UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Data Processing Agreement (DPA) — art. 28 RODO/GDPR

Wersja 2.0 — Click-wrap | Centrum Nieruchomości Sp. z o.o. | NIP: 9292060165 | KRS: 0000889654

☑ Niniejsza Umowa DPA wchodzi w życie z chwilą zaznaczenia checkboxa akceptacji
przy zakupie Subskrypcji Olonis Systems — bez konieczności składania podpisu odręcznego
ani kwalifikowanego podpisu elektronicznego.

PODSTAWA PRAWNA CLICK-WRAP: Akceptacja w trybie click-wrap (zaznaczenie checkboxa z wyraźnym odesłaniem do treści Umowy DPA) stanowi zawarcie umowy w formie dokumentowej w rozumieniu art. 772 Kodeksu cywilnego i spełnia wymagania art. 28 RODO dotyczące formy umowy powierzenia przetwarzania danych. Procesor rejestruje: datę i godzinę akceptacji, adres IP, adres e-mail konta oraz wersję dokumentu — co stanowi pełnowartościowy dowód zawarcia Umowy DPA.

§1. Strony Umowy

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa DPA") zawierana jest pomiędzy:

PODMIOT PRZETWARZAJĄCY (PROCESOR)

Nazwa:

Centrum Nieruchomości Spółka z o.o.

NIP:

9292060165

REGON:

388428651

KRS:

0000889654

Siedziba:

ul. Jana Kasprowicza 2/16, 65-067 Zielona Góra, Polska

— działająca pod marką handlową Olonis Systems, e-mail: [email protected] (dalej: „Procesor") —

oraz

Klient, który zaakceptował Regulamin Świadczenia Usług Olonis Systems w trybie click-wrap — poprzez zaznaczenie checkboxa akceptacji przy zakupie Subskrypcji, zawierającego wyraźne odwołanie do niniejszej Umowy DPA (dalej: „Administrator").

Dane Administratora, w tym firma, NIP, REGON, adres siedziby oraz dane kontaktowe, są identyfikowane na podstawie informacji podanych przez Klienta podczas zakupu Subskrypcji i przechowywane w systemie Stripe oraz Panelu Klienta Olonis Systems.

§2. Definicje

Na potrzeby niniejszej Umowy DPA przyjmuje się następujące definicje:

RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych;

Administrator — Klient korzystający z Usługi Olonis Systems, który decyduje o celach i sposobach przetwarzania Powierzonych Danych Osobowych (art. 4 pkt 7 RODO);

Procesor — Centrum Nieruchomości Sp. z o.o. (Olonis Systems), który przetwarza Powierzone Dane Osobowe wyłącznie na udokumentowane polecenie Administratora (art. 4 pkt 8 RODO);

Podprocesor — podmiot trzeci, któremu Procesor powierza dalsze przetwarzanie Powierzonych Danych, w szczególności: HighLevel, Inc. (GoHighLevel);

Powierzone Dane Osobowe — dane osobowe Klientów Końcowych Administratora wprowadzane przez Administratora do systemu CRM Olonis Systems (leady, kontakty, dane klientów firm usługowych);

Klienci Końcowi — osoby fizyczne, których dane Administrator przetwarza we własnym CRM za pośrednictwem Usługi;

Usługa — abonamentowy system sprzedażowo-obsługowy Olonis Systems w modelu SaaS;

Naruszenie ochrony danych — naruszenie bezpieczeństwa skutkujące przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, ujawnieniem lub dostępem do Powierzonych Danych (art. 4 pkt 12 RODO);

Akceptacja click-wrap — zawarcie Umowy DPA przez zaznaczenie checkboxa akceptacji przy zakupie Subskrypcji, ze świadomością treści Umowy DPA dostępnej pod adresem: https://olonissystems.pl/umowa-powierzenia-danych-osobowych

§3. Przedmiot, charakter i czas przetwarzania

3.1. Administrator powierza Procesorowi przetwarzanie Powierzonych Danych Osobowych wyłącznie w zakresie niezbędnym do świadczenia Usługi Olonis Systems.

