Zaloguj się

Umowa powierzenia przetwarzania danych

Ostatnia aktualizacja: 15 April 2026

Niniejsza Umowa Powierzenia Przetwarzania Danych (“DPA”) stanowi część umowy pomiędzy podmiotem zidentyfikowanym w koncie Accsible (“Klient”, “Administrator”) a Denizcom Ltd, prowadzącą działalność pod nazwą Accsible, zarejestrowaną pod adresem 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom (“Accsible”, “Podmiot przetwarzający”), i uzupełnia Regulamin oraz Politykę prywatności (łącznie „Umowa Główna”).

Niniejsza DPA ma zastosowanie w zakresie, w jakim Accsible przetwarza Dane Osobowe w imieniu Klienta w związku ze świadczeniem Usługi. Ma ona na celu zapewnienie zgodności z art. 28 brytyjskiego RODO, RODO UE (Rozporządzenie 2016/679) oraz innymi obowiązującymi przepisami o ochronie danych.

1. Definicje

W niniejszej DPA, o ile kontekst nie stanowi inaczej:

  • „Przepisy o ochronie danych” — brytyjskie RODO, RODO UE, Data Protection Act 2018, Privacy and Electronic Communications Regulations 2003 oraz wszelkie inne obowiązujące przepisy o ochronie danych.
  • „Dane Osobowe” — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, które są przetwarzane przez Accsible w imieniu Klienta na podstawie Umowy Głównej.
  • „Przetwarzanie” — każda operacja wykonywana na Danych Osobowych, w tym zbieranie, utrwalanie, przechowywanie, odzyskiwanie, wykorzystywanie, ujawnianie, usuwanie lub niszczenie.
  • „Podprzetwarzający” — każdy podmiot trzeci wyznaczony przez Accsible do przetwarzania Danych Osobowych w imieniu Klienta.
  • „Osoba, której dane dotyczą” — zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której Dane Osobowe dotyczą.
  • „Użytkownik końcowy” — odwiedzający stronę internetową Klienta, który wchodzi w interakcję z Widgetem Accsible.
  • „Incydent bezpieczeństwa” — naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych Osobowych.
  • „SCC” — Standardowe Klauzule Umowne zatwierdzone przez Komisję Europejską (Decyzja 2021/914) lub brytyjska International Data Transfer Agreement (IDTA), w zależności od przypadku.

2. Zakres i szczegóły przetwarzania

2.1 Przedmiot

Accsible udostępnia widget dostępności oraz platformę SaaS. Gdy Klient integruje Widget na swojej stronie (stronach) internetowej, Accsible przetwarza określone Dane Osobowe Użytkowników końcowych w imieniu Klienta.

2.2 Czas trwania

Przetwarzanie rozpoczyna się, gdy Klient aktywuje Widget i trwa przez okres obowiązywania Umowy Głównej. Po jej rozwiązaniu zastosowanie ma Sekcja 11 niniejszej DPA.

2.3 Charakter i cel przetwarzania

Aspekt Szczegóły
Cel Dostarczanie i obsługa widgetu dostępności; udostępnianie Klientowi za pośrednictwem Panelu statystyk użycia i wyników dostępności; przetwarzanie opinii przesyłanych przez Użytkowników końcowych.
Charakter przetwarzania Zbieranie, przechowywanie, agregacja, analiza i usuwanie Danych Osobowych w zakresie niezbędnym do świadczenia Usługi.

2.4 Rodzaje Danych Osobowych

  • Adresy IP (anonimizowane na potrzeby analityki; pełny adres IP w logach bezpieczeństwa przez okres do 90 dni)
  • Typ przeglądarki, wersja i ciąg user agent
  • Typ urządzenia i system operacyjny
  • Odwiedzane strony i znaczniki czasu na stronie internetowej Klienta
  • Preferencje dostępności wybrane przez Użytkowników końcowych (przechowywane lokalnie na urządzeniu Użytkownika końcowego; nieprzesyłane, chyba że zostanie przesłana opinia)
  • Przesłane opinie (imię i/lub adres e-mail, jeśli dobrowolnie podane przez Użytkownika końcowego)
  • Zagregowane metryki odsłon stron

