Strony
- Administrator: Klient (Fotograf / studio) korzystający z Serwisu Artilio.
- Podmiot przetwarzający („Przetwarzający”): Cafe Balu Paweł Mioduszewski, Fabryczna 18, 62-300 Września, Polska, NIP PL7891687047, REGON 301958859, kontakt: privacy@artilio.com.
§1. Przedmiot i cel
1. Administrator powierza Przetwarzającemu przetwarzanie danych osobowych w zakresie i celu określonym w Umowie oraz Załączniku nr 1, wyłącznie w celu świadczenia Serwisu (hosting, porządkowanie i dostarczanie galerii, proofing, komunikacja z klientami końcowymi, powiązane płatności).
2. Umowa stanowi umowę powierzenia w rozumieniu art. 28 RODO.
§2. Czas trwania
Umowa obowiązuje przez okres korzystania z Serwisu i wygasa z chwilą zakończenia świadczenia usług, z zastrzeżeniem §9.
§3. Charakter, zakres, rodzaj danych i kategorie osób
Określone w Załączniku nr 1.
§4. Obowiązki Przetwarzającego
Przetwarzający:
- a) przetwarza dane wyłącznie na udokumentowane polecenie Administratora (w tym co do transferów poza EOG), chyba że obowiązek wynika z prawa UE/PL — wówczas informuje Administratora przed przetwarzaniem, o ile prawo nie zakazuje;
- b) zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do poufności;
- c) stosuje środki bezpieczeństwa wymagane art. 32 RODO (Załącznik nr 2);
- d) przestrzega warunków korzystania z podprzetwarzających (§5);
- e) w miarę możliwości pomaga Administratorowi w realizacji żądań osób, których dane dotyczą (art. 12–23 RODO);
- f) pomaga w wypełnieniu obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, DPIA, uprzednie konsultacje);
- g) po zakończeniu usług usuwa lub zwraca dane (§9);
- h) udostępnia informacje niezbędne do wykazania zgodności oraz umożliwia audyty (§8).
§5. Podprzetwarzający (subprocessors)
1. Administrator udziela Przetwarzającemu ogólnej zgody na korzystanie z podprzetwarzających.
2. Aktualną, imienną listę podprzetwarzających udostępniamy Administratorowi w panelu / na żądanie (Załącznik nr 3).
3. Przetwarzający informuje o zamierzonych zmianach z wyprzedzeniem 14 dni; Administrator może wnieść uzasadniony sprzeciw.
4. Przetwarzający nakłada na podprzetwarzających te same obowiązki ochrony danych w drodze umowy i odpowiada wobec Administratora za ich działania.
§6. Zgłaszanie naruszeń
Przetwarzający zgłasza Administratorowi naruszenie ochrony danych bez zbędnej zwłoki po jego stwierdzeniu, przekazując informacje umożliwiające realizację obowiązków z art. 33–34 RODO.
§7. Transfery poza EOG
Większość przetwarzania odbywa się w UE (pliki galerii, baza danych, embeddingi obrazów, e-mail). Poza EOG przekazujemy dane wyłącznie do dostawcy asystenta AI w USA (wyłącznie tekst + metadane, nigdy zdjęcia) oraz do dostawcy płatności. Zdjęcia nie opuszczają UE. Transfery na podstawie standardowych klauzul umownych (SCC) i/lub Data Privacy Framework.
§8. Audyt
Przetwarzający udostępnia informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwia audyty/inspekcje przez Administratora lub upoważnionego audytora, z rozsądnym wyprzedzeniem i bez zakłócania działania Serwisu.
§9. Zakończenie — zwrot/usunięcie
Po zakończeniu świadczenia usług Przetwarzający, według wyboru Administratora, usuwa lub zwraca dane osobowe oraz usuwa istniejące kopie, chyba że prawo UE/PL nakazuje ich przechowywanie. Terminy zgodne z Polityką Prywatności (treści galerii: 14 dni po zakończeniu subskrypcji).
§10. Odpowiedzialność i prawo właściwe
Umowa podlega prawu polskiemu. Spory — sąd właściwy dla siedziby Przetwarzającego, z zastrzeżeniem bezwzględnie obowiązujących przepisów.
§11. Postanowienia końcowe
W razie sprzeczności między Umową a Regulaminem w zakresie powierzenia — pierwszeństwo ma Umowa.
Załącznik nr 1 — Szczegóły przetwarzania
- Przedmiot: przetwarzanie danych osobowych klientów końcowych Fotografa w celu świadczenia Serwisu.
- Czas: okres korzystania z Serwisu.
- Charakter i cel: hosting, przechowywanie, porządkowanie, transkodowanie i udostępnianie galerii; proofing/selekcja; komunikacja e-mail z klientami końcowymi; obsługa zamówień/płatności (jeśli włączone).
- Rodzaj danych: dane identyfikacyjne i kontaktowe klientów końcowych (imię, adres e-mail); wizerunek utrwalony na zdjęciach przekazanych przez Fotografa; dane o aktywności w galerii (IP, urządzenie); metadane plików. Dane biometryczne — NIE są obecnie przetwarzane; w razie wdrożenia rozpoznawania twarzy Umowa zostanie zaktualizowana o art. 9 RODO + odrębne zgody.
- Kategorie osób: klienci końcowi Fotografa (np. nowożeńcy, modele, uczestnicy wydarzeń), osoby odwiedzające galerie.
Załącznik nr 2 — Środki techniczne i organizacyjne (art. 32)
Szyfrowanie transmisji (TLS); szyfrowanie danych w spoczynku; hashowanie haseł; kontrola dostępu oparta na rolach; uwierzytelnianie kodami jednorazowymi; regularne kopie zapasowe; logowanie dostępu; izolacja środowisk; minimalizacja danych; procedury reagowania na incydenty.
Załącznik nr 3 — Podprzetwarzający
Korzystamy z podprzetwarzających w następujących kategoriach: dostawca AI do analizy obrazów (UE), dostawcy hostingu, przechowywania plików i bazy danych (UE), dostawca asystenta AI (USA — wyłącznie tekst + metadane), dostawca płatności oraz dostawca poczty transakcyjnej (UE). Aktualny, imienny wykaz podprzetwarzających udostępniamy Administratorowi w panelu / na żądanie i aktualizujemy zgodnie z §5.