ugosci.pl← Strona główna

Umowa powierzenia przetwarzania danych

zawarta pomiędzy:

POMALO DESIGN Stanisław Wawrzecki, ul. Sękocińska 13 lok. 3, 02-313 Warszawa, NIP: 7010797512 (dalej: „Podmiot Przetwarzający" lub „ugosci.pl")

a

Właścicielem konta na Platformie ugosci.pl (dalej: „Administrator")

⚠️ Dokument przygotowany jako szkic roboczy do celów MVP. Przed opublikowaniem skonsultuj z prawnikiem.

§1. Przedmiot umowy

  1. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych Gości obiektów noclegowych Administratora w zakresie niezbędnym do świadczenia usługi ugosci.pl.

  2. Umowa niniejsza stanowi załącznik do Regulaminu ugosci.pl i zawierana jest w chwili akceptacji Regulaminu przez Administratora. Obowiązuje przez cały okres korzystania z Platformy.

§2. Zakres i cel przetwarzania

  1. Podmiot Przetwarzający przetwarza dane osobowe wyłącznie w celu i zakresie niezbędnym do świadczenia usługi ugosci.pl, tj.:

    • wyświetlania spersonalizowanego przewodnika pobytu dla Gościa,
    • wysyłki SMS-owych przypomnień o check-oucie (jeśli włączone przez Administratora),
    • wysyłki e-mailowych powiadomień do Administratora dotyczących check-outu Gościa,
    • obsługi procedury check-out, w tym rejestracji oceny pobytu,
    • hostingu i dostarczania plików wideo (instrukcje obsługi obiektu).

  2. Kategorie danych osobowych:

    • imię Gościa,
    • numer telefonu Gościa,
    • ocena pobytu i komentarz (opcjonalnie, podawane dobrowolnie przez Gościa).

  3. Kategorie osób, których dane dotyczą: Goście obiektów noclegowych Administratora.

  4. Charakter przetwarzania: zbieranie, przechowywanie, wyświetlanie, przesyłanie (SMS/e-mail), usuwanie.

  5. Podmiot Przetwarzający nie przetwarza danych w celach innych niż wskazane powyżej, w szczególności nie wykorzystuje danych do celów marketingowych, profilowania ani udostępniania podmiotom trzecim.

§3. Obowiązki Podmiotu Przetwarzającego

Podmiot Przetwarzający zobowiązuje się do:

  1. Przetwarzania danych wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa Unii Europejskiej lub prawa polskiego — w takim przypadku Podmiot Przetwarzający informuje Administratora o tym obowiązku przed rozpoczęciem przetwarzania.

  2. Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi poufności.

  3. Wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych, w tym:

    • szyfrowania danych w transmisji (HTTPS/TLS),
    • kontroli dostępu do bazy danych (Row Level Security),
    • przechowywania danych na serwerach z odpowiednim poziomem certyfikacji,
    • szyfrowania haseł (bcrypt),
    • przechowywania tokenów dostępu do zewnętrznych usług (np. SMSAPI) wyłącznie po stronie serwera,
    • automatycznego wygasania linków pobytowych 24 godziny po dacie wyjazdu.

  4. Nieudostępniania danych osobowych podmiotom trzecim bez zgody Administratora, za wyjątkiem podpowierzenia wskazanego w §4.

  5. Pomocy Administratorowi w realizacji praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie przetwarzania, przenoszenie danych), w miarę możliwości i z uwzględnieniem charakteru przetwarzania.

  6. Pomocy Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo, ocena skutków, uprzednie konsultacje), z uwzględnieniem charakteru przetwarzania i dostępnych informacji.

  7. Usunięcia lub zwrotu danych po zakończeniu świadczenia usług, zgodnie z decyzją Administratora i z uwzględnieniem obowiązków wynikających z przepisów prawa.

  8. Udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania przestrzegania obowiązków wynikających z art. 28 RODO oraz umożliwienia i przyczyniania się do przeprowadzenia audytów, w tym inspekcji.

  9. Niezwłocznego (nie później niż w ciągu 48 godzin) poinformowania Administratora o podejrzeniu naruszenia ochrony danych osobowych.

  10. Niezwłocznego poinformowania Administratora, jeśli w ocenie Podmiotu Przetwarzającego polecenie Administratora narusza RODO lub inne przepisy o ochronie danych.

