Strona główna
JoyLegal

Umowa powierzenia przetwarzania danych osobowych (DPA)

Ostatnia aktualizacja: 13 marca 2026 r.

Niniejsza Umowa powierzenia przetwarzania danych osobowych (Data Processing Agreement, dalej „DPA") stanowi integralną część Regulaminu i reguluje zasady przetwarzania danych osobowych przez JoyLegal (dalej „Podmiot przetwarzający") w imieniu Użytkownika (dalej „Administrator danych").

1. Przedmiot umowy

  1. Administrator danych powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych zawartych w dokumentach przesyłanych do analizy w Serwisie JoyLegal.
  2. Przetwarzanie odbywa się wyłącznie w celu i zakresie niezbędnym do świadczenia Usługi analizy dokumentów prawnych.
  3. Niniejsza DPA jest zawierana na podstawie art. 28 RODO.

2. Zakres przetwarzania

  • Rodzaj danych: dane osobowe zawarte w dokumentach przesyłanych przez Administratora — mogą obejmować imiona, nazwiska, adresy, numery identyfikacyjne, dane kontaktowe stron umów.
  • Kategorie osób: strony umów, kontrahenci, pracownicy, osoby fizyczne wymienione w dokumentach.
  • Operacje przetwarzania: odczyt, analiza automatyczna (AI), generowanie raportów, przechowywanie czasowe, usuwanie.
  • Czas trwania: przez okres świadczenia Usługi, nie dłużej niż wynika z ustawień retencji danych Administratora.

3. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się do:

  1. Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora (w tym niniejszą DPA i Regulamin).
  2. Zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności.
  3. Wdrożenia odpowiednich środków technicznych i organizacyjnych wymaganych na mocy art. 32 RODO, w tym:
    • szyfrowania danych w tranzycie (TLS 1.3) i w spoczynku (AES-256),
    • izolacji danych Użytkowników (Row Level Security),
    • regularnych testów bezpieczeństwa,
    • kontroli dostępu opartej na rolach,
    • opcjonalnego maskowania danych osobowych (PII masking).
  4. Niekorzystania z usług innego podmiotu przetwarzającego (podprzetwarzającego) bez uprzedniej zgody Administratora. Lista aktualnych podprzetwarzających znajduje się w sekcji 5.
  5. Pomocy Administratorowi w realizacji praw osób, których dane dotyczą (art. 15–22 RODO).
  6. Pomocy Administratorowi w wypełnieniu obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków).
  7. Powiadomienia Administratora o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od wykrycia naruszenia.
  8. Po zakończeniu świadczenia Usługi — usunięcia lub zwrotu danych osobowych według wyboru Administratora, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych.
  9. Udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO.

4. Obowiązki Administratora danych

  1. Administrator danych oświadcza, że posiada odpowiednią podstawę prawną do powierzenia przetwarzania danych osobowych.
  2. Administrator jest odpowiedzialny za zapewnienie, że przesyłane dokumenty nie naruszają praw osób trzecich.
  3. Administrator ponosi odpowiedzialność za prawidłowość i rzetelność przetwarzanych danych.
  4. Administrator zobowiązuje się do konfiguracji ustawień retencji i bezpieczeństwa zgodnie ze swoimi wymogami prawnymi.

5. Podprzetwarzający (Sub-processors)

Administrator wyraża ogólną zgodę na korzystanie z następujących podprzetwarzających:

PodprzetwarzającyCelLokalizacjaZabezpieczenia
Supabase, Inc.Hosting bazy danychFrankfurt, DE (EOG)SOC 2 Type II, szyfrowanie
Anthropic / OpenRouterAnaliza AI dokumentówUSASCC, brak trwałego przechowywania
Clerk, Inc.UwierzytelnianieUSASCC, SOC 2, DPF
Stripe, Inc.PłatnościUSA/IEPCI DSS Level 1, SCC

O zamiarze zmiany lub dodania podprzetwarzającego Administrator zostanie poinformowany z 30-dniowym wyprzedzeniem. W przypadku uzasadnionego sprzeciwu Administrator ma prawo rozwiązać umowę.

6. Transfer danych poza EOG

  1. Transfer danych do państw trzecich odbywa się wyłącznie na podstawie Standardowych Klauzul Umownych (SCC) lub decyzji o adekwatności (DPF).
  2. Podmiot przetwarzający przeprowadza Transfer Impact Assessment (TIA) dla każdego podprzetwarzającego spoza EOG.
  3. Stosowane są dodatkowe środki techniczne: szyfrowanie E2E, minimalizacja danych, pseudonimizacja.

7. Audyty

  1. Administrator ma prawo do przeprowadzania audytów zgodności z niniejszą DPA, po uprzednim uzgodnieniu terminu z 14-dniowym wyprzedzeniem.
  2. Podmiot przetwarzający udostępnia na żądanie raporty audytowe SOC 2 lub równoważne certyfikaty bezpieczeństwa.

8. Naruszenia ochrony danych

  1. Podmiot przetwarzający informuje Administratora o naruszeniu w ciągu 48 godzin, przekazując:
    • opis charakteru naruszenia,
    • kategorie i przybliżoną liczbę osób dotkniętych,
    • prawdopodobne konsekwencje,
    • podjęte środki zaradcze.
  2. Podmiot przetwarzający współpracuje z Administratorem w zakresie komunikacji z organem nadzorczym i osobami, których dane dotyczą.

9. Odpowiedzialność

  1. Każda ze stron ponosi odpowiedzialność zgodnie z art. 82 RODO.
  2. Podmiot przetwarzający ponosi odpowiedzialność jedynie w zakresie, w jakim nie dopełnił obowiązków nałożonych na niego przez RODO lub niniejszą DPA.

10. Czas trwania i rozwiązanie

  1. Niniejsza DPA obowiązuje przez cały okres korzystania z Usługi.
  2. Po rozwiązaniu umowy Podmiot przetwarzający usunie dane osobowe w ciągu 30 dni, chyba że przepisy prawa wymagają dłuższego przechowywania.
  3. Na żądanie Administratora, Podmiot przetwarzający dostarczy potwierdzenie usunięcia danych.

11. Kontakt

W sprawach dotyczących niniejszej DPA: kontakt@joylegal.app