Costor / dokumenty prawne

Wersja dokumentu: 23 czerwca 2026

Umowa powierzenia przetwarzania danych osobowych

§1. Strony umowy

  1. Niniejsza Umowa powierzenia przetwarzania danych osobowych stanowi część umowy o świadczenie usługi Costor.
  2. Administratorem danych jest Klient korzystający z Costor, dalej „Administrator”.
  3. Podmiotem przetwarzającym jest SoftCode Piotr Nowacki, adres: Górnicza 67c, 42-600 Tarnowskie Góry, NIP: 6482058477, dalej „Procesor”.
  4. Umowa ma zastosowanie do danych osobowych wprowadzanych przez Administratora lub jego Użytkowników do Costor, dla których Administratorem jest Klient.

§2. Przedmiot i cel powierzenia

  1. Administrator powierza Procesorowi przetwarzanie danych osobowych w celu świadczenia usługi Costor.
  2. Przetwarzanie obejmuje czynności konieczne do:
  1. utrzymania konta Organizacji,
  2. przechowywania danych w systemie,
  3. obsługi klientów, projektów, wycen, dokumentów i harmonogramów,
  4. obsługi zdjęć, audio i transkrypcji,
  5. działania funkcji AI,
  6. działania integracji KSeF,
  7. diagnostyki technicznej,
  8. obsługi zgłoszeń,
  9. wykonywania kopii zapasowych,
  10. zapewnienia bezpieczeństwa systemu.
  11. Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa.

§3. Czas trwania powierzenia

  1. Powierzenie trwa przez okres obowiązywania umowy o świadczenie usługi Costor.
  2. Po zakończeniu umowy dane są przetwarzane przez okres retencji 90 dni, w celu umożliwienia eksportu, wznowienia usługi, rozliczeń, obsługi reklamacji, obrony roszczeń lub wykonania obowiązków prawnych.
  3. Po upływie okresu retencji dane zostaną usunięte lub zanonimizowane, chyba że prawo wymaga ich dalszego przechowywania.

§4. Kategorie osób

Powierzenie może dotyczyć danych następujących kategorii osób:

  1. Użytkownicy Administratora,
  2. pracownicy Administratora,
  3. współpracownicy Administratora,
  4. klienci końcowi Administratora,
  5. inwestorzy,
  6. kontrahenci,
  7. przedstawiciele kontrahentów,
  8. osoby widoczne na zdjęciach,
  9. osoby, których głos znajduje się w notatkach audio,
  10. osoby wskazane w dokumentach, fakturach, wycenach, korespondencji lub notatkach.

§5. Kategorie danych

Powierzenie może obejmować następujące kategorie danych:

  1. dane identyfikacyjne,
  2. dane kontaktowe,
  3. dane adresowe,
  4. dane firmowe,
  5. dane rozliczeniowe,
  6. dane w dokumentach i fakturach,
  7. zdjęcia,
  8. nagrania audio,
  9. transkrypcje,
  10. dane projektowe i remontowe,
  11. dane dotyczące wycen, harmonogramów, zleceń i etapów prac,
  12. dane techniczne,
  13. logi systemowe i diagnostyczne,
  14. inne dane wprowadzone przez Administratora do Costor.

§6. Obowiązki Procesora

Procesor zobowiązuje się:

  1. przetwarzać dane wyłącznie w celu świadczenia Costor,
  2. stosować odpowiednie środki techniczne i organizacyjne,
  3. zapewnić, aby osoby upoważnione do przetwarzania danych zobowiązały się do poufności,
  4. wspierać Administratora w realizacji praw osób, których dane dotyczą, w miarę możliwości technicznych i organizacyjnych,
  5. wspierać Administratora w realizacji obowiązków dotyczących bezpieczeństwa danych, naruszeń, oceny skutków i konsultacji z organem nadzorczym, w zakresie właściwym dla Procesora,
  6. udostępniać Administratorowi informacje niezbędne do wykazania zgodności z art. 28 RODO,
  7. informować Administratora o stwierdzonych naruszeniach ochrony danych osobowych bez zbędnej zwłoki,
  8. korzystać z dalszych podmiotów przetwarzających zgodnie z niniejszą Umową,
  9. po zakończeniu świadczenia usług usunąć lub zwrócić dane zgodnie z decyzją Administratora, chyba że prawo wymaga dalszego przechowywania.

§7. Obowiązki Administratora

Administrator zobowiązuje się:

  1. przetwarzać dane zgodnie z prawem,
  2. posiadać podstawę prawną do wprowadzenia danych do Costor,
  3. spełnić obowiązki informacyjne wobec osób, których dane dotyczą,
  4. nie wprowadzać danych nadmiarowych,
  5. nie wprowadzać szczególnych kategorii danych, chyba że posiada podstawę prawną i jest to niezbędne,
  6. zarządzać uprawnieniami Użytkowników,
  7. weryfikować dane i wyniki AI przed ich użyciem,
  8. poinformować Procesora o szczególnych wymaganiach prawnych, jeżeli dotyczą danych powierzonych,
  9. odpowiadać za treść i legalność danych wprowadzanych do Costor.

