Data Processing Agreement (DPA)

Wersja 1.0 · obowiązuje od: 1 czerwca 2026

> UWAGA: Template wzorcowy. Wymaga akceptacji prawnika RODO przed wdrożeniem. Niektóre postanowienia mogą wymagać dostosowania do specyfiki konkretnego Reklamodawcy / branży.

zawarta dnia [DATA] roku w [MIEJSCE], pomiędzy:

1. Reklamodawcą — [NAZWA FIRMY], z siedzibą w [ADRES], NIP [NIP], KRS [KRS], reprezentowanym przez [IMIĘ NAZWISKO, FUNKCJA], zwanym dalej "Administratorem",

a

2. Affily — Green Eco World Sp. z o.o. z siedzibą w Nowym Tomyślu, ul. Kolejowa 20, 64-300 Nowy Tomyśl, NIP 7882038912, KRS 0001029725, reprezentowaną przez Marcina Szulca — Prezesa Zarządu, zwaną dalej "Procesorem",

łącznie zwanymi "Stronami".

§ 1. Definicje

Pojęcia użyte w niniejszej Umowie mają znaczenie nadane im przez RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679), w szczególności:

  • RODO — Rozporządzenie ogólne o ochronie danych z dnia 27 kwietnia 2016 r.
  • Dane osobowe — wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej
  • Przetwarzanie — operacje wykonywane na danych osobowych
  • Naruszenie — naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO
  • Sub-procesor — podmiot trzeci, któremu Procesor powierza dalsze przetwarzanie

§ 2. Przedmiot Umowy

1. Umowa określa zasady powierzenia przez Administratora Procesorowi przetwarzania danych osobowych w związku ze świadczeniem przez Procesora usług pośrednictwa reklamowego na platformie Affily.pl.

2. Umowa stanowi załącznik do Regulaminu Reklamodawcy Affily.pl i wchodzi w życie wraz z akceptacją Regulaminu.

§ 3. Zakres powierzenia

3.1. Kategorie osób, których dane dotyczą

  • konsumenci końcowi, którzy kliknęli w link afiliacyjny i dokonali zakupu/akcji na stronie Administratora,
  • w przypadku ofert leadowych: osoby, które wyraziły zainteresowanie produktem/usługą Administratora przez stronę docelową kampanii.

3.2. Kategorie danych osobowych

Dane standardowo przetwarzane:

  • identyfikator kliknięcia (click_id), adres IP, user agent, timestamp
  • order_id i kwota transakcji (przekazane przez Administratora w postback)

Dane przetwarzane w ofertach leadowych (gdy Administrator zażąda przekazania danych konsumenta):

  • imię i nazwisko / nazwa firmy
  • email
  • numer telefonu
  • inne dane zadeklarowane w specyfikacji Oferty (np. NIP, miasto, kod pocztowy)

Dane szczególnej kategorii (art. 9 RODO): NIE są przetwarzane.

3.3. Cel i charakter przetwarzania

Procesor przetwarza dane wyłącznie w celu:

  • rejestracji i rozliczenia konwersji wygenerowanych przez Wydawców platformy Affily,
  • przekazania danych leadowych Administratorowi (w przypadku ofert leadowych),
  • realizacji obowiązków księgowo-podatkowych Procesora,
  • analizy anti-fraud,
  • wykonania obowiązków prawnych spoczywających na Procesorze.

3.4. Czas trwania przetwarzania

Procesor przetwarza dane przez okres obowiązywania Regulaminu Reklamodawcy oraz przez 5 lat po jego zakończeniu (przedawnienie roszczeń, obowiązki księgowo-podatkowe).

§ 4. Obowiązki Procesora

Procesor zobowiązuje się do:

1. Przetwarzania danych wyłącznie na udokumentowane polecenie Administratora, z wyjątkiem przypadków wymagań prawnych (z poinformowaniem Administratora, chyba że prawo zabrania takiej informacji).

