🔐 Umowa Powierzenia Danych
Data wejścia w życie: 24 marca 2026
1. Definicje
- „Użytkownik" — osoba korzystająca z ComIO.Studio, pełniąca rolę administratora danych w rozumieniu RODO (określająca cele i sposoby przetwarzania swoich danych).
- „Operator" — Sebastian Pietrasiak, prowadzący działalność jako ComIO.Studio, pełniący rolę podmiotu przetwarzającego w rozumieniu RODO.
- „RODO" — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679.
- „Dane osobowe" — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przetwarzane w ramach korzystania z ComIO.Studio.
- „Podwykonawca przetwarzania" — podmiot trzeci zaangażowany przez Operatora do przetwarzania danych osobowych w imieniu Użytkownika.
2. Przedmiot i zakres przetwarzania
Niniejsza DPA ma zastosowanie wyłącznie w zakresie, w jakim Operator przetwarza dane osobowe w imieniu Użytkownika jako podmiot przetwarzający. Obejmuje to treść zapytań AI przetwarzaną w Trybie zarządzanym oraz ściśle niezbędne przejściowe metadane techniczne. Dane instalacji (§3.0 PP) oraz Dane operacyjne (§3.1 PP) są przetwarzane przez Operatora jako niezależnego administratora i nie podlegają niniejszej DPA.
| Element | Opis |
|---|---|
| Zakres | Przetwarzanie zapytań AI w Trybie zarządzanym (wyłącznie rola procesora) |
| Czas trwania | Wyłącznie tranzytowo; tymczasowe logi diagnostyczne usuwane bez zbędnej zwłoki |
| Charakter | Przetwarzanie zautomatyzowane; tranzytowe (zapytania AI i ściśle niezbędne metadane) |
| Cel | Przekazywanie zapytań AI do dostawców modeli, zwracanie odpowiedzi, uzgodnienia rozliczeniowe, diagnostyka |
| Kategorie osób | Użytkownicy przesyłający zapytania AI w Trybie zarządzanym; osoby, których dane mogą pojawić się w treści zapytań |
| Rodzaje danych | Treść zapytań AI (tranzytowo), metadane zapytań AI (czas, model, zużycie tokenów, status) |
| Poza zakresem DPA | Dane instalacji (§3.0 PP), Dane operacyjne (§3.1 PP) — przetwarzane przez Operatora jako niezależnego administratora zgodnie z Polityką Prywatności |
3. Obowiązki Podmiotu przetwarzającego
Operator zobowiązuje się do:
- Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Użytkownika (w rozumieniu akceptacji Regulaminu i Polityki Prywatności).
- Zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności.
- Wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania (Art. 32 RODO).
- Przestrzegania warunków korzystania z podwykonawców przetwarzania (§5).
- Wsparcia Użytkownika w realizacji obowiązków wynikających z Art. 32–36 RODO.
- Po zakończeniu świadczenia usług — usunięcia lub zwrotu danych osobowych zgodnie z okresami retencji określonymi w Polityce Prywatności.
- Udostępnienia Użytkownikowi informacji niezbędnych do wykazania zgodności z obowiązkami wynikającymi z Art. 28 RODO.
4. Środki bezpieczeństwa
Operator wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne, obejmujące w szczególności:
- Szyfrowanie danych w tranzycie (TLS/HTTPS).
- Kontrolę dostępu i zasadę minimalnych uprawnień.
- Regularne przeglądy bezpieczeństwa infrastruktury.
- Monitorowanie i logowanie dostępu do systemów.
5. Podwykonawcy przetwarzania
Użytkownik wyraża ogólną zgodę na korzystanie przez Operatora z podwykonawców przetwarzania. Aktualna lista:
| Podwykonawca | Rola | Lokalizacja |
|---|---|---|
| Cloudflare, Inc. | Infrastruktura (Worker, KV, D1), CDN, DNS, ochrona DDoS | USA / UE (konfigurowalnie) |
| Lemon Squeezy (Lemonsqueezy, Inc.) | Merchant of Record — płatności, podatki, faktury | USA |
| Dostawcy modeli AI (OpenRouter, Anthropic, OpenAI itp.) | Przetwarzanie zapytań AI w Trybie zarządzanym (tranzytowo) | USA / UE |
O każdej istotnej zmianie listy podwykonawców Operator poinformuje z odpowiednim wyprzedzeniem. Użytkownik może zgłosić uzasadniony sprzeciw wobec nowego podwykonawcy.