2.5 Kategorie osób, których dane dotyczą

  • Użytkownicy końcowi — odwiedzający stronę (strony) internetową Klienta, którzy wchodzą w interakcję z Widgetem Accsible
  • Personel Klienta — osoby, które uzyskują dostęp do Panelu Accsible w imieniu Klienta

3. Obowiązki Klienta (Administratora)

Klient zobowiązuje się do:

  • Zapewnienia, że posiada podstawę prawną do Przetwarzania Danych Osobowych oraz do wydawania Accsible poleceń ich przetwarzania.
  • Przekazania wszystkich wymaganych informacji oraz uzyskania wszelkich niezbędnych zgód od Osób, których dane dotyczą, zgodnie z Przepisami o ochronie danych, w tym poinformowania Użytkowników końcowych o korzystaniu z Widgetu Accsible we własnej polityce prywatności Klienta.
  • Zapewnienia, że jego instrukcje dla Accsible są zgodne z Przepisami o ochronie danych.
  • Niezwłocznego powiadamiania Accsible o wszelkich zmianach w obowiązujących Przepisach o ochronie danych, które mogą mieć wpływ na obowiązki Accsible w zakresie przetwarzania.

4. Obowiązki Accsible (Podmiotu przetwarzającego)

Accsible zobowiązuje się do:

  • Przetwarzania Danych Osobowych wyłącznie na udokumentowane polecenia Klienta (w tym polecenia określone w niniejszej DPA i Umowie Głównej), chyba że obowiązujące prawo wymaga inaczej — w takim przypadku Accsible poinformuje Klienta przed przetwarzaniem, o ile nie będzie to prawnie zabronione.
  • Zapewnienia, że osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
  • Wdrożenia i utrzymywania technicznych i organizacyjnych środków bezpieczeństwa opisanych w Sekcji 5.
  • Przestrzegania warunków angażowania Podprzetwarzających określonych w Sekcji 6.
  • Wspierania Klienta, za pomocą odpowiednich środków technicznych i organizacyjnych, w wypełnianiu obowiązku odpowiadania na żądania Osób, których dane dotyczą (Sekcja 7).
  • Wspierania Klienta w zapewnieniu zgodności z jego obowiązkami wynikającymi z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, oceny skutków oraz uprzednie konsultacje), z uwzględnieniem charakteru przetwarzania i informacji dostępnych Accsible.
  • Na wybór Klienta, usunięcia lub zwrotu wszystkich Danych Osobowych po rozwiązaniu Umowy Głównej (Sekcja 11).
  • Udostępnienia Klientowi wszystkich informacji niezbędnych do wykazania zgodności z obowiązkami określonymi w art. 28 RODO oraz umożliwienia i udziału w audytach i inspekcjach (Sekcja 10).
  • Niezwłocznego poinformowania Klienta, jeżeli zdaniem Accsible jakiekolwiek polecenie Klienta narusza Przepisy o ochronie danych.

5. Środki bezpieczeństwa

Accsible wdraża i utrzymuje następujące techniczne i organizacyjne środki w celu ochrony Danych Osobowych przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem:

5.1 Środki techniczne

  • Szyfrowanie w tranzycie z wykorzystaniem TLS/HTTPS dla wszystkich połączeń, w tym dostarczania przez CDN, komunikacji API oraz dostępu do Panelu.
  • Haszowanie haseł z użyciem solonych, jednokierunkowych algorytmów kryptograficznych.
  • Nagłówki Content Security Policy (CSP) w celu ograniczenia ataków typu cross-site scripting i wstrzyknięć.
  • Ochrona przed DDoS za pośrednictwem Cloudflare.
  • Monitorowanie błędów (Sentry) skonfigurowane tak, aby maskować cały tekst i blokować wszystkie media w odtworzeniach sesji.
  • Anonimizacja adresów IP w przetwarzaniu analitycznym.
  • Preferencje dostępności Użytkownika końcowego przechowywane w lokalnej pamięci przeglądarki (wyłącznie po stronie urządzenia; nieprzesyłane na serwery, chyba że zostanie przesłana opinia).