PARAMETR

SZCZEGÓŁY

Czynności przetwarzania

Zbieranie, przechowywanie, organizowanie, modyfikowanie, przesyłanie (SMS, e-mail), usuwanie — w ramach funkcji CRM, automatyzacji, rezerwacji i komunikacji Systemu

Rodzaj danych

Imię i nazwisko, adres e-mail, numer telefonu, nazwa firmy, adres, inne dane kontaktowe i identyfikacyjne Klientów Końcowych Administratora

Kategorie osób

Klienci Końcowi Administratora: osoby fizyczne będące klientami, leadami lub kontaktami firmy Administratora

Czas trwania

Przez czas trwania Subskrypcji + 30 dni po jej zakończeniu (na eksport). Po upływie 30 dni — trwałe usunięcie wszystkich Powierzonych Danych.

3.2. Procesor nie przetwarza Powierzonych Danych Osobowych we własnym imieniu, w celach własnych ani w celach innych niż świadczenie Usługi Olonis Systems na rzecz Administratora. Przetwarzanie następuje wyłącznie na udokumentowane polecenie Administratora, jakim jest zawarcie niniejszej Umowy DPA.

§4. Obowiązki Procesora

4.1. Przetwarzanie wyłącznie na polecenie Administratora

Procesor przetwarza Powierzone Dane Osobowe wyłącznie zgodnie z niniejszą Umową DPA i Regulaminem Świadczenia Usług. Jeżeli Procesor jest zobowiązany do przetwarzania danych na mocy prawa UE lub prawa polskiego, informuje o tym Administratora przed przetwarzaniem — chyba że prawo to zakazuje takiej informacji.

4.2. Poufność osób przetwarzających dane

Procesor zapewnia, że wszystkie osoby upoważnione do przetwarzania Powierzonych Danych Osobowych podpisały zobowiązania do zachowania poufności lub podlegają ustawowemu obowiązkowi zachowania tajemnicy. Dostęp przyznawany jest wyłącznie osobom, którym jest to niezbędne do wykonywania obowiązków.

4.3. Bezpieczeństwo danych — art. 32 RODO

Procesor wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne ochrony Powierzonych Danych Osobowych, obejmujące w szczególności:

szyfrowanie transmisji (TLS 1.2/1.3) i danych w spoczynku (infrastruktura GoHighLevel);

kontrolę dostępu opartą na rolach (RBAC) i uwierzytelnianie wieloskładnikowe (MFA);

regularne kopie zapasowe danych;

certyfikację SOC 2 Type II platformy GoHighLevel potwierdzającą standardy bezpieczeństwa;

procedury reagowania na naruszenia ochrony danych (incydent response).

4.4. Pomoc w realizacji praw osób, których dane dotyczą

Procesor, biorąc pod uwagę charakter przetwarzania, pomaga Administratorowi — w miarę możliwości technicznych — wywiązać się z obowiązku odpowiadania na żądania Klientów Końcowych w zakresie praw z art. 15–22 RODO (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw). Wszelkie żądania osób fizycznych dotyczące Powierzonych Danych, kierowane do Procesora, przekazywane są Administratorowi niezwłocznie — nie później niż w ciągu 5 Dni Roboczych.

4.5. Pomoc w wypełnianiu obowiązków art. 32–36 RODO

Procesor, uwzględniając charakter przetwarzania i dostępne informacje, pomaga Administratorowi wywiązać się z obowiązków dotyczących: bezpieczeństwa przetwarzania (art. 32), zgłaszania naruszeń do UODO (art. 33), zawiadamiania osób o naruszeniu (art. 34), oceny skutków (DPIA, art. 35) oraz uprzednich konsultacji z organem nadzorczym (art. 36).

4.6. Usunięcie lub zwrot danych po zakończeniu Usługi

Po zakończeniu Subskrypcji Procesor domyślnie usuwa Powierzone Dane Osobowe po upływie 30 dni. Na wyraźne żądanie Administratora złożone przed upływem tego terminu, Procesor umożliwia eksport danych w formatach CSV/Excel. Na żądanie Administratora Procesor dostarcza pisemne potwierdzenie usunięcia danych.

4.7. Prawo do audytu

Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwia przeprowadzenie audytów — po uprzednim powiadomieniu z co najmniej 14-dniowym wyprzedzeniem, w uzgodnionym terminie i zakresie nienaruszającym poufności danych innych Klientów.

