Umowa powierzenia przetwarzania danych osobowych (DPA)

Obowiązuje od: 30 maja 2026 roku · Wersja 1.0 · zgodna z art. 28 RODO

Niniejszy dokument stanowi Umowę powierzenia przetwarzania danych osobowych (dalej: „DPA") zawieraną pomiędzy:

Administratorem danych — Klientem korzystającym z usługi ID Faktura na podstawie Regulaminu (dalej: „Klient"),
Podmiotem przetwarzającym — Silers Adrian Błaszczykowski, NIP: [do uzupełnienia], REGON: [do uzupełnienia], ul. [do uzupełnienia], biuro@silers.pl (dalej: „Silers" lub „Przetwarzający").

DPA wchodzi w życie automatycznie z chwilą rozpoczęcia korzystania z usługi ID Faktura przez Klienta i obowiązuje przez okres trwania świadczenia usługi.

§1. Definicje

Pojęcia użyte w DPA mają znaczenie nadane im przez RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.).

§2. Przedmiot powierzenia

Klient powierza Silers przetwarzanie danych osobowych, które wprowadza do systemu ID Faktura lub które generowane są w toku korzystania z systemu, w zakresie i w celu określonym w niniejszej Umowie.

§3. Cel i zakres przetwarzania

Cel: świadczenie usługi ID Faktura — fakturowanie, ewidencja kontrahentów, integracja z KSeF, raportowanie JPK, dunning, wysyłka emaili, hostowanie danych.

Kategorie osób, których dane dotyczą:

klienci i kontrahenci Klienta (osoby fizyczne, JDG, reprezentanci firm),
pracownicy / współpracownicy Klienta posiadający konta w systemie,
odbiorcy faktur (NIP, imię, nazwisko, adres, email).

Kategorie danych osobowych:

dane identyfikacyjne: imię, nazwisko, nazwa firmy, NIP, REGON, KRS, PESEL (jeśli wprowadzone),
dane adresowe: adres siedziby, adres korespondencyjny, adres dostawy,
dane kontaktowe: email, telefon,
dane finansowe: numer rachunku bankowego, kwoty faktur, historia płatności,
dane techniczne: IP, user-agent, logi dostępu, dane uwierzytelniające (hashe haseł, tokeny 2FA).

§4. Zobowiązania Przetwarzającego

Silers oświadcza, że:

przetwarza dane wyłącznie na udokumentowane polecenie Klienta (regulamin + interfejs ID Faktura);
zapewnia poufność danych — wszystkie osoby upoważnione do przetwarzania są związane zobowiązaniem do zachowania tajemnicy;
wdraża odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania (szczegóły w §5);
pomaga Klientowi w realizacji obowiązków wynikających z RODO (odpowiedzi na żądania osób, których dane dotyczą — eksport, sprostowanie, usunięcie);
zgłasza Klientowi naruszenia ochrony danych w ciągu 24 godzin od momentu wykrycia;
na żądanie Klienta usuwa lub zwraca dane po zakończeniu świadczenia usługi (z zastrzeżeniem 5-letniego okresu retencji faktur wynikającego z ustawy o VAT);
udostępnia Klientowi informacje niezbędne do wykazania spełnienia obowiązków oraz umożliwia audyty (raz w roku kalendarzowym, po wcześniejszym uzgodnieniu).

§5. Środki techniczne i organizacyjne

Silers wdrożył następujące środki bezpieczeństwa:

Szyfrowanie at-rest: AES-256-GCM dla wrażliwych danych (tokeny KSeF, hasła SMTP, certyfikaty);
Szyfrowanie in-transit: TLS 1.3 z HSTS preload, certyfikaty Let's Encrypt;
Uwierzytelnianie: bcrypt v2 z SHA-256 prehash, JWT w HttpOnly+Secure+SameSite=Strict cookies, 2FA TOTP z backup codes, weryfikacja email po rejestracji;
Backupy: codzienne pg_dump szyfrowane do S3 (RPO 24h, RTO 4h), klucze szyfrujące przechowywane w osobnym bucketcie z IAM "tylko PutObject";
Logowanie i audyt: audit log każdej operacji z correlation ID + tenant_hash (anonimizowany), redacja haseł i tokenów w logach;
Kontrola dostępu: RBAC (admin / accountant / viewer), multi-tenant separacja w bazie, rate-limit per endpoint;
Disaster recovery: udokumentowany DR runbook (RPO 24h, RTO 4h), kwartalne fire drille;
Ciągła aktualizacja: Dependabot dla zależności, łatki bezpieczeństwa w 72h od opublikowania CVE.

