Klubownik
ZalogujZałóż klub gratis

Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

v1.0Gate 2 · pierwsza płatność
Data wejścia w życie
18 kwietnia 2026
Okres karencji re-akceptacji
30 dni
Hash SHA-256 treści
57b5e9b68e5cd5377f6dcb8eb0a6b4fa98c0b40a516715923299fb1c55d9edbb

Hash wyliczany automatycznie przy publikacji z znormalizowanej treści (strip BOM, CRLF→LF, trim trailing whitespace). Ten sam hash jest zapisywany w każdej akceptacji jako dowód integralności wersji.

Zaakceptowałeś ten dokument? Zobacz historię akceptacji w panelu konta.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa" lub „DPA") stanowi wersję 1.0 — interim, przygotowaną przez operatora platformy Klubownik w oparciu o:

  • Decyzję wykonawczą Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi (oficjalny, urzędowo zatwierdzony wzór w ramach art. 28 ust. 7 RODO)
  • Rozporządzenie (UE) 2016/679 (RODO) — w szczególności art. 28 oraz motyw 38 i 81
  • Wytyczne Europejskiej Rady Ochrony Danych (EDPB) 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego
  • Decyzję wykonawczą Komisji (UE) 2021/914 w zakresie transferów do państw trzecich (SCC transferowe)
  • Ustawę z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich (tekst jedn. Dz.U. 2026 poz. 110 — „Ustawa Kamilka")

Ograniczenia wersji 1.0: Dokument został opracowany przez zespół techniczny Klubownik — Michał Szymanowski prowadzący jednoosobową działalność gospodarczą przy wsparciu oficjalnych, darmowych źródeł urzędowych. Wersja rozszerzona (v2.0), zweryfikowana i podpisana przez kancelarię prawa IT, zostanie opublikowana do [DATA PLANOWANA — np. 31.08.2026]. Klienci zostaną powiadomieni o jej wejściu w życie z minimum 30-dniowym wyprzedzeniem, zgodnie z procedurą re-akceptacji opisaną w Regulaminie Platformy.

Wykorzystanie dokumentu: niniejsza Umowa stanowi integralną część Regulaminu Platformy Klubownik. Akceptacja odbywa się w trybie click-wrap przed pierwszą płatną subskrypcją. Akceptacja ma formę elektroniczną zgodnie z art. 60 i 61 Kodeksu cywilnego i spełnia wymóg formy pisemnej w rozumieniu art. 28 ust. 9 RODO (forma elektroniczna dopuszczona).

§1. Definicje

Ilekroć w niniejszej Umowie używa się poniższych pojęć pisanych wielką literą, nadaje się im znaczenie określone poniżej, chyba że co innego wyraźnie wynika z treści lub kontekstu:

