Odlot CRMZaloguj się

Umowa powierzenia przetwarzania danych osobowych (DPA)

Wersja 1.0 (projekt)

Data: 2026-06-23

Podmiot przetwarzajacy (Operator): MW DIGITAL sp. z o.o.

Zalacznik do Regulaminu uslugi Odlot CRM.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

(dalej: „Umowa powierzenia")

zawarta pomiedzy:

MW DIGITAL spolka z ograniczona odpowiedzialnoscia z siedziba w Poznaniu, ul. Augustyna Szamarzewskiego 21 lok. 2, 60-514 Poznan, wpisana do rejestru przedsiebiorcow Krajowego Rejestru Sadowego prowadzonego przez Sad Rejonowy Poznan - Nowe Miasto i Wilda w Poznaniu, VIII Wydzial Gospodarczy Krajowego Rejestru Sadowego, pod numerem KRS 0001225835, NIP 7812105997, REGON 544052286, kapital zakladowy 5 000,00 zl, reprezentowana przez Prezesa Zarzadu Michala Dawida Odwaznego, adres e-mail do kontaktu: info@odlotcrm.pl

– dalej: „Uslugodawca" lub „Podmiot przetwarzajacy",

a

[___ uzupelnic dane Administratora: firma biura podrozy, adres siedziby, NIP, organ rejestrowy (KRS – Rejestr Przedsiebiorcow / CEIDG), osoba reprezentujaca; adres e-mail do kontaktu w sprawach niniejszej Umowy] – bedacym przedsiebiorca w rozumieniu wlasciwych przepisow, korzystajacym z Uslugi na podstawie Umowy glownej,

– dalej: „Uslugobiorca" lub „Administrator",

zwanymi dalej lacznie „Stronami", a kazde z osobna „Strona".

Preambula

Zwazywszy, ze:

  • pomiedzy Uslugodawca a Uslugobiorca (przedsiebiorca prowadzacym biuro podrozy) zostala zawarta umowa o dostarczanie uslugi korzystania z aplikacji Odlot CRM (dalej: „Umowa glowna"), ktorej tresc okresla Regulamin uslugi Odlot CRM (dalej: „Regulamin");
  • swiadczenie uslugi korzystania z Aplikacji wymaga przetwarzania przez Uslugodawce danych osobowych w rozumieniu przepisow Rozporzadzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osob fizycznych w zwiazku z przetwarzaniem danych osobowych i w sprawie swobodnego przeplywu takich danych oraz uchylenia dyrektywy 95/46/WE (ogolne rozporzadzenie o ochronie danych) (dalej: „RODO"), co rodzi obowiazek spelnienia wymogow wskazanych w art. 28 RODO, w tym zawarcia umowy okreslonej w tym przepisie;
  • niniejsza Umowa powierzenia reguluje wylacznie powierzenie przetwarzania danych osobowych osob fizycznych (turystow i innych osob), ktore Administrator wprowadza do Aplikacji jako administrator tych danych; nie obejmuje ona danych konta uzytkownika biura ani danych rozliczeniowych Administratora, w odniesieniu do ktorych Uslugodawca jest odrebnym administratorem i ktore reguluje Polityka prywatnosci,

Strony postanowily, co nastepuje:

§ 1. Powierzenie przetwarzania danych osobowych

  1. Administrator powierza Podmiotowi przetwarzajacemu przetwarzanie danych osobowych w trybie art. 28 RODO.
  2. Administrator oswiadcza, ze jest administratorem danych powierzanych Podmiotowi przetwarzajacemu na mocy Umowy powierzenia lub podmiotem przetwarzajacym upowaznionym do ich dalszego powierzenia Podmiotowi przetwarzajacemu.
  3. Administrator powierza Podmiotowi przetwarzajacemu przetwarzanie danych osobowych w zakresie okreslonym w § 2 oraz w Zalaczniku nr 1 do Umowy powierzenia.
  4. Pisane wielka litera pojecia stosowane w Umowie powierzenia maja znaczenie nadane im w Regulaminie lub RODO, chyba ze szczegolne postanowienie Umowy powierzenia stanowi inaczej.

