Konvio
English Deutsch Polski Konvio
Produkt
Funkcje Zastosowania
Cennik Blog O nas
Zaloguj się
Zamów dostęp

Umowa powierzenia przetwarzania danych (UPPD)

Stan na: 28 maja 2026

Preambuła

Niniejsza umowa powierzenia przetwarzania danych (dalej „UPPD”) zostaje zawarta pomiędzy klientem platformy SaaS Konvio (dalej „Administrator”) a

Konvio e.U., Sackstraße 26, 8010 Graz, Austria, FN 676930k, Landesgericht Graz (dalej „Podmiot przetwarzający”).

Niniejsza UPPD uzupełnia Regulamin platformy Konvio i reguluje obowiązki stron w zakresie ochrony danych osobowych zgodnie z art. 28 rozporządzenia (UE) 2016/679 (RODO) oraz § 12 austriackiej ustawy o ochronie danych (DSG).

§ 1 Przedmiot i czas trwania przetwarzania

Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora w ramach udostępniania platformy SaaS Konvio do zarządzania wydarzeniami oraz CRM.

Czas trwania przetwarzania odpowiada okresowi obowiązywania umowy o korzystanie z usługi zawartej pomiędzy Administratorem a Podmiotem przetwarzającym zgodnie z Regulaminem.

§ 2 Charakter i cel przetwarzania

Przetwarzanie obejmuje następujące czynności wykonywane w ramach korzystania z platformy:

  • Przechowywanie i zarządzanie danymi wydarzeń
  • Przetwarzanie danych rejestracyjnych na wydarzenia
  • Zarządzanie danymi kontaktowymi i firmowymi w CRM
  • Wysyłka powiadomień e-mail i wiadomości
  • Tworzenie i zarządzanie fakturami
  • Udostępnianie formularzy do gromadzenia danych
  • Zarządzanie danymi wystawców i rezerwacjami stoisk
  • Udostępnianie katalogów wydarzeń oraz stron publicznych

Celem przetwarzania jest świadczenie usług SaaS uzgodnionych w umowie.

§ 3 Rodzaje danych osobowych i kategorie osób, których dane dotyczą

Rodzaje przetwarzanych danych osobowych:

  • Dane kontaktowe (imię i nazwisko, adres e-mail, numer telefonu, adres)
  • Dane firmowe (nazwa firmy, numer VAT/UID, adres siedziby)
  • Dane rejestracyjne (nazwa użytkownika, zahaszowane hasło)
  • Dane związane z wydarzeniami (rejestracje, rezerwacje stoisk, listy uczestników)
  • Dane komunikacyjne (wiadomości, treść wiadomości e-mail)
  • Dane rozliczeniowe (adresy do faktur, kwoty)
  • Dane o użytkowaniu (wyświetlenia stron w platformie, dziennik czynności)
  • Dane gromadzone przez klientów za pomocą formularzy (definiowane przez Administratora)

Kategorie osób, których dane dotyczą:

  • Pracownicy i przedstawiciele Administratora
  • Uczestnicy wydarzeń oraz osoby zarejestrowane
  • Wystawcy oraz ich osoby kontaktowe
  • Kontakty w CRM Administratora
  • Odbiorcy wiadomości e-mail i innych wiadomości

§ 4 Obowiązki i prawa Administratora

  • Administrator jest odpowiedzialny za zgodność z prawem przetwarzania danych i zapewnia, że istnieje ważna podstawa prawna przetwarzania.
  • Administrator wydaje Podmiotowi przetwarzającemu polecenia dotyczące przetwarzania danych osobowych. Polecenia są zazwyczaj wydawane poprzez korzystanie z funkcji platformy.
  • Administrator ma prawo do weryfikacji przestrzegania przepisów o ochronie danych oraz niniejszej UPPD (zob. § 9).
  • Administrator niezwłocznie informuje Podmiot przetwarzający, jeżeli stwierdzi błędy lub nieprawidłowości w przetwarzaniu.

§ 5 Obowiązki Podmiotu przetwarzającego

  • Podmiot przetwarzający przetwarza dane osobowe wyłącznie na podstawie udokumentowanych poleceń Administratora, chyba że przetwarzanie jest wymagane na mocy prawa Unii lub państwa członkowskiego (art. 28 ust. 3 lit. a RODO).
  • Podmiot przetwarzający zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy (art. 28 ust. 3 lit. b RODO).
  • Podmiot przetwarzający podejmuje wszelkie środki techniczne i organizacyjne wymagane zgodnie z art. 32 RODO (zob. Załącznik 1).
  • Podmiot przetwarzający wspiera Administratora w realizacji praw osób, których dane dotyczą, zgodnie z art. 15–22 RODO (art. 28 ust. 3 lit. e RODO).
  • Podmiot przetwarzający wspiera Administratora w przestrzeganiu obowiązków wynikających z art. 32–36 RODO, w szczególności w zakresie oceny skutków dla ochrony danych oraz zgłaszania naruszeń ochrony danych (art. 28 ust. 3 lit. f RODO).
  • Podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli w jego ocenie wydane polecenie narusza RODO lub inne przepisy o ochronie danych (art. 28 ust. 3 zdanie trzecie RODO).

§ 6 Podprocesorzy

Administrator udziela Podmiotowi przetwarzającemu ogólnego upoważnienia do korzystania z podprocesorów zgodnie z art. 28 ust. 2 RODO.

