Umowa powierzenia przetwarzania danych osobowych (DPA) — BStone AI
Ostatnia aktualizacja: 13 lipca 2026
Serwis: https://bstoneai.com
Niniejsza Umowa powierzenia („DPA”) stanowi integralną część Regulaminu i znajduje zastosowanie, gdy Użytkownik (jako Administrator) wprowadza do BStone AI dane osobowe, których administratorem jest on sam lub jego klient.
Wersja angielska: Data Processing Agreement (EN)
§1. Strony i role
- Podmiot przetwarzający (Procesor): BearStone sp. z o.o., ul. Czarnuszki 6, 05-071 Grabina, NIP 822-241-91-52, KRS 0001196088.
- Administrator: Użytkownik korzystający z Serwisu, który wprowadza dane osobowe.
- Procesor przetwarza dane wyłącznie w imieniu i na udokumentowane polecenie Administratora; poleceniem są Regulamin, niniejsza DPA oraz czynności wykonywane przez Administratora w Serwisie.
§2. Przedmiot, czas i charakter przetwarzania
- Przedmiot, cel, charakter przetwarzania, kategorie danych i osób określa Załącznik A.
- DPA obowiązuje przez czas korzystania z Serwisu przez Administratora.
§3. Obowiązki Procesora
Procesor zobowiązuje się do:
- przetwarzania danych wyłącznie na udokumentowane polecenie Administratora, w tym w zakresie transferów poza EOG;
- zapewnienia, by osoby upoważnione do przetwarzania zachowały dane w poufności;
- wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32 RODO) — opisanych w Załączniku B;
- przestrzegania warunków korzystania z usług podprzetwarzających (§5);
- pomocy Administratorowi — w miarę możliwości — w realizacji żądań osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przeniesienie itd.);
- pomocy Administratorowi w wypełnieniu obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, oceny skutków);
- po zakończeniu świadczenia — usunięcia lub zwrotu danych zgodnie z §9;
- udostępnienia informacji niezbędnych do wykazania zgodności oraz umożliwienia audytów (§7).
§4. Obowiązki Administratora
- Administrator oświadcza, że posiada podstawę prawną do przetwarzania powierzanych danych oraz że jego polecenia są zgodne z prawem.
- Administrator odpowiada za zgodność z prawem danych wprowadzanych do Serwisu, w tym danych osób trzecich.
§5. Podprzetwarzający
- Administrator udziela Procesorowi ogólnej zgody na korzystanie z podprzetwarzających.
- Aktualna lista podprzetwarzających dostępna jest pod adresem https://bstoneai.com/podprzetwarzajacy.
- O zamiarze dodania lub zmiany podprzetwarzającego Procesor poinformuje Administratora z wyprzedzeniem co najmniej 15 dni. Administrator może w tym terminie zgłosić uzasadniony sprzeciw z przyczyn ochrony danych; w razie braku porozumienia Administrator może wypowiedzieć umowę w części dotyczącej spornej usługi.
- Procesor zawiera z każdym podprzetwarzającym umowę zapewniającą poziom ochrony nie niższy niż w niniejszej DPA i pozostaje odpowiedzialny za jego działania.
§6. Transfer poza EOG
Transfery danych poza Europejski Obszar Gospodarczy odbywają się na podstawie mechanizmów zgodnych z RODO, w szczególności Standardowych Klauzul Umownych (SCC), a tam, gdzie ma to zastosowanie — Data Privacy Framework.
§7. Audyt
- Administrator ma prawo zweryfikować zgodność Procesora z DPA, nie częściej niż raz w roku (oraz po naruszeniu), po uprzednim rozsądnym powiadomieniu.
- Procesor może spełnić ten obowiązek przez udostępnienie posiadanych certyfikatów, raportów lub dokumentacji bezpieczeństwa.
§8. Naruszenia ochrony danych
Procesor zawiadamia Administratora o naruszeniu ochrony powierzonych danych bez zbędnej zwłoki po jego stwierdzeniu, przekazując informacje niezbędne Administratorowi do realizacji jego obowiązków (m.in. zgłoszenie do organu w ciągu 72 godzin).
