Umowa powierzenia przetwarzania danych osobowych
Ostatnia aktualizacja: 14 lutego 2026 r.
§ 1. Przedmiot i czas trwania umowy
Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: "Umowa" lub "DPA") zostaje zawarta pomiędzy Użytkownikiem korzystającym z usług serwisu foxsnest.com (dalej: "Administrator" lub "Kontroler") a CALMFOX Sp. z o.o. z siedzibą w Polsce, operatorem serwisu foxsnest.com (dalej: "Procesor"), na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: "RODO"). Umowa reguluje zasady powierzenia Procesorowi przetwarzania danych osobowych odwiedzających strony internetowe Administratora w związku ze świadczeniem usług zarządzania zgodami cookies (cookie consent) oraz audytów dostępności WCAG.
Umowa obowiązuje przez cały okres korzystania przez Administratora z usług serwisu foxsnest.com. Po zakończeniu świadczenia usług Procesor jest zobowiązany do usunięcia lub zwrotu wszystkich danych osobowych w terminie 30 dni, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych.
§ 2. Charakter i cel przetwarzania
Procesor przetwarza dane osobowe wyłącznie w celu realizacji usług świadczonych na rzecz Administratora za pośrednictwem serwisu foxsnest.com. Przetwarzanie obejmuje w szczególności następujące operacje:
- Zbieranie i rejestrowanie wyborów dotyczących zgody na pliki cookies dokonanych przez odwiedzających strony internetowe Administratora
- Przechowywanie i archiwizacja zapisów zgód jako dowodów potwierdzających uzyskanie ważnej zgody zgodnie z wymogami RODO
- Agregowanie i tworzenie zanonimizowanych statystyk dotyczących wyrażonych zgód
- Usunięcie danych na żądanie Administratora lub po zakończeniu korzystania z usługi
- dpa.s2op5
- dpa.s2op6
- dpa.s2op7
§ 3. Rodzaje przetwarzanych danych osobowych
W ramach niniejszej Umowy Procesor przetwarza następujące kategorie danych osobowych odwiedzających strony Administratora:
- Identyfikator sesji (Visitor ID) – Identyfikator pseudonimizowany, generowany po stronie klienta (przeglądarki odwiedzającego), o długości 64 znaków. Nie umożliwia bezpośredniej identyfikacji osoby fizycznej bez użycia dodatkowych informacji.
- Adres IP – Zbieranie opcjonalne, zależne od konfiguracji wybranej przez Administratora. Maksymalna długość: 45 znaków (kompatybilność z IPv6). W przypadku zbierania adres IP jest wykorzystywany wyłącznie do celów określenia lokalizacji geograficznej i wykrywania nadużyć.
- User Agent (identyfikator przeglądarki) – Ciąg znaków identyfikujący przeglądarkę i system operacyjny odwiedzającego, skracany do maksymalnie 500 znaków. Wykorzystywany do celów diagnostycznych i zapewnienia kompatybilności widżetu.
- Wybory dotyczące zgody na cookies – Zapis wyborów odwiedzającego w odniesieniu do poszczególnych kategorii plików cookies: niezbędne, analityczne, marketingowe i preferencyjne. Dane obejmują datę i godzinę wyrażenia lub odmowy zgody.
- Adres URL strony – Ścieżka strony, na której udzielono zgody, bez parametrów zapytania (query string). Maksymalna długość: 2048 znaków.
- Dane techniczne – Język przeglądarki, rozdzielczość ekranu oraz strefa czasowa odwiedzającego. Dane wykorzystywane wyłącznie do celów zapewnienia prawidłowego działania widżetu i generowania zanonimizowanych statystyk.
- dpa.s3data7Label – dpa.s3data7
- dpa.s3data8Label – dpa.s3data8
§ 4. Kategorie osób, których dane dotyczą
Dane osobowe przetwarzane na podstawie niniejszej Umowy dotyczą odwiedzających strony internetowe prowadzone przez Administratora (Użytkownika), na których zainstalowane są skrypty widżetu CookieFox. Są to osoby fizyczne odwiedzające witryny Administratora, niezależnie od tego, czy wyrażą zgodę na pliki cookies, czy też odmówią jej wyrażenia.