2. Zapewnienia poufności — wszystkie osoby upoważnione do przetwarzania zobowiązują się do zachowania danych w poufności lub podlegają ustawowemu obowiązkowi zachowania tajemnicy.

3. Wdrożenia środków technicznych i organizacyjnych zgodnych z art. 32 RODO, w szczególności:

  • pseudonimizacja i szyfrowanie danych (TLS 1.3 w transmisji, szyfrowanie at-rest w bazie danych),
  • zdolność do zapewnienia poufności, integralności, dostępności i odporności systemów,
  • regularne kopie zapasowe (codzienne, retencja 30 dni),
  • regularne testowanie i ocena skuteczności środków bezpieczeństwa,
  • uwierzytelnianie dwuskładnikowe (2FA) dla kont z dostępem do danych,
  • audit log dostępu do danych,
  • segmentacja sieci, firewall, DDoS protection.

4. Pomocy Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO (bezpieczeństwo danych, naruszenia, oceny skutków).

5. Pomocy Administratorowi w wywiązywaniu się z obowiązków określonych w rozdziale III RODO (prawa osób, których dane dotyczą) — w terminie 7 dni od zgłoszenia.

6. Usunięcia lub zwrotu danych po zakończeniu świadczenia usług, zgodnie z decyzją Administratora, z zastrzeżeniem ustawowych obowiązków przechowywania (księgowość — 5 lat).

7. Udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO.

8. Umożliwienia Administratorowi przeprowadzenia audytów, w tym inspekcji, przez Administratora lub niezależnego audytora upoważnionego przez Administratora, z uprzednim 14-dniowym powiadomieniem, max raz w roku, w zwykłych godzinach pracy, bez zakłócania działalności Procesora.

9. Niezwłocznego informowania Administratora, jeżeli zdaniem Procesora polecenie Administratora narusza RODO lub inne przepisy o ochronie danych.

§ 5. Sub-procesorzy

1. Procesor oświadcza, że korzysta z następujących sub-procesorów:

| Sub-procesor | Cel | Lokalizacja | Mechanizm transferu (jeśli poza EOG) |

|---|---|---|---|

| Supabase Inc. | Hosting bazy danych | EU (Frankfurt) | n/d |

| Vercel Inc. | Hosting aplikacji | EU/USA | SCC |

| Cloudflare Inc. | CDN, tracking, anti-DDoS | EU/USA | SCC + DPF |

| Resend | Transactional email | EU | n/d |

| Stripe Payments Europe Ltd. | Płatności | Irlandia/USA | SCC |

| PostHog Inc. | Analityka | EU | n/d |

| Sentry | Monitoring błędów | EU/USA | SCC |

2. Administrator wyraża generalną zgodę na korzystanie z powyższych sub-procesorów oraz na zmiany na liście.

3. Procesor informuje Administratora o planowanych zmianach dotyczących dodania lub zmiany sub-procesorów z 30-dniowym wyprzedzeniem przez email. Administrator może zgłosić uzasadniony sprzeciw — w takim przypadku Strony negocjują rozwiązanie, a w razie braku porozumienia Administrator ma prawo rozwiązać Umowę w trybie natychmiastowym.

4. Procesor zapewnia, że każdy sub-procesor jest zobowiązany umownie do co najmniej tego samego poziomu ochrony danych co Procesor.

§ 6. Naruszenie ochrony danych

1. Procesor zobowiązuje się bez zbędnej zwłoki, najpóźniej w terminie 48 godzin od stwierdzenia naruszenia, powiadomić Administratora o naruszeniu ochrony danych.

2. Powiadomienie zawiera co najmniej:

  • opis charakteru naruszenia (kategorie i przybliżona liczba osób i rekordów),
  • imię/nazwisko i dane kontaktowe IOD lub innej osoby kontaktowej,
  • opis możliwych konsekwencji,
  • opis środków podjętych lub proponowanych w celu zaradzenia naruszeniu.