§9. Zakończenie i usunięcie danych
Po zakończeniu świadczenia usług Procesor — według wyboru Administratora — usuwa lub zwraca dane osobowe oraz usuwa istniejące kopie, chyba że prawo nakazuje ich dalsze przechowywanie. Szczegóły procedury usuwania konta opisuje strona Usuwanie danych.
§10. Odpowiedzialność i postanowienia końcowe
- Odpowiedzialność Stron regulują RODO oraz Regulamin.
- W sprawach nieuregulowanych stosuje się prawo polskie i RODO.
- W razie sprzeczności DPA z Regulaminem, w zakresie przetwarzania danych powierzonych pierwszeństwo ma DPA.
Załącznik A — Szczegóły przetwarzania
- Przedmiot: przetwarzanie danych wprowadzonych przez Administratora w celu świadczenia usług BStone AI (generowanie treści, analityka, integracje).
- Charakter i cel: przechowywanie, organizowanie, analiza i generowanie treści na polecenie Administratora.
- Kategorie osób: klienci, odbiorcy i kontakty Administratora, których dane Administrator wprowadza.
- Kategorie danych: dane identyfikacyjne i kontaktowe oraz inne dane zawarte w treściach wprowadzanych przez Administratora (Administrator nie powinien wprowadzać szczególnych kategorii danych bez odrębnych ustaleń).
- Czas: czas korzystania z Serwisu.
Załącznik B — Środki techniczne i organizacyjne (TOMs)
Poniższy opis odzwierciedla mechanizmy wdrożone w produkcie BStone AI (stan na datę publikacji).
| Obszar | Środki |
|---|---|
| Szyfrowanie w tranzycie | Cały ruch do Serwisu odbywa się przez HTTPS (TLS). Komunikacja z dostawcami API (baza danych, AI, płatności) również przez szyfrowane kanały. |
| Szyfrowanie w spoczynku | Baza danych hostowana w Supabase (PostgreSQL na AWS w regionie UE — Frankfurt); szyfrowanie dysków i kopii zapasowych zapewnia dostawca infrastruktury. |
| Kontrola dostępu | Uwierzytelnianie użytkowników przez Supabase Auth (hasła hashowane; sesje tokenami). Dostęp do danych w aplikacji ograniczony do zalogowanego Użytkownika. |
| Izolacja danych | Row Level Security (RLS) w PostgreSQL — użytkownik widzi wyłącznie własne marki, brandbooki, rozmowy i dane powiązane z kontem. Operacje administracyjne wymagają roli admin. |
| Sekrety i klucze | Klucze API i zmienne środowiskowe przechowywane po stronie serwera (Vercel). Tokeny OAuth połączonych usług (m.in. Meta, LinkedIn, Google, Upload-Post, Shopify, WordPress) przechowywane w bazie z izolacją RLS, a tam gdzie wdrożono — w Supabase Vault (szyfrowanie na poziomie pola). Sekrety nie są ujawniane w kodzie klienta. |
| Płatności | Stripe obsługuje płatności zgodnie ze standardem PCI DSS; Serwis nie przechowuje pełnych numerów kart. |
| Kopie zapasowe | Automatyczne kopie zapasowe bazy danych (Supabase); możliwość odtwarzania po awarii. |
| Logowanie | Logi serwera i aplikacji (Vercel, Supabase) do diagnostyki i bezpieczeństwa; minimalizacja danych osobowych w logach. |
| Dostęp personelu | Dostęp do produkcji ograniczony do osób upoważnionych, zasadą minimalnych uprawnień; obowiązek poufności. |
| Usuwanie danych | Procedura usuwania konta i powiązanych treści opisana w Usuwanie danych. |
Załącznik C — Podprzetwarzający
Aktualna lista: Podprzetwarzający
Powiązane dokumenty: Polityka prywatności · Regulamin
English version: Data Processing Agreement (EN)