Umowa powierzenia przetwarzania danych osobowych (DPA)

Ostatnia aktualizacja: 1 stycznia 2026 r.

Niniejsza umowa powierzenia przetwarzania danych osobowych (DPA) stanowi integralną część Regulaminu serwisu KSeF Import i ma zastosowanie do wszystkich Użytkowników.

1. Strony umowy

  • Administrator danych (Powierzający) – Użytkownik serwisu KSeF Import, który przesyła certyfikaty i dane faktur do przetwarzania.
  • Procesor (Podmiot przetwarzający) – ANTENA Sp. z o.o. z siedzibą w Gdyni (81-208), operator serwisu KSeF Import.

2. Przedmiot umowy

  1. Powierzający powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do realizacji usługi KSeF Import.
  2. Przetwarzanie odbywa się na udokumentowane polecenie Powierzającego, wyrażone poprzez korzystanie z funkcji Serwisu.

3. Zakres i cel przetwarzania

Cel przetwarzania Pobieranie faktur z KSeF, ich przechowywanie (cache) oraz eksport do platform wskazanych przez Powierzającego.
Kategorie osób Kontrahenci Powierzającego (sprzedawcy i nabywcy wskazani na fakturach), osoby upoważnione do podpisywania certyfikatów.
Rodzaje danych Dane z faktur: nazwy firm, NIP-y, adresy, numery faktur, kwoty. Dane z certyfikatów: CN (Common Name), daty ważności.
Czas przetwarzania Przez okres obowiązywania umowy o świadczenie usług (aktywnego konta) + 30 dni na usunięcie danych po rozwiązaniu umowy.
Charakter przetwarzania Zbieranie (z KSeF), przechowywanie, przeglądanie, eksportowanie, usuwanie.

4. Obowiązki Procesora

Procesor zobowiązuje się do:

  1. Przetwarzania danych wyłącznie na udokumentowane polecenie Powierzającego (art. 28 ust. 3 lit. a RODO).
  2. Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności.
  3. Wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32 RODO) – szczegóły w sekcji 6.
  4. Przestrzegania warunków korzystania z usług podprocesorów (sekcja 5).
  5. Pomagania Powierzającemu w realizacji praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przenoszenie).
  6. Pomagania Powierzającemu w wywiązywaniu się z obowiązków dotyczących bezpieczeństwa, zgłaszania naruszeń i oceny skutków (art. 32-36 RODO).
  7. Usunięcia lub zwrotu danych po zakończeniu przetwarzania, zgodnie z decyzją Powierzającego.
  8. Udostępnienia Powierzającemu informacji niezbędnych do wykazania spełnienia obowiązków wynikających z art. 28 RODO.

5. Podpowierzenie (sub-processing)

  1. Powierzający wyraża ogólną zgodę na korzystanie przez Procesora z podprocesorów.
  2. Aktualna lista podprocesorów:
Podprocesor Cel Lokalizacja
Stripe, Inc. Obsługa płatności USA (DPF/SCC)
Hetzner Online GmbH Hosting infrastruktury UE (Niemcy/Finlandia)
Resend / Mailgun Wysyłka e-maili serwisowych USA (DPF/SCC)
  1. Procesor poinformuje Powierzającego o zamiarze dodania lub zmiany podprocesora z 14-dniowym wyprzedzeniem.
  2. Procesor zapewnia, że podprocesorzy są związani takimi samymi obowiązkami ochrony danych.

6. Zabezpieczenia techniczne i organizacyjne

Procesor stosuje następujące środki zabezpieczające (art. 32 RODO):

Szyfrowanie

  • Certyfikaty: AES-256-GCM, klucz per-tenant (HKDF z master key + tenant_id)
  • Transmisja: HTTPS (TLS 1.2+)
  • Hasła: bcrypt (cost factor 12)

Kontrola dostępu

  • Izolacja danych: Row-Level Security per tenant
  • Sesje: httponly, secure, samesite=Lax cookies
  • Ochrona CSRF: tokeny w formularzach

Monitoring

  • Audit log: logowanie, upload/usunięcie certyfikatów, zmiany konfiguracji
  • Monitoring błędów: Sentry (bez danych PII)
  • Rate limiting: ochrona przed nadużyciami

Infrastruktura

  • Serwery w UE (Hetzner, Niemcy/Finlandia)
  • Konteneryzacja: Docker z izolacją sieciową
  • Regularne aktualizacje bezpieczeństwa

7. Zgłaszanie naruszeń

  1. Procesor poinformuje Powierzającego o naruszeniu ochrony danych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od wykrycia naruszenia.
  2. Powiadomienie będzie zawierać: opis naruszenia, kategorie i liczbę osób dotkniętych, prawdopodobne konsekwencje oraz podjęte środki zaradcze.

8. Audyt

  1. Powierzający ma prawo przeprowadzić audyt zgodności Procesora z niniejszą umową, z 30-dniowym wyprzedzeniem.
  2. Audyt może być przeprowadzony przez Powierzającego lub wyznaczonego przez niego audytora, pod warunkiem zachowania poufności.
  3. Procesor udostępni wyniki audytów bezpieczeństwa oraz certyfikacje na żądanie Powierzającego.

9. Usunięcie danych

  1. Po zakończeniu umowy o świadczenie usług Procesor usunie wszystkie dane osobowe w ciągu 30 dni, chyba że prawo UE lub państwa członkowskiego wymaga ich dalszego przechowywania.
  2. Na żądanie Powierzającego, Procesor potwierdzi usunięcie danych na piśmie (e-mail).
  3. Dane rozliczeniowe mogą być przechowywane przez okres wymagany przepisami podatkowymi (5 lat).

10. Postanowienia końcowe

  1. Niniejsza umowa DPA jest regulowana prawem polskim i przepisami RODO.
  2. W przypadku sprzeczności między niniejszą umową a Regulaminem, w zakresie ochrony danych osobowych pierwszeństwo mają postanowienia niniejszej umowy.
  3. Umowa wchodzi w życie z chwilą rejestracji konta w serwisie KSeF Import.

ANTENA Sp. z o.o.
81-208 Gdynia
kontakt@ksefimport.pl