Umowa powierzenia przetwarzania danych

1. Strony i zakres

DPA ma zastosowanie, gdy My Wedding Office przetwarza dane osobowe w imieniu Użytkownika biznesowego w związku ze świadczeniem Usług. Dotyczy danych klientów, leadów, par, gości, kontaktów, wiadomości, dokumentów i innych osób trzecich, które Użytkownik wprowadza, importuje, synchronizuje albo przechowuje w Usługach.

DPA nie obejmuje danych, dla których My Wedding Office działa jako administrator, takich jak dane konta Użytkownika, rozliczenia, bezpieczeństwo, obsługa klienta, komunikacja serwisowa, analityka produktu i prowadzenie strony internetowej. Te zasady opisuje Polityka prywatności.

2. Definicje

Pojęcia „administrator”, „podmiot przetwarzający”, „dane osobowe”, „naruszenie ochrony danych osobowych”, „podprocesor” i „przetwarzanie” mają znaczenie nadane im przez właściwe przepisy o ochronie danych, w szczególności RODO, jeżeli ma zastosowanie.

„Użytkownik biznesowy” oznacza osobę lub firmę korzystającą z My Wedding Office w celach zawodowych lub biznesowych. „Usługi” oznaczają stronę, aplikację, integracje, rozszerzenie przeglądarki, funkcje poczty, dokumentów, opinii, AI, e-sign i powiązane funkcje MWO.

3. Role stron

Użytkownik biznesowy jest administratorem danych osobowych swoich klientów, leadów, kontaktów, par, gości, wiadomości, dokumentów i innych danych wprowadzanych do Usług.

My Wedding Office działa jako podmiot przetwarzający w zakresie, w jakim przetwarza te dane w imieniu Użytkownika biznesowego i zgodnie z jego udokumentowanymi instrukcjami.

4. Przedmiot przetwarzania

Przedmiotem przetwarzania jest obsługa danych wprowadzonych, zaimportowanych, zsynchronizowanych lub wygenerowanych w Usługach, w zakresie potrzebnym do świadczenia, utrzymania, zabezpieczenia i rozwijania My Wedding Office.

Przetwarzanie może obejmować hosting, przechowywanie, synchronizację, wyświetlanie, wysyłanie, organizowanie, analizowanie, tworzenie szkiców, eksport, usuwanie, logowanie zdarzeń oraz inne operacje techniczne potrzebne do działania skonfigurowanych funkcji.

5. Czas trwania przetwarzania

Przetwarzanie trwa przez okres korzystania przez Użytkownika z Usług oraz przez ograniczony czas po zakończeniu korzystania, zgodnie z ustawieniami konta, okresami retencji, cyklami kopii zapasowych, obowiązkami prawnymi, bezpieczeństwem, rozliczeniami i rozstrzyganiem sporów.

6. Charakter i cel przetwarzania

Celem przetwarzania jest umożliwienie Użytkownikowi zarządzania leadami, klientami, komunikacją, kalendarzem, dokumentami, opiniami, procesem rezerwacji, funkcjami AI, podpisywaniem dokumentów elektronicznie, integracjami Google/Meta oraz innymi funkcjami dostępnymi w Usługach.

Zakres operacji zależy od konfiguracji Użytkownika, wybranego planu, połączonych integracji, uprawnień OAuth, dostępności dostawców oraz funkcji włączonych w danym czasie.

7. Kategorie danych osobowych

• dane identyfikacyjne, takie jak imię, nazwisko, nazwa profilu lub nazwa firmy;
• dane kontaktowe, takie jak adres e-mail, numer telefonu, adres lub link źródłowy;
• dane biznesowe, takie jak usługa, pakiet, budżet, status leadu, etap procesu, zadania i notatki;
• dane wydarzeń i ślubów, takie jak data, miejsce, typ wydarzenia, preferencje i uczestnicy;
• dane komunikacji, takie jak nadawca, odbiorca, temat, treść wiadomości, załączniki, statusy i metadane wątków;
• dane kalendarza, takie jak wydarzenia, uczestnicy, terminy, opisy i metadane synchronizacji;
• dane dokumentów, umów, propozycji, podpisujących, statusów podpisu i logów audytowych e-sign;
• dane opinii, próśb o opinię, odpowiedzi, ocen, treści publicznych lub wewnętrznych i historii działań;
• widoczne treści i metadane zapisane przez Użytkownika z obsługiwanych platform, np. posty, komentarze, nazwy grup i linki źródłowe;
• dane techniczne, takie jak identyfikatory konta, przestrzeni roboczej, urządzenia, sesji, logi, adres IP, zdarzenia użycia, błędy i informacje diagnostyczne;
• dane wejściowe i wyjściowe funkcji AI w zakresie potrzebnym do wykonania wybranej funkcji;
• inne dane wprowadzone przez Użytkownika do Usług.

8. Kategorie osób, których dane dotyczą

• Użytkownicy biznesowi i członkowie ich zespołów;
• klienci Użytkownika, leady i potencjalni klienci;
• pary młode, narzeczeni, goście i uczestnicy wydarzeń;
• kontakty biznesowe, dostawcy i osoby wskazane w notatkach, dokumentach lub wiadomościach;
• nadawcy, odbiorcy i osoby wymienione w wiadomościach e-mail lub komunikacji;
• osoby podpisujące dokumenty albo wskazane w dokumentach;
• osoby publikujące widoczne posty, komentarze lub opinie zapisane przez Użytkownika;
• osoby, których dane Użytkownik wprowadzi, zaimportuje lub zsynchronizuje z Usługami.

