Obowiązuje od: 2026-05-07
Niniejsza Umowa zawierana jest na podstawie art. 28 RODO i wchodzi w życie automatycznie w chwili rejestracji konta Tenanta-przedsiębiorcy w Platformie Loopcraft. Tenanci będący konsumentami nie zawierają DPA — w ich przypadku Loopcraft pełni rolę wyłącznie Administratora w zakresie ich własnych danych osobowych (zob. Polityka prywatności).
Procesor: HK Hubert Kowalewski, ul. Kraszewskiego 45, 15-024 Białystok, NIP 9662139144, REGON 386093086 (dalej: „Loopcraft” lub „Procesor”)
Administrator: Tenant — przedsiębiorca, który zarejestrował konto w Platformie Loopcraft (dalej: „Administrator”)
Kontakt w sprawach Umowy: hello@loopcraft.pl
Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celach określonych poniżej:
Kategorie osób: Klienci Administratora (osoby fizyczne korzystające z jego usług), pracownicy Administratora obsługujący Platformę.
Kategorie danych powierzonych:
Procesor nie przetwarza w ramach niniejszej Umowy szczególnych kategorii danych osobowych (art. 9 RODO) ani danych dotyczących wyroków skazujących (art. 10 RODO). Administrator zobowiązuje się nie wprowadzać takich danych do Platformy.
Procesor zobowiązuje się zgodnie z art. 28 ust. 3 RODO do:
Administrator wyraża niniejszym ogólną zgodę na korzystanie przez Procesora z sub-procesorów wymienionych poniżej. Procesor zobowiązuje się informować Administratora o wszelkich planowanych zmianach na liście sub-procesorów (dodanie lub zmiana) z co najmniej 14-dniowym wyprzedzeniem drogą e-mail lub poprzez komunikat w panelu. Administrator ma prawo wnieść uzasadniony sprzeciw wobec proponowanej zmiany — w takim przypadku strony podejmą rozmowy w dobrej wierze; brak porozumienia w terminie 30 dni uprawnia Administratora do rozwiązania umowy bez okresu wypowiedzenia.
| Sub-procesor | Funkcja | Lokalizacja | Mechanizm transferu |
|---|---|---|---|
| Supabase Ireland Ltd | Baza danych, autoryzacja, storage | EOG (Frankfurt) | EOG |
| Vercel Inc. | Hosting aplikacji | USA (edge) | SCC Module 2 (KE 2021/914) + DPF |
| Stripe Payments Europe Ltd | Obsługa płatności | Irlandia (sub w USA) | SCC Module 2 + DPF |
| SMSAPI (ComVision Sp. z o.o.) | Wysyłka SMS | Polska | EOG |
| Resend Inc. | Wysyłka e-mail transakcyjnych | USA | SCC Module 2 + DPF |
| Anthropic PBC | Funkcje AI | USA | SCC Module 2 (zero data retention) |
| Fakturownia Sp. z o.o. | Wystawianie faktur | Polska | EOG |
| Upstash Inc. | Rate limiting | EOG (Frankfurt) | EOG |
Procesor nakłada na każdego sub-procesora obowiązki w zakresie ochrony danych nie mniejsze niż określone w niniejszej Umowie i pozostaje w pełni odpowiedzialny przed Administratorem za wykonanie obowiązków przez sub-procesorów (art. 28 ust. 4 RODO).
Procesor udostępnia Administratorowi informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwia audyty zgodności, w tym inspekcje, prowadzone przez Administratora lub upoważnionego przez niego audytora.
Tryb realizacji audytu:
Procesor zgłasza Administratorowi każde naruszenie ochrony powierzonych danych osobowych niezwłocznie, nie później niż w ciągu 72 godzin od jego stwierdzenia. Zgłoszenie zawiera co najmniej: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób, których dotyczy, kategorie i przybliżoną liczbę rekordów, prawdopodobne konsekwencje oraz środki podjęte w celu zaradzenia naruszeniu i zminimalizowania jego skutków. Procesor dokumentuje każde naruszenie zgodnie z art. 33 ust. 5 RODO.
Procesor wdraża i utrzymuje następujące środki techniczne i organizacyjne:
Po zakończeniu świadczenia usług, na podstawie pisemnej decyzji Administratora przekazanej w terminie 30 dni od rozwiązania umowy, Procesor:
W przypadku braku decyzji Administratora w terminie 30 dni od rozwiązania umowy Procesor stosuje opcję usunięcia. Wyjątkiem są dane, których przechowywanie jest wymagane prawem Unii lub prawem krajowym (np. dane fakturowe — 5 lat). Na żądanie Administratora Procesor wystawi pisemne potwierdzenie usunięcia.
Strony odpowiadają za niewykonanie lub nienależyte wykonanie obowiązków określonych w niniejszej Umowie na zasadach ogólnych Kodeksu cywilnego oraz art. 82 RODO. Odpowiedzialność Procesora wobec Administratora-przedsiębiorcy ograniczona jest do wysokości opłat subskrypcyjnych uiszczonych w ciągu ostatnich 12 miesięcy poprzedzających zdarzenie wywołujące szkodę.
Strony zobowiązują się do zachowania poufności informacji uzyskanych w związku z realizacją Umowy zarówno w czasie jej trwania, jak i po jej rozwiązaniu.
Umowa podlega prawu polskiemu. W zakresie nieuregulowanym zastosowanie mają RODO, Kodeks cywilny oraz ustawa o ochronie danych osobowych z dnia 10 maja 2018 r.
Spory rozstrzyga sąd właściwy miejscowo dla siedziby Procesora. Umowa stanowi integralną część relacji pomiędzy Administratorem a Procesorem zawiązanej poprzez akceptację Regulaminu.