Umowa powierzenia przetwarzania danych (DPA)

Wersja 1.0 · obowiązuje od 1 de junio de 2026

Ten dokument jest dostępny tylko w wersji polskiej. Wkrótce dodamy tłumaczenia EN/UK/DE/ES/RO.

Krótko: Korzystając z ArchiPuro do przetwarzania danych Twoich klientów (kontakty, projekty, pliki, komunikacja), Twoja Pracownia jest Administratorem, a ArchiPuro (SPOTMEUP sp. z o.o.) jest Procesorem — działa wyłącznie na Twoje polecenie. Ta umowa definiuje zakres, sposób, czas i bezpieczeństwo tego przetwarzania zgodnie z RODO art. 28.

1. Strony umowy

Administrator

Pracownia

Użytkownik rejestrujący konto w ArchiPuro, który wprowadza dane swoich klientów. Zachowuje pełne prawa do tych danych i podejmuje decyzje co do celów i sposobów przetwarzania.

Procesor

SPOTMEUP sp. z o.o.

KRS 0001190579 · NIP 1133177347. Operator platformy ArchiPuro. Przetwarza dane wyłącznie na polecenie Administratora — Pracowni.

2. Przedmiot i czas przetwarzania

Procesor przetwarza dane osobowe Klientów Pracowni przekazane do platformy ArchiPuro w celu świadczenia usług określonych w Regulaminie. Przetwarzanie trwa przez okres obowiązywania umowy o świadczenie usług (subskrypcja) plus okres retencji opisany w sekcji 7.

3. Charakter i cel przetwarzania

Procesor przetwarza powierzone dane wyłącznie w zakresie:

  • Przechowywanie kontaktów, projektów, plików, faktur i komunikacji Klientów Pracowni.
  • Udostępnianie ich Pracowni (Administratorowi) i osobom przez nią upoważnionym.
  • Generowanie podsumowań, ofert, prezentacji i wizualizacji przy użyciu AI — na żądanie Administratora.
  • Wysyłka komunikacji projektowej (email/SMS/WhatsApp) w imieniu Pracowni — na jej polecenie.
  • Generowanie i przechowywanie portalu klienta — wyłącznie z danymi opublikowanymi przez Pracownię.

4. Rodzaj danych i kategorie osób

Kategorie osób: Klienci Pracowni (osoby fizyczne i przedstawiciele osób prawnych), kontrahenci, podwykonawcy, osoby z portfolio publicznego.

Rodzaj danych:

  • Dane podstawowe: imię, nazwisko, firma, NIP/REGON
  • Dane kontaktowe: email, telefon, adres
  • Dane projektowe: opisy, zdjęcia, dokumenty, oferty, kosztorysy, faktury
  • Dane komunikacyjne: wiadomości email/SMS/WhatsApp, notatki, transkrypty spotkań
  • Metadane: daty utworzenia, status projektu, logi dostępu

Procesor nie przetwarza świadomie szczególnych kategorii danych (RODO art. 9). Jeśli Administrator wprowadzi takie dane samodzielnie (np. dane zdrowotne w notatce projektowej), pełną odpowiedzialność za podstawę prawną ponosi Administrator.

5. Obowiązki Procesora

  • Przetwarzać dane wyłącznie na udokumentowane polecenie Administratora (w tym poprzez korzystanie z interfejsu platformy).
  • Zapewnić, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy.
  • Wdrożyć techniczne i organizacyjne środki bezpieczeństwa odpowiednie do ryzyka — szczegóły w sekcji 8.
  • Pomagać Administratorowi w obowiązkach wynikających z RODO art. 32-36 (bezpieczeństwo, naruszenia, ocena skutków).
  • Informować o naruszeniach ochrony danych bez zbędnej zwłoki (sekcja 9).
  • Po zakończeniu umowy usunąć lub zwrócić dane zgodnie z sekcją 10.
  • Udostępniać informacje niezbędne do wykazania zgodności z art. 28 RODO i umożliwić audyty.