§ 2. Przedmiot, charakter, cel i czas przetwarzania danych

  1. Cel i charakter przetwarzania. Powierzone przez Administratora dane osobowe beda przetwarzane przez Podmiot przetwarzajacy wylacznie na udokumentowane polecenie Administratora oraz wylacznie w celu swiadczenia Uslugi (uslug Aplikacji Odlot CRM), tj. w szczegolnosci w celu prowadzenia ewidencji rezerwacji, obslugi rat i platnosci, wysylki przypomnien i powiadomien e-mail oraz SMS, a takze przechowywania dokumentow wprowadzanych przez Administratora. Za „udokumentowane polecenie" Strony uznaja w szczegolnosci zawarcie Umowy glownej oraz czynnosci podejmowane przez Administratora w ramach Aplikacji.

  2. Kategorie danych i osob. Kategorie powierzonych danych osobowych oraz kategorie osob, ktorych dane dotycza, zostaly wskazane w Zalaczniku nr 1 do Umowy powierzenia.

  3. Zakres danych (twarde ograniczenie). Przedmiotem powierzenia moga byc wylacznie nastepujace kategorie danych osob fizycznych (turystow i innych osob wprowadzanych do Aplikacji):

    • imie,
    • nazwisko,
    • numer telefonu,
    • adres e-mail,
    • adres zamieszkania.

    Powierzenie i przetwarzanie jakichkolwiek innych kategorii danych jest niedopuszczalne. Ograniczenie to dotyczy zarowno danych wprowadzanych do pol formularzy Aplikacji, jak i tresci oraz plikow wgrywanych przez Administratora do modulu dokumentow w Aplikacji.

  4. Zakaz danych szczegolnych kategorii i danych szczegolnie chronionych. Dane osobowe powierzane przez Administratora na podstawie Umowy powierzenia nie stanowia i nie moga stanowic danych szczegolnych kategorii, o ktorych mowa w art. 9 RODO (w tym danych dotyczacych zdrowia), ani danych dotyczacych wyrokow skazujacych i czynow zabronionych, o ktorych mowa w art. 10 RODO. Administrator zobowiazuje sie ponadto nie wprowadzac do Aplikacji (w tym do modulu dokumentow) numeru PESEL, danych paszportowych ani innych danych dokumentow tozsamosci. Szczegolowe oswiadczenie i zobowiazanie Administratora w tym zakresie zawiera § 4.

  5. Sposob przetwarzania. Przetwarzanie powierzonych danych osobowych bedzie odbywalo sie przy wykorzystaniu systemow informatycznych (w sposob zautomatyzowany), a w zakresie, w jakim Administrator samodzielnie wytwarza dokumentacje papierowa – takze w formie papierowej (w sposob niezautomatyzowany).

  6. Czas przetwarzania. Powierzone dane osobowe beda przetwarzane przez czas obowiazywania Umowy glownej, z zastrzezeniem § 7 i § 8.