| Pojęcie | Znaczenie | |---|---| | Administrator | Klub — podmiot prowadzący działalność sportową, rekreacyjną, edukacyjną lub zbliżoną, korzystający z Platformy na podstawie zaakceptowanego Regulaminu, ustalający cele i sposoby przetwarzania Danych Osobowych Podmiotów Danych. | | Podmiot Przetwarzający | Klubownik — Michał Szymanowski prowadzący jednoosobową działalność gospodarczą z siedzibą [ADRES], KRS [NUMER], NIP [NUMER], REGON [NUMER] — dostawca Platformy Klubownik, przetwarzający Dane Osobowe w imieniu Administratora na warunkach Umowy. | | Platforma | System teleinformatyczny Klubownik dostępny pod domeną klubownik.pl oraz subdomenami, wraz z powiązanymi aplikacjami mobilnymi i usługami. | | Regulamin | Regulamin Platformy Klubownik dostępny pod adresem klubownik.pl/regulamin. | | RODO | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. | | Dane Osobowe | Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w rozumieniu art. 4 pkt 1 RODO. | | Dane Szczególne | Dane osobowe szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO (m.in. dane dotyczące zdrowia). | | Dane Małoletniego | Dane Osobowe osoby poniżej 16. roku życia, podlegające szczególnej ochronie zgodnie z art. 8 RODO i motywem 38 RODO. | | Podmiot Danych | Osoba fizyczna, której Dane Osobowe są przetwarzane. | | Przetwarzanie | Operacje na Danych Osobowych w rozumieniu art. 4 pkt 2 RODO. | | Naruszenie Ochrony Danych | Naruszenie w rozumieniu art. 4 pkt 12 RODO — przypadkowe lub niezgodne z prawem zniszczenie, utrata, modyfikacja, nieuprawnione ujawnienie lub nieuprawniony dostęp do Danych Osobowych. | | Podmiot Podprzetwarzający (sub-procesor) | Każdy dalszy podmiot przetwarzający, któremu Podmiot Przetwarzający powierza dalsze przetwarzanie Danych Osobowych. | | Państwo Trzecie | Państwo spoza Europejskiego Obszaru Gospodarczego (EOG) niewymienione w decyzjach stwierdzających odpowiedni stopień ochrony na mocy art. 45 RODO. | | SCC Transferowe | Standardowe klauzule umowne w rozumieniu decyzji wykonawczej Komisji (UE) 2021/914. | | Udokumentowane Polecenie | Instrukcja Administratora dotycząca przetwarzania Danych Osobowych, wyrażona w Regulaminie, niniejszej Umowie, konfiguracji konta Administratora w Platformie lub odrębnej korespondencji elektronicznej. | | Organ Nadzorczy | Prezes Urzędu Ochrony Danych Osobowych (PUODO) lub właściwy organ nadzorczy innego państwa członkowskiego UE. | | Ustawa Kamilka | Ustawa z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich (tekst jedn. Dz.U. 2026 poz. 110) wraz z aktami wykonawczymi. |

§2. Zasady Ogólne

  1. Niniejsza Umowa zostaje zawarta w wykonaniu obowiązku wynikającego z art. 28 ust. 3 RODO i stanowi integralną część Regulaminu.

  2. Przedmiotem Umowy jest uregulowanie zasad powierzenia przez Administratora Podmiotowi Przetwarzającemu Danych Osobowych w celu świadczenia usług w ramach Platformy.

  3. Strony oświadczają, że pozostają w następujących rolach:

    a) Administrator — w odniesieniu do Danych Osobowych Podmiotów Danych gromadzonych i wykorzystywanych w związku z działalnością Klubu; samodzielnie określa cele i sposoby ich przetwarzania;

    b) Podmiot Przetwarzający — w odniesieniu do tych samych Danych Osobowych; przetwarza je wyłącznie w imieniu i na Udokumentowane Polecenie Administratora, w zakresie niezbędnym do świadczenia usług Platformy.

  4. Podmiot Przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie spełniało wymogi RODO i chroniło prawa Podmiotów Danych.

  5. Administrator oświadcza, że posiada prawną podstawę do przetwarzania powierzanych Danych Osobowych i zgromadził je zgodnie z RODO oraz właściwymi przepisami prawa krajowego.

  6. Umowa wiąże Strony od dnia jej elektronicznej akceptacji przez osobę uprawnioną do reprezentacji Administratora, przez cały okres obowiązywania Regulaminu, oraz po jego zakończeniu — w zakresie obowiązków wynikających z §17.

§3. Przedmiot, Charakter i Cel Przetwarzania

  1. Przedmiot przetwarzania: Dane Osobowe Podmiotów Danych przekazywane przez Administratora do Platformy oraz generowane w ramach korzystania z Platformy.

  2. Charakter przetwarzania: zautomatyzowane oraz ręczne przetwarzanie Danych Osobowych w systemie informatycznym Podmiotu Przetwarzającego w ramach świadczenia usług SaaS.

  3. Cel przetwarzania: wyłącznie realizacja funkcjonalności Platformy opisanych w Regulaminie, w szczególności:

    a) zarządzanie członkostwem i uczestnictwem w zajęciach Klubu;

    b) obsługa płatności i fakturowania (w tym integracja z KSeF);

    c) komunikacja Klubu z Podmiotami Danych;

    d) prowadzenie ewidencji obecności, postępów i osiągnięć;

    e) obsługa procesów wynikających z Ustawy Kamilka;

    f) dostarczanie funkcji analitycznych, raportowych i administracyjnych.