6. Podpowierzenie (subprocesorzy)

Procesor korzysta z poniższych subprocesorów do świadczenia usługi. Administrator przyjmuje ich do wiadomości akceptując DPA.

SubprocesorCelLokalizacja
Vercel Inc.Hosting aplikacji, CDN, edge functionsUE/USA (SCC)
Neon Inc.Baza danych (Postgres)UE (Frankfurt)
Anthropic PBCAI Asystent (Claude)USA (SCC + DPA Anthropic)
Stripe Payments EuropePłatności (subskrypcje)UE (Irlandia)
Resend Inc.Wysyłka emaili transakcyjnychUSA (SCC)
Sentry Inc.Monitoring błędów (anonimowo)UE (Frankfurt)

Procesor zawarł z subprocesorami umowy zawierające co najmniej takie same obowiązki ochrony danych. Zmiana lub dodanie subprocesora wymaga 14-dniowego uprzedniego powiadomienia Administratora (email do Pracowni). Administrator ma prawo sprzeciwu — w takim przypadku Procesor może rozwiązać umowę.

7. Okresy przechowywania i retencja

  • Dane aktywnego konta: przez okres obowiązywania subskrypcji.
  • Po zakończeniu subskrypcji: 30 dni grace period na export lub reaktywację.
  • Faktury i dane księgowe: 5 lat (ustawa o rachunkowości art. 74).
  • Logi systemowe: 90 dni.
  • Kopie zapasowe: 30 dni cykliczne rotowane.

Po upływie okresu grace, Procesor usuwa lub zanonimizuje wszystkie dane osobowe — z wyjątkiem danych wymaganych przez przepisy (np. faktury).

8. Środki bezpieczeństwa

Procesor wdraża co najmniej:

  • Szyfrowanie: TLS 1.3 w tranzycie, AES-256 w spoczynku (Neon storage).
  • Kontrola dostępu: JWT z 7-dniowym TTL, opcjonalne 2FA (TOTP).
  • Audit log: rejestracja kluczowych akcji per workspace.
  • Hashing haseł: bcrypt z cost 10.
  • Rate limiting: register/login/API.
  • Backups: dzienne pełne, retencja 30 dni.
  • Separation: dane workspace izolowane przez studioId guard.

9. Naruszenia ochrony danych

Procesor informuje Administratora o stwierdzonym naruszeniu ochrony danych bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia. Powiadomienie zawiera: charakter naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą, możliwe konsekwencje, podjęte środki.

Kontakt awaryjny: kontakt@archipuro.com.

10. Zakończenie umowy

Po zakończeniu obowiązywania umowy o świadczenie usług, Administrator może w terminie 30 dni:

  • Pobrać kompletny eksport swoich danych (CSV/JSON/PDF).
  • Zażądać zwrotu konkretnych zestawów danych.
  • Zażądać natychmiastowego trwałego usunięcia.

Po upływie 30 dni Procesor automatycznie usuwa dane Administratora — z wyjątkiem danych wymaganych przez przepisy (faktury — 5 lat).

11. Audyty

Administrator ma prawo do audytu wykonania niniejszej umowy nie częściej niż raz w roku, po uprzednim 30-dniowym powiadomieniu. Procesor może zaproponować raport SOC2/ISO27001 zamiast bezpośredniego audytu jeśli jest dostępny.

12. Zmiany umowy

Procesor może wprowadzić zmiany w DPA z 14-dniowym wyprzedzeniem. Istotne zmiany wymagają ponownej akceptacji przy następnym logowaniu. Aktualna wersja zawsze dostępna pod adresem archipuro.com/dpa.

13. Dane Procesora

SPOTMEUP spółka z ograniczoną odpowiedzialnością

ul. Stefana Okrzei 1A / P. X, 03-715 Warszawa, Polska

KRS: 0001190579 · NIP: 1133177347 · REGON: 542534058

Sąd Rejonowy dla m.st. Warszawy w Warszawie · kapitał: 5 000 zł

Email: kontakt@archipuro.com