§ 3. Obowiazki, prawa i oswiadczenia Podmiotu przetwarzajacego

  1. Bezpieczenstwo przetwarzania (art. 32 RODO). Podmiot przetwarzajacy zobowiazuje sie do zabezpieczenia powierzonych danych osobowych poprzez wdrozenie (jeszcze przed przystapieniem do przetwarzania) oraz utrzymywanie srodkow technicznych i organizacyjnych odpowiednich do charakteru, zakresu, kontekstu i celu przetwarzania powierzonych danych, w tym srodkow wymaganych przez art. 32 RODO, tak by przetwarzanie powierzonych danych osobowych spelnialo wymogi RODO i chronilo prawa osob, ktorych dane dotycza. Srodki te obejmuja w szczegolnosci szyfrowanie transmisji danych, kontrole dostepu, uwierzytelnianie uzytkownikow oraz regularne tworzenie kopii zapasowych.
  2. Poufnosc osob upowaznionych. Podmiot przetwarzajacy zobowiazuje sie zapewnic, aby osoby upowaznione do przetwarzania danych osobowych powierzonych na podstawie Umowy powierzenia zobowiazane byly do zachowania tajemnicy lub by podlegaly odpowiedniemu ustawowemu obowiazkowi zachowania tajemnicy.
  3. Pomoc w realizacji praw osob. Podmiot przetwarzajacy zobowiazuje sie, w zakresie uzasadnionym przedmiotem Umowy powierzenia i w miare mozliwosci, pomagac Administratorowi w wywiazywaniu sie przez niego z obowiazku odpowiedzi na zadania osob, ktorych dane dotycza, w zakresie wykonywania przez te osoby praw wynikajacych z rozdzialu III RODO.
  4. Zawiadomienia. Podmiot przetwarzajacy zobowiazuje sie niezwlocznie zawiadomic Administratora o:
    1. kazdym naruszeniu ochrony powierzonych danych osobowych, przy czym przez „naruszenie ochrony powierzonych danych" nalezy rozumiec kazde przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostep do powierzonych danych osobowych; zawiadomienia, o ktorym mowa w niniejszym pkt 1, nalezy dokonac najpozniej w ciagu 24 godzin od wykrycia naruszenia ochrony powierzonych danych;
    2. kazdym zadaniu otrzymanym od osoby, ktorej dane przetwarza, powstrzymujac sie jednoczesnie od odpowiedzi na zadanie do czasu otrzymania opinii Administratora; zawiadomienia, o ktorym mowa w niniejszym pkt 2, nalezy dokonac najpozniej w ciagu 24 godzin od otrzymania zadania;
    3. kazdym prawnie umocowanym zadaniu udostepnienia danych osobowych wlasciwemu organowi panstwa, chyba ze zakaz zawiadomienia wynika z przepisow prawa, w szczegolnosci przepisow postepowania karnego, gdy zakaz ma na celu zapewnienie poufnosci wszczetego dochodzenia;
    4. przeprowadzeniu przez Prezesa Urzedu Ochrony Danych Osobowych lub inny organ nadzorczy kontroli zgodnosci przetwarzania danych osobowych i jej wynikach oraz o innych czynnosciach organow wladzy publicznej dotyczacych tych danych.
  5. Pomoc w obowiazkach art. 32–36 RODO. Podmiot przetwarzajacy zobowiazuje sie, w zakresie uzasadnionym przedmiotem Umowy powierzenia i dostepnymi mu informacjami, pomagac Administratorowi w wywiazywaniu sie przez niego z obowiazkow wynikajacych z art. 32–36 RODO i dotyczacych bezpieczenstwa przetwarzania danych osobowych, zglaszania naruszenia ochrony danych osobowych organowi nadzorczemu i osobie, ktorej dane dotycza, oceny skutkow dla ochrony danych oraz zwiazanych z ta ocena konsultacji z organem nadzorczym.
  6. Wykazanie zgodnosci i audyt. Podmiot przetwarzajacy zobowiazuje sie:
    1. udostepniac Administratorowi w terminie 14 dni od dnia otrzymania zadania wszelkie informacje i dokumenty niezbedne do wykazania spelnienia obowiazkow okreslonych w art. 28 RODO;
    2. umozliwiac Administratorowi lub upowaznionemu przez niego audytorowi przeprowadzanie audytow, w tym inspekcji, i przyczyniac sie do nich, na zasadach kazdorazowo okreslonych przez Strony oraz z zastrzezeniem postanowien niniejszego paragrafu.
  7. Audyt, o ktorym mowa w ust. 6 pkt 2 powyzej, moze zostac przeprowadzony:
    1. nie wczesniej niz 14 dni od dnia otrzymania przez Podmiot przetwarzajacy zapowiedzi jego przeprowadzenia, w terminie ustalonym przez Strony, oraz
    2. po zawarciu pomiedzy Podmiotem przetwarzajacym a Administratorem lub upowaznionym przez niego audytorem umowy o zachowaniu poufnosci.
  8. Po zakonczeniu audytu Strony sporzadza protokol w 2 egzemplarzach, ktore podpisza upowaznieni przedstawiciele obu Stron. Podmiot przetwarzajacy moze wniesc zastrzezenia do protokolu w ciagu 5 dni roboczych od dnia jego podpisania przez przedstawicieli Stron.
  9. W razie stwierdzenia w toku audytu uchybien majacych wplyw na bezpieczenstwo przetwarzania powierzonych danych osobowych Podmiot przetwarzajacy zobowiazuje sie dostosowac do zalecen sformulowanych przez Administratora lub upowaznionego przez niego audytora.