§5. Obowiązki Administratora

Administrator zobowiązuje się do:

zapewnienia ważnej podstawy prawnej (art. 6 RODO) przetwarzania danych Klientów Końcowych wprowadzanych do Systemu — przed ich wprowadzeniem;

wykonania obowiązku informacyjnego wobec Klientów Końcowych (art. 13 lub 14 RODO) przed wprowadzeniem ich danych do Systemu;

niepowierzania Procesorowi przetwarzania danych szczególnych kategorii (art. 9 RODO) bez uprzedniego pisemnego uzgodnienia z Procesorem dodatkowych środków ochrony;

samodzielnego prowadzenia Rejestru Czynności Przetwarzania (art. 30 RODO) w zakresie danych Klientów Końcowych przetwarzanych za pośrednictwem Usługi;

niezwłocznego powiadamiania Procesora o podejrzeniu naruszenia bezpieczeństwa Powierzonych Danych.

§6. Korzystanie z usług Podprocesorów

6.1. Akceptując niniejszą Umową DPA w trybie click-wrap, Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług Podprocesorów (art. 28 ust. 2 RODO). Aktualny wykaz Podprocesorów:

PODPROCESOR

SIEDZIBA

ROLA

TRANSFER POZA EOG

HighLevel, Inc. (GoHighLevel)

Dallas, USA

Platforma CRM, SMS, e-mail, automatyzacje, rezerwacje

EU-US Data Privacy Framework + SCC

Stripe Payments Europe, Ltd.

Dublin, Irlandia (UE)

Operator płatności subskrypcyjnych

Brak — siedziba w UE

Dostawcy infrastruktury GoHighLevel

USA / UE

Hosting, chmura (podprocesory GoHighLevel)

Zgodnie z DPA GoHighLevel

6.2. Procesor informuje Administratora o planowanych zmianach w wykazie Podprocesorów z co najmniej 14-dniowym wyprzedzeniem (e-mail lub komunikat w Panelu Klienta). Administrator może wnieść uzasadniony sprzeciw w ciągu 14 dni — jeżeli Procesor nie może go uwzględnić, Administrator ma prawo rozwiązania Umowy bez kary.

§7. Transfery danych poza EOG

W związku z korzystaniem z GoHighLevel (USA) Powierzone Dane mogą być przekazywane poza Europejski Obszar Gospodarczy. Transfer odbywa się na podstawie:

decyzji Komisji Europejskiej o adekwatności — EU-US Data Privacy Framework (2023/1795 z dnia 10 lipca 2023 r.) — HighLevel, Inc. jest certyfikowanym uczestnikiem; weryfikacja: https://www.dataprivacyframework.gov

standardowych klauzul umownych (SCC) na mocy decyzji 2021/914 — jako uzupełniające zabezpieczenie.

Na żądanie Administratora Procesor udostępnia kopię zastosowanych mechanizmów transferu w terminie 14 dni.

§8. Naruszenia ochrony danych — procedura

8.1. Procesor informuje Administratora o każdym stwierdzonym lub podejrzewanym naruszeniu ochrony Powierzonych Danych nie później niż w ciągu 48 godzin od stwierdzenia — na adres e-mail wskazany przez Administratora przy rejestracji.

8.2. Powiadomienie zawiera co najmniej:

opis charakteru naruszenia, kategorię i przybliżoną liczbę osób i rekordów;

dane kontaktowe osoby, od której można uzyskać więcej informacji;

opis prawdopodobnych konsekwencji naruszenia;

opis środków zastosowanych lub proponowanych przez Procesora.

8.3. Obowiązek zgłoszenia naruszenia do Prezesa UODO (w ciągu 72 godzin) i ewentualnego zawiadomienia Klientów Końcowych spoczywa na Administratorze. Procesor udziela wszelkiej niezbędnej pomocy w realizacji tych obowiązków.

§9. Odpowiedzialność Stron

9.1. Procesor odpowiada za szkody spowodowane przetwarzaniem, jeżeli nie dopełnił obowiązków nałożonych na niego przez RODO lub działał poza poleceniami Administratora (art. 82 ust. 2 RODO). Procesor jest zwolniony od odpowiedzialności, jeżeli udowodni brak swojej winy (art. 82 ust. 3 RODO).

