eAuditor Cloud-Ver.1.3 / Polish / 18.12.2025

Wprowadzenie

Niniejsza Umowa dotyczy usługi „eAuditor cloud®” (zwanej dalej „Usługą”) udostępnionej w sieci Internet pod adresem https://app.eauditor.eu.

Strony zgadzają się, że niniejsza Umowa powierzenia przetwarzania danych osobowych („Umowa”) określa ich obowiązki w zakresie przetwarzania i bezpieczeństwa danych i danych osobowych w imieniu Administratora, w celu przetwarzanie danych w zgodzie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: RODO).

Umowa stanowi integralną część Regulaminu Usługi. Ponadto strony zgadzają się, że o ile nie zawarto oddzielnej umowy niniejsza Umowa reguluje kwestie dotyczące przetwarzania i bezpieczeństwa danych.

Umowa określa zasady funkcjonowania i używania Usługi administrowanej przez BTC Spółka z ograniczoną odpowiedzialnością (zwanej dalej „Przetwarzającym” lub „BTC”) z siedzibą w Szczecinie, Ul. 1 Maja 38, 71-617 Szczecin, wpisanej do Krajowego Rejestru Sądowego pod numerem 00000129373.

Niniejsza Umowa zostaje zawarta w formie elektronicznej w wyniku akceptacji przez Administratora treści Umowy w procesie zakupu Usługi i wchodzi w życie z momentem jej akceptacji.

Ograniczenia dotyczące aktualizacji

Gdy Klient nabywa nową lub odnawia istniejącą subskrypcję, zastosowanie mają obowiązujące wówczas postanowienia Umowy powierzenia przetwarzania danych osobowych (DPA) i nie ulegną one zmianie przez okres obowiązywania subskrypcji.

Nowe funkcje, uzupełnienia lub powiązane oprogramowanie

Niezależnie od przedstawionych powyżej postanowień dotyczących aktualizacji, w przypadku wprowadzenia nowych (czyli niebędących wcześniej częścią Usługi) funkcji, uzupełnień lub powiązanych programów BTC może wprowadzić nowe lub zaktualizować istniejące postanowienia w Umowie mającym zastosowanie do używania przez Klienta tych nowych funkcji, uzupełnień lub powiązanych programów.

Jeśli postanowienia te w jakikolwiek istotny niekorzystny sposób zmieniają Umowy BTC zapewni Klientowi wybór dotyczący używania nowych funkcji, uzupełnień lub powiązanego oprogramowania bez utraty istniejących funkcji. Jeśli Klient nie instaluje ani nie używa nowych funkcji, uzupełnień ani powiązanego oprogramowania, odpowiednie nowe postanowienia nie będą mieć zastosowania.

Powiadomienia elektroniczne

BTC może przekazywać Klientowi informacje i powiadomienia dotyczące Usługi drogą elektroniczną, w tym pocztą e-mail, w portalu Usługi lub we wskazanej witrynie. Powiadomienie uznaje się za doręczone z dniem udostępnienia go przez BTC.

Wcześniejsze wersje

Niniejsze Postanowienia Umowy zawierają postanowienia dotyczące dostępnej w danym momencie Usługi. Wcześniejsze wersje Umowy może znaleźć pod adresem https://eauditor.eu/cloud/data-protection-addendum-dpa.

Definicje

W niniejszej Umowie zastosowano następujące zdefiniowane terminy:

– Administrator (Klient) – podmiot, który zakłada Konto oraz dokonuje zakupu subskrypcji Usługi;

– Konto – to wydzielona fizycznie i/lub logicznie instancja przeznaczona wyłącznie dla jednego podmiotu gospodarczego, w której zapisywane i przechowywane są dane i dokumenty

– Klient (Administrator) – podmiot zawierający niniejszą Umowę;

– Dane – to wszelkie dane, w tym pliki zawierające tekst, dźwięki, oprogramowanie, obrazy i filmy, przekazane BTC przez lub w imieniu Klienta w wyniku korzystania z Usługi;

– Dane Osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do

zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

§ 1. Przedmiot Umowy

1. Umowa określa zasady powierzenia Przetwarzającemu przetwarzania danych osobowych w związku ze świadczeniem przez Przetwarzającego Usługi na rzecz Administratora w ramach Subskrypcji nabytej przez Administratora.