§ 4. Obowiazki i oswiadczenia Administratora

  1. Podstawa prawna przetwarzania. Administrator zobowiazany jest zapewnic, aby przez caly okres obowiazywania Umowy powierzenia dysponowal prawna podstawa przetwarzania powierzanych danych osobowych i aby przyslugiwaly mu odpowiednie uprawnienia umozliwiajace ich powierzenie na rzecz Podmiotu przetwarzajacego. W razie utraty ww. podstawy prawnej lub uprawnien wobec okreslonych powierzanych danych osobowych Administrator zobowiazany jest niezwlocznie przedsiewziac kroki niezbedne do zaprzestania ich powierzania, w szczegolnosci zawiadomic o tym Podmiot przetwarzajacy.
  2. Zgodnosc polecen. Administrator zobowiazuje sie nie wydawac Podmiotowi przetwarzajacemu polecen dotyczacych przetwarzania powierzanych danych osobowych, ktore bylyby niezgodne z przepisami prawa powszechnie obowiazujacego, postanowieniami Umowy powierzenia lub innymi zobowiazaniami umownymi.
  3. Oswiadczenie o zakresie danych. Administrator oswiadcza, ze powierzane przez niego dane osobowe ograniczaja sie wylacznie do kategorii wskazanych w § 2 ust. 3 (imie, nazwisko, numer telefonu, adres e-mail, adres zamieszkania) oraz ze nie zawieraja danych szczegolnych kategorii (art. 9 RODO), w tym danych dotyczacych zdrowia, ani danych, o ktorych mowa w art. 10 RODO, ani numeru PESEL czy danych paszportowych lub innych danych dokumentow tozsamosci.
  4. Zobowiazanie dotyczace modulu dokumentow. Administrator zobowiazuje sie nie wprowadzac do Aplikacji, w tym nie wgrywac do modulu dokumentow, jakichkolwiek plikow lub tresci zawierajacych dane wykraczajace poza zakres dopuszczony w § 2 ust. 3, a w szczegolnosci plikow zawierajacych numer PESEL, dane paszportowe lub inne dane dokumentow tozsamosci, dane dotyczace zdrowia oraz pozostale dane szczegolnych kategorii (art. 9 RODO) i dane, o ktorych mowa w art. 10 RODO. Administrator ponosi wylaczna odpowiedzialnosc za zakres i tresc danych wprowadzanych do Aplikacji, w tym za tresc wgranych dokumentow. Podmiot przetwarzajacy nie weryfikuje merytorycznej zawartosci plikow wgrywanych przez Administratora.
  5. W razie naruszenia przez Administratora zobowiazan, o ktorych mowa w ust. 3 i 4, Administrator zobowiazuje sie niezwlocznie usunac z Aplikacji dane wprowadzone z naruszeniem dopuszczalnego zakresu. Postanowienie to nie ogranicza odpowiedzialnosci Administratora jako administratora tych danych.

§ 5. Dalsze powierzenie danych osobowych (podpowierzenie)