  4. Czas przetwarzania: okres obowiązywania Regulaminu oraz okresy retencji opisane w §17 ust. 4.

  5. Kategorie Podmiotów Danych oraz rodzaje Danych Osobowych zostały wyszczególnione w Załączniku nr 1 do Umowy.

§4. Szczególne Kategorie Podmiotów Danych — Małoletni i Dane Zdrowotne

  1. Strony uznają, że Platforma jest wykorzystywana do przetwarzania znacznych ilości Danych Małoletnich. Dane Małoletnich podlegają szczególnej ochronie zgodnie z art. 8 RODO oraz motywem 38 RODO.

  2. Odpowiedzialność za zgodę opiekuna: uzyskanie zgody rodzica lub opiekuna prawnego na przetwarzanie Danych Małoletniego poniżej 16. roku życia, w zakresach gdzie zgoda stanowi podstawę przetwarzania, spoczywa wyłącznie na Administratorze. Podmiot Przetwarzający udostępnia narzędzia techniczne wspierające dokumentację zgód, jednak nie ponosi odpowiedzialności za brak, wadliwość lub nieaktualność uzyskanej zgody.

  3. Dane dotyczące zdrowia: Platforma umożliwia Administratorowi przetwarzanie Danych Szczególnych w rozumieniu art. 9 ust. 1 RODO — w szczególności orzeczeń lekarskich, zaświadczeń o zdolności do uprawiania sportu, ubezpieczeń NNW, licencji zawodniczych. Administrator oświadcza, że przetwarza te dane wyłącznie na właściwej podstawie wynikającej z art. 9 ust. 2 RODO (typowo: wyraźna zgoda — art. 9 ust. 2 lit. a, lub wykonywanie obowiązków w dziedzinie zabezpieczenia społecznego — art. 9 ust. 2 lit. b, lub ochrony żywotnych interesów — art. 9 ust. 2 lit. c).

  4. Obowiązki dodatkowe Podmiotu Przetwarzającego w odniesieniu do Danych Małoletnich:

    a) stosowanie wzmocnionych środków technicznych zgodnie z Załącznikiem nr 3 (Kontrola dostępu — sekcja II);

    b) zapewnienie mechanizmu pseudonimizacji tożsamości Małoletnich w kontekstach publicznych (np. leaderboardy, tablice ogłoszeń);

    c) zapewnienie osobnego, ograniczonego trybu dostępu dla kont dzieci („Asystent Młodzieżowy" i „konto dziecka") z redukowanymi uprawnieniami;

    d) zakaz wykorzystywania Danych Małoletnich do jakichkolwiek celów innych niż realizacja usług dla danego Administratora (zakaz cross-tenant zgodnie z §15).

  5. Klauzula informacyjna wobec Małoletnich i ich opiekunów (Załącznik nr 2) sporządzona jest w języku prostym i zrozumiałym, zgodnie z motywem 58 RODO.

§5. Obowiązki Podmiotu Przetwarzającego

Podmiot Przetwarzający zobowiązuje się do:

  1. Przetwarzania wyłącznie na Udokumentowane Polecenie Administratora — w tym w zakresie transferu do Państwa Trzeciego. Jeżeli prawo Unii lub państwa członkowskiego nakłada na Podmiot Przetwarzający obowiązek przetwarzania wykraczający poza polecenie Administratora, Podmiot Przetwarzający informuje o tym Administratora przed rozpoczęciem takiego przetwarzania, chyba że właściwe prawo zabrania udzielenia takiej informacji z ważnych względów interesu publicznego.

  2. Niezwłocznego poinformowania Administratora, jeżeli w ocenie Podmiotu Przetwarzającego polecenie Administratora narusza RODO lub inne przepisy o ochronie Danych Osobowych.

  3. Zapewnienia poufności — osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

  4. Nadawania upoważnień do przetwarzania Danych Osobowych wyłącznie osobom, których jest to niezbędne do wykonywania zadań w ramach Platformy.