§8. Dalsze podmioty przetwarzające

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z dalszych podmiotów przetwarzających, jeżeli jest to niezbędne do świadczenia Costor.
  2. Dalszymi podmiotami mogą być w szczególności:
  1. dostawca hostingu/VPS — home.pl S.A.,
  2. dostawca poczty email — home.pl S.A.,
  3. dostawca AI, w szczególności OpenAI API albo inny dostawca,
  4. operator płatności Stripe — w zakresie, w jakim działa jako procesor lub odrębny administrator,
  5. dostawcy narzędzi technicznych i bezpieczeństwa,
  6. KSeF / Ministerstwo Finansów — w zakresie wynikającym z integracji i prawa.
  7. Procesor zapewnia, że dalszy podmiot przetwarzający zostanie zobowiązany do ochrony danych w zakresie nie mniejszym niż wymagany przez RODO.
  8. Procesor poinformuje Administratora o planowanej zmianie dalszego podmiotu przetwarzającego przez publikację aktualizacji w systemie, wiadomość email albo aktualizację Wykazu podprocesorów.
  9. Administrator może zgłosić uzasadniony sprzeciw wobec nowego podprocesora w terminie 14 dni.

§9. Transfer poza EOG

  1. Jeżeli dalszy podmiot przetwarzający przetwarza dane poza EOG, Procesor zapewni stosowanie odpowiedniego mechanizmu transferowego, jeżeli jest wymagany.
  2. Może to obejmować standardowe klauzule umowne, decyzję stwierdzającą odpowiedni stopień ochrony albo inny mechanizm przewidziany przez RODO.
  3. Szczegóły transferów są opisane w Wykazie podprocesorów, w szczególności przy dostawcach OpenAI API, Stripe i innych usługach z infrastrukturą lub podmiotami poza EOG.

§10. Bezpieczeństwo danych

  1. Procesor stosuje środki techniczne i organizacyjne opisane w Załączniku techniczno-organizacyjnym RODO.
  2. Środki mogą być aktualizowane wraz z rozwojem Costor, o ile nie obniża to istotnie poziomu bezpieczeństwa.
  3. Procesor stosuje logiczną izolację danych tenantów, zabezpieczenia dostępu, konteneryzację, kontrolę sekretów i ograniczenia dostępu administracyjnego.

§11. Naruszenia ochrony danych

  1. Procesor zgłosi Administratorowi naruszenie ochrony danych osobowych bez zbędnej zwłoki po jego stwierdzeniu.
  2. Zgłoszenie powinno zawierać, w miarę dostępności:
  1. opis charakteru naruszenia,
  2. kategorie i przybliżoną liczbę osób, których dotyczy naruszenie,
  3. kategorie i przybliżoną liczbę rekordów danych,
  4. możliwe konsekwencje,
  5. środki zastosowane lub proponowane w celu zaradzenia naruszeniu.
  6. Administrator odpowiada za ocenę, czy naruszenie wymaga zgłoszenia do organu nadzorczego lub osób, których dane dotyczą, chyba że przepisy stanowią inaczej.

§12. Audyt i kontrola

  1. Administrator ma prawo uzyskać informacje niezbędne do wykazania zgodności przetwarzania z RODO.
  2. Audyt lub kontrola powinny być uzasadnione, proporcjonalne i prowadzone w sposób niezakłócający nadmiernie działania Costor oraz bezpieczeństwa innych klientów.
  3. Szczegółowy tryb audytu:
  1. zgłoszenie z wyprzedzeniem co najmniej 14 dni,
  2. zakres audytu ograniczony do danych Administratora,
  3. obowiązek zachowania poufności,
  4. możliwość udostępnienia dokumentów zamiast kontroli fizycznej,
  5. koszty audytu po stronie Administratora, chyba że przepisy wymagają inaczej.

§13. Usunięcie lub zwrot danych

  1. Po zakończeniu świadczenia usługi Procesor, według wyboru Administratora, usunie albo zwróci dane osobowe, chyba że prawo wymaga dalszego przechowywania.
  2. Możliwość eksportu danych przez Administratora jest realizowana przez dostępne funkcje eksportu w systemie albo, jeżeli dana funkcja nie jest dostępna, na podstawie wniosku przesłanego na adres biuro@softcode-ai.pl.
  3. Dane w kopiach zapasowych mogą być usuwane zgodnie z cyklem retencji backupów.
  4. Procesor może zachować dane niezbędne do rozliczeń, bezpieczeństwa, dochodzenia roszczeń lub wykonania obowiązków prawnych.

---