  1. Administrator wyraza ogolna zgode na dokonywanie przez Podmiot przetwarzajacy dalszego powierzania przetwarzania danych osobowych (dalej: „podpowierzenie") wybranym przez siebie podwykonawcom (subprocesorom). Aktualna lista subprocesorow stanowi Zalacznik nr 2 do Umowy powierzenia.
  2. Podmiot przetwarzajacy zobowiazuje sie zapewnic, aby:
    1. podmiot, wobec ktorego dokonuje podpowierzenia, stosowal odpowiednie srodki techniczne i organizacyjne w celu zagwarantowania przetwarzania powierzonych danych osobowych zgodnie z przepisami RODO;
    2. zakres obowiazkow dalszego podmiotu przetwarzajacego w zakresie ochrony danych odpowiadal obowiazkom Podmiotu przetwarzajacego przewidzianym w Umowie powierzenia.
  3. Odpowiedzialnosc za subprocesora (art. 28 ust. 4 RODO). Jezeli dalszy podmiot przetwarzajacy nie wywiaze sie ze spoczywajacych na nim obowiazkow ochrony danych, pelna odpowiedzialnosc wobec Administratora za wypelnienie obowiazkow tego dalszego podmiotu przetwarzajacego ponosi Podmiot przetwarzajacy. Podmiot przetwarzajacy odpowiada za dzialania i zaniechania subprocesora jak za dzialania i zaniechania wlasne.
  4. Aktualna lista i informowanie o zmianach. Podmiot przetwarzajacy zobowiazuje sie utrzymywac liste subprocesorow (Zalacznik nr 2) w wersji aktualnej oraz informowac Administratora o wszelkich zamierzonych zmianach dotyczacych dodania lub zastapienia subprocesorow, tak aby Administrator mial mozliwosc wyrazenia sprzeciwu.
  5. W przypadku zamiaru dodania nowego subprocesora lub zastapienia dotychczasowego Podmiot przetwarzajacy zobowiazany jest zawiadomic o tym Administratora nie pozniej niz na 7 (siedem) dni przed dokonaniem podpowierzenia, za pomoca poczty elektronicznej. Administrator moze sprzeciwic sie dokonaniu podpowierzenia poprzez zgloszenie sprzeciwu za pomoca poczty elektronicznej, w terminie 7 (siedmiu) dni od dnia otrzymania zawiadomienia.
  6. Po bezskutecznym uplywie terminu na zgloszenie sprzeciwu, o ktorym mowa w ust. 5 powyzej, Podmiot przetwarzajacy moze dokonac podpowierzenia przetwarzanych danych osobowych wybranemu subprocesorowi.
  7. W przypadku zgloszenia sprzeciwu, o ktorym mowa w ust. 5 powyzej, jezeli Strony nie uzgodnia rozwiazania alternatywnego, Podmiot przetwarzajacy moze odstapic od Umowy glownej ze skutkiem natychmiastowym.
  8. Zmiana listy subprocesorow dokonana zgodnie z niniejszym paragrafem nie stanowi zmiany Umowy powierzenia.

§ 5a. Przekazywanie danych poza Europejski Obszar Gospodarczy

  1. Co do zasady powierzone dane osobowe sa przetwarzane na terytorium Europejskiego Obszaru Gospodarczego (EOG). Glowna infrastruktura bazodanowa, uwierzytelniania i magazynu plikow (Supabase) zlokalizowana jest w regionie eu-west-1 (Irlandia, EOG), a wysylka SMS (SMSAPI) realizowana jest w Polsce/EOG.
  2. W zakresie, w jakim wykonanie Uslugi wiaze sie z przekazaniem powierzonych danych osobowych do panstwa trzeciego (poza EOG) – co dotyczy w szczegolnosci uslug hostingu i zadan cyklicznych (Vercel) oraz wysylki wiadomosci e-mail (Resend) – Podmiot przetwarzajacy zapewnia, ze przekazanie takie odbywa sie wylacznie na podstawie jednego z mechanizmow okreslonych w rozdziale V RODO (art. 44–49), w szczegolnosci na podstawie decyzji Komisji Europejskiej stwierdzajacej odpowiedni stopien ochrony albo standardowych klauzul umownych (Standard Contractual Clauses, SCC) przyjetych przez Komisje Europejska, wraz z odpowiednimi dodatkowymi srodkami ochrony, jezeli sa wymagane.
  3. Podmiot przetwarzajacy zobowiazuje sie udostepnic Administratorowi na jego zadanie informacje o stosowanych mechanizmach transferu danych poza EOG dotyczacych subprocesorow wymienionych w Zalaczniku nr 2.

