Prosta Faktura KSeF Pro← Strona główna

Umowa powierzenia przetwarzania danych osobowych (DPA)

Obowiązuje od: 19 czerwca 2026

Niniejsza Umowa powierzenia („Umowa") stanowi załącznik do Regulaminu usługi Prosta Faktura KSeF i reguluje powierzenie przetwarzania danych osobowych w zakresie niezbędnym do świadczenia Usługi (art. 28 RODO). Umowa zostaje zawarta z chwilą akceptacji jej treści przy rejestracji Konta lub zakupie licencji Pro i obowiązuje przez czas korzystania z Usługi.

Strony: podmiot przetwarzający (Procesor): ML GROUP INVEST Sp. z o.o., ul. Adama Mickiewicza 83, 48-100 Głubczyce, KRS 0000179753, NIP 7481587576, REGON 381683570 — oraz Klient korzystający z Usługi/Wtyczki, będący administratorem danych osobowych przetwarzanych w związku z prowadzoną przez siebie działalnością (Administrator).

§ 1 Przedmiot i charakter powierzenia

  • Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu z § 2–3, na zasadach art. 28 RODO.
  • Procesor przetwarza dane wyłącznie w zakresie funkcji technicznych Usługi i wyłącznie na udokumentowane polecenie Administratora, którym jest niniejsza Umowa, Regulamin oraz korzystanie z funkcji Usługi.
  • Strony potwierdzają, że dane faktur, kontrahentów i dane księgowe Klienta są przetwarzane lokalnie w środowisku WordPress Klienta i co do zasady nie są przekazywane do Procesora. Powierzenie obejmuje wąski, techniczny zakres opisany w § 2.

§ 2 Zakres i cel przetwarzania

Procesor przetwarza w imieniu Administratora dane osobowe wyłącznie w następujących procesach:

  • Proxy GUS/REGON — przekazanie numeru NIP wskazanego przez Klienta do urzędowego rejestru GUS w celu pobrania danych rejestrowych firmy (auto-uzupełnianie danych kontrahenta). Dla jednoosobowej działalności (JDG) numer NIP może stanowić daną osobową. Zapytania logowane są wyłącznie technicznie przez okres do 12 miesięcy; wynik buforowany do 7 dni.
  • Konto i licencja — dane Konta Klienta oraz powiązanie aktywacji licencji z domeną (adres e-mail, identyfikator domeny, dane rozliczeniowe) w celu świadczenia usługi licencyjnej i wsparcia.

§ 3 Kategorie osób i danych

  • Kategorie osób: kontrahenci Klienta będący osobami fizycznymi (w tym JDG), reprezentanci Klienta, użytkownicy Konta.
  • Kategorie danych: NIP, nazwa/firma, adres rejestrowy (z GUS), adres e-mail, identyfikatory techniczne (domena, adres IP w logach), dane rozliczeniowe.
  • Procesor nie przetwarza szczególnych kategorii danych (art. 9 RODO).

§ 4 Obowiązki Procesora

Procesor zobowiązuje się:

  • przetwarzać dane wyłącznie na udokumentowane polecenie Administratora;
  • zapewnić, że osoby upoważnione do przetwarzania zachowują poufność;
  • stosować środki techniczne i organizacyjne zgodne z art. 32 RODO (szyfrowanie danych wrażliwych — AES-256, transmisja TLS, kontrola dostępu, kopie zapasowe, dziennik zdarzeń);
  • pomagać Administratorowi w realizacji żądań osób, których dane dotyczą (art. 12–22 RODO) oraz w zakresie art. 32–36 RODO;
  • niezwłocznie, nie później niż w ciągu 24 godzin, zawiadomić Administratora o stwierdzonym naruszeniu ochrony danych;
  • po zakończeniu świadczenia Usługi usunąć lub zwrócić dane oraz usunąć ich kopie, o ile prawo nie nakazuje dalszego przechowywania;
  • udostępniać Administratorowi informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwić audyty (w tym inspekcje) prowadzone przez Administratora lub upoważnionego audytora, w rozsądnym terminie i z poszanowaniem tajemnicy przedsiębiorstwa, nie częściej niż raz w roku, chyba że audyt wynika z naruszenia.

§ 5 Podpowierzenie (sub-processing)

  • Administrator wyraża ogólną zgodę na korzystanie przez Procesora z dalszych podmiotów przetwarzających (podprocesorów) wymienionych w Załączniku nr 1.
  • Procesor poinformuje Administratora o zamiarze zmiany podprocesorów, dając możliwość wyrażenia sprzeciwu.
  • Procesor nakłada na podprocesorów obowiązki ochrony danych nie mniej rygorystyczne niż w niniejszej Umowie i odpowiada za ich działania jak za własne.

§ 6 Transfery poza EOG

W zakresie, w jakim którykolwiek podprocesor przetwarza dane poza Europejskim Obszarem Gospodarczym, transfer odbywa się na podstawie decyzji o adekwatności, standardowych klauzul umownych (SCC) lub ram EU-US Data Privacy Framework. Szczegóły w Polityce prywatności.

§ 7 Odpowiedzialność

  • Każda ze Stron odpowiada za szkody spowodowane przetwarzaniem niezgodnym z RODO zgodnie z art. 82 RODO.
  • Odpowiedzialność Procesora wobec Administratora podlega ograniczeniom przewidzianym w Regulaminie Usługi, w granicach dopuszczalnych prawem.

§ 8 Czas trwania i rozwiązanie

Umowa obowiązuje przez okres świadczenia Usługi i wygasa z chwilą zaprzestania korzystania z Usługi przez Klienta oraz usunięcia/zwrotu danych zgodnie z § 4.

§ 9 Postanowienia końcowe

  • W sprawach nieuregulowanych stosuje się RODO oraz prawo polskie.
  • Niniejsza Umowa ma pierwszeństwo przed Regulaminem w zakresie powierzenia przetwarzania danych.

Załącznik nr 1 Lista podprocesorów

  • Hetzner Online GmbH (Niemcy/EOG) — hosting infrastruktury.
  • Resend, Inc. (USA) — wysyłka e-maili transakcyjnych i komunikacji.
  • Operatorzy płatności (PayU S.A. oraz Stripe — w zależności od wybranej metody).
  • Cloudflare, Inc. (USA) — CDN i zabezpieczenia (jeśli stosowane).
  • Google Ireland / Google LLC — analityka i reklama wyłącznie dla danych serwisu Sprzedawcy (nie dane Klienta).
  • Główny Urząd Statystyczny (GUS) — odbiorca zapytań rejestrowych (podmiot publiczny).
  • Biuro rachunkowe Procesora — obsługa rozliczeń.

Kontakt w sprawach powierzenia: hello@prostafakturaksef.pl. Dokument wchodzi w życie z dniem 19 czerwca 2026.