2. Administrator oświadcza, że jest administratorem danych osobowych powierzanych Przetwarzającemu na podstawie Umowy.

3. Przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

4. Administrator powierza Przetwarzającemu przetwarzanie danych osobowych w imieniu Administratora a Przetwarzający zobowiązuje się do przetwarzania powierzonych danych osobowych zgodnego z prawem i postanowieniami Umowy w tym z zachowaniem należytej staranności.

§ 2. Przetwarzanie danych osobowych

1. Przetwarzający będzie przetwarzał powierzone przez Administratora dane osobowe w celu świadczenia Usługi. Dokumentacja techniczna, dokumentacja użytkownika oraz regulaminy i polityki znajdują się pod adresem: https://app.eauditor.eu.

2. Zakres przetwarzania danych osobowych obejmuje następujące kategorie danych osobowych w odniesieniu do następujących kategorii osób: pracownicy; kategorie danych: imię, nazwisko, adres e-mail, IP; dokumenty w dowolnej formie zapisane w Usłudze przez Administratora, dane inwentaryzacyjne, dane z monitorowania aktywności pracowników, komputerów, sieci, dane lokalizacyjne komputerów, nazwy drukowanych dokumentów

3. Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie.

4. Przetwarzający będzie przetwarzał dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na Przetwarzającego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania Przetwarzający poinformuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny. Za udokumentowane polecenie powinno rozumieć się czynności przetwarzania danych osobowych zlecone na podstawie niniejszej Umowy oraz Regulaminie usługi.

5. Przetwarzanie danych osobowych będzie wykonywane w okresie obowiązywania Subskrypcji Usługi z zastrzeżeniem ust. 6.

6. Przetwarzający może przetwarzać dane osobowe również po zakończeniu świadczenia Usługi (w szczególności po wygaśnięciu, anulowaniu lub rozwiązaniu Subskrypcji), wyłącznie w zakresie, w którym przetwarzanie jest niezbędne dla realizacji interesów prawnych Administratora, Przetwarzającego, a także w sytuacjach niezbędnych dla wywiązania się przez Administratora lub Przetwarzającego z obowiązków wynikających z przepisów prawa.

§ 3. Obowiązki Przetwarzającego

1. Przetwarzający zobowiązuje się zapewnić, że osoby upoważnione do przetwarzania danych osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, zarówno w trakcie świadczenia Usługi na rzecz Administratora, jak i po jej wygaśnięciu.

2. Przetwarzający podejmuje wszelkie środki wymagane na mocy art. 32 RODO.

3. Przetwarzający zobowiązuje się wspomagać Administratora w wypełnianiu jego obowiązków, o których mowa w art. 32 – 36 RODO, w szczególności:

a) zapewnić adekwatny poziom bezpieczeństwa przetwarzanych danych osobowych,

b) przekazywać Administratorowi informacje o wykrytych naruszeniach ochrony danych osobowych niezwłocznie, jednakże nie później niż 24 godziny od ich wykrycia.

4. Przetwarzający zobowiązuje się usunąć powierzone mu dane osobowe niezwłocznie po ustaniu celu ich przetwarzania, jednak nie później niż 14 dni po zakończeniu świadczenia Usługi na rzecz Administratora (w szczególności po wygaśnięciu, anulowaniu lub rozwiązaniu Subskrypcji), chyba że prawo Unii lub państwa członkowskiego, któremu podlega Przetwarzający, nakazują przechowywanie danych osobowych.

5. W przypadku braku dyspozycji Administratora Przetwarzający może zwrócić się do Administratora z wnioskiem o przekazanie wytycznych co do dalszego postępowania z danymi.

6. Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Umowie oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji.

7. W związku z obowiązkiem określonym w ust. 5 Przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego, któremu Przetwarzający podlega, o ochronie danych osobowych.