  5. Wdrożenia środków technicznych i organizacyjnych zgodnych z art. 32 RODO — opisanych w Załączniku nr 3 do Umowy (TOM).

  6. Wspierania Administratora — poprzez odpowiednie środki techniczne i organizacyjne — w:

    a) wywiązywaniu się z obowiązku odpowiadania na żądania Podmiotów Danych w zakresie wykonywania ich praw określonych w art. 15–22 RODO;

    b) wypełnianiu obowiązków wynikających z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, DPIA, uprzednie konsultacje).

  7. Udostępniania Administratorowi informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO.

  8. Niezwłocznego zgłaszania Naruszeń Ochrony Danych zgodnie z procedurą opisaną w §11.

  9. Zwrotu lub usunięcia Danych Osobowych po zakończeniu świadczenia usług zgodnie z §17.

  10. Prowadzenia rejestru kategorii przetwarzania zgodnie z art. 30 ust. 2 RODO.

  11. Wyznaczenia Inspektora Ochrony Danych (IOD), jeżeli jest do tego zobowiązany na mocy art. 37 RODO, oraz informowania Administratora o danych kontaktowych IOD. Dane kontaktowe aktualnego IOD Podmiotu Przetwarzającego: iod@klubownik.pl.

  12. Dokonywania regularnych przeglądów wdrożonych środków technicznych i organizacyjnych, z częstotliwością nie mniejszą niż raz w roku, oraz ich aktualizacji odpowiednio do zmieniającego się ryzyka.

§6. Wsparcie Realizacji Obowiązków Wynikających z Ustawy Kamilka

  1. Podmiot Przetwarzający dostarcza Administratorowi narzędzia techniczne wspierające realizację jego obowiązków wynikających z Ustawy Kamilka, w szczególności:

    a) ewidencję wstępnej i okresowej weryfikacji niekaralności osób dopuszczanych do działalności z małoletnimi (Rejestr Sprawców Przestępstw na Tle Seksualnym, Krajowy Rejestr Karny);

    b) szablony dokumentów Standardów Ochrony Małoletnich (SOM);

    c) rejestrację incydentów;

    d) audit trail dostępu do dokumentów dotyczących weryfikacji;

    e) role dostępu dopasowane do specyfiki pracy z małoletnimi (w tym rola „Asystent Młodzieżowy" o ograniczonych uprawnieniach).

  2. Rozdział odpowiedzialności: Strony wyraźnie potwierdzają, że:

    a) obowiązek przeprowadzenia faktycznej weryfikacji oraz uzyskania zaświadczeń o niekaralności, wpisie do rejestrów RSPTS, a także wdrożenia i egzekwowania SOM spoczywa wyłącznie na Administratorze jako pracodawcy lub organizatorze działalności z udziałem małoletnich (art. 23 Ustawy Kamilka);

    b) Podmiot Przetwarzający jest dostawcą narzędzi — nie weryfikuje samodzielnie osób, nie prowadzi konsultacji z rejestrami państwowymi, nie potwierdza zgodności z ustawą;

    c) fakt używania Platformy nie zwalnia Administratora z żadnych obowiązków wynikających z Ustawy Kamilka.

  3. SLA modułu weryfikacji: Podmiot Przetwarzający zapewnia dostępność modułu weryfikacji na poziomie 99,5% w godzinach 07:00–22:00 czasu środkowoeuropejskiego, z wyłączeniem zaplanowanych przerw serwisowych zapowiedzianych z minimum 48-godzinnym wyprzedzeniem.

  4. Procedura reklamacyjna wad modułu: w razie stwierdzenia błędu w działaniu modułu, który mógłby wprowadzić Administratora w błąd co do statusu weryfikacji osoby, Podmiot Przetwarzający:

    a) rozpatruje zgłoszenie w terminie 3 dni roboczych;

    b) przywraca poprawne działanie modułu bez zbędnej zwłoki, nie później niż w terminie 14 dni;

    c) informuje wszystkich Administratorów mogących być dotkniętych błędem.

  5. Wyłączenie odpowiedzialności: Podmiot Przetwarzający nie ponosi odpowiedzialności za skutki niewykonania lub nienależytego wykonania przez Administratora obowiązków z Ustawy Kamilka, niezależnie od faktu korzystania z Platformy.