5.2 Środki organizacyjne

  • Kontrola dostępu oparta na rolach; dostęp do Danych Osobowych ograniczony do personelu, który potrzebuje go do wykonywania swoich obowiązków.
  • Obowiązki zachowania poufności dla wszystkich pracowników i podwykonawców mających dostęp do Danych Osobowych.
  • Regularne oceny bezpieczeństwa i monitorowanie infrastruktury.
  • Procedury reagowania na incydenty opisane w Sekcji 8.
  • Polityki retencji zapewniające, że Dane Osobowe nie są przechowywane dłużej, niż jest to konieczne (zob. Sekcja 9).

6. Podprzetwarzający

6.1 Ogólne upoważnienie

Klient udziela Accsible ogólnego pisemnego upoważnienia do angażowania Podprzetwarzających w celu wykonywania określonych czynności przetwarzania w imieniu Klienta. Accsible nałoży na każdego Podprzetwarzającego obowiązki w zakresie ochrony danych nie mniej rygorystyczne niż te określone w niniejszej DPA, w drodze pisemnej umowy.

6.2 Obecni Podprzetwarzający

Następujący Podprzetwarzający są zaangażowani na dzień zawarcia niniejszej DPA:

Podprzetwarzający Cel Lokalizacja
Cloudflare, Inc. CDN, ochrona przed DDoS, dostarczanie treści dla Widgetu i API Globalnie (siedziba w USA); przetwarzanie danych UE/UK na podstawie SCC
Functional Software, Inc. (Sentry) Monitorowanie błędów i diagnostyka wydajności USA; przetwarzanie na podstawie SCC
Google LLC (Google Analytics) Zagregowana analityka ruchu na stronie (wyłącznie na podstawie zgody) USA; przetwarzanie na podstawie SCC oraz EU-US Data Privacy Framework
Stripe, Inc. Przetwarzanie płatności i zarządzanie subskrypcjami USA; certyfikacja PCI DSS Level 1; przetwarzanie na podstawie SCC

6.3 Zmiany Podprzetwarzających

Accsible powiadomi Klienta e-mailem co najmniej 30 dni przed dodaniem lub zastąpieniem Podprzetwarzającego. Powiadomienie będzie zawierać nazwę Podprzetwarzającego, opis przetwarzania, które będzie wykonywał, oraz jego lokalizację.

Jeżeli Klient ma uzasadniony sprzeciw wobec nowego Podprzetwarzającego z przyczyn związanych z ochroną danych, powiadomi Accsible na piśmie w ciągu 14 dni od otrzymania powiadomienia. Strony omówią zastrzeżenia w dobrej wierze. Jeżeli strony nie rozwiążą sprzeciwu w ciągu 30 dni, Klient może rozwiązać umowę w zakresie objętej Usługi, składając pisemne wypowiedzenie, a Accsible zwróci wszelkie opłaty zapłacone z góry za niewykorzystaną część okresu subskrypcji.

7. Prawa osób, których dane dotyczą

Accsible, uwzględniając charakter przetwarzania, będzie wspierać Klienta za pomocą odpowiednich środków technicznych i organizacyjnych w wypełnianiu obowiązków odpowiadania na żądania Osób, których dane dotyczą, korzystających ze swoich praw wynikających z Przepisów o ochronie danych, w tym:

  • Prawa dostępu
  • Prawa do sprostowania
  • Prawa do usunięcia danych („prawo do bycia zapomnianym”)
  • Prawa do ograniczenia przetwarzania
  • Prawa do przenoszenia danych
  • Prawa do sprzeciwu

Jeżeli Accsible otrzyma bezpośrednio od Osoby, której dane dotyczą, żądanie dotyczące danych Klienta, Accsible niezwłocznie przekieruje tę osobę do Klienta i powiadomi Klienta o żądaniu, o ile nie będzie to prawnie zabronione. Accsible nie będzie odpowiadać bezpośrednio na takie żądania, chyba że zostanie do tego upoważnione przez Klienta lub będzie do tego zobowiązane przez prawo.