DO PRZEGLADU PRAWNEGO: zweryfikowac przed go-live aktualne umowy powierzenia (DPA) oraz mechanizmy transferu (SCC i ewentualne dodatkowe srodki / ocena skutkow transferu) stosowane przez Vercel i Resend, a takze potwierdzic, ze region Supabase pozostaje w EOG (eu-west-1, Irlandia).

§ 6. Poufnosc

Strony zobowiazuja sie wykorzystac materialy, dane oraz wszelkie informacje pozyskane od drugiej Strony w celu wykonania Umowy powierzenia wylacznie do jej realizacji oraz zachowac te materialy, dane oraz informacje w tajemnicy, zarowno w czasie trwania Umowy powierzenia, jak i po jej rozwiazaniu.

§ 7. Czas obowiazywania Umowy powierzenia

Umowa powierzenia zostaje zawarta na czas obowiazywania Umowy glownej i rozwiazuje sie wraz z wypowiedzeniem, rozwiazaniem lub wygasnieciem Umowy glownej.

§ 8. Skutki rozwiazania Umowy powierzenia

W przypadku rozwiazania Umowy powierzenia Podmiot przetwarzajacy, niezwlocznie, nie pozniej niz w terminie 14 (czternastu) dni roboczych od dnia rozwiazania Umowy powierzenia, zobowiazuje sie – wedlug wyboru Administratora – zwrocic Administratorowi albo usunac wszelkie dane osobowe, ktorych przetwarzanie zostalo mu powierzone, oraz skutecznie usunac istniejace kopie, w tym usunac je z nosnikow elektronicznych pozostajacych w jego dyspozycji. Postanowienia zdania poprzedzajacego nie dotycza tych danych osobowych, ktorych przechowywanie przez Podmiot przetwarzajacy, zgodnie z przepisami powszechnie obowiazujacego prawa, wymagane jest przez czas dluzszy niz okres obowiazywania Umowy powierzenia.

§ 9. Postanowienia koncowe

  1. Integralna czescia Umowy powierzenia sa:
    • Zalacznik nr 1 – Kategorie powierzonych danych osobowych oraz kategorie osob, ktorych powierzone dane osobowe dotycza;
    • Zalacznik nr 2 – Lista subprocesorow (dalszych podmiotow przetwarzajacych).
  2. Do zmian Umowy powierzenia stosuje sie odpowiednie postanowienia Regulaminu, z zastrzezeniem, ze aktualizacja Zalacznika nr 2 nastepuje w trybie okreslonym w § 5.
  3. W sprawach nieuregulowanych w Umowie powierzenia maja zastosowanie postanowienia Regulaminu, przepisy RODO oraz odpowiednie przepisy prawa polskiego.

Zalacznik nr 1 – Kategorie powierzonych danych osobowych oraz kategorie osob, ktorych powierzone dane osobowe dotycza

L.p. Kategorie danych osobowych Kategorie osob, ktorych dane dotycza
1 Imie, nazwisko, numer telefonu, adres e-mail, adres zamieszkania Turysci (klienci Administratora) oraz inne osoby fizyczne, ktorych dane Administrator wprowadza do Aplikacji w zwiazku z obsluga rezerwacji

Powierzenie nie obejmuje i nie moze obejmowac zadnych innych kategorii danych, w szczegolnosci numeru PESEL, danych paszportowych lub innych danych dokumentow tozsamosci, danych dotyczacych zdrowia oraz pozostalych danych szczegolnych kategorii (art. 9 RODO) i danych, o ktorych mowa w art. 10 RODO. Ograniczenie to obowiazuje takze w odniesieniu do plikow i tresci wgrywanych do modulu dokumentow w Aplikacji.

Zalacznik nr 2 – Lista subprocesorow (dalszych podmiotow przetwarzajacych)

Ponizsza lista przedstawia aktualny wykaz subprocesorow, ktorym Podmiot przetwarzajacy moze podpowierzyc przetwarzanie powierzonych danych osobowych w celu swiadczenia Uslugi. Lista jest utrzymywana w wersji aktualnej; o zmianach Administrator informowany jest w trybie § 5 Umowy powierzenia.