§7. Obowiązki Administratora

Administrator zobowiązuje się do:

  1. Przetwarzania Danych Osobowych zgodnie z RODO i pozostałymi przepisami prawa oraz uzyskania wszelkich wymaganych zgód, oświadczeń i klauzul informacyjnych wobec Podmiotów Danych.

  2. Posiadania i utrzymywania aktualnej podstawy prawnej przetwarzania w odniesieniu do wszystkich Danych Osobowych wprowadzanych do Platformy.

  3. Wydawania Udokumentowanych Poleceń wyłącznie w granicach prawa oraz w zakresie zgodnym z celem przetwarzania określonym w §3.

  4. Poinformowania Podmiotu Przetwarzającego bez zbędnej zwłoki o zmianach w podstawach prawnych przetwarzania, żądaniach Podmiotów Danych, naruszeniach stwierdzonych po stronie Administratora oraz wszelkich okolicznościach mających wpływ na przetwarzanie powierzonych Danych Osobowych.

  5. Udostępniania Podmiotowi Przetwarzającemu informacji niezbędnych do rzetelnego świadczenia usług Platformy i wypełniania obowiązków z niniejszej Umowy.

  6. Realizacji własnych obowiązków informacyjnych wobec Podmiotów Danych zgodnie z art. 13 i 14 RODO. Podmiot Przetwarzający udostępnia klauzule informacyjne wspierające Administratora (Załącznik nr 2), jednak wdrożenie ich i skuteczne przekazanie Podmiotom Danych pozostaje obowiązkiem Administratora.

  7. Zapewnienia bezpieczeństwa haseł i danych uwierzytelniających kont dostępowych do Platformy oraz niezwłocznego informowania Podmiotu Przetwarzającego o podejrzeniu ich utraty lub ujawnienia.

  8. Konfiguracji Platformy (w szczególności ról, uprawnień, polityk retencji) w sposób odpowiedni do skali i charakteru własnej działalności.

§8. Miejsce Przetwarzania i Transfer do Państw Trzecich

  1. Podstawowe miejsce przetwarzania: Podmiot Przetwarzający przetwarza Dane Osobowe na terytorium Europejskiego Obszaru Gospodarczego, w szczególności w regionach obsługiwanych przez głównego dostawcę infrastruktury (Supabase — region Frankfurt eu-central-1; Vercel — regiony UE).

  2. Transfer do Państw Trzecich: Podmiot Przetwarzający informuje Administratora, że w celu świadczenia niektórych funkcji Platformy Dane Osobowe mogą być przekazywane do Państw Trzecich — wyłącznie do Podmiotów Podprzetwarzających wymienionych w Załączniku nr 4 do Umowy, przy zastosowaniu mechanizmów transferu wymaganych rozdziałem V RODO.

  3. Zastosowane mechanizmy transferu:

    a) Standardowe Klauzule Umowne (SCC Transferowe) — decyzja wykonawcza Komisji (UE) 2021/914 — zawarte w umowach Podmiotu Przetwarzającego z każdym Podmiotem Podprzetwarzającym znajdującym się poza EOG;

    b) Środki uzupełniające — w szczególności szyfrowanie w transporcie (TLS 1.3+) i w spoczynku (AES-256), pseudonimizacja, minimalizacja danych;

    c) Ocena skutków transferu (Transfer Impact Assessment) — zwięzła ocena dostępna w Załączniku nr 4.

  4. Podmiot Przetwarzający nie dokonuje transferu Danych Osobowych do Państw Trzecich innych niż wymienione w Załączniku nr 4 bez uprzedniego poinformowania Administratora.

  5. Administrator przyjmuje do wiadomości ryzyko szczątkowe związane z transferem do Państw Trzecich i udziela ogólnego zezwolenia na transfer do podmiotów i państw wymienionych w Załączniku nr 4, na warunkach opisanych w §9 (ogólne zezwolenie na dalsze powierzenia).

