§1. Strony
Administrator danych: Klient korzystający z platformy InInk (workspace) — zwany dalej „Administratorem”.
Podmiot przetwarzający: InInk (właściciel platformy) — zwany dalej „Procesorem”.
§2. Przedmiot i czas przetwarzania
Procesor przetwarza dane osobowe powierzone przez Administratora wyłącznie w celu świadczenia usługi SaaS InInk, przez okres obowiązywania umowy i 30 dni po jej zakończeniu (okres na wycofanie eksportu).
§3. Charakter, cel, kategorie danych
Cel: przechowywanie, edycja i udostępnianie umów, faktur, danych kontrahentów i pracowników, generowanie dokumentów, prowadzenie ewidencji księgowej (KPiR, VAT, JPK).
Kategorie osób: użytkownicy workspace, kontrahenci, pracownicy klienta, sygnatariusze dokumentów.
Kategorie danych: imię i nazwisko, adres email, NIP/PESEL (opcjonalnie dla pracowników), dane teleadresowe, dane bankowe, treści umów, IP i metadane podpisu elektronicznego.
§4. Obowiązki Procesora
- Przetwarzanie wyłącznie na udokumentowane polecenie Administratora (konfiguracja workspace).
- Zapewnienie poufności osobom upoważnionym (zobowiązania pracownicze, NDA).
- Środki techniczne: szyfrowanie at-rest (AES-256), szyfrowanie w transporcie (TLS 1.3), MFA dla dostępu, RLS w bazie danych, audit log.
- Pomoc Administratorowi w realizacji praw osób (dostęp, sprostowanie, usunięcie, przenoszenie) w terminie 14 dni.
- Zgłoszenie naruszenia ochrony danych w ciągu 24 h od wykrycia.
- Po zakończeniu umowy — usunięcie lub zwrot danych (do wyboru Administratora) w 30 dni.
- Udostępnienie informacji niezbędnych do wykazania zgodności + audyt na żądanie.
§5. Podprocesorzy
Procesor korzysta z następujących podprocesorów (zgoda ogólna; każda zmiana z 14-dniowym wyprzedzeniem):
- Lovable Cloud / Supabase (Frankfurt, DE) — hosting bazy, auth, storage
- Resend (Niderlandy) — wysyłka transakcyjnych emaili
- OpenAI / Google AI (USA) — generowanie i analiza treści (klauzule SCC)
- Hetzner / GCP — infrastruktura w EU
§6. Transfery do państw trzecich
Transfer do USA (OpenAI) odbywa się na podstawie standardowych klauzul umownych Komisji Europejskiej (Decyzja 2021/914) z dodatkowymi środkami: pseudonimizacja danych w promptach, brak retencji po stronie OpenAI (API z opt-out trainingu).
§7. Postanowienia końcowe
Umowa wchodzi w życie z chwilą elektronicznej akceptacji (powyżej) lub z momentem rozpoczęcia korzystania z platformy (jeśli nastąpi wcześniej). Prawo właściwe: polskie. Sąd właściwy: właściwy dla siedziby Procesora.