L.p. Subprocesor Zakres / cel przetwarzania Lokalizacja przetwarzania Podstawa transferu poza EOG
1 Supabase Baza danych, uwierzytelnianie uzytkownikow, magazyn plikow (storage) Region eu-west-1 (Irlandia, EOG) Nie dotyczy (przetwarzanie w EOG)
2 Vercel Hosting Aplikacji, zadania cykliczne (cron) Mozliwe przetwarzanie poza EOG Standardowe klauzule umowne (SCC), art. 46 RODO
3 Resend Wysylka wiadomosci e-mail (transakcyjnych i powiadomien) USA / poza EOG Standardowe klauzule umowne (SCC), art. 46 RODO
4 SMSAPI Wysylka wiadomosci SMS (powiadomienia, przypomnienia) Polska / EOG Nie dotyczy (przetwarzanie w EOG)

Uwaga: PayU (platnosci), Fakturownia (faktury) oraz Brevo (marketing / newsletter) nie sa subprocesorami w rozumieniu art. 28 RODO w zakresie powierzonych danych turystow i nie sa objete niniejszym Zalacznikiem; podmioty te przetwarzaja dane jako odrebni administratorzy lub przetwarzaja dane Administratora (biura) na innej podstawie, zgodnie z Polityka prywatnosci.

Lista podmiotów przetwarzających (podprocesorów)

Załącznik do Umowy powierzenia przetwarzania danych osobowych (DPA)

Wersja 1.0 (projekt) Data: 2026-06-23

Operator (podmiot przetwarzający / procesor): MW DIGITAL sp. z o.o., ul. Augustyna Szamarzewskiego 21 lok. 2, 60-514 Poznań KRS 0001225835, NIP 7812105997, REGON 544052286, kapitał zakładowy 5 000,00 zł Sąd rejestrowy: Sąd Rejonowy Poznań - Nowe Miasto i Wilda w Poznaniu, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego E-mail kontaktowy: info@odlotcrm.pl

1. Cel i charakter listy

Operator świadczy usługę Odlot CRM (oprogramowanie udostępniane w modelu SaaS dla biur podróży) i w tym celu korzysta z dostawców zewnętrznych. Część z nich przetwarza dane osobowe powierzone Operatorowi przez biuro podróży (administratora) w imieniu administratora - są to podmioty przetwarzające dalej (podprocesorzy) w rozumieniu art. 28 ust. 2 i 4 RODO.

Administrator (biuro podróży), zawierając z Operatorem Umowę powierzenia przetwarzania danych osobowych (DPA), wyraża ogólną zgodę na korzystanie z podprocesorów wskazanych w niniejszej liście. Operator informuje administratora o zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów z odpowiednim wyprzedzeniem, umożliwiając zgłoszenie sprzeciwu na zasadach określonych w DPA.

Zakres danych powierzonych Operatorowi jest ograniczony zgodnie z DPA wyłącznie do: imienia, nazwiska, numeru telefonu, adresu e-mail oraz adresu zamieszkania turysty. Podprocesorzy nie otrzymują od Operatora żadnych innych kategorii danych.

2. Podprocesorzy (art. 28 RODO)

Poniżsi dostawcy przetwarzają dane powierzone Operatorowi przez administratora i działają wyłącznie zgodnie z udokumentowanymi poleceniami Operatora.