§6. Podpowierzenie (sub-procesors)

Silers korzysta z następujących podwykonawców przetwarzania danych:

Podmiot	Cel	Lokalizacja
Cyberfolks sp. z o.o.	Hosting VPS	Polska (EOG)
AWS (Amazon Web Services)	S3 backupy (zaszyfrowane)	eu-central-1 (Frankfurt, EOG)
Cyberfolks (poczta)	SMTP wysyłka faktur	Polska (EOG)
Sentry Inc.	Error tracking (bez PII)	USA (Standard Contractual Clauses)
PayNow (mBank)	Procesowanie płatności za subskrypcję	Polska (EOG)
Ministerstwo Finansów (KSeF)	Wysyłka faktur do KSeF (na polecenie Klienta)	Polska

Klient zgadza się na korzystanie z powyższych podwykonawców. O zamianie lub dodaniu nowego podwykonawcy Silers poinformuje Klienta z wyprzedzeniem co najmniej 30 dni — Klient ma prawo zgłosić sprzeciw, co skutkuje wypowiedzeniem usługi.

§7. Transfer danych poza EOG

Dane są przechowywane wyłącznie w EOG. Transfer do USA (Sentry) odbywa się na podstawie Standard Contractual Clauses zatwierdzonych przez Komisję Europejską (2021/914).

§8. Realizacja praw osób, których dane dotyczą

Silers zapewnia Klientowi narzędzia umożliwiające realizację praw osób, których dane dotyczą:

Eksport danych (art. 20 RODO) — endpoint /api/me/export + ręcznie przez biuro@silers.pl;
Sprostowanie (art. 16 RODO) — edycja danych w UI ID Faktura;
Usunięcie / anonimizacja (art. 17 RODO) — endpoint /api/me/anonymize, z zachowaniem 5-letniej retencji faktur wymaganej ustawą o VAT;
Ograniczenie (art. 18 RODO) — dezaktywacja konta;
Sprzeciw (art. 21 RODO) — biuro@silers.pl.

§9. Odpowiedzialność

Strony ponoszą odpowiedzialność na zasadach określonych w RODO oraz Kodeksie Cywilnym. Silers nie ponosi odpowiedzialności za szkody wynikłe z:

nieprzestrzegania przez Klienta zasad bezpieczeństwa (utrata hasła, udostępnienie konta);
niewłaściwego użycia funkcji KSeF (np. wystawienie faktury w imieniu firmy bez upoważnienia — patrz §10);
siły wyższej.

§10. Odpowiedzialność za upoważnienie

Klient oświadcza, że posiada wszelkie niezbędne pełnomocnictwa do reprezentowania firm, których dane wprowadza do systemu (w tym uprawnienia do działania w imieniu osób, dla których wgrywa certyfikaty KSeF). System ID Faktura nie weryfikuje pełnomocnictw — odpowiedzialność za zgodne z prawem korzystanie ponosi wyłącznie Klient.

§11. Czas obowiązywania i wypowiedzenie

DPA obowiązuje przez okres świadczenia usługi ID Faktura. Po wypowiedzeniu — Silers usuwa dane Klienta po 30 dniach (eksport możliwy w tym okresie), z zastrzeżeniem retencji wymaganej prawem.

§12. Kontakt

Inspektor Ochrony Danych: nie powołany (Silers nie spełnia kryteriów art. 37 RODO).

Kontakt: biuro@silers.pl

Regulamin · Polityka prywatności · Polityka cookies