Zaloguj się

Umowa o przetwarzaniu danych

Ostatnia aktualizacja: 15 April 2026

Niniejsza Umowa o Przetwarzaniu Danych („DPA”) stanowi część umowy pomiędzy podmiotem wskazanym w koncie Accsible („Klient”, „Administrator”) a Denizcom Ltd, działającą pod nazwą Accsible, zarejestrowaną pod adresem 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom („Accsible”, „Podmiot przetwarzający”), i uzupełnia Warunki korzystania oraz Politykę prywatności (łącznie „Umowa główna”).

Niniejsza DPA ma zastosowanie w zakresie, w jakim Accsible przetwarza Dane osobowe w imieniu Klienta w trakcie świadczenia Usługi. Została ona opracowana w celu zapewnienia zgodności z art. 28 brytyjskiego RODO, RODO UE (Rozporządzenie 2016/679) oraz innymi mającymi zastosowanie przepisami o ochronie danych.

1. Definicje

W niniejszej DPA, o ile kontekst nie wymaga inaczej:

  • „Przepisy o ochronie danych” — brytyjskie RODO, RODO UE, Data Protection Act 2018, Privacy and Electronic Communications Regulations 2003 oraz wszelkie inne mające zastosowanie przepisy o ochronie danych.
  • „Dane osobowe” — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przetwarzane przez Accsible w imieniu Klienta na podstawie Umowy głównej.
  • „Przetwarzanie” — każda operacja wykonywana na Danych osobowych, w tym zbieranie, rejestrowanie, przechowywanie, pobieranie, używanie, ujawnianie, usuwanie lub niszczenie.
  • „Podprocesor” — każdy podmiot trzeci wyznaczony przez Accsible do przetwarzania Danych osobowych w imieniu Klienta.
  • „Osoba, której dane dotyczą” — zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dotyczą Dane osobowe.
  • „Użytkownik końcowy” — odwiedzający stronę internetową Klienta, który korzysta z Widgetu Accsible.
  • „Incydent bezpieczeństwa” — naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych osobowych.
  • „SCCs” — Standardowe Klauzule Umowne zatwierdzone przez Komisję Europejską (Decyzja 2021/914) lub brytyjską Umowę o Międzynarodowym Transferze Danych (IDTA), w zależności od przypadku.

2. Zakres i szczegóły przetwarzania

2.1 Przedmiot

Accsible udostępnia widget dostępności oraz platformę SaaS. Gdy Klient integruje Widget na swojej stronie(-ach) internetowej(-ych), Accsible przetwarza określone Dane osobowe Użytkowników końcowych w imieniu Klienta.

2.2 Czas trwania

Przetwarzanie rozpoczyna się, gdy Klient aktywuje Widget, i trwa przez okres obowiązywania Umowy głównej. Po jej rozwiązaniu zastosowanie ma sekcja 11 niniejszej DPA.

2.3 Charakter i cel przetwarzania

Aspekt Szczegóły
Cel Dostarczanie i obsługa widgetu dostępności; udostępnianie Klientowi analiz użycia i wyników dostępności za pośrednictwem Panelu; przetwarzanie opinii przesyłanych przez Użytkowników końcowych.
Charakter przetwarzania Zbieranie, przechowywanie, agregowanie, analizowanie i usuwanie Danych osobowych w zakresie niezbędnym do świadczenia Usługi.

2.4 Rodzaje Danych osobowych

  • adresy IP (zanonimizowane na potrzeby analiz; pełny adres IP w dziennikach bezpieczeństwa przez maksymalnie 90 dni)
  • typ przeglądarki, wersja i ciąg user agent
  • typ urządzenia i system operacyjny
  • odwiedzane strony i znaczniki czasu na stronie internetowej Klienta
  • preferencje dostępności wybrane przez Użytkowników końcowych (przechowywane lokalnie na urządzeniu Użytkownika końcowego; nieprzesyłane, chyba że zostanie przesłana opinia)
  • przesłane opinie (imię i/lub adres e-mail, jeśli zostały dobrowolnie podane przez Użytkownika końcowego)
  • zagregowane metryki odsłon stron