9. Obowiązki podmiotu przetwarzającego

• przetwarzać dane wyłącznie zgodnie z udokumentowanymi instrukcjami Użytkownika, chyba że prawo wymaga inaczej;
• stosować odpowiednie środki techniczne i organizacyjne z uwzględnieniem charakteru danych, ryzyka i konfiguracji Usług;
• zapewniać poufność osób upoważnionych do przetwarzania danych;
• pomagać Użytkownikowi w realizacji praw osób, których dane dotyczą, w zakresie technicznie możliwym i proporcjonalnym;
• pomagać w obsłudze naruszeń i obowiązków bezpieczeństwa w zakresie wymaganym przez prawo i możliwym w kontekście Usług;
• korzystać z podprocesorów zgodnie z zasadami opisanymi w DPA;
• po zakończeniu świadczenia Usług usunąć lub zwrócić dane zgodnie z zasadami retencji, chyba że prawo wymaga dalszego przechowywania.

10. Obowiązki administratora

• posiadać właściwą podstawę prawną dla danych przetwarzanych w Usługach;
• spełniać obowiązki informacyjne wobec klientów, leadów, par, gości, kontaktów i innych osób;
• uzyskać wymagane zgody, upoważnienia lub podstawy prawne dla komunikacji, integracji, opinii, dokumentów i podpisów;
• konfigurować Usługi, role, integracje i zakres danych zgodnie z prawem i własnymi obowiązkami;
• nie wprowadzać do Usług danych, których Użytkownik nie powinien przetwarzać w MWO;
• kontrolować użytkowników, role, hasła, urządzenia oraz połączone konta Google, Meta/Facebook, poczty, e-sign i płatności.

11. Poufność

Ograniczamy dostęp do danych osobowych do osób, które potrzebują go do świadczenia, utrzymania, zabezpieczenia lub wsparcia Usług. Osoby upoważnione do przetwarzania danych są zobowiązane do poufności przez umowę, obowiązek zawodowy lub odpowiednie zasady wewnętrzne.

12. Środki bezpieczeństwa

Stosujemy odpowiednie środki techniczne i organizacyjne mające chronić dane osobowe. Mogą one obejmować szyfrowanie transmisji TLS, kontrolę dostępu, ograniczanie dostępu do tokenów i sekretów, logowanie zdarzeń, monitorowanie błędów, kopie zapasowe, separację środowisk, procedury reagowania oraz redakcję sekretów w logach tam, gdzie jest to technicznie możliwe. Praktyczne informacje znajdują się na stronie Bezpieczeństwo i prywatność.

Nie oznacza to gwarancji pełnego bezpieczeństwa, szyfrowania end-to-end ani braku ryzyka. Zakres środków zależy od rodzaju danych, konfiguracji funkcji, dostawców i aktualnego ryzyka.

13. Podprocesorzy

Użytkownik udziela ogólnej zgody na korzystanie z podprocesorów potrzebnych do świadczenia Usług. Aktualna lista głównych podprocesorów jest dostępna na stronie Podprocesorzy.

My Wedding Office pozostaje odpowiedzialne za wymaganie od podprocesorów ochrony danych odpowiedniej do usług powierzonych danemu podprocesorowi, w zakresie wymaganym przez obowiązujące przepisy.

14. Transfery międzynarodowe

Niektórzy dostawcy, podprocesorzy lub partnerzy integracyjni mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym. W takich przypadkach stosujemy odpowiednie zabezpieczenia wymagane przez obowiązujące przepisy, takie jak standardowe klauzule umowne, decyzje stwierdzające odpowiedni poziom ochrony, dodatkowe środki bezpieczeństwa lub inne mechanizmy przewidziane przez prawo.

15. Żądania osób, których dane dotyczą

Jeżeli otrzymamy żądanie osoby, której dane dotyczą, dotyczące danych przetwarzanych w imieniu Użytkownika, możemy skierować tę osobę do Użytkownika, chyba że prawo wymaga innego działania. W zakresie technicznie możliwym i rozsądnym pomożemy Użytkownikowi obsłużyć takie żądanie.

16. Naruszenia ochrony danych

Jeżeli My Wedding Office stwierdzi naruszenie ochrony danych osobowych przetwarzanych w imieniu Użytkownika, poinformuje Użytkownika bez zbędnej zwłoki oraz przekaże dostępne informacje potrzebne Użytkownikowi do oceny i wypełnienia jego obowiązków prawnych.

17. Usunięcie lub zwrot danych

Po zakończeniu korzystania z Usług My Wedding Office usunie lub umożliwi eksport danych w zakresie technicznie możliwym, z uwzględnieniem okresów retencji, kopii zapasowych, obowiązków prawnych, bezpieczeństwa i rozstrzygania sporów. Dodatkowe informacje opisuje strona Usuwanie i eksport danych.

18. Audyty i informacje

Na rozsądne żądanie udostępnimy informacje potrzebne do wykazania przestrzegania DPA. Audyty powinny być proporcjonalne, zapowiedziane, niezakłócające pracy Usług i nie mogą naruszać bezpieczeństwa, prywatności innych klientów, tajemnic handlowych ani poufności podprocesorów.

19. Zakończenie świadczenia Usług

Po zakończeniu świadczenia Usług Użytkownik może utracić dostęp do części lub całości funkcji. Użytkownik powinien wyeksportować dane potrzebne do działalności przed zamknięciem konta lub zakończeniem subskrypcji, jeżeli funkcja eksportu jest dostępna albo jeżeli eksport zostanie uzgodniony z nami w rozsądnym zakresie.

20. Kolejność pierwszeństwa

W zakresie przetwarzania danych osobowych w imieniu Użytkownika DPA ma pierwszeństwo przed sprzecznymi postanowieniami Regulaminu. W pozostałym zakresie obowiązują Regulamin, Polityka prywatności i inne dokumenty wskazane w Usługach. Pytania dotyczące DPA można kierować na adres kontaktowy wskazany powyżej.