§9. Dalsze Powierzenie Przetwarzania (Sub-Processors)

  1. Administrator udziela Podmiotowi Przetwarzającemu ogólnego pisemnego zezwolenia w rozumieniu art. 28 ust. 2 RODO na powierzanie przetwarzania Danych Osobowych Podmiotom Podprzetwarzającym, pod warunkiem przestrzegania niniejszego paragrafu.

  2. Aktualna lista Podmiotów Podprzetwarzających publikowana jest pod adresem:

    klubownik.pl/sub-processors

    i stanowi Załącznik nr 4 do Umowy według stanu na dzień zawarcia Umowy.

  3. Wymogi wobec Podmiotów Podprzetwarzających: Podmiot Przetwarzający:

    a) zawiera z każdym Podmiotem Podprzetwarzającym umowę nakładającą na niego obowiązki nie mniej rygorystyczne niż obowiązki Podmiotu Przetwarzającego wynikające z niniejszej Umowy;

    b) zapewnia, że Podmiot Podprzetwarzający udziela wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych;

    c) ponosi pełną odpowiedzialność wobec Administratora za działania i zaniechania Podmiotów Podprzetwarzających.

  4. Procedura zmiany listy: w przypadku zamiaru dodania nowego Podmiotu Podprzetwarzającego lub zastąpienia dotychczasowego:

    a) Podmiot Przetwarzający informuje Administratora z minimum 30-dniowym wyprzedzeniem drogą elektroniczną (email powiadomienia + banner w panelu administracyjnym Platformy);

    b) Administrator ma prawo zgłoszenia sprzeciwu z uzasadnionych przyczyn przed końcem okresu wyprzedzenia;

    c) w razie uzasadnionego sprzeciwu, Strony podejmują dobrej wiary negocjacje w celu znalezienia rozwiązania. Jeśli w terminie 30 dni od sprzeciwu Strony nie osiągną porozumienia, Administrator ma prawo wypowiedzieć Regulamin ze skutkiem natychmiastowym, bez konsekwencji finansowych, z prawem do eksportu Danych Osobowych zgodnie z §17;

    d) brak sprzeciwu w wymaganym terminie uważa się za akceptację zmiany.

  5. Awaryjna zmiana: w wyjątkowych sytuacjach uzasadnionych bezpieczeństwem Danych Osobowych, Podmiot Przetwarzający może zastąpić Podmiot Podprzetwarzający bez zachowania okresu wyprzedzenia, z obowiązkiem niezwłocznej notyfikacji Administratora i uzasadnienia.

§10. Środki Techniczne i Organizacyjne

  1. Podmiot Przetwarzający wdrożył i stosuje środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiedni do ryzyka naruszenia praw lub wolności osób fizycznych, z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.

  2. Szczegółowy opis środków zawiera Załącznik nr 3 do Umowy („TOM").

  3. Środki podlegają cyklicznemu przeglądowi nie rzadziej niż raz na 12 miesięcy oraz niezwłocznie po każdym Naruszeniu Ochrony Danych, które ujawniło potrzebę ich aktualizacji.

  4. Administrator ma prawo zażądać dokumentacji aktualnych środków (Załącznik nr 3 w wersji aktualnej), a Podmiot Przetwarzający dostarcza ją w terminie 14 dni.

§11. Naruszenia Ochrony Danych

  1. Obowiązek zgłoszenia: Podmiot Przetwarzający niezwłocznie, nie później niż w ciągu 48 godzin od stwierdzenia Naruszenia Ochrony Danych, zawiadamia Administratora drogą elektroniczną.

  2. Zakres zgłoszenia: zgłoszenie zawiera — w zakresie, w jakim informacje są dostępne:

    a) opis charakteru Naruszenia, w tym, w miarę możliwości, kategorie i przybliżoną liczbę Podmiotów Danych, oraz kategorie i przybliżoną liczbę wpisów Danych Osobowych;

    b) opis prawdopodobnych konsekwencji Naruszenia;

    c) opis środków zastosowanych lub proponowanych w celu zminimalizowania skutków Naruszenia;

    d) imię i nazwisko oraz dane kontaktowe IOD lub innego punktu kontaktowego.