8. Zgłaszanie incydentów bezpieczeństwa

8.1 Powiadomienie

Accsible powiadomi Klienta o każdym potwierdzonym Incydencie bezpieczeństwa bez zbędnej zwłoki, w każdym razie w ciągu 48 godzin od jego wykrycia. Powiadomienie zostanie wysłane na adres e-mail powiązany z kontem Klienta (lub inny adres wskazany przez Klienta do tego celu).

8.2 Treść powiadomienia

Powiadomienie będzie zawierać, w zakresie dostępnych w danym momencie informacji:

  • Opis charakteru Incydentu bezpieczeństwa, w tym kategorie i przybliżoną liczbę Osób, których dane dotyczą, oraz rekordów danych, których dotyczy incydent.
  • Imię i nazwisko oraz dane kontaktowe osoby kontaktowej w Accsible.
  • Opis prawdopodobnych konsekwencji incydentu.
  • Opis środków podjętych lub proponowanych w celu rozwiązania incydentu, w tym środków mających na celu złagodzenie jego skutków.

8.3 Dalsze obowiązki

Accsible będzie przekazywać dalsze informacje w miarę ich uzyskiwania oraz współpracować z uzasadnionymi żądaniami Klienta dotyczącymi zbadania, naprawienia i złagodzenia skutków Incydentu bezpieczeństwa. Accsible będzie również wspierać Klienta w wypełnianiu jego obowiązków w zakresie zgłaszania naruszeń organom nadzorczym i Osobom, których dane dotyczą, zgodnie z art. 33 i 34 RODO.

8.4 Prowadzenie rejestru

Accsible będzie prowadzić rejestr wszystkich Incydentów bezpieczeństwa, w tym okoliczności incydentu, jego skutków oraz podjętych działań naprawczych.

9. Retencja danych

Accsible przechowuje Dane Osobowe przetwarzane na podstawie niniejszej DPA w następujący sposób:

  • Logi bezpieczeństwa (pełne adresy IP): Do 90 dni, następnie trwale usuwane.
  • Zagregowane dane analityczne: Anonimizowane co miesiąc; dane z pojedynczych sesji nie są przechowywane.
  • Przesłane opinie Użytkowników końcowych: Przechowywane przez okres obowiązywania Umowy Głównej; usuwane w ciągu 30 dni od jej rozwiązania.
  • Dane monitorowania błędów (Sentry): Do 90 dni.
  • Metryki użycia Widgetu: Agregowane i anonimizowane; brak przechowywania danych na poziomie indywidualnym po zakończeniu przetwarzania.

Accsible nie będzie przechowywać Danych Osobowych dłużej, niż jest to konieczne do celów świadczenia Usługi lub wymagane przez obowiązujące prawo.

10. Audyty i zgodność

10.1 Informacje

Accsible udostępni Klientowi, na uzasadnione żądanie, wszystkie informacje w uzasadnionym zakresie niezbędne do wykazania zgodności z obowiązkami wynikającymi z niniejszej DPA oraz art. 28 RODO.

10.2 Prawa audytowe

Klient (lub niezależny audytor zewnętrzny wyznaczony przez Klienta) może przeprowadzić audyt działań przetwarzania i środków bezpieczeństwa Accsible, z zastrzeżeniem następujących warunków:

  • Klient powiadomi pisemnie o żądaniu audytu z co najmniej 30 dniowym wyprzedzeniem.
  • Audyty będą przeprowadzane w normalnych godzinach pracy (poniedziałek–piątek, 09:00–18:00 GMT) i nie mogą w sposób nieuzasadniony zakłócać działalności Accsible.
  • Klient może przeprowadzić nie więcej niż jeden audyt w okresie 12 miesięcy, chyba że jest to wymagane przez organ nadzorczy lub nastąpił potwierdzony Incydent bezpieczeństwa.
  • Audytor będzie związany obowiązkami zachowania poufności nie mniej rygorystycznymi niż te określone w Umowie Głównej.
  • Accsible może spełnić żądanie audytu, udostępniając aktualny raport SOC 2 Type II, certyfikat ISO 27001 lub równoważną niezależną certyfikację, jeśli jest dostępna.

