Prawne
Umowa o powierzeniu przetwarzania danych
Ostatnia aktualizacja: 5 czerwca 2026
Niniejsza Umowa o powierzeniu przetwarzania danych ("DPA") reguluje przetwarzanie danych osobowych dokonywane przez Rekka w twoim imieniu w ramach świadczenia Usługi. Wdraża art. 28 RODO i stanowi integralną część naszych Warunków świadczenia usług.
1. Strony
- Podmiot przetwarzający: Happy Cloud Studio Sp. z o.o., Ul. Grzybowska 87, 00-844 Warszawa, Polska, NIP 5272786566 ("my" lub "Rekka").
- Administrator: klient, który zaakceptował Warunki świadczenia usług Rekka ("ty" lub "Administrator").
2. Definicje
Terminy pisane wielką literą mają znaczenie nadane im przez RODO (Rozporządzenie (UE) 2016/679). "Dane osobowe", "Przetwarzanie", "Administrator", "Podmiot przetwarzający", "Podwykonawca", "Osoba, której dane dotyczą" oraz "Naruszenie ochrony danych osobowych" są używane zgodnie z tam zawartymi definicjami. "Usługa" ma znaczenie nadane w Warunkach świadczenia usług.
3. Przedmiot i czas trwania
Niniejsze DPA obejmuje Przetwarzanie, które Rekka prowadzi w twoim imieniu wyłącznie w celu świadczenia Usługi. Przetwarzanie trwa tak długo, jak masz aktywny workspace, i kończy się z chwilą zamknięcia workspace, z zastrzeżeniem obowiązków usunięcia i zwrotu określonych w sekcji 12.
4. Charakter, cel i typy danych
Szczegóły zawiera Załącznik 1 (Opis przetwarzania).
5. Twoje polecenia
Przetwarzamy Dane osobowe wyłącznie na podstawie twoich udokumentowanych poleceń. Korzystanie z Usługi w jej standardowej konfiguracji stanowi udokumentowane polecenie. Warunki świadczenia usług, niniejsze DPA oraz każda funkcja, którą włączysz w ramach Usługi, wspólnie opisują zakres tych poleceń. Możesz wydawać dalsze polecenia na piśmie; poinformujemy cię, jeśli uznamy, że polecenie narusza obowiązujące prawo ochrony danych, zanim na jego podstawie podejmiemy działania.
6. Poufność
Zapewniamy, że personel upoważniony do przetwarzania Danych osobowych jest związany pisemnymi zobowiązaniami do zachowania poufności lub odpowiednimi ustawowymi obowiązkami poufności, a dostęp jest ograniczony do osób, które potrzebują go do wykonywania swojej roli.
7. Bezpieczeństwo przetwarzania
Wdrażamy odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka, uwzględniając stan wiedzy technicznej oraz charakter przetwarzanych danych. Opis aktualnych środków zawiera Załącznik 3 (Środki techniczne i organizacyjne).
8. Podwykonawcy
Udzielasz nam ogólnej zgody na angażowanie Podwykonawców w celu świadczenia Usługi. Każdy Podwykonawca jest związany pisemną umową nakładającą obowiązki ochrony danych nie mniej rygorystyczne niż przewidziane w niniejszym DPA.
Aktualną listę Podwykonawców zawiera Załącznik 2. Powiadomimy cię z co najmniej 30-dniowym wyprzedzeniem przed dodaniem lub zmianą Podwykonawcy, e-mailem do Właściciela workspace lub komunikatem w Usłudze. Jeśli sprzeciwisz się zmianie z uzasadnionych powodów ochrony danych, możesz wypowiedzieć subskrypcję w odniesieniu do objętej nią Usługi, zanim nowy Podwykonawca rozpocznie przetwarzanie. Wypowiedzenie z tego powodu w trakcie planu płatnego uprawnia cię do proporcjonalnego zwrotu przedpłaconych kwot.
Pozostajemy odpowiedzialni za działania i zaniechania naszych Podwykonawców w takim samym zakresie, w jakim odpowiadamy na mocy niniejszego DPA.
9. Transfery międzynarodowe
Dane osobowe są przetwarzane przede wszystkim w obrębie Europejskiego Obszaru Gospodarczego. Gdy Dane osobowe są przekazywane do kraju poza EOG nieuznanego przez Komisję Europejską za zapewniający odpowiedni poziom ochrony, transfer jest regulowany Standardowymi klauzulami umownymi Komisji Europejskiej (Moduł 3 dla transferów podmiot przetwarzający - podmiot przetwarzający, Moduł 2 dla transferów administrator - podmiot przetwarzający, w stosownych przypadkach), z dodatkowymi środkami technicznymi i organizacyjnymi tam, gdzie to właściwe. Upoważniasz nas do zawierania Standardowych klauzul umownych z Podwykonawcami w twoim imieniu w tym celu.
10. Pomoc w realizacji praw osób, których dane dotyczą
Usługa zawiera funkcje, które pozwalają tobie, jako Administratorowi, realizować żądania Osób, których dane dotyczą, bezpośrednio (dostęp, sprostowanie, usunięcie, ograniczenie i eksport danych z ustawień workspace). Gdy otrzymamy żądanie od Osoby, której dane dotyczą, związane z twoim workspace, bez zbędnej zwłoki przekażemy je tobie i nie odpowiemy bezpośrednio, poza potwierdzeniem odbioru i skierowaniem Osoby do ciebie. Będziemy ci pomagać, na twój koszt tam, gdzie pomoc jest istotna, w odpowiadaniu na takie żądania za pomocą odpowiednich środków technicznych i organizacyjnych.