3. Procesor współpracuje z Administratorem przy:

  • powiadomieniu organu nadzorczego (UODO) w terminie 72h,
  • powiadomieniu osób, których dane dotyczą (jeśli wymagane),
  • dokumentacji naruszenia.

§ 7. Transfer poza EOG

1. Procesor potwierdza, że transfer danych poza EOG odbywa się wyłącznie:

  • do krajów objętych decyzją o adekwatności Komisji Europejskiej,
  • na podstawie Standardowych Klauzul Umownych (SCC) w wersji 2021/914,
  • na podstawie EU-US Data Privacy Framework (gdy podmiot odbierający jest certyfikowany).

2. W przypadku wymogu transferu poza EOG nieuwzględnionego w ust. 1, Procesor uzyskuje uprzednią pisemną zgodę Administratora.

§ 8. Odpowiedzialność

1. Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie lub osobom trzecim w związku z naruszeniem obowiązków wynikających z RODO lub Umowy.

2. Procesor odpowiada za szkody wyrządzone przetwarzaniem niezgodnym z RODO, jeżeli nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora albo wbrew tym instrukcjom.

3. Strony uzgadniają, że łączna odpowiedzialność Procesora wobec Administratora z tytułu Umowy jest ograniczona do kwoty równej Network Fee zapłaconej przez Administratora w okresie 12 miesięcy poprzedzających zdarzenie powodujące szkodę. Ograniczenie nie dotyczy:

  • szkód wyrządzonych z winy umyślnej lub rażącego niedbalstwa,
  • kar administracyjnych nałożonych przez UODO bezpośrednio na Administratora z powodu naruszenia obowiązków Procesora.

§ 9. Postanowienia końcowe

1. Umowa wchodzi w życie z dniem akceptacji Regulaminu Reklamodawcy Affily.pl.

2. Wszelkie zmiany Umowy wymagają formy pisemnej (lub elektronicznej w panelu Affily z akceptacją obu Stron) pod rygorem nieważności.

3. W sprawach nieuregulowanych Umową stosuje się przepisy RODO i prawo polskie.

4. Sądem właściwym do rozstrzygania sporów jest Sąd Rejonowy dla Poznania — Stare Miasto.

5. Umowa została sporządzona w wersji elektronicznej i jest dostępna w panelu Reklamodawcy.

Administrator:

[NAZWA FIRMY]

Reprezentant: [IMIĘ NAZWISKO, FUNKCJA]

Data akceptacji: [auto przy akceptacji w panelu]

Procesor:

Green Eco World Sp. z o.o.

Marcin Szulc, Prezes Zarządu

Data akceptacji: [auto przy akceptacji w panelu]

ZAŁĄCZNIK 1: Środki techniczne i organizacyjne (TOM)

Techniczne:

  • TLS 1.3 dla całej transmisji
  • Szyfrowanie at-rest bazy danych (AES-256, Supabase managed encryption)
  • Pseudonimizacja danych konsumentów (hash IP po 30 dniach)
  • 2FA dla kont admina i operacyjnych
  • Backupy codzienne, retencja 30 dni, lokacja EU
  • IPQualityScore + Cloudflare Bot Management dla wykrywania fraudu
  • Audit log każdej operacji finansowej i dostępu do danych osobowych
  • Network segmentation, WAF, DDoS protection
  • Vulnerability scanning monthly
  • Annual penetration test
  • Service Level Agreement: uptime 99.5%, RTO 4h, RPO 24h

Organizacyjne:

  • Polityka bezpieczeństwa informacji (ISMS)
  • Procedury zarządzania incydentami
  • Szkolenia z zakresu RODO dla wszystkich pracowników i kontraktorów
  • Klauzule poufności i RODO w umowach pracowniczych i B2B
  • Lista upoważnień do przetwarzania danych (zasada najmniejszych uprawnień)
  • Rejestry czynności przetwarzania (art. 30 RODO)
  • DPIA dla wysokich ryzyk
  • Procedura odpowiadania na żądania osób (art. 12-22 RODO) w 14 dni