2.5 Kategorie osób, których dane dotyczą

  • Użytkownicy końcowi — odwiedzający stronę(-y) internetową(-e) Klienta, którzy korzystają z Widgetu Accsible
  • personel Klienta — osoby, które uzyskują dostęp do Panelu Accsible w imieniu Klienta

3. Obowiązki Klienta (Administratora)

Klient zobowiązuje się do:

  • zapewnienia, że posiada zgodną z prawem podstawę do Przetwarzania Danych osobowych oraz do polecania Accsible ich przetwarzania.
  • przekazania wszystkich wymaganych informacji i uzyskania wszystkich niezbędnych zgód od Osób, których dane dotyczą, zgodnie z Przepisami o ochronie danych, w tym poinformowania Użytkowników końcowych o korzystaniu z Widgetu Accsible w swojej własnej polityce prywatności.
  • zapewnienia, że jego instrukcje dla Accsible są zgodne z Przepisami o ochronie danych.
  • niezwłocznego powiadomienia Accsible o wszelkich zmianach w mających zastosowanie Przepisach o ochronie danych, które mogą wpływać na obowiązki przetwarzania Accsible.

4. Obowiązki Accsible (Podmiotu przetwarzającego)

Accsible zobowiązuje się do:

  • przetwarzania Danych osobowych wyłącznie na udokumentowane polecenie Klienta (w tym polecenia określone w niniejszej DPA i Umowie głównej), chyba że obowiązek taki wynika z mającego zastosowanie prawa — w takim przypadku Accsible poinformuje Klienta przed przetwarzaniem, chyba że prawo zabrania takiego poinformowania.
  • zapewnienia, że osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
  • wdrożenia i utrzymywania technicznych oraz organizacyjnych środków bezpieczeństwa opisanych w sekcji 5.
  • przestrzegania warunków angażowania Podprocesorów określonych w sekcji 6.
  • udzielania Klientowi, za pomocą odpowiednich środków technicznych i organizacyjnych, pomocy w wypełnianiu jego obowiązku odpowiadania na żądania Osób, których dane dotyczą (sekcja 7).
  • udzielania Klientowi pomocy w zapewnieniu zgodności z jego obowiązkami wynikającymi z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, oceny skutków i uprzednie konsultacje), z uwzględnieniem charakteru przetwarzania i informacji dostępnych dla Accsible.
  • według wyboru Klienta, usunięcia lub zwrotu wszystkich Danych osobowych po rozwiązaniu Umowy głównej (sekcja 11).
  • udostępnienia Klientowi wszystkich informacji niezbędnych do wykazania zgodności z obowiązkami określonymi w art. 28 RODO oraz umożliwienia audytów i inspekcji i współpracy przy nich (sekcja 10).
  • niezwłocznego poinformowania Klienta, jeśli zdaniem Accsible instrukcja wydana przez Klienta narusza Przepisy o ochronie danych.

5. Środki bezpieczeństwa

Accsible wdraża i utrzymuje następujące techniczne i organizacyjne środki w celu ochrony Danych osobowych przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem:

5.1 Środki techniczne

  • Szyfrowanie transmisji przy użyciu TLS/HTTPS dla wszystkich połączeń, w tym dostarczania przez CDN, komunikacji API i dostępu do Panelu.
  • Haszowanie haseł przy użyciu solonych, jednokierunkowych algorytmów kryptograficznych.
  • Nagłówki Content Security Policy (CSP) ograniczające ataki typu cross-site scripting i injection.
  • Ochrona przed DDoS za pośrednictwem Cloudflare.
  • Monitorowanie błędów (Sentry) skonfigurowane tak, aby maskować cały tekst i blokować wszystkie media w odtwarzaniu sesji.
  • Anonymizacja adresów IP w przetwarzaniu analitycznym.
  • Preferencje dostępności Użytkownika końcowego przechowywane w lokalnej pamięci przeglądarki (wyłącznie po stronie urządzenia; nieprzesyłane do serwerów, chyba że zostanie przesłana opinia).