  3. Uzupełnianie informacji: jeżeli przekazanie wszystkich informacji jednocześnie nie jest możliwe, pierwotne zgłoszenie zawiera dostępne informacje, a pozostałe są przekazywane bez zbędnej zwłoki w miarę ich uzyskiwania.

  4. Wsparcie Administratora: Podmiot Przetwarzający wspiera Administratora w zakresie wymaganym do:

    a) zgłoszenia Naruszenia Organowi Nadzorczemu zgodnie z art. 33 RODO (72 godziny);

    b) zawiadomienia Podmiotów Danych zgodnie z art. 34 RODO, jeśli Naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności.

  5. Dokumentacja: Podmiot Przetwarzający prowadzi wewnętrzną dokumentację wszystkich Naruszeń Ochrony Danych zgodnie z art. 33 ust. 5 RODO i udostępnia ją Administratorowi na żądanie.

  6. Kanał zgłoszeń: wszelkie zawiadomienia o Naruszeniach i zapytania w tym zakresie należy kierować na adres: iod@klubownik.pl.

§12. Audyt i Kontrola

  1. Administrator ma prawo do audytu zgodności przetwarzania Danych Osobowych z Umową i przepisami prawa, w tym w szczególności ma prawo do:

    a) żądania od Podmiotu Przetwarzającego wszelkich informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO;

    b) przeprowadzenia audytu zdalnego lub inspekcji na miejscu.

  2. Tryb audytu:

    a) Administrator zgłasza zamiar audytu z wyprzedzeniem minimum 30 dni, z wyjątkiem sytuacji pilnych wynikających z udokumentowanego podejrzenia poważnego naruszenia bądź z żądania Organu Nadzorczego — w takim przypadku wyprzedzenie może być skrócone do 7 dni;

    b) audyt prowadzony jest w dni robocze, w godzinach 9:00–17:00, w sposób nieutrudniający normalnej działalności operacyjnej Podmiotu Przetwarzającego;

    c) Administrator może skorzystać z niezależnego audytora — w takim wypadku audytor jest zobowiązany do zachowania poufności na mocy osobnej NDA, a jego kwalifikacje powinny być odpowiednie do charakteru audytu;

    d) koszty audytu ponosi Administrator, chyba że audyt wykaże istotne uchybienia po stronie Podmiotu Przetwarzającego — wówczas koszty ponosi Podmiot Przetwarzający;

    e) częstotliwość audytów nie powinna przekraczać jednego w roku kalendarzowym, chyba że audyt wynika z Naruszenia Ochrony Danych, żądania Organu Nadzorczego lub innej udokumentowanej uzasadnionej przyczyny.

  3. Alternatywa — raport audytu niezależnego: w celu ograniczenia obciążeń operacyjnych, na żądanie Administratora Podmiot Przetwarzający udostępnia:

    a) aktualny raport z niezależnego audytu (np. ISO/IEC 27001, SOC 2 typ II), o ile taki audyt został przeprowadzony;

    b) odpowiedzi na standardowe kwestionariusze bezpieczeństwa (np. CAIQ, SIG);

    c) dokumentację środków technicznych i organizacyjnych (Załącznik nr 3).

    Akceptacja tej formy zastępczej pozostaje w gestii Administratora.

  4. Obowiązek współpracy: Podmiot Przetwarzający współpracuje w dobrej wierze przy realizacji uprawnień kontrolnych Administratora i udziela wszelkich informacji niezbędnych do wykazania spełnienia obowiązków z niniejszej Umowy.

  5. Usuwanie uchybień: Podmiot Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych w trakcie audytu w terminie uzgodnionym ze względu na charakter uchybienia, nie dłuższym jednak niż 90 dni, z wyjątkiem uchybień wymagających pilnej reakcji — wówczas w terminie odpowiednim do ryzyka.

§13. Odpowiedzialność

  1. Każda ze Stron ponosi odpowiedzialność za naruszenie obowiązków wynikających z Umowy zgodnie z zasadami ogólnymi wynikającymi z RODO, w szczególności z art. 82 RODO, oraz z Kodeksu cywilnego.

