Umowa powierzenia przetwarzania danych osobowych (DPA)

Wersja: 1.0 | Data: 7 lutego 2026

1. Definicje

• Administrator - Użytkownik usługi Outboxa, który określa cele i sposoby przetwarzania danych osobowych
• Podmiot przetwarzający - Outboxa Sp. z o.o., która przetwarza dane w imieniu Administratora
• Dane osobowe - informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej
• Przetwarzanie - operacje wykonywane na danych osobowych

2. Przedmiot umowy

Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usługi wysyłania wiadomości email.

2.1 Kategorie danych

• Adresy email odbiorców wiadomości
• Imiona i nazwiska odbiorców (jeśli przekazane)
• Treść wiadomości email
• Metadane wiadomości (data, czas, status dostarczenia)

2.2 Kategorie osób

• Odbiorcy wiadomości email wysyłanych przez Administratora

2.3 Charakter i cel przetwarzania

• Wysyłanie wiadomości email w imieniu Administratora
• Śledzenie statusu dostarczenia wiadomości
• Generowanie statystyk i raportów
• Obsługa bouncy i skarg (complaints)

3. Obowiązki Podmiotu przetwarzającego

3.1 Przetwarzanie zgodne z instrukcjami

Podmiot przetwarzający przetwarza dane wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa UE lub państwa członkowskiego.

3.2 Poufność

Podmiot przetwarzający zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi poufności.

3.3 Środki bezpieczeństwa

Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne:

• Szyfrowanie danych w tranzycie (TLS 1.2+) i w spoczynku (AES-256)
• Kontrola dostępu oparta na rolach (RBAC)
• Uwierzytelnianie wieloskładnikowe (MFA)
• Regularne kopie zapasowe
• Monitorowanie i logowanie dostępu
• Regularne testy penetracyjne

3.4 Podpowierzenie

Podmiot przetwarzający może korzystać z usług dalszych podmiotów przetwarzających (subprocesorów). Lista aktualnych subprocesorów jest dostępna na żądanie.

Administrator zostanie poinformowany o zamiarze dodania nowego subprocesora z 30-dniowym wyprzedzeniem i może zgłosić sprzeciw.

3.5 Pomoc Administratorowi

Podmiot przetwarzający pomaga Administratorowi w:

• Realizacji praw osób, których dane dotyczą
• Wypełnianiu obowiązków z art. 32-36 RODO (bezpieczeństwo, DPIA, konsultacje)
• Odpowiadaniu na zapytania organów nadzorczych

3.6 Zwrot lub usunięcie danych

Po zakończeniu świadczenia usługi, na żądanie Administratora, Podmiot przetwarzający usuwa lub zwraca wszystkie dane osobowe oraz usuwa wszelkie kopie, chyba że prawo wymaga przechowywania danych.

3.7 Audyty

Podmiot przetwarzający udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków oraz umożliwia przeprowadzanie audytów.

4. Naruszenia ochrony danych

W przypadku naruszenia ochrony danych, Podmiot przetwarzający:

• Niezwłocznie (w ciągu 24 godzin) informuje Administratora
• Przekazuje szczegóły dotyczące naruszenia
• Współpracuje przy minimalizacji skutków
• Dokumentuje wszystkie naruszenia

5. Lokalizacja przetwarzania

Dane są przetwarzane na serwerach zlokalizowanych w Polsce (główne centrum danych) oraz w Unii Europejskiej (backup, CDN).

W przypadku transferu danych poza EOG, stosowane są standardowe klauzule umowne UE lub inne mechanizmy zgodne z rozdziałem V RODO.

6. Okres obowiązywania

Niniejsza Umowa obowiązuje przez cały okres świadczenia usługi oraz do czasu usunięcia wszystkich danych osobowych.

7. Dane kontaktowe

Inspektor Ochrony Danych:
Email: dpo@outboxa.com

Kontakt w sprawach DPA:
Email: legal@outboxa.com

Załącznik A: Lista subprocesorów

Wersja do pobrania (PDF): Pobierz DPA