5.2 Środki organizacyjne

  • Kontrola dostępu oparta na rolach; dostęp do Danych osobowych ograniczony do personelu, który potrzebuje go do wykonywania swoich obowiązków.
  • Obowiązki zachowania poufności dla wszystkich pracowników i wykonawców mających dostęp do Danych osobowych.
  • Regularne oceny bezpieczeństwa i monitorowanie infrastruktury.
  • Procedury reagowania na incydenty opisane w sekcji 8.
  • Polityki retencji zapewniające, że Dane osobowe nie są przechowywane dłużej, niż jest to konieczne (zob. sekcja 9).

6. Podprocesorzy

6.1 Ogólne upoważnienie

Klient udziela Accsible ogólnego pisemnego upoważnienia do angażowania Podprocesorów w celu wykonywania określonych czynności przetwarzania w imieniu Klienta. Accsible nałoży na każdego Podprocesora obowiązki w zakresie ochrony danych nie mniej ochronne niż te określone w niniejszej DPA, na podstawie pisemnej umowy.

6.2 Aktualni Podprocesorzy

Następujący Podprocesorzy są zaangażowani na dzień sporządzenia niniejszej DPA:

Podprocesor Cel Lokalizacja
Cloudflare, Inc. CDN, ochrona przed DDoS, dostarczanie treści dla Widgetu i API Globalnie (siedziba w USA); przetwarzanie danych z UE/UK na podstawie SCCs
Functional Software, Inc. (Sentry) Monitorowanie błędów i diagnostyka wydajności USA; przetwarzanie na podstawie SCCs
Google LLC (Google Analytics) Zagregowana analityka ruchu na stronie internetowej (wyłącznie na podstawie zgody) USA; przetwarzanie na podstawie SCCs oraz EU-US Data Privacy Framework
Stripe, Inc. Przetwarzanie płatności i zarządzanie subskrypcjami USA; certyfikacja PCI DSS Level 1; przetwarzanie na podstawie SCCs

6.3 Zmiany Podprocesorów

Accsible powiadomi Klienta e-mailem co najmniej 30 days przed dodaniem lub zastąpieniem Podprocesora. Powiadomienie będzie zawierać nazwę Podprocesora, czynności przetwarzania, które będzie wykonywał, oraz jego lokalizację.

Jeżeli Klient ma uzasadniony sprzeciw wobec nowego Podprocesora z przyczyn związanych z ochroną danych, Klient powiadomi Accsible na piśmie w terminie 14 dni od otrzymania powiadomienia. Strony omówią tę kwestię w dobrej wierze. Jeżeli strony nie rozwiążą sprzeciwu w terminie 30 dni, Klient może rozwiązać dotkniętą Usługę, składając pisemne wypowiedzenie, a Accsible zwróci wszelkie opłaty zapłacone z góry za niewykorzystaną część okresu subskrypcji.

7. Prawa osób, których dane dotyczą

Accsible, z uwzględnieniem charakteru przetwarzania, udzieli Klientowi pomocy za pomocą odpowiednich środków technicznych i organizacyjnych w wypełnianiu jego obowiązków związanych z odpowiadaniem na żądania Osób, których dane dotyczą, korzystających z ich praw wynikających z Przepisów o ochronie danych, w tym:

  • prawo dostępu
  • prawo do sprostowania
  • prawo do usunięcia danych („prawo do bycia zapomnianym”)
  • prawo do ograniczenia przetwarzania
  • prawo do przenoszenia danych
  • prawo do sprzeciwu

Jeżeli Accsible otrzyma bezpośrednio od Osoby, której dane dotyczą, żądanie dotyczące danych Klienta, Accsible niezwłocznie skieruje tę Osobę, której dane dotyczą, do Klienta i powiadomi Klienta o żądaniu, chyba że prawo zabrania takiego działania. Accsible nie będzie odpowiadać na takie żądania bezpośrednio, chyba że zostanie do tego upoważnione przez Klienta lub będzie to wymagane przez prawo.