8. Przetwarzający może wykorzystywać dane osobowe w celu kontaktowania się z Administratorem w zakresie niezbędnym do świadczenia Usługi i zapewnienia bezpieczeństwa Usługi (np. powiadomienia serwisowe, incydenty, komunikaty o zmianach technicznych, raporty z pracy Usługi).

9. Przetwarzający może wykorzystywać dane osobowe w celu informowania Administratora o zmianach w Usłudze, nowych wersjach Usługi, nowych opcjach i produktach . Istnieje możliwość rezygnacji z otrzymywania tych wiadomości poprzez kliknięcie linku rezygnacji w otrzymanej wiadomości e-mail, postępowanie zgodnie z zawartymi w niej instrukcjami lub kontakt z Przetwarzającym. W celu zarządzania wysyłką wiadomości e-mail marketingowych mogą być wykorzystywani zewnętrzni dostawcy usług, tacy jak:

– Mailerlite – Polityka Prywatności dostępna pod adresem: https://www.mailerlite.com/pl/legal/privacy-policy.

10. Przetwarzający może oferować płatne produkty i/lub usługi w ramach Usługi. W takich przypadkach przetwarzanie płatności odbywa się za pośrednictwem zewnętrznych dostawców (procesorów płatności). Przetwarzający nie przechowuje ani nie gromadzi danych dotyczących kart płatniczych. Informacje te są przekazywane bezpośrednio do zewnętrznych procesorów płatności, których zasady ochrony danych osobowych są określone w ich Politykach Prywatności. Procesory stosują standardy PCI-DSS zarządzane przez Radę ds. Standardów Bezpieczeństwa PCI (PCI Security Standards Council), która jest wspólną inicjatywą marek takich jak Visa, Mastercard, American Express i Discover. Wymogi PCI-DSS zapewniają bezpieczne przetwarzanie danych płatniczych. Przetwarzający może korzystać z usług takich dostawców jak:

– Stripe – Polityka Prywatności dostępna pod adresem: https://stripe.com/en-pl/privacy.

11. Poza podmiotami wskazanymi powyżej Przetwarzający nie jest uprawniony do przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej poza Europejski Obszar Gospodarczy. Przetwarzający nie może korzystać z podwykonawców, którzy przekazują dane osobowe poza Europejskim Obszarem Gospodarczym. Jeżeli w toku realizacji Umowy lub Umowy głównej Przetwarzający poweźmie zamiar lub będzie mieć obowiązek przekazywać dane osobowe poza Europejski Obszar Gospodarczy, Przetwarzający zobowiązany jest poinformować o tym Administratora w celu umożliwienia Administratorowi podjęcia działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia Przetwarzania.

§ 4. Dalsze powierzenie przetwarzania danych osobowych

1. Administrator zezwala Przetwarzającemu na dalsze powierzanie przetwarzania danych osobowych na terenie Europejskiego Obszaru Gospodarczego, z zastrzeżeniem ust. 2 i 4.

2. Przetwarzający nie może przekazać podwykonawcy całości wykonania Umowy.

3. Dalsze powierzenie przetwarzania odbywa się na podstawie umowy zawartej przez Przetwarzającego z podwykonawcą, nakładającej na podwykonawcę te same obowiązki i przyznającemu Administratorowi wobec podwykonawcy takie same prawa, jakie wynikają z Umowy, w szczególności obowiązek podwykonawcy zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO oraz prawo Administratora do kontroli sposobu przetwarzania powierzonych danych osobowych przez podwykonawcę.

4. Przetwarzający poinformuje Administratora o zamiarze dalszego powierzenia danych osobowych co najmniej na 7 dni przed dalszym powierzeniem przetwarzania. Brak wyraźnego sprzeciwu ze strony Administratora, oznacza wyrażenie zgody na dalsze powierzenie przetwarzania danych osobowych.

5. Przetwarzający poinformuje Administratora o wygaśnięciu umowy, na mocy której nastąpiło dalsze powierzenie przetwarzania danych osobowych.

