Costor / dokumenty prawne
Wersja dokumentu: 23 czerwca 2026
Umowa powierzenia przetwarzania danych osobowych
§1. Strony umowy
- Niniejsza Umowa powierzenia przetwarzania danych osobowych stanowi część umowy o świadczenie usługi Costor.
- Administratorem danych jest Klient korzystający z Costor, dalej „Administrator”.
- Podmiotem przetwarzającym jest SoftCode Piotr Nowacki, adres: Górnicza 67c, 42-600 Tarnowskie Góry, NIP: 6482058477, dalej „Procesor”.
- Umowa ma zastosowanie do danych osobowych wprowadzanych przez Administratora lub jego Użytkowników do Costor, dla których Administratorem jest Klient.
§2. Przedmiot i cel powierzenia
- Administrator powierza Procesorowi przetwarzanie danych osobowych w celu świadczenia usługi Costor.
- Przetwarzanie obejmuje czynności konieczne do:
- utrzymania konta Organizacji,
- przechowywania danych w systemie,
- obsługi klientów, projektów, wycen, dokumentów i harmonogramów,
- obsługi zdjęć, audio i transkrypcji,
- działania funkcji AI,
- działania integracji KSeF,
- diagnostyki technicznej,
- obsługi zgłoszeń,
- wykonywania kopii zapasowych,
- zapewnienia bezpieczeństwa systemu.
- Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa.
§3. Czas trwania powierzenia
- Powierzenie trwa przez okres obowiązywania umowy o świadczenie usługi Costor.
- Po zakończeniu umowy dane są przetwarzane przez okres retencji 90 dni, w celu umożliwienia eksportu, wznowienia usługi, rozliczeń, obsługi reklamacji, obrony roszczeń lub wykonania obowiązków prawnych.
- Po upływie okresu retencji dane zostaną usunięte lub zanonimizowane, chyba że prawo wymaga ich dalszego przechowywania.
§4. Kategorie osób
Powierzenie może dotyczyć danych następujących kategorii osób:
- Użytkownicy Administratora,
- pracownicy Administratora,
- współpracownicy Administratora,
- klienci końcowi Administratora,
- inwestorzy,
- kontrahenci,
- przedstawiciele kontrahentów,
- osoby widoczne na zdjęciach,
- osoby, których głos znajduje się w notatkach audio,
- osoby wskazane w dokumentach, fakturach, wycenach, korespondencji lub notatkach.
§5. Kategorie danych
Powierzenie może obejmować następujące kategorie danych:
- dane identyfikacyjne,
- dane kontaktowe,
- dane adresowe,
- dane firmowe,
- dane rozliczeniowe,
- dane w dokumentach i fakturach,
- zdjęcia,
- nagrania audio,
- transkrypcje,
- dane projektowe i remontowe,
- dane dotyczące wycen, harmonogramów, zleceń i etapów prac,
- dane techniczne,
- logi systemowe i diagnostyczne,
- inne dane wprowadzone przez Administratora do Costor.
§6. Obowiązki Procesora
Procesor zobowiązuje się:
- przetwarzać dane wyłącznie w celu świadczenia Costor,
- stosować odpowiednie środki techniczne i organizacyjne,
- zapewnić, aby osoby upoważnione do przetwarzania danych zobowiązały się do poufności,
- wspierać Administratora w realizacji praw osób, których dane dotyczą, w miarę możliwości technicznych i organizacyjnych,
- wspierać Administratora w realizacji obowiązków dotyczących bezpieczeństwa danych, naruszeń, oceny skutków i konsultacji z organem nadzorczym, w zakresie właściwym dla Procesora,
- udostępniać Administratorowi informacje niezbędne do wykazania zgodności z art. 28 RODO,
- informować Administratora o stwierdzonych naruszeniach ochrony danych osobowych bez zbędnej zwłoki,
- korzystać z dalszych podmiotów przetwarzających zgodnie z niniejszą Umową,
- po zakończeniu świadczenia usług usunąć lub zwrócić dane zgodnie z decyzją Administratora, chyba że prawo wymaga dalszego przechowywania.
§7. Obowiązki Administratora
Administrator zobowiązuje się:
- przetwarzać dane zgodnie z prawem,
- posiadać podstawę prawną do wprowadzenia danych do Costor,
- spełnić obowiązki informacyjne wobec osób, których dane dotyczą,
- nie wprowadzać danych nadmiarowych,
- nie wprowadzać szczególnych kategorii danych, chyba że posiada podstawę prawną i jest to niezbędne,
- zarządzać uprawnieniami Użytkowników,
- weryfikować dane i wyniki AI przed ich użyciem,
- poinformować Procesora o szczególnych wymaganiach prawnych, jeżeli dotyczą danych powierzonych,
- odpowiadać za treść i legalność danych wprowadzanych do Costor.