8. Powiadomienie o incydencie bezpieczeństwa

8.1 Powiadomienie

Accsible powiadomi Klienta o każdym potwierdzonym Incydencie bezpieczeństwa bez zbędnej zwłoki, a w każdym razie w terminie 48 hours od momentu powzięcia o nim wiadomości. Powiadomienie zostanie wysłane na adres e-mail powiązany z kontem Klienta (lub na inny adres wskazany przez Klienta w tym celu).

8.2 Treść powiadomienia

Powiadomienie będzie zawierać, w zakresie dostępnym w danym momencie:

  • opis charakteru Incydentu bezpieczeństwa, w tym kategorie i przybliżoną liczbę Osób, których dane dotyczą, oraz danych, których to dotyczy.
  • imię i nazwisko oraz dane kontaktowe osoby kontaktowej w Accsible.
  • opis prawdopodobnych konsekwencji incydentu.
  • opis środków podjętych lub proponowanych w celu rozwiązania incydentu, w tym środków łagodzących jego skutki.

8.3 Obowiązki ciągłe

Accsible będzie przekazywać dalsze informacje, gdy tylko staną się dostępne, oraz będzie współpracować z uzasadnionymi żądaniami Klienta dotyczącymi zbadania, usunięcia i ograniczenia skutków Incydentu bezpieczeństwa. Accsible będzie również pomagać Klientowi w wypełnianiu jego własnych obowiązków zgłaszania naruszeń organom nadzorczym i Osobom, których dane dotyczą, na podstawie art. 33 i 34 RODO.

8.4 Prowadzenie rejestru

Accsible będzie prowadzić rejestr wszystkich Incydentów bezpieczeństwa, w tym faktów związanych z incydentem, jego skutków oraz podjętych działań naprawczych.

9. Retencja danych

Accsible przechowuje Dane osobowe przetwarzane na podstawie niniejszej DPA w następujący sposób:

  • dzienniki bezpieczeństwa (pełne adresy IP): do 90 dni, a następnie trwale usuwane.
  • zagregowane dane analityczne: anonimizowane co miesiąc; indywidualne dane sesji nie są przechowywane.
  • przesłane opinie Użytkowników końcowych: przechowywane przez okres obowiązywania Umowy głównej; usuwane w ciągu 30 dni od rozwiązania.
  • dane monitorowania błędów (Sentry): do 90 dni.
  • metryki użycia Widgetu: agregowane i anonimizowane; brak przechowywania danych na poziomie indywidualnym po zakończeniu przetwarzania.

Accsible nie będzie przechowywać Danych osobowych dłużej, niż jest to konieczne do celów świadczenia Usługi lub zgodnie z wymogami mającego zastosowanie prawa.

10. Audyty i zgodność

10.1 Informacje

Accsible udostępni Klientowi, na uzasadnione żądanie, wszelkie informacje zasadnie niezbędne do wykazania zgodności z jego obowiązkami wynikającymi z niniejszej DPA oraz art. 28 RODO.

10.2 Prawa audytu

Klient (lub niezależny audytor zewnętrzny wyznaczony przez Klienta) może przeprowadzić audyt działań przetwarzania i środków bezpieczeństwa Accsible, z zastrzeżeniem następujących warunków:

  • Klient przekaże co najmniej 30 days’ pisemne powiadomienie o żądaniu audytu.
  • Audyty będą przeprowadzane w normalnych godzinach pracy (Monday–Friday, 09:00–18:00 GMT) i nie będą w sposób nieuzasadniony zakłócać działalności Accsible.
  • Klient może przeprowadzić nie więcej niż one audit per 12-month period, chyba że jest to wymagane przez organ nadzorczy lub po potwierdzonym Incydencie bezpieczeństwa.
  • Audytor będzie związany obowiązkami poufności nie mniej ochronnymi niż te określone w Umowie głównej.
  • Accsible może spełnić żądanie audytu, udostępniając aktualny raport SOC 2 Type II, certyfikat ISO 27001 lub równoważny niezależny certyfikat, jeśli jest dostępny.