6. Przetwarzający udostępnia informacje o podmiotach podprzetwarzających w witrynie http://euditor.eu/cloud.

§ 5. Prawo kontroli

1. Z uwzględnieniem § 3 ust. 6 Umowy, Administrator uprawniony jest do kontroli sposobu przetwarzania powierzonych danych osobowych przez Przetwarzającego.

2. Administrator poinformuje Przetwarzającego o planowanym audycie co najmniej na 7 dni przed jego rozpoczęciem.

3. Audyt może być przeprowadzony przez upoważnionego pracownika Administratora lub audytora upoważnionego przez Administratora.

4. W ramach audytu Administrator ma prawo do:

a. wglądu do dokumentów i informacji mających związek z powierzeniem przetwarzania danych osobowych,

b. przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania powierzonych danych osobowych, o ile takie działanie wynika z uzasadnionych wątpliwości Administratora;

c. uzyskania pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego.

5. Po zakończeniu audytu Administrator przedstawia Przetwarzającemu wyniki audytu. Przetwarzający może zgłosić Administratorowi zastrzeżenia do wyników audytu w terminie 7 dni od dnia ich otrzymania.

6. W przypadku negatywnych wyników audytu, Administrator i Przetwarzający zobowiązują się do podjęcia wspólnych działań w celu usunięcia nieprawidłowości i zapewnienia prawidłowości dalszego przetwarzania danych osobowych przez Przetwarzającego.

§ 6. Odpowiedzialność

1. Przetwarzający odpowiada względem Administratora za szkody spowodowane swoim działaniem lub zaniechaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.

2. Przetwarzający ponosi wobec Administratora odpowiedzialność za działania i zaniechania podwykonawcy jak za swoje własne, w szczególności za niewywiązanie się z obowiązków ochrony danych osobowych.

§ 7. Czas trwania Umowy

1. Umowa zostaje zawarta na czas obowiązywania świadczenia Usługi na rzecz Administratora. Umowa wchodzi w życie z chwilą zakupu Subskrypcji oraz akceptacji przez Administratora jej warunków. Czas trwania przetwarzania danych osobowych trwa do dnia zrealizowania obowiązku zwrotu lub usunięcia danych osobowych zgodnie z §3 ust. 4 i do tego czasu postanowienia Umowy stosuje się odpowiednio.

2. Strony zgodnie oświadczają, że powierzenie Przetwarzającemu przetwarzania danych osobowych objętych Umową jest dobrowolne, ale niezbędne do prawidłowego wykonania przez Przetwarzającego Usługi na rzecz Administratora. W okresie obowiązywania Subskrypcji Strony zgodnie wyłączają możliwość rozwiązania lub wypowiedzenia Umowy bez jednoczesnego zakończenia świadczenia Usługi na rzecz Administratora.

3. Naruszenie przez Przetwarzającego postanowień Umowy stanowi ważną przyczynę uprawniającą Administratora do żądania niezwłocznego zakończenia przetwarzania danych osobowych oraz zakończenia świadczenia Usługi na jego rzecz (w tym anulowania Subskrypcji), z zachowaniem uprawnień Administratora wynikających z przepisów prawa.

§ 8. Postanowienia końcowe

1. W przypadku rozbieżności pomiędzy postanowieniami Umowy oraz innymi warunkami świadczenia Usługi (w tym warunkami Subskrypcji), pierwszeństwo mają postanowienia Umowy.

2. W sprawach nieuregulowanych niniejszą Umową zastosowanie mają przepisy RODO oraz prawa polskiego.

3. Spory wynikające z Umowy będą rozstrzygane przez sąd właściwy ze względu na siedzibę Przetwarzającego.

4. Wszelkie zmiany niniejszej Umowy wymagają formy elektronicznej pod rygorem nieważności.

5. Umowa zostaje zawarta w formie elektronicznej i jest utrwalona w systemie teleinformatycznym Przetwarzającego; Strony uznają, że akceptacja Umowy dokonana w procesie rejestracji konta i/lub aktywacji Subskrypcji (w tym zaznaczenie checkbox) jest równoznaczna ze złożeniem oświadczeń woli w formie dokumentowej.