie może zakłócać normalnej działalności operacyjnej Avantwerk. Koszty audytu ponosi Administrator.
11. Czas trwania i usunięcie danych
11.1 Czas trwania
Niniejsza DPA obowiązuje przez cały okres świadczenia Usług na rzecz Administratora i wygasa wraz z zakończeniem świadczenia Usług.
11.2 Usunięcie danych
Po zakończeniu świadczenia Usług:
- Administrator ma 30 dni na eksport swoich danych z Platformy
- Po upływie okresu eksportu Avantwerk usunie wszystkie dane osobowe w ciągu 90 dni
- Usunięcie obejmuje również kopie zapasowe, z zastrzeżeniem technicznie uzasadnionych terminów rotacji kopii
- Na żądanie Administratora, Avantwerk potwierdzi usunięcie danych na piśmie
11.3 Wyjątki
Avantwerk może zachować dane osobowe w zakresie wymaganym przez obowiązujące przepisy prawa (np. dane księgowe, podatkowe). W takim przypadku Avantwerk poinformuje Administratora o zakresie i podstawie prawnej dalszego przechowywania.
12. Odpowiedzialność
Odpowiedzialność stron wynikająca z niniejszej DPA podlega ograniczeniom określonym w Regulaminie. Każda strona odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO zgodnie z art. 82 RODO.
Art. 82 RODO: Każdy administrator lub podmiot przetwarzający, który uczestniczył w przetwarzaniu, ponosi odpowiedzialność za szkodę spowodowaną przetwarzaniem niezgodnym z RODO. Podmiot przetwarzający odpowiada za szkodę tylko wtedy, gdy nie dopełnił obowiązków nałożonych na niego przez RODO lub gdy działał poza zgodnymi z prawem instrukcjami administratora.
13. Postanowienia końcowe
13.1 Pierwszeństwo
W przypadku sprzeczności między niniejszą DPA a Regulaminem, w zakresie ochrony danych osobowych pierwszeństwo mają postanowienia niniejszej DPA.
13.2 Zmiany
Avantwerk może aktualizować niniejszą DPA w celu zapewnienia zgodności ze zmianami RODO lub innymi przepisami o ochronie danych. O istotnych zmianach Avantwerk powiadomi Administratora z co najmniej 30-dniowym wyprzedzeniem.
13.3 Prawo właściwe
Niniejsza DPA podlega prawu polskiemu. Spory rozstrzygane są przez sądy właściwe w Łodzi, Polska.
13.4 Inspektor Ochrony Danych
Inspektor Ochrony Danych (DPO): [email protected]
Prywatność: [email protected]
Spółka: Bennovate sp. z o.o.
Adres: ul. Christiana Andersena 25, 94-118 Łódź, Polska
14. Kontakt
W sprawach związanych z niniejszą Umową Przetwarzania Danych prosimy o kontakt:
Kontakt ds. ochrony danych
Nasz zespół ds. ochrony danych jest do Państwa dyspozycji.
Automate, Innovate, Accelerate.
Powered by Bennovate
Platforma
Zasoby
Firma
© 2026. Avantwerk. All rights reserved.
"Bennovate presents Avantwerk — The All-in-One AI Business Platform"