Zasady powierzenia przetwarzania danych osobowych

Data wejścia w życie: 2026-06-01. Wersja 1.2.

Wprowadzenie

Jeśli czytasz ten dokument, najprawdopodobniej łączy nas (lub niedługo będzie łączyć) Umowa, w ramach której powierzasz Flatt Prosta Spółka Akcyjna przetwarzanie danych osobowych, których jesteś administratorem. Traktujemy to powierzenie jako istotne zobowiązanie i chcemy, abyś od samego początku wiedział(a), na jakich zasadach będziemy te dane przetwarzać w Twoim imieniu.

Niniejsze Zasady stanowią załącznik do Umowy głównej (w szczególności do Regulaminu serwisu internetowego oraz programu Flatt) i wypełniają obowiązki wynikające z art. 28 RODO. Opisujemy w nich m.in. cel i zakres powierzenia, stosowane środki bezpieczeństwa, zasady korzystania z podwykonawców oraz prawo Administratora do kontroli.

1. Definicje
Użyte w Zasadach pojęcia pisane wielką literą oznaczają:

1. Administrator – kontrahent Podmiotu przetwarzającego będący stroną Umowy głównej i jednocześnie administratorem Danych osobowych w rozumieniu art. 4 pkt 7 RODO; w przypadku gdy Umową główną jest Regulamin serwisu internetowego oraz programu Flatt – Administratorem jest Zamawiający w rozumieniu tego Regulaminu;
2. Podmiot przetwarzający – Flatt Prosta Spółka Akcyjna z siedzibą w Domaszewnicy 142, woj. lubelskie (KRS 0000995189, NIP 8652581607, REGON 523390370), będący stroną Umowy głównej i przetwarzający Dane osobowe w imieniu Administratora;
3. Umowa główna – umowa łącząca Administratora z Podmiotem przetwarzającym, do której niniejsze Zasady stanowią załącznik bądź integralną część, w szczególności Regulamin serwisu internetowego oraz programu Flatt albo odrębna umowa o świadczenie usług (np. usług księgowych);
4. Usługi – usługi świadczone przez Podmiot przetwarzający na rzecz Administratora na podstawie Umowy głównej;
5. Systemy – systemy informatyczne, aplikacje oraz inne narzędzia, którymi Podmiot przetwarzający posługuje się w celu świadczenia Usług na rzecz Administratora, w szczególności Program Flatt służący do zarządzania wspólnotą mieszkaniową oraz oprogramowanie wykorzystywane do świadczenia usług księgowych;
6. Dane osobowe – dane osobowe w rozumieniu art. 4 pkt 1 RODO, powierzone Podmiotowi przetwarzającemu do przetwarzania na podstawie Umowy głównej i Zasad;
7. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
8. Strony – Administrator i Podmiot przetwarzający łącznie.

Pojęcia pisane wielką literą, a niezdefiniowane w niniejszych Zasadach, mają znaczenie nadane im w Umowie głównej. W braku definicji w Umowie głównej stosuje się znaczenie wynikające z RODO oraz z innych powszechnie obowiązujących przepisów prawa.

2. Postanowienia ogólne

1. Niniejsze Zasady powierzenia przetwarzania danych osobowych (dalej: Zasady) określają warunki, na jakich Podmiot przetwarzający przetwarza w imieniu i na zlecenie Administratora Dane osobowe, których administratorem w rozumieniu art. 4 pkt 7 RODO jest Administrator.
2. Zasady stanowią integralną część Umowy głównej i wiążą Strony z chwilą jej zawarcia. W zależności od przedmiotu Umowy głównej, Zasady mogą stanowić załącznik w szczególności do Regulaminu serwisu internetowego oraz programu Flatt albo do odrębnej umowy zawartej pomiędzy Stronami (np. umowy o świadczenie usług księgowych).
3. W razie rozbieżności pomiędzy postanowieniami Zasad a postanowieniami Umowy głównej w zakresie powierzenia przetwarzania Danych osobowych, pierwszeństwo mają postanowienia gwarantujące dalej idącą ochronę Danych osobowych.

3. Cel i zakres powierzenia

1. Administrator jest administratorem Danych osobowych, powierzonych Podmiotowi przetwarzającemu do przetwarzania w rozumieniu RODO.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu Dane osobowe zgodnie z niniejszymi Zasadami, Umową główną, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Podmiot przetwarzający jest podmiotem, któremu powierzono przetwarzanie Danych osobowych w rozumieniu art. 28 RODO i ponosi odpowiedzialność na zasadach określonych w RODO.
4. W ramach Umowy głównej Administrator powierza Podmiotowi przetwarzającemu przetwarzanie Danych osobowych wprowadzonych przez Administratora samodzielnie lub przez Podmiot przetwarzający na zlecenie Administratora do Systemów, w celu związanym ze świadczeniem Usług, zapewnieniem prawidłowego działania Systemów lub realizacji czynności serwisowych.
5. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone Dane osobowe wyłącznie w ww. celu oraz uprawniony jest udostępniać powierzone Dane osobowe jedynie podmiotom do tego legitymowanym, zgodnie z celem.
6. Dane osobowe są przetwarzane wyłącznie w zakresie niezbędnym do realizacji Umowy głównej i mogą obejmować w szczególności dane identyfikacyjne, kontaktowe i finansowe osób, których dane są przetwarzane w związku z jej realizacją (m.in. członków wspólnot mieszkaniowych, kontrahentów oraz pracowników Administratora).
7. Administrator ponosi odpowiedzialność za legalność, treść oraz prawidłowość Danych osobowych wprowadzanych do Systemów, w tym za ich zgodność z prawem oraz posiadanie odpowiedniej podstawy prawnej przetwarzania.

