Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa DPA” lub „DPA”) stanowi integralną część Regulaminu oraz Polityki Prywatności i jest zawierana pomiędzy:
Oskarem Przyborskim, prowadzącym działalność nierejestrową (dalej: „Procesor” lub „Usługodawca”)
a Użytkownikiem aplikacji Skarbnik (dalej: „Administrator”).
Umowa zostaje zawarta z chwilą akceptacji Regulaminu przez Użytkownika.
Dane Osobowe – dane osobowe w rozumieniu art. 4 pkt 1 RODO, wprowadzane przez Administratora do Aplikacji, w szczególności Dane Grupy.
Dane Grupy – dane wprowadzane do funkcjonalności Grup (listy członków, składki, wydatki, przychody itp.).
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.
Przetwarzanie – operacje na Danych Osobowych, o których mowa w art. 4 pkt 2 RODO.
Grupa – struktura w Aplikacji umożliwiająca wspólne zarządzanie finansami przez kilku Użytkowników (zgodnie z definicjami w Regulaminie).
Administrator powierza, a Procesor przyjmuje do przetwarzania Dane Osobowe w zakresie i na zasadach określonych w niniejszej Umowie DPA, w celu świadczenia Usług opisanych w Regulaminie.
Powierzenie obejmuje wyłącznie przetwarzanie Danych Osobowych, w stosunku do których Administrator jest Administratorem Danych (w szczególności Dane Grupy).
Powierzenie przetwarzania Danych Osobowych obowiązuje przez okres trwania Umowy o świadczenie Usług, tj. do momentu usunięcia Konta lub Grupy, a następnie przez czas niezbędny do przeprowadzenia czynności końcowych, w szczególności usunięcia Danych Osobowych oraz ich kopii zapasowych, zgodnie z obowiązującymi procedurami.
Procesor przetwarza Dane Osobowe wyłącznie w celu:
Świadczenia Usługi (tworzenie, zarządzanie Grupami, ewidencja składek, raporty itp.),
Utrzymania, rozwoju i bezpieczeństwa Aplikacji,
Realizacji udokumentowanych poleceń Administratora.
Kategorie osób, których dane dotyczą:
Użytkownicy Aplikacji,
Osoby trzecie dodawane przez Administratora (np. uczniowie, rodzice, członkowie społeczności).
Rodzaje Danych Osobowych:
Dane identyfikacyjne i kontaktowe (imię, nazwisko, ewentualnie telefon/e-mail),
Dane finansowe (kwoty składek, wpłat, wydatków),
Inne dane wprowadzane dobrowolnie do Grup.
Procesor zobowiązuje się do:
Przetwarzania Danych Osobowych wyłącznie na udokumentowane polecenie Administratora (postanowienia Regulaminu, Polityki Prywatności, konfiguracja w Aplikacji oraz indywidualne instrukcje e-mailowe).
Zapewnienia poufności osobom upoważnionym do przetwarzania danych.
Stosowania odpowiednich środków technicznych i organizacyjnych (art. 32 RODO), w szczególności:
Szyfrowanie danych w spoczynku i w transmisji (TLS),
Izolację danych między Grupami,
Regularne kopie zapasowe,
Monitorowanie bezpieczeństwa.
Niezwłocznego informowania Administratora o niemożności wykonania polecenia (jeśli naruszałoby RODO).
Pomocy Administratorowi w realizacji praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie, sprzeciw).
Administrator udziela Procesorowi ogólnej zgody na korzystanie z Subprocesorów (w tym podmiotów powiązanych) w zakresie niezbędnym do świadczenia Usługi.
Aktualny wykaz Subprocesorów jest znajduje się w Liście Subprocesorów i Usług Trzecich.
Procesor informuje Administratora o planowanym dodaniu nowego Subprocesora lub zastąpieniu istniejącego w następujący sposób:
poprzez aktualizację listy Subprocesorów na stronie,
oraz w miarę możliwości poprzez powiadomienie w Aplikacji.
Administrator ma prawo zgłosić uzasadniony sprzeciw wobec nowego Subprocesora w terminie 30 dni od publikacji informacji o zmianie.
W przypadku zgłoszenia sprzeciwu:
Procesor nie będzie zobowiązany do świadczenia Usługi w zakresie, w którym korzysta z danego Subprocesora;
Administrator uznaje, że niektóre funkcjonalności lub cała Usługa mogą stać się niedostępne lub ograniczone w przypadku braku zgody na danego Subprocesora.
Procesor pozostaje w pełni odpowiedzialny wobec Administratora za działania i zaniechania każdego Subprocesora, tak jakby sam je wykonywał.
Usunięcie konta przez Użytkownika nie powoduje automatycznego usunięcia Danych Grupy, jeżeli Grupa nadal istnieje i posiada innych aktywnych Skarbników (zgodnie z Regulaminem § 7).
W takim przypadku Dane Osobowe wprowadzone przez usuniętego Użytkownika pozostają w Grupie i są dalej przetwarzane na polecenie Twórcy Grupy (który pozostaje Administratorem).
Po usunięciu Grupy przez Twórcę Grupy lub gdy Grupa nie ma aktywnych Skarbników – Procesor usuwa Dane Osobowe z systemów.
Kopie zapasowe są usuwane zgodnie z cyklem retencji backupów (maks. 30 dni).
Na żądanie Administratora Grupy Procesor niezwłocznie usuwa lub zwraca Dane Osobowe w ustrukturyzowanym formacie.
Procesor zgłasza Administratorowi każde Naruszenie Ochrony Danych Osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od wykrycia. Zgłoszenie zawiera co najmniej informacje wymagane art. 33 ust. 3 RODO.
Procesor udostępnia Administratorowi na żądanie informacje niezbędne do wykazania zgodności z art. 28 RODO.
Administrator ma prawo przeprowadzić audyt po uprzednim powiadomieniu z co najmniej 14-dniowym wyprzedzeniem, w sposób niezakłócający działalności Procesora i z poszanowaniem tajemnicy przedsiębiorstwa oraz danych innych Użytkowników.
Odpowiedzialność Procesora jest zgodna z przepisami RODO i Regulaminem. Ograniczenia odpowiedzialności nie dotyczą naruszeń wynikających z winy umyślnej lub rażącego niedbalstwa.
Niniejsza Umowa DPA obowiązuje przez cały okres korzystania z Usługi.
W sprawach nieuregulowanych zastosowanie mają Regulamin, Polityka Prywatności oraz przepisy prawa polskiego, w szczególności RODO.
Zmiany Umowy DPA dokonywane są poprzez aktualizację dokumentu dostępnego na Stronie. Dalsze korzystanie z Aplikacji po zmianach oznacza akceptację.
Umowa może być rozwiązana wraz z rozwiązaniem umowy o świadczenie Usług.
Ostatnia aktualizacja: 16 maja 2026 r.