10.3 Współpraca

Accsible będzie współpracować z Klientem oraz każdym organem nadzorczym, który wymaga dostępu do obiektów lub dokumentacji Accsible w związku z niniejszą DPA.

11. Zwrot i usuwanie danych

Po rozwiązaniu lub wygaśnięciu Umowy Głównej Klient może, w ciągu 30 dni, zażądać, aby Accsible:

  • Zwróciło wszystkie Dane Osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego; lub
  • Usunęło wszystkie Dane Osobowe i potwierdziło usunięcie na piśmie.

Jeżeli Klient nie złoży żądania w ciągu 30 dni od rozwiązania umowy, Accsible trwale usunie wszystkie Dane Osobowe, z wyjątkiem zakresu, w jakim ich przechowywanie jest wymagane przez obowiązujące prawo (np. dokumentacja rozliczeniowa na potrzeby podatkowe). Jeżeli przechowywanie jest wymagane prawnie, Accsible odizoluje i zabezpieczy dane oraz ograniczy przetwarzanie do celu wymaganego przez prawo.

12. Przekazywanie danych do państw trzecich

Accsible ma siedzibę w Zjednoczonym Królestwie. W przypadku przekazywania Danych Osobowych do Podprzetwarzających zlokalizowanych poza UK lub EOG, Accsible zapewnia wdrożenie odpowiednich zabezpieczeń, w tym:

  • UK International Data Transfer Agreement (IDTA) lub brytyjski Aneks do SCC
  • Standardowe Klauzule Umowne UE (SCC) — Decyzja Komisji 2021/914
  • Decyzje stwierdzające odpowiedni stopień ochrony wydane przez Sekretarza Stanu Zjednoczonego Królestwa lub Komisję Europejską
  • W stosownych przypadkach dodatkowe środki uzupełniające zalecane przez ICO lub EDPB

Kopia odpowiedniego mechanizmu transferu zostanie udostępniona Klientowi na pisemne żądanie.

13. Odpowiedzialność

Odpowiedzialność każdej ze stron na podstawie niniejszej DPA podlega ograniczeniom i wyłączeniom odpowiedzialności określonym w Umowie Głównej (Regulaminie), z tym że żadna ze stron nie wyłącza ani nie ogranicza odpowiedzialności za naruszenia Przepisów o ochronie danych w zakresie, w jakim takie wyłączenie lub ograniczenie nie jest dozwolone przez obowiązujące prawo.

14. Okres obowiązywania i pierwszeństwo

14.1 Okres obowiązywania

Niniejsza DPA wchodzi w życie w dniu, w którym Klient po raz pierwszy integruje Widget Accsible, i pozostaje w mocy przez okres obowiązywania Umowy Głównej, a następnie do czasu usunięcia lub zwrotu wszystkich Danych Osobowych zgodnie z Sekcją 11.

14.2 Pierwszeństwo

W przypadku sprzeczności pomiędzy niniejszą DPA a Umową Główną, niniejsza DPA ma pierwszeństwo w zakresie przetwarzania i ochrony Danych Osobowych.

14.3 Zmiany

Accsible może zaktualizować niniejszą DPA w celu odzwierciedlenia zmian w Przepisach o ochronie danych lub w czynnościach przetwarzania. Istotne zmiany zostaną zakomunikowane Klientowi z co najmniej 30 dniowym wyprzedzeniem za pośrednictwem poczty elektronicznej. Dalsze korzystanie z Usługi po dacie wejścia w życie zmian stanowi akceptację.

15. Kontakt

W przypadku pytań lub żądań związanych z niniejszą DPA prosimy o kontakt:

  • Kontakt ds. ochrony danych: [email protected]
  • Incydenty bezpieczeństwa: [email protected]
  • Siedziba zarejestrowana: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
  • Rejestracja w ICO: ZC114350