4. Obowiązki Podmiotu przetwarzającego

1. Podmiot przetwarzający zobowiązuje się przy przetwarzaniu powierzonych Danych osobowych do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem Danych osobowych, o których mowa w art. 32 RODO. Stosowane środki obejmują w szczególności kontrolę dostępu, zabezpieczenia systemów informatycznych oraz ochronę przed utratą danych.
2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych Danych osobowych.
3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania Danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Umowy głównej.
4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b) RODO przetwarzanych danych przez osoby, które upoważnia do przetwarzania Danych osobowych w celu realizacji Umowy głównej, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
5. Po zakończeniu świadczenia Usług związanych z przetwarzaniem Podmiot przetwarzający, według wyboru Administratora, usuwa lub zwraca Administratorowi wszelkie Dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują dalsze przechowywanie Danych osobowych.
6. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 RODO.
7. Podmiot przetwarzający zgłasza naruszenie ochrony Danych osobowych Administratorowi bez zbędnej zwłoki po jego stwierdzeniu.

5. Prawo kontroli

1. Administrator zgodnie z art. 28 ust. 3 lit. h) RODO ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych Danych osobowych spełniają postanowienia Umowy głównej oraz Zasad.
   
2. Administrator realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 7-dniowym jego uprzedzeniem. W przypadkach uzasadnionego podejrzenia naruszenia ochrony Danych osobowych kontrola może zostać przeprowadzona bez zachowania powyższego terminu uprzedzenia.
3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie uzgodnionym przez Strony, uwzględniającym charakter uchybienia, nie dłuższym niż 30 dni.
4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

6. Podwykonawcy i przekazywanie danych

1. Podmiot przetwarzający może powierzyć Dane osobowe objęte Umową główną do dalszego przetwarzania podwykonawcom jedynie jeżeli podwykonawcy spełniać będą te same kryteria co Podmiot przetwarzający, co obejmuje zawarcie umowy powierzenia przetwarzania nakładającej na podwykonawcę obowiązki co najmniej równoważne wskazanym w niniejszych Zasadach.
2. Podmiot przetwarzający informuje Administratora o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia podwykonawców przetwarzających Dane osobowe, dając tym samym Administratorowi możliwość wniesienia sprzeciwu wobec takich zmian w terminie 14 dni od otrzymania informacji. Brak odpowiedzi Administratora w tym terminie traktowany jest jako brak sprzeciwu.
3. Aktualna lista podwykonawców (subprocesorów), którym Podmiot przetwarzający powierzył dalsze przetwarzanie Danych osobowych, jest udostępniana Administratorowi na żądanie Administratora.
4. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
   

7. Odpowiedzialność i obowiązki informacyjne

1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie Danych osobowych niezgodnie z treścią Umowy głównej oraz Zasad, a w szczególności za udostępnienie powierzonych do przetwarzania Danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych powierzonych na podstawie Umowy głównej i Zasad, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych Danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie Danych osobowych powierzonych przez Administratora.

8. Okres obowiązywania

1. Niniejsze Zasady obowiązują przez okres obowiązywania Umowy głównej.

9. Poufność

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i Danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy głównej, chyba że konieczność ujawnienia lub udostępnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy głównej.

10. Zmiany Zasad

1. Podmiot przetwarzający zastrzega sobie prawo do zmian Zasad na wypadek zmian przepisów prawa, zasad świadczenia Usług, bądź innych uzasadnionych okoliczności. O zmianach Zasad Podmiot przetwarzający poinformuje Administratora poprzez udostępnienie nowej wersji Zasad do zapoznania się za pośrednictwem środków porozumiewania się wybranych przez Strony oraz publikując nową wersję pod adresem flatt.pl/zasady-powierzenia-przetwarzania.
2. Każdorazowa zmiana Zasad oznaczona zostaje nowym numerem wersji oraz nową datą wejścia w życie. Umowa główna powołuje się na Zasady w określonej wersji i z określonej daty; do stosunku prawnego pomiędzy Stronami stosuje się Zasady w wersji wskazanej w Umowie głównej, chyba że Strony postanowią inaczej.
3. Zmiana Zasad nie może prowadzić do obniżenia poziomu ochrony Danych osobowych wymaganego przez RODO.