10.3 Współpraca

Accsible będzie współpracować z Klientem oraz każdym organem nadzorczym, który wymaga dostępu do obiektów lub dokumentacji Accsible w związku z niniejszą DPA.

11. Zwrot i usunięcie danych

Po rozwiązaniu lub wygaśnięciu Umowy głównej Klient może w terminie 30 days zażądać, aby Accsible:

  • zwróciła wszystkie Dane osobowe w ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie; lub
  • usunęła wszystkie Dane osobowe i pisemnie potwierdziła ich usunięcie.

Jeżeli Klient nie złoży żądania w terminie 30 dni od rozwiązania, Accsible trwale usunie wszystkie Dane osobowe, z wyjątkiem zakresu, w jakim ich przechowywanie jest wymagane przez mające zastosowanie prawo (np. dokumentacja rozliczeniowa na potrzeby zgodności podatkowej). W przypadku gdy przechowywanie jest wymagane prawnie, Accsible odizoluje i zabezpieczy dane oraz ograniczy przetwarzanie do celu wymaganego przez prawo.

12. Transfery międzynarodowe

Accsible ma siedzibę w United Kingdom. W przypadku gdy Dane osobowe są przekazywane Podprocesorom znajdującym się poza UK lub EOG, Accsible zapewnia odpowiednie zabezpieczenia, w tym:

  • UK International Data Transfer Agreement (IDTA) lub brytyjski Aneks do SCCs
  • Standardowe Klauzule Umowne UE (SCCs) — Decyzja Komisji 2021/914
  • decyzje stwierdzające odpowiedni stopień ochrony wydane przez Sekretarza Stanu UK lub Komisję Europejską
  • w stosownych przypadkach dodatkowe środki uzupełniające zalecane przez ICO lub EDPB

Kopia odpowiedniego mechanizmu transferu zostanie udostępniona Klientowi na pisemne żądanie.

13. Odpowiedzialność

Odpowiedzialność każdej ze stron wynikająca z niniejszej DPA podlega ograniczeniom i wyłączeniom odpowiedzialności określonym w Umowie głównej (Warunkach korzystania), z tym wyjątkiem, że żadna ze stron nie wyłącza ani nie ogranicza odpowiedzialności za naruszenia Przepisów o ochronie danych w zakresie, w jakim takie wyłączenie lub ograniczenie nie jest dozwolone przez mające zastosowanie prawo.

14. Czas obowiązywania i pierwszeństwo

14.1 Czas obowiązywania

Niniejsza DPA wchodzi w życie z dniem, w którym Klient po raz pierwszy integruje Widget Accsible, i pozostaje w mocy przez okres obowiązywania Umowy głównej, a następnie do czasu, gdy wszystkie Dane osobowe zostaną usunięte lub zwrócone zgodnie z sekcją 11.

14.2 Pierwszeństwo

W przypadku jakiejkolwiek sprzeczności między niniejszą DPA a Umową główną, niniejsza DPA ma pierwszeństwo w zakresie przetwarzania i ochrony Danych osobowych.

14.3 Zmiany

Accsible może aktualizować niniejszą DPA, aby odzwierciedlić zmiany w Przepisach o ochronie danych lub działaniach przetwarzania. Istotne zmiany zostaną przekazane Klientowi z co najmniej 30 days wyprzedzeniem za pośrednictwem e-maila. Dalsze korzystanie z Usługi po dacie wejścia w życie zmian oznacza ich akceptację.

15. Kontakt

W przypadku pytań lub próśb związanych z niniejszą DPA skontaktuj się z nami pod adresem:

  • Kontakt ds. ochrony danych: [email protected]
  • Incydenty bezpieczeństwa: [email protected]
  • Zarejestrowana siedziba: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
  • Rejestracja ICO: ZC114350