§4. Podpowierzenie przetwarzania

  1. Administrator wyraża zgodę na podpowierzenie przetwarzania danych następującym podwykonawcom:
PodwykonawcaCelLokalizacjaMechanizm transferu
Supabase Inc.Hosting bazy danych, uwierzytelnianieUSASCC
SMSAPI.pl (Smsapi Sp. z o.o.)Wysyłka SMS (przypomnienia o check-oucie, powiadomienia serwisowe)Polska
Resend Inc.Wysyłka e-maili transakcyjnych (powiadomienia o check-oucie, alerty do Administratora)USASCC
Cloudflare Inc.Hosting i dostarczanie plików wideo (Cloudflare Stream)USASCC
Stripe Payments Europe, Ltd.Obsługa płatności (w zakresie danych Administratora, nie Gości)Irlandia / USASCC

  1. Podmiot Przetwarzający informuje Administratora o planowanych zmianach dotyczących dodania lub wymiany podwykonawców z co najmniej 14-dniowym wyprzedzeniem (drogą e-mailową), dając możliwość wniesienia sprzeciwu. Brak sprzeciwu w tym terminie oznacza akceptację zmiany.

  2. W przypadku sprzeciwu Administratora wobec nowego podwykonawcy, strony podejmą negocjacje w celu znalezienia rozwiązania. Jeśli rozwiązanie nie zostanie znalezione w ciągu 30 dni, Administratorowi przysługuje prawo wypowiedzenia umowy ze skutkiem natychmiastowym.

  3. Na podwykonawców nakładane są co najmniej te same obowiązki ochrony danych co na Podmiot Przetwarzający, na mocy odpowiednich umów.

§5. Obowiązki Administratora

Administrator zobowiązuje się do:

  1. Przetwarzania danych Gości zgodnie z RODO, w tym posiadania odpowiedniej podstawy prawnej (np. uzasadniony interes w postaci obsługi pobytu — art. 6 ust. 1 lit. f RODO, lub wykonanie umowy najmu — art. 6 ust. 1 lit. b RODO).

  2. Poinformowania Gości o przekazaniu ich danych (imię, numer telefonu) do Platformy ugosci.pl w celu obsługi pobytu — w sposób zgodny z art. 13 lub 14 RODO.

  3. Nieprzekazywania do Platformy danych, do przetwarzania których Administrator nie posiada odpowiedniej podstawy prawnej.

  4. Nieprzekazywania do Platformy danych wykraczających poza zakres określony w §2 ust. 2 (w szczególności danych wrażliwych w rozumieniu art. 9 RODO).

§6. Okres przetwarzania i usunięcie danych

  1. Dane Gości przechowywane są przez 12 miesięcy od zakończenia pobytu, po czym są automatycznie usuwane z systemów Podmiotu Przetwarzającego.

  2. Po rozwiązaniu umowy (usunięciu konta przez Administratora) dane Gości usuwane są w ciągu 30 dni, z zastrzeżeniem obowiązków wynikających z przepisów prawa.

  3. Na pisemny wniosek Administratora (e-mail na kontakt@ugosci.pl) dane mogą zostać usunięte wcześniej niż wskazano w ust. 1.

  4. Podmiot Przetwarzający potwierdzi usunięcie danych na żądanie Administratora.

§7. Naruszenia ochrony danych

  1. W przypadku wykrycia naruszenia ochrony danych osobowych Podmiot Przetwarzający niezwłocznie, nie później niż w ciągu 48 godzin od stwierdzenia naruszenia, informuje Administratora o:

    • charakterze naruszenia, w tym w miarę możliwości o kategoriach i przybliżonej liczbie osób oraz rekordów danych, których naruszenie dotyczy,
    • danych kontaktowych osoby, od której można uzyskać więcej informacji,
    • możliwych konsekwencjach naruszenia,
    • podjętych lub proponowanych środkach zaradczych, w tym środkach mających na celu zminimalizowanie ewentualnych negatywnych skutków.

  2. Administrator samodzielnie ocenia czy naruszenie wymaga zgłoszenia do organu nadzorczego (UODO) w terminie 72 godzin lub powiadomienia osób, których dane dotyczą.

  3. Podmiot Przetwarzający współpracuje z Administratorem w zakresie obsługi naruszenia i dokumentowania okoliczności naruszenia.

§8. Postanowienia końcowe

  1. Umowa podlega prawu polskiemu.

  2. W sprawach nieuregulowanych zastosowanie mają przepisy RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) oraz polskiego prawa ochrony danych osobowych (ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych).

  3. Wszelkie zmiany Umowy wymagają formy pisemnej lub elektronicznej (e-mail).

  4. Umowa wchodzi w życie z chwilą akceptacji Regulaminu ugosci.pl i obowiązuje do czasu usunięcia konta Administratora lub rozwiązania umowy o świadczenie usług.

  5. Spory wynikające z Umowy rozstrzygane będą zgodnie z postanowieniami Regulaminu ugosci.pl.

POMALO DESIGN Stanisław Wawrzecki, Warszawa, maj 2026

RegulaminPolityka prywatnościUmowa powierzenia