Używamy wyłącznie niezbędnych plików cookies / local storage do utrzymania sesji, ustawień workspace i preferencji UI. Nie używamy cookies marketingowych ani analitycznych stron trzecich. Szczegóły w Polityce prywatności.

    Polityka
    InInk

    UMOWA POWIERZENIA PRZETWARZANIA DANYCH (DPA)

    Wersja 1.0-2026-05 · zgodna z art. 28 RODO

    §1. Strony

    Administrator danych: Klient korzystający z platformy InInk (workspace) — zwany dalej „Administratorem”.
    Podmiot przetwarzający: InInk (właściciel platformy) — zwany dalej „Procesorem”.

    §2. Przedmiot i czas przetwarzania

    Procesor przetwarza dane osobowe powierzone przez Administratora wyłącznie w celu świadczenia usługi SaaS InInk, przez okres obowiązywania umowy i 30 dni po jej zakończeniu (okres na wycofanie eksportu).

    §3. Charakter, cel, kategorie danych

    Cel: przechowywanie, edycja i udostępnianie umów, faktur, danych kontrahentów i pracowników, generowanie dokumentów, prowadzenie ewidencji księgowej (KPiR, VAT, JPK).

    Kategorie osób: użytkownicy workspace, kontrahenci, pracownicy klienta, sygnatariusze dokumentów.

    Kategorie danych: imię i nazwisko, adres email, NIP/PESEL (opcjonalnie dla pracowników), dane teleadresowe, dane bankowe, treści umów, IP i metadane podpisu elektronicznego.

    §4. Obowiązki Procesora

    • Przetwarzanie wyłącznie na udokumentowane polecenie Administratora (konfiguracja workspace).
    • Zapewnienie poufności osobom upoważnionym (zobowiązania pracownicze, NDA).
    • Środki techniczne: szyfrowanie at-rest (AES-256), szyfrowanie w transporcie (TLS 1.3), MFA dla dostępu, RLS w bazie danych, audit log.
    • Pomoc Administratorowi w realizacji praw osób (dostęp, sprostowanie, usunięcie, przenoszenie) w terminie 14 dni.
    • Zgłoszenie naruszenia ochrony danych w ciągu 24 h od wykrycia.
    • Po zakończeniu umowy — usunięcie lub zwrot danych (do wyboru Administratora) w 30 dni.
    • Udostępnienie informacji niezbędnych do wykazania zgodności + audyt na żądanie.

    §5. Podprocesorzy

    Procesor korzysta z następujących podprocesorów (zgoda ogólna; każda zmiana z 14-dniowym wyprzedzeniem):

    • Lovable Cloud / Supabase (Frankfurt, DE) — hosting bazy, auth, storage
    • Resend (Niderlandy) — wysyłka transakcyjnych emaili
    • OpenAI / Google AI (USA) — generowanie i analiza treści (klauzule SCC)
    • Hetzner / GCP — infrastruktura w EU

    §6. Transfery do państw trzecich

    Transfer do USA (OpenAI) odbywa się na podstawie standardowych klauzul umownych Komisji Europejskiej (Decyzja 2021/914) z dodatkowymi środkami: pseudonimizacja danych w promptach, brak retencji po stronie OpenAI (API z opt-out trainingu).

    §7. Postanowienia końcowe

    Umowa wchodzi w życie z chwilą elektronicznej akceptacji (powyżej) lub z momentem rozpoczęcia korzystania z platformy (jeśli nastąpi wcześniej). Prawo właściwe: polskie. Sąd właściwy: właściwy dla siedziby Procesora.

    Centrum zgodności