Niniejszy dokument określa warunki powierzenia przetwarzania danych osobowych zgodnie z art. 28 RODO. Ma zastosowanie, gdy Użytkownik (Administrator) wprowadza do usługi Bilanso dane osobowe osób trzecich (np. kontrahentów lub klientów biura rachunkowego), a Usługodawca przetwarza je w jego imieniu. Egzemplarz podpisany jest dostępny na żądanie pod adresem hello@bilanso.io.
1. Strony
- Administrator: Użytkownik (Organizacja korzystająca z Usługi).
- Podmiot przetwarzający: BuildFlow Angelika Kotarba, NIP 6711821792, ul. 1 Maja 13/1, 78-100 Kołobrzeg.
2. Przedmiot, charakter i cel przetwarzania
Przetwarzanie obejmuje czynności niezbędne do świadczenia Usługi: przechowywanie, import, uzgadnianie (rekoncyliację) i eksport danych rozliczeniowych. Cel: realizacja umowy o świadczenie Usługi. Czas trwania: na czas obowiązywania umowy głównej (Regulaminu).
3. Kategorie osób i danych
- Kategorie osób: kontrahenci, klienci i przedstawiciele Użytkownika.
- Kategorie danych: dane identyfikacyjne i kontaktowe (np. nazwa, NIP), dane rozliczeniowe i transakcyjne (kwoty, numery rozliczeń, numery rachunków bankowych).
- Usługa nie jest przeznaczona do przetwarzania szczególnych kategorii danych (art. 9 RODO).
4. Obowiązki podmiotu przetwarzającego
- Przetwarzanie wyłącznie na udokumentowane polecenie Administratora (w tym poprzez funkcje Usługi).
- Zapewnienie poufności osobom upoważnionym do przetwarzania.
- Stosowanie środków bezpieczeństwa odpowiednich do ryzyka (art. 32 RODO) - zob. pkt 6.
- Pomoc Administratorowi w realizacji praw osób oraz w obowiązkach z art. 32-36 RODO.
- Zgłaszanie Administratorowi naruszeń ochrony danych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od powzięcia informacji o naruszeniu.
- Po zakończeniu umowy - usunięcie lub zwrot danych zgodnie z wyborem Administratora.
5. Dalsze powierzenie (subprocesorzy)
Administrator wyraża ogólną zgodę na korzystanie z dalszych podmiotów przetwarzających wymienionych poniżej. Usługodawca poinformuje o zamierzonych zmianach na tej liście (drogą elektroniczną lub w aplikacji), umożliwiając wniesienie sprzeciwu w terminie 14 dni od powiadomienia.
| Podmiot | Rola | Lokalizacja |
|---|---|---|
| Supabase, Inc. | Hosting bazy danych i uwierzytelnianie użytkowników | Unia Europejska (Frankfurt, region eu-central-1) |
| Vercel, Inc. | Hosting aplikacji (warstwa serwerowa i CDN) | UE / USA (transfer na podstawie standardowych klauzul umownych - SCC) |
| Stripe Payments Europe, Ltd. | Obsługa płatności i subskrypcji | Irlandia (UE) z transferem do USA na podstawie SCC |
| Anthropic, PBC | Opcjonalne wspomaganie odczytu dokumentów AI (dane pseudonimizowane przed wysłaniem) | USA - tylko gdy funkcja AI włączona; transfer na podstawie SCC |
6. Bezpieczeństwo przetwarzania
- Izolacja danych pomiędzy organizacjami (multi-tenant) na poziomie aplikacji i bazy danych.
- Szyfrowanie połączeń (HTTPS/TLS) oraz szyfrowanie wrażliwych tokenów integracji (AES-256-GCM).
- Uwierzytelnianie i kontrola dostępu na poziomie ról.
- Główne dane przechowywane w UE (Frankfurt).
7. Prawa Administratora
Administrator ma prawo do informacji niezbędnych do wykazania zgodności oraz do audytu nie częściej niż raz w roku, po uprzednim uzgodnieniu terminu z co najmniej 14-dniowym wyprzedzeniem. Obowiązek ten może zostać spełniony poprzez udostępnienie raportów lub certyfikatów dostawców infrastruktury.
8. Postanowienia końcowe
W sprawach nieuregulowanych stosuje się RODO oraz prawo polskie. W razie sprzeczności z Regulaminem w zakresie ochrony danych pierwszeństwo ma niniejszy dokument.