6. Prawa osób, których dane dotyczą
Operator wspiera Użytkownika w realizacji praw osób, których dane dotyczą, zgodnie z Art. 15–22 RODO, w zakresie technicznie i organizacyjnie możliwym.
7. Naruszenia ochrony danych
W przypadku naruszenia ochrony danych osobowych Operator powiadomi Użytkownika bez zbędnej zwłoki po uzyskaniu wiarygodnej informacji o naruszeniu, przekazując dostępne informacje niezbędne do oceny ryzyka i wypełnienia obowiązków notyfikacyjnych wynikających z Art. 33–34 RODO.
8. Audyt i weryfikacja zgodności
Operator udostępnia Użytkownikowi informacje niezbędne do wykazania zgodności z Art. 28 RODO oraz umożliwia przeprowadzanie audytów i inspekcji na uzasadnione żądanie Użytkownika, z zastrzeżeniem rozsądnego terminu, zachowania poufności oraz proporcjonalności zakresu audytu.
9. Okres obowiązywania i zakończenie
Niniejsza Umowa obowiązuje przez cały okres korzystania z usług ComIO.Studio. Po zakończeniu świadczenia usług Operator usunie lub zanonimizuje dane osobowe zgodnie z okresami retencji określonymi w Polityce Prywatności, z wyjątkiem danych, których dalsze przechowywanie jest wymagane przez przepisy prawa.
10. Odpowiedzialność
Odpowiedzialność Operatora z tytułu niniejszej Umowy podlega ograniczeniom określonym w Regulaminie (§12). Operator ponosi odpowiedzialność wyłącznie za szkody spowodowane przetwarzaniem naruszającym obowiązki nałożone na podmiot przetwarzający przez RODO lub niniejszą Umowę.
11. Postanowienia dotyczące CCPA/CPRA
W zakresie, w jakim Operator przetwarza dane osobowe podlegające California Consumer Privacy Act (CCPA) lub California Privacy Rights Act (CPRA):
- Operator nie sprzedaje ani nie udostępnia danych osobowych w rozumieniu CCPA/CPRA.
- Operator przetwarza dane osobowe wyłącznie w celach określonych w niniejszej Umowie, Regulaminie i Polityce Prywatności.
- Operator nie łączy danych osobowych otrzymanych od Użytkownika z danymi z innych źródeł, z wyjątkiem celów dozwolonych przez CCPA/CPRA.
12. Postanowienia ogólne
- Niniejsza Umowa stanowi integralną część Regulaminu ComIO.Studio.
- W przypadku rozbieżności między niniejszą Umową a Regulaminem, w zakresie ochrony danych osobowych pierwszeństwo ma niniejsza Umowa.
- Umowa podlega prawu Rzeczypospolitej Polskiej.
- Akceptacja Regulaminu ComIO.Studio stanowi jednocześnie akceptację niniejszej Umowy.
13. Porozumienie stron
Niniejsza Umowa, wraz z Regulaminem i Polityką Prywatności, stanowi całość porozumienia stron w zakresie powierzenia przetwarzania danych osobowych i zastępuje wszelkie wcześniejsze ustalenia w tym zakresie.
Załącznik 1 — Szczegóły przetwarzania (wyłącznie zakres procesora)
Niniejszy Załącznik opisuje wyłącznie przetwarzanie realizowane przez Operatora jako podmiot przetwarzający. Przetwarzanie jako niezależny administrator (Dane instalacji, Dane operacyjne) jest opisane w Polityce Prywatności.
| Element | Opis |
|---|---|
| Przedmiot przetwarzania | Przetwarzanie treści zapytań AI w Trybie zarządzanym w imieniu Użytkownika |
| Czas trwania | Wyłącznie tranzytowo; tymczasowe logi diagnostyczne usuwane bez zbędnej zwłoki |
| Charakter i cel | Przekazywanie zapytań AI do dostawców modeli, zwracanie odpowiedzi, przejściowe przetwarzanie metadanych do uzgodnień rozliczeniowych i diagnostyki |
| Rodzaj danych | Treść zapytań AI (tranzytowo), metadane zapytań AI (czas, model, zużycie tokenów, status) |
| Kategorie osób | Użytkownicy przesyłający zapytania AI w Trybie zarządzanym; osoby, których dane mogą pojawić się w treści zapytań |