PMBInvoice Strona główna
Język dokumentu / Document language / Sprache:

Umowa powierzenia przetwarzania danych (DPA)

Wersja 1.0 • Obowiązuje od 2026-05-18

Niniejszy dokument stanowi Umowę powierzenia przetwarzania danych osobowych ("DPA") zawartą między PMB Proud GmbH i.G. (TODO — ulica i numer, TODO TODO — miasto, Deutschland) ("Procesor") a Klientem korzystającym z usługi PMB Invoice ("Administrator"). DPA wchodzi w życie z chwilą zaakceptowania Regulaminu przy rejestracji Konta.

Niniejsza umowa jest oparta o art. 28 RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.).

1. Przedmiot powierzenia

Procesor przetwarza dane osobowe wyłącznie w celu świadczenia Usługi PMB Invoice na rzecz Administratora, zgodnie z udokumentowanymi instrukcjami Administratora (przekazywanymi poprzez interfejs Usługi).

2. Czas trwania

DPA obowiązuje przez czas trwania Umowy o świadczenie Usługi i wygasa wraz z nią. Po wygaśnięciu Procesor usuwa lub zwraca dane Administratora w terminie 30 dni (z zastrzeżeniem obowiązków przechowywania wynikających z prawa podatkowego — 5/10 lat).

3. Charakter i cel przetwarzania

  • Wystawianie i przechowywanie faktur VAT
  • Wysyłka faktur drogą elektroniczną
  • Generowanie e-faktur (KSeF, XRechnung, PEPPOL, ZUGFeRD)
  • Walidacja numerów VAT-UE
  • Eksport do systemów księgowych
  • Doradztwo podatkowe AI (na żądanie Administratora — patrz Polityka AI)

4. Kategorie osób, których dane dotyczą

  • Klienci końcowi Administratora (osoby fizyczne i kontakty firmowe)
  • Pracownicy / współpracownicy Administratora używający systemu

5. Kategorie danych

  • Dane identyfikacyjne: imię, nazwisko, nazwa firmy
  • Dane kontaktowe: adres, e-mail, telefon
  • Dane podatkowe: NIP, VAT-UE, REGON
  • Dane finansowe: numery rachunków bankowych, kwoty faktur, historia płatności
  • Dane techniczne: IP, czas dostępu, audit log

6. Obowiązki Procesora

Procesor zobowiązuje się do:

  • Przetwarzania danych wyłącznie zgodnie z udokumentowanymi instrukcjami Administratora
  • Zapewnienia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności
  • Wdrożenia środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa (art. 32 RODO):
    • Szyfrowanie w transit (TLS 1.3) i at rest (AES-256)
    • Multi-tenant izolacja (Postgres Row Level Security)
    • Audit log każdej operacji
    • Regularne backupy (codziennie, retencja 30 dni)
    • Kontrola dostępu (JWT, role-based)
    • Penetration tests roczne
  • Pomocy Administratorowi w realizacji praw osób, których dane dotyczą (art. 12-23 RODO)
  • Zgłaszania naruszeń ochrony danych w terminie 72 godzin od ich wykrycia
  • Udostępniania na żądanie informacji potwierdzających realizację obowiązków oraz audytów

7. Podprzetwarzający (art. 28 ust. 2 RODO)

Administrator wyraża zgodę na korzystanie przez Procesora z następujących podprzetwarzających:

NazwaFunkcjaLokalizacja / mechanizm transferu
Supabase Inc.Baza danych PostgreSQL, autoryzacja, storage plikówEU (Frankfurt am Main) — Region eu-central-1
Railway Corp.Hosting API (Node.js)EU
Vercel Inc.Hosting frontendu Next.js, CDNEU / Global edge
Anthropic PBCModel AI Claude — funkcja "Doradca AI" i parsowanie głosowych dyktandUSA — przekazanie na podstawie SCC (Standard Contractual Clauses)
Stripe Inc.Przetwarzanie płatności subskrypcjiIE (Stripe Payments Europe Ltd.)
Resend / PostmarkWysyłka emaili (powiadomienia, faktury PDF jako załącznik)EU

Procesor informuje Administratora o planowanych zmianach z 30-dniowym wyprzedzeniem. Administrator może wnieść sprzeciw — w takim przypadku ma prawo wypowiedzieć Umowę.

8. Prawa osób, których dane dotyczą

Procesor wspomaga Administratora w realizacji żądań osób (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie). Eksport danych dostępny w panelu Klienta. W razie żądania bezpośredniego do Procesora — przekazujemy Administratorowi w ciągu 5 dni roboczych.

9. Naruszenia danych

Procesor zgłasza naruszenia w terminie do 72h od wykrycia, na adres e-mail wskazany w panelu Konta. Zgłoszenie zawiera opis naruszenia, kategorie danych, liczbę osób, możliwe skutki i podjęte środki naprawcze.

10. Audyt

Administrator (Plan Pro / Enterprise) ma prawo do audytu Procesora raz w roku, po uprzednim 30-dniowym powiadomieniu. Procesor udostępnia certyfikaty (ISO 27001 — w realizacji), raporty pen-test i odpowiada na audytowe pytania.

11. Zwrot lub usunięcie danych

Po wygaśnięciu Umowy Procesor — według wyboru Administratora — usuwa lub zwraca dane w terminie 30 dni, chyba że prawo Unii lub państwa członkowskiego nakazuje przechowywanie.

12. Odpowiedzialność

Każda strona ponosi odpowiedzialność za swoje naruszenia obowiązków wynikających z RODO. Łączna odpowiedzialność Procesora ograniczona jest do wysokości opłat uiszczonych za Usługę w okresie 12 miesięcy poprzedzających zdarzenie.

13. Rozstrzyganie sporów

Prawo właściwe: Niemieckie / Deutsches Recht. Sąd właściwy: TODO — sąd właściwy (np. Berlin).

Aby otrzymać podpisaną wersję DPA na potrzeby audytu — napisz: dpo@pmb-proud.de