11. Naruszenia ochrony danych osobowych
Powiadomimy cię bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o Naruszeniu ochrony danych osobowych dotyczącym twoich Danych osobowych. Powiadomienie będzie zawierać, w zakresie znanym: charakter naruszenia, w tym kategorie i przybliżone liczby Osób oraz rekordów, których dotyczy; prawdopodobne konsekwencje; środki podjęte lub proponowane w celu zaradzenia naruszeniu i złagodzenia jego skutków; oraz imię i nazwisko oraz dane kontaktowe punktu kontaktowego, w którym można uzyskać więcej informacji.
12. Usunięcie i zwrot danych
Po zamknięciu twojego workspace usuwamy twoje Dane osobowe w trybie soft natychmiast i trwale kasujemy po 30-dniowym okresie karencji, z wyjątkiem przypadków, gdy przechowywanie jest wymagane prawem (na przykład faktury). Kopie zapasowe zawierające Dane osobowe są rotowane w ciągu 30 dni. Na żądanie zgłoszone przed skasowaniem udostępnimy Dane klienta do eksportu.
13. Audyty
Udostępnimy ci informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwimy i będziemy współuczestniczyć w audytach, w tym inspekcjach, prowadzonych przez ciebie lub upoważnionego przez ciebie audytora. Aby ograniczyć zakłócenia, możemy spełniać żądania audytowe, udostępniając naszą istniejącą dokumentację i raporty Podwykonawców, o ile w sposób rozsądny odpowiadają one zakresowi twojego audytu.
14. Odpowiedzialność
Odpowiedzialność każdej ze stron na mocy niniejszego DPA podlega ograniczeniom odpowiedzialności określonym w Warunkach świadczenia usług.
15. Pierwszeństwo
W przypadku sprzeczności między niniejszym DPA a Warunkami świadczenia usług w zakresie Przetwarzania Danych osobowych pierwszeństwo ma niniejsze DPA.
Załącznik 1. Opis przetwarzania
- Przedmiot: świadczenie Usługi dobrostanu w pracy Rekka.
- Czas trwania: okres obowiązywania Warunków świadczenia usług, tak długo, jak workspace jest aktywny.
- Charakter i cel: hosting, przechowywanie, przesyłanie i inne przetwarzanie Danych osobowych w zakresie niezbędnym do dostarczania funkcji dobrostanu Usługi zespołowi Administratora.
- Kategorie Osób, których dane dotyczą: Właściciele workspace oraz pracownicy, których oni zapraszają.
- Typy Danych osobowych: dane identyfikacyjne i kontaktowe (imię i nazwisko, email); dane profilu (zdjęcie profilowe, data urodzenia, płeć, język); oraz treści dotyczące dobrostanu zapisywane przez poszczególne osoby (projekty osobiste, sesje śledzenia czasu, refleksje w dzienniku, opcjonalne migawki nastroju, śledzenie nawyków i historia ćwiczeń). Treści dotyczące dobrostanu mogą obejmować szczególne kategorie danych podawane dobrowolnie przez osobę, która jako jedyna może je zobaczyć w ramach Usługi.
Załącznik 2. Podwykonawcy
| Podwykonawca | Cel | Lokalizacja |
|---|---|---|
| Supabase Inc. | Baza danych, uwierzytelnianie, przechowywanie plików | Frankfurt, Niemcy (UE) |
| Cloudflare, Inc. | Hosting webowy, CDN, środowisko edge aplikacji, ochrona DDoS | Globalna sieć edge, rezydencja danych w UE tam, gdzie wspierana |
| Brevo (Sendinblue SAS) | Dostarczanie e-maili transakcyjnych | Francja (UE) |
Załącznik 3. Środki techniczne i organizacyjne
- Szyfrowanie: dane szyfrowane w tranzycie (TLS) i w spoczynku.
- Kontrola dostępu: bezpieczeństwo na poziomie wiersza, dzięki czemu każdy użytkownik sięga tylko po własne dane; pracodawca nie może zobaczyć prywatnych wpisów dobrostanu pracownika.
- Najmniejsze uprawnienia: dostęp administracyjny ograniczony do osób, które go potrzebują, chroniony silnym uwierzytelnianiem.
- Dane uwierzytelniające: hasła przechowywane wyłącznie jako solone hashe; pliki prywatne serwowane przez krótkotrwałe podpisane adresy URL.
- Rezydencja danych: podstawowe przetwarzanie i przechowywanie hostowane w UE (Frankfurt).
- Odporność: regularne kopie zapasowe z 30-dniową rotacją.
- Monitorowanie: logi serwerowe dla bezpieczeństwa i zapobiegania nadużyciom, przechowywane do 90 dni.
- Zarządzanie dostawcami: pisemne umowy o powierzeniu przetwarzania danych zawarte z każdym Podwykonawcą.
Kontakt
Happy Cloud Studio Sp. z o.o. Ul. Grzybowska 87, 00-844 Warszawa, Polska Kontakt w sprawach prywatności: Franco Toccu Email: privacy@happycloudstudio.com