W chwili zawarcia niniejszej UPPD Podmiot przetwarzający korzysta z następujących podprocesorów:

  • Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Niemcy) — hosting i infrastruktura
  • Lettermint B.V. (Niderlandy) — wysyłka wiadomości e-mail (transactional email)
  • BunnyWay d.o.o. (Dunajska cesta 165, 1000 Ljubljana, Słowenia) — kopie zapasowe danych i przechowywanie plików
  • Mistral AI SAS (Paris, Francja) — funkcje wspomagane SI (wyszukiwanie poprzednich wydarzeń, analiza planu sali, generowanie tytułów PDF) — dane: nazwy organizacji, firm i wydarzeń oraz tekst przesłanych dokumentów

Wszyscy podprocesorzy mają siedzibę w Unii Europejskiej. Nie odbywa się żadne przekazywanie danych do państw trzecich.

Podmiot przetwarzający informuje Administratora z wyprzedzeniem o każdej zamierzonej zmianie w zakresie dodania lub zastąpienia podprocesorów. Administrator ma prawo wnieść sprzeciw wobec zmiany w terminie 30 dni od powiadomienia. W przypadku uzasadnionego sprzeciwu Podmiot przetwarzający albo nie dokona zmiany, albo zapewni Administratorowi możliwość rozwiązania umowy bez kary umownej.

Podmiot przetwarzający zapewnia, że podprocesorzy przestrzegają takich samych obowiązków w zakresie ochrony danych, jakie określono w niniejszej UPPD (art. 28 ust. 4 RODO).

§ 7 Zgłaszanie naruszeń ochrony danych

Podmiot przetwarzający zgłasza Administratorowi każde naruszenie ochrony danych osobowych bez zbędnej zwłoki, jednak nie później niż w ciągu 24 godzin od jego stwierdzenia (art. 33 ust. 2 RODO).

Zgłoszenie zawiera co najmniej:

  • Opis charakteru naruszenia, w tym kategorii i przybliżonej liczby osób, których dotyczy, oraz wpisów danych osobowych, których dotyczy
  • Imię i nazwisko oraz dane kontaktowe właściwej osoby do kontaktu
  • Opis prawdopodobnych skutków naruszenia
  • Opis środków podjętych lub proponowanych w celu usunięcia naruszenia

§ 8 Usuwanie i zwrot danych

Po zakończeniu umowy o korzystanie z usługi Podmiot przetwarzający usuwa wszystkie dane osobowe przetwarzane w imieniu Administratora w ciągu 30 dni, o ile nie istnieje ustawowy obowiązek przechowywania (art. 28 ust. 3 lit. g RODO).

Administrator ma możliwość wyeksportowania swoich danych za pośrednictwem platformy przed upływem 30-dniowego terminu.

Na żądanie Podmiot przetwarzający pisemnie potwierdza całkowite usunięcie danych.

§ 9 Prawa do kontroli

Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania przestrzegania obowiązków określonych w art. 28 RODO oraz umożliwia audyty, w tym inspekcje, i współpracuje przy nich (art. 28 ust. 3 lit. h RODO).

Kontrole są możliwe na następujących warunkach:

  • Powiadomienie z wyprzedzeniem co najmniej 30 dni
  • Przeprowadzenie w zwykłych godzinach pracy
  • Zachowanie poufności oraz ochrona tajemnic handlowych
  • Koszty kontroli ponosi Administrator

Załącznik 1: Środki techniczne i organizacyjne (ŚTO)

Podmiot przetwarzający stosuje następujące środki zgodnie z art. 32 RODO:

1. Szyfrowanie i pseudonimizacja

  • Szyfrowanie TLS/SSL dla wszystkich transmisji danych (HTTPS)
  • Szyfrowanie danych w spoczynku na serwerach
  • Haszowanie haseł przy użyciu algorytmów uznawanych za standard branżowy (bcrypt)

2. Poufność

  • Kontrola dostępu poprzez systemy uprawnień oparte na rolach
  • Architektura wielodostępowa (multi-tenant) ze ścisłym rozdzieleniem danych według organizacji
  • Uwierzytelnianie poprzez bezpieczne zarządzanie sesją oraz opcjonalne uwierzytelnianie dwuskładnikowe

3. Integralność

  • Zautomatyzowana walidacja danych wejściowych oraz oczyszczanie danych
  • Rejestrowanie zmian danych (audit trail)
  • Regularne przeglądy bezpieczeństwa oraz aktualizacje zależności oprogramowania

4. Dostępność i odporność

  • Codzienne zautomatyzowane kopie zapasowe z geograficznie rozdzielonym przechowywaniem
  • Hosting w centrach danych w UE o wysokiej dostępności (Hetzner, Niemcy)
  • Monitorowanie dostępności systemu oraz automatyczne powiadomienia

5. Możliwość przywrócenia

  • Udokumentowane procedury przywracania po awariach systemu
  • Regularne testowanie odtwarzania kopii zapasowych

6. Regularny przegląd

  • Regularny przegląd i dostosowywanie środków technicznych i organizacyjnych
  • Uwzględnianie stanu wiedzy technicznej przy wyborze i wdrażaniu środków bezpieczeństwa

Załącznik 2: Lista podprocesorów

Stan na: 28 maja 2026

Podprocesor Siedziba Cel przetwarzania
Hetzner Online GmbH Gunzenhausen, Niemcy Hosting, infrastruktura serwerowa, bazy danych
Lettermint B.V. Niderlandy Wysyłka wiadomości e-mail (transactional email) — dane: adresy e-mail odbiorców, treść wiadomości, metadane doręczenia
BunnyWay d.o.o. Lublana, Słowenia Kopie zapasowe danych oraz przechowywanie plików (object storage, CDN)
Mistral AI SAS Paris, Francja Funkcje wspomagane SI (wyszukiwanie poprzednich wydarzeń, analiza planu sali, generowanie tytułów PDF) — dane: nazwy organizacji, firm i wydarzeń, tekst przesłanych dokumentów