§ 5. Obowiązki Administratora (Użytkownika)
Administrator, jako podmiot decydujący o celach i środkach przetwarzania danych osobowych, zobowiązany jest do:
- Zapewnienia odpowiedniej podstawy prawnej przetwarzania danych osobowych odwiedzających (w szczególności zgody na podstawie art. 6 ust. 1 lit. a RODO lub uzasadnionego interesu na podstawie art. 6 ust. 1 lit. f RODO)
- Poinformowania odwiedzających swoje strony internetowe, za pośrednictwem własnej polityki prywatności, o przetwarzaniu danych osobowych oraz o powierzeniu przetwarzania spółce CALMFOX Sp. z o.o. jako Procesorowi
- Wydawania Procesorowi udokumentowanych instrukcji dotyczących przetwarzania danych osobowych, w tym w zakresie zakresu zbieranych danych (np. włączenie lub wyłączenie zbierania adresów IP)
§ 6. Obowiązki Procesora (CALMFOX Sp. z o.o.)
Procesor zobowiązuje się do:
- Przetwarzania danych osobowych wyłącznie na podstawie udokumentowanych poleceń Administratora, w tym w odniesieniu do przekazywania danych osobowych do państw trzecich, chyba że obowiązek taki wynika z prawa Unii Europejskiej lub prawa państwa członkowskiego
- Zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności
- Udzielania Administratorowi pomocy w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO (art. 15–22), w szczególności prawa dostępu, sprostowania, usunięcia i przenoszenia danych
- Udzielania Administratorowi pomocy w wywiązywaniu się z obowiązków wynikających z art. 32–36 RODO, w szczególności w zakresie oceny skutków dla ochrony danych (DPIA) oraz uprzednich konsultacji z organem nadzorczym
- Usunięcia lub zwrotu wszelkich danych osobowych po zakończeniu świadczenia usług, zgodnie z wyborem Administratora, oraz usunięcia istniejących kopii, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych
- Udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków wynikających z art. 28 RODO
- Umożliwienia Administratorowi lub upoważnionemu audytorowi przeprowadzania audytów i inspekcji oraz przyczyniania się do ich realizacji
Procesor stosuje następujące środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych osobowych (art. 32 RODO):
- Szyfrowanie danych w transmisji z wykorzystaniem protokołu TLS w wersji 1.2 lub wyższej
- Hashowanie haseł algorytmem Argon2id z odpowiednimi parametrami kosztu obliczeniowego
- Separacja danych poszczególnych klientów poprzez izolację na poziomie identyfikatora witryny (site UUID)
- Regularne automatyczne tworzenie kopii zapasowych danych
- Kontrola dostępu oparta na rolach (RBAC) z zasadą minimalnych uprawnień
- Rejestrowanie i audytowanie dostępu do danych osobowych
- Przechowywanie danych na serwerach zlokalizowanych na terytorium Unii Europejskiej
§ 7. Podprocesorzy (dalsi przetwarzający)
Administrator udziela Procesorowi ogólnej pisemnej zgody na korzystanie z usług dalszych podmiotów przetwarzających (podprocesorów). Procesor zobowiązuje się do poinformowania Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów z wyprzedzeniem co najmniej 14 dni, umożliwiając tym samym Administratorowi wniesienie sprzeciwu wobec takich zmian.