9.2. Administrator ponosi pełną odpowiedzialność za zgodność z RODO w zakresie przetwarzania danych Klientów Końcowych — w szczególności za podstawę prawną przetwarzania i obowiązek informacyjny. Jeżeli Administrator powierzy Procesorowi przetwarzanie danych bez ważnej podstawy prawnej, zobowiązuje się zwolnić Procesora z wszelkiej odpowiedzialności z tego tytułu.

9.3. Odpowiedzialność Procesora z tytułu niniejszej Umowy DPA ograniczona jest do wysokości Opłat Subskrypcyjnych uiszczonych przez Administratora w ciągu ostatnich 3 miesięcy — zgodnie z §10 Regulaminu Świadczenia Usług.

§10. Tryb zawarcia — Click-wrap

✅ TRYB ZAWARCIA: Niniejsza Umowa DPA zawierana jest wyłącznie w trybie click-wrap. Zaznaczenie przez Klienta checkboxa akceptacji przy zakupie Subskrypcji Olonis Systems, zawierającego wyraźne odwołanie do niniejszej Umowy DPA, jest równoznaczne z jej zaakceptowaniem i wchodzi w życie z chwilą pomyślnego zaksięgowania pierwszej Opłaty Subskrypcyjnej. Nie jest wymagany odręczny ani elektroniczny podpis Klienta.

10.1. Procesor rejestruje i przechowuje następujące dane potwierdzające akceptację Umowy DPA przez Administratora:

REJESTROWANY ELEMENT

ŹRÓDŁO / SYSTEM

Data i godzina akceptacji checkboxa (timestamp UTC)

Formularz GoHighLevel / strona zamówienia

Adres IP urządzenia Klienta w momencie akceptacji

Formularz GoHighLevel / Stripe Checkout

Adres e-mail i nazwa firmy Klienta

Dane rejestracyjne Stripe / formularz zamówienia

Wersja Umowy DPA zaakceptowanej przez Klienta (v2.0, data: 14.04.2026)

Wewnętrzny log Procesora

10.2. Dane rejestrowane zgodnie z ust. 10.1 stanowią pełnowartościowy dowód zawarcia Umowy DPA w rozumieniu art. 772 Kodeksu cywilnego i są przechowywane przez Procesora przez czas trwania stosunku umownego oraz przez 3 lata po jego zakończeniu (termin przedawnienia roszczeń z umów B2B).

10.3. Tekst checkboxa akceptacji widoczny dla Klienta przy zakupie Subskrypcji brzmi: „Zapoznałem/am się z Regulaminem, Polityką Prywatności, Warunkami Subskrypcji oraz Umową Powierzenia Danych Osobowych (DPA) Olonis Systems i akceptuję ich treść. Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z Polityką Prywatności." Każdy z wymienionych dokumentów podlinkowany jest do jego pełnej treści publikowanej na stronie https://olonissystems.pl/

§11. Zmiany, rozwiązanie i prawo właściwe

11.1. Zmiany Umowy DPA wprowadzane są w trybie i na zasadach określonych w §12 Regulaminu Świadczenia Usług (powiadomienie e-mail co najmniej 14 dni przed wejściem zmian w życie). Zaktualizowana wersja Umowy DPA publikowana jest pod tym samym adresem URL. Dalsze korzystanie z Usługi po wejściu zmian w życie oznacza akceptację nowej wersji Umowy DPA.

11.2. Umowa DPA wygasa automatycznie z chwilą trwałego usunięcia przez Procesora wszystkich Powierzonych Danych (po 30 dniach od zakończenia Subskrypcji), co nie zwalnia Stron z obowiązków wynikających z RODO za okres przetwarzania.

11.3. Niniejsza Umowa DPA podlega prawu polskiemu. Wszelkie spory rozstrzygane są przez sąd właściwy dla siedziby Procesora (Zielona Góra). W zakresie nieuregulowanym zastosowanie mają przepisy RODO i Kodeksu cywilnego.

11.4. Nieważność któregokolwiek postanowienia nie wpływa na ważność pozostałych. Niniejsza Umowa DPA stanowi integralną część Regulaminu Świadczenia Usług Olonis Systems.