Podprocesor Rola / cel przetwarzania Zakres powierzonych danych Lokalizacja przetwarzania Transfer poza EOG + podstawa
Supabase, Inc. Baza danych, uwierzytelnianie oraz przechowywanie plików (moduł dokumentów) - podstawowa warstwa danych aplikacji Dane turystów powierzone przez biuro: imię, nazwisko, numer telefonu, adres e-mail, adres zamieszkania (wraz z kontekstem rezerwacji i rat oraz plikami w module dokumentów). Dane kont użytkowników biura NIE są danymi powierzonymi (Operator jest tu administratorem — reguluje je Polityka prywatności) Region eu-west-1 (Irlandia), EOG Nie - hosting w EOG. Dostawca z siedzibą w USA; podstawa zabezpieczająca: DPA Supabase wraz ze standardowymi klauzulami umownymi (SCC)
Vercel, Inc. Hosting aplikacji oraz uruchamianie zadań cyklicznych (cron - przypomnienia o ratach) Dane przetwarzane w tranzycie przez warstwę aplikacji; brak trwałego składowania danych osobowych po stronie Vercel USA / globalna sieć brzegowa (region funkcji konfigurowalny) Tak - możliwy transfer poza EOG; podstawa: DPA Vercel wraz ze standardowymi klauzulami umownymi (SCC)
Resend, Inc. Wysyłka wiadomości e-mail transakcyjnych (przypomnienia o ratach, potwierdzenia) Adres e-mail turysty oraz treść wiadomości USA Tak - transfer poza EOG; podstawa: DPA Resend wraz ze standardowymi klauzulami umownymi (SCC)
SMSAPI (LINK Mobility Poland sp. z o.o.) Wysyłka wiadomości SMS (przypomnienia o ratach, potwierdzenia) Numer telefonu turysty oraz treść wiadomości Polska / EOG Nie - przetwarzanie w EOG

Uwaga: SMSAPI oraz Resend stają się aktywnymi podprocesorami dopiero po włączeniu powiadomień (SMS / e-mail). Do czasu uruchomienia tych funkcji w trybie produkcyjnym dane kontaktowe turystów nie są tym dostawcom przekazywane.

3. Odrębni administratorzy (NIE podmioty przetwarzające)

Poniższe podmioty NIE są podprocesorami w rozumieniu art. 28 RODO i nie przetwarzają w imieniu administratora danych turystów powierzonych Operatorowi. Każdy z nich działa jako odrębny (niezależny) administrator we własnym celu, w odniesieniu do danych biura (abonenta) lub danych przekazywanych mu bezpośrednio. Nie są one objęte umową powierzenia.

  • PayU S.A. - obsługa płatności (abonament, pakiety) - jako odrębny administrator przetwarza dane biura-płatnika (m.in. dane transakcji, e-mail) we własnych celach rozliczeniowych i przeciwdziałania nadużyciom; podstawy te ujmuje regulamin i polityka prywatności, a nie umowa powierzenia.
  • Fakturownia sp. z o.o. - wystawianie i przechowywanie faktur - jako odrębny administrator przetwarza dane rozliczeniowe biura (nazwa firmy, NIP, adres, e-mail) na potrzeby obowiązków księgowo-podatkowych.
  • Brevo (Sendinblue SAS) - wysyłka newslettera i komunikacji marketingowej (na podstawie zgody marketingowej zbieranej na landingu) - w tym zakresie Operator jest administratorem danych subskrybentów, a Brevo działa jako jego dostawca; podmiot ten nie otrzymuje danych turystów powierzonych w CRM.

4. Pozostałe uwagi

  • GitHub (hosting kodu źródłowego) nie jest podprocesorem w rozumieniu RODO - kod nie zawiera danych produkcyjnych turystów, a sekrety nie są umieszczane w repozytorium.
  • Każdy dostawca z siedzibą poza EOG udostępnia własną umowę powierzenia (DPA) wraz ze standardowymi klauzulami umownymi (SCC) - do zaakceptowania po stronie konta Operatora.
  • Niniejsza lista będzie aktualizowana w przypadku dodania kolejnych narzędzi przetwarzających dane powierzone (np. monitoring, analityka).

DO PRZEGLĄDU PRAWNEGO: potwierdzić aktualny zakres i podstawy transferu poza EOG dla Vercel i Resend (treść aktualnych DPA/SCC dostawców) oraz status decyzji w sprawie adekwatności mającej zastosowanie do transferów do USA na dzień wdrożenia. DO PRZEGLĄDU PRAWNEGO: potwierdzić oznaczenie roli PayU (odrębny administrator) w zakresie konkretnego modelu integracji płatności wdrożonego w aplikacji.