| Nazwa | Cel przetwarzania | Lokalizacja | Zabezpieczenie |
|---|---|---|---|
| Stripe Inc. | Przetwarzanie płatności | USA | SCC (Standardowe Klauzule Umowne) |
| Vercom S.A. (EmailLabs) | Email transakcyjny | Polska / UE | — |
| OpenAI Inc. | Analiza AI dostępności WCAG | USA | SCC (Standardowe Klauzule Umowne) |
| Anthropic PBC | Wizualna analiza AI WCAG | USA | SCC (Standardowe Klauzule Umowne) |
| PostHog Inc. | Analityka dashboardu | USA | SCC (Standardowe Klauzule Umowne) |
| Google LLC | dpa.s7sub6Purpose | dpa.s7sub6Location | dpa.s7sub6Safeguard |
Administrator może wnieść sprzeciw wobec zmiany podprocesora w terminie 14 dni od otrzymania powiadomienia. W przypadku uzasadnionego sprzeciwu, którego Procesor nie jest w stanie uwzględnić, Administratorowi przysługuje prawo do wypowiedzenia umowy o świadczenie usług w zakresie, którego dotyczy zmiana.
§ 8. Przekazywanie danych poza Europejski Obszar Gospodarczy
Przekazywanie danych osobowych do podprocesorów mających siedzibę w Stanach Zjednoczonych odbywa się na podstawie Standardowych Klauzul Umownych (SCC) przyjętych Decyzją Wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r. Procesor zapewnia, że każdy podprocesor spoza EOG jest związany odpowiednimi zabezpieczeniami na podstawie Rozdziału V RODO.
Zapisy zgód odwiedzających (consent records) oraz dane dotyczące odwiedzających witryny Administratora NIE są przekazywane poza terytorium Unii Europejskiej. Serwery, na których przechowywane są te dane, zlokalizowane są na terytorium UE.
§ 9. Zgłaszanie naruszeń ochrony danych osobowych
Procesor zobowiązuje się do powiadomienia Administratora o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od stwierdzenia naruszenia.
Zgłoszenie naruszenia powinno zawierać co najmniej następujące informacje:
- Charakter naruszenia ochrony danych osobowych
- Kategorie oraz przybliżoną liczbę osób, których dane dotyczą, dotkniętych naruszeniem
- Kategorie oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie
- Prawdopodobne konsekwencje naruszenia ochrony danych osobowych
- Środki zastosowane lub proponowane w celu zaradzenia naruszeniu, w tym środki mające na celu minimalizację jego negatywnych skutków
§ 10. Prawo do audytu
Administrator ma prawo przeprowadzić lub zlecić niezależnemu audytorowi przeprowadzenie audytu zgodności przetwarzania danych osobowych z niniejszą Umową, po uprzednim powiadomieniu Procesora z co najmniej 30-dniowym wyprzedzeniem. Audyt przeprowadzany jest w godzinach roboczych i w sposób niezakłócający normalnego funkcjonowania działalności Procesora.
Procesor udostępnia Administratorowi, na jego żądanie, wyniki wewnętrznych audytów bezpieczeństwa oraz certyfikaty potwierdzające zgodność z obowiązującymi normami bezpieczeństwa informacji.
§ 11. Retencja danych
Procesor stosuje następujące okresy przechowywania danych osobowych:
- Zapisy zgód (consent records) — 24 miesiące od daty wyrażenia zgody. Okres ten wynika z wymogów RODO dotyczących obowiązku wykazania uzyskania ważnej zgody (rozliczalność, art. 5 ust. 2 RODO).
- Dane dotyczące śledzenia stron (page tracking data) — 12 miesięcy od daty rejestracji
- Dane z audytów dostępności WCAG — 12 miesięcy od daty przeprowadzenia audytu
- Po usunięciu konta Administratora — automatyczne trwałe usunięcie wszystkich danych osobowych w terminie 30 dni
- dpa.s11ret5
- dpa.s11ret6
§ 12. Postanowienia końcowe
Niniejsza Umowa powierzenia przetwarzania danych osobowych stanowi integralną część Regulaminu świadczenia usług serwisu foxsnest.com (Warunków korzystania z usługi).
W przypadku rozbieżności pomiędzy postanowieniami niniejszej Umowy a Regulaminem, w zakresie dotyczącym przetwarzania danych osobowych pierwszeństwo mają postanowienia niniejszej Umowy.
Niniejsza Umowa podlega prawu polskiemu oraz Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Umowa wchodzi w życie z dniem 14 lutego 2026 r.