§8. Dalsze podmioty przetwarzające
- Administrator wyraża ogólną zgodę na korzystanie przez Procesora z dalszych podmiotów przetwarzających, jeżeli jest to niezbędne do świadczenia Costor.
- Dalszymi podmiotami mogą być w szczególności:
- dostawca hostingu/VPS — home.pl S.A.,
- dostawca poczty email — home.pl S.A.,
- dostawca AI, w szczególności OpenAI API albo inny dostawca,
- operator płatności Stripe — w zakresie, w jakim działa jako procesor lub odrębny administrator,
- dostawcy narzędzi technicznych i bezpieczeństwa,
- KSeF / Ministerstwo Finansów — w zakresie wynikającym z integracji i prawa.
- Procesor zapewnia, że dalszy podmiot przetwarzający zostanie zobowiązany do ochrony danych w zakresie nie mniejszym niż wymagany przez RODO.
- Procesor poinformuje Administratora o planowanej zmianie dalszego podmiotu przetwarzającego przez publikację aktualizacji w systemie, wiadomość email albo aktualizację Wykazu podprocesorów.
- Administrator może zgłosić uzasadniony sprzeciw wobec nowego podprocesora w terminie 14 dni.
§9. Transfer poza EOG
- Jeżeli dalszy podmiot przetwarzający przetwarza dane poza EOG, Procesor zapewni stosowanie odpowiedniego mechanizmu transferowego, jeżeli jest wymagany.
- Może to obejmować standardowe klauzule umowne, decyzję stwierdzającą odpowiedni stopień ochrony albo inny mechanizm przewidziany przez RODO.
- Szczegóły transferów są opisane w Wykazie podprocesorów, w szczególności przy dostawcach OpenAI API, Stripe i innych usługach z infrastrukturą lub podmiotami poza EOG.
§10. Bezpieczeństwo danych
- Procesor stosuje środki techniczne i organizacyjne opisane w Załączniku techniczno-organizacyjnym RODO.
- Środki mogą być aktualizowane wraz z rozwojem Costor, o ile nie obniża to istotnie poziomu bezpieczeństwa.
- Procesor stosuje logiczną izolację danych tenantów, zabezpieczenia dostępu, konteneryzację, kontrolę sekretów i ograniczenia dostępu administracyjnego.
§11. Naruszenia ochrony danych
- Procesor zgłosi Administratorowi naruszenie ochrony danych osobowych bez zbędnej zwłoki po jego stwierdzeniu.
- Zgłoszenie powinno zawierać, w miarę dostępności:
- opis charakteru naruszenia,
- kategorie i przybliżoną liczbę osób, których dotyczy naruszenie,
- kategorie i przybliżoną liczbę rekordów danych,
- możliwe konsekwencje,
- środki zastosowane lub proponowane w celu zaradzenia naruszeniu.
- Administrator odpowiada za ocenę, czy naruszenie wymaga zgłoszenia do organu nadzorczego lub osób, których dane dotyczą, chyba że przepisy stanowią inaczej.
§12. Audyt i kontrola
- Administrator ma prawo uzyskać informacje niezbędne do wykazania zgodności przetwarzania z RODO.
- Audyt lub kontrola powinny być uzasadnione, proporcjonalne i prowadzone w sposób niezakłócający nadmiernie działania Costor oraz bezpieczeństwa innych klientów.
- Szczegółowy tryb audytu:
- zgłoszenie z wyprzedzeniem co najmniej 14 dni,
- zakres audytu ograniczony do danych Administratora,
- obowiązek zachowania poufności,
- możliwość udostępnienia dokumentów zamiast kontroli fizycznej,
- koszty audytu po stronie Administratora, chyba że przepisy wymagają inaczej.
§13. Usunięcie lub zwrot danych
- Po zakończeniu świadczenia usługi Procesor, według wyboru Administratora, usunie albo zwróci dane osobowe, chyba że prawo wymaga dalszego przechowywania.
- Możliwość eksportu danych przez Administratora jest realizowana przez dostępne funkcje eksportu w systemie albo, jeżeli dana funkcja nie jest dostępna, na podstawie wniosku przesłanego na adres biuro@softcode-ai.pl.
- Dane w kopiach zapasowych mogą być usuwane zgodnie z cyklem retencji backupów.
- Procesor może zachować dane niezbędne do rozliczeń, bezpieczeństwa, dochodzenia roszczeń lub wykonania obowiązków prawnych.
---