  2. Rozgraniczenie odpowiedzialności:

    a) Podmiot Przetwarzający odpowiada za szkody wyrządzone przetwarzaniem, o ile nie dopełnił obowiązków nałożonych bezpośrednio na podmioty przetwarzające albo działał poza zgodnymi z prawem Udokumentowanymi Poleceniami Administratora lub wbrew nim (art. 82 ust. 2 zd. 2 RODO);

    b) Administrator odpowiada za szkody wyrządzone przetwarzaniem naruszającym RODO, w tym w zakresie legalności zgromadzenia Danych Osobowych, prawidłowości klauzul informacyjnych oraz wydawanych poleceń.

  3. Ograniczenie odpowiedzialności: odpowiedzialność Podmiotu Przetwarzającego wobec Administratora z tytułu szkód wynikłych z Umowy lub w związku z Umową ogranicza się łącznie w roku kalendarzowym do kwoty stanowiącej równowartość 12-krotności miesięcznej opłaty abonamentowej uiszczanej przez Administratora w ramach Regulaminu, z zastrzeżeniem ust. 4.

  4. Wyłączenie ograniczenia: ograniczenie odpowiedzialności z ust. 3 nie obowiązuje w przypadku:

    a) szkód wyrządzonych umyślnie lub wskutek rażącego niedbalstwa;

    b) odpowiedzialności, której nie można skutecznie wyłączyć ani ograniczyć na mocy bezwzględnie obowiązujących przepisów prawa (w tym przepisów konsumenckich, jeżeli mają zastosowanie);

    c) kar nakładanych przez Organ Nadzorczy, w zakresie w jakim są następstwem udowodnionego rażącego zaniechania po stronie odpowiedzialnej za naruszenie.

  5. Regres: w razie wypłaty odszkodowania Podmiotowi Danych lub kary nałożonej przez Organ Nadzorczy, Strona, która dokonała zapłaty, ma prawo regresu wobec drugiej Strony w zakresie, w jakim druga Strona była współodpowiedzialna za naruszenie, zgodnie z art. 82 ust. 5 RODO.

  6. Ubezpieczenie: Podmiot Przetwarzający oświadcza, że utrzymuje polisę odpowiedzialności cywilnej zawodowej z zakresu IT oraz cyber-liability w wysokości adekwatnej do skali działalności. Kopia polisy dostępna jest na żądanie Administratora.

§14. Rozdział Ról w Płatnościach (Stripe Connect)

  1. Platforma oferuje Administratorowi możliwość obsługi płatności od Podmiotów Danych (w szczególności od rodziców/opiekunów uczestników oraz od uczestników dorosłych) za pośrednictwem zewnętrznego dostawcy usług płatniczych — w modelu Stripe Connect lub równoważnym.

  2. Rozdzielenie ról:

    a) Administrator pełni rolę merchant (sprzedawcy) w rozumieniu dokumentacji Stripe — to on jest stroną transakcji z Podmiotem Danych (płatnikiem);

    b) Podmiot Przetwarzający (Klubownik — Michał Szymanowski prowadzący jednoosobową działalność gospodarczą) pełni rolę platformy technicznej — nie jest stroną żadnej transakcji płatniczej między Administratorem a Podmiotem Danych;

    c) Stripe pełni rolę dostawcy usługi płatniczej i jest administratorem danych płatniczych w rozumieniu własnych regulaminów — posiadacz licencji zgodnie z PSD2.

  3. Konsekwencje rozdziału:

    a) odpowiedzialność za rozliczenie podatkowe i księgowe transakcji spoczywa wyłącznie na Administratorze;

    b) reklamacje płatności, w tym chargebacks, obsługuje Administrator — Podmiot Przetwarzający udostępnia narzędzia dokumentacyjne (potwierdzenia obecności, faktury), ale nie pokrywa strat finansowych;

    c) środki znajdujące się na rachunku Administratora u dostawcy płatności należą do Administratora i nie stanowią aktywów Podmiotu Przetwarzającego.

  4. Application fee: opłata platformowa („application_fee") pobierana przez Podmiot Przetwarzający stanowi wynagrodzenie za usługi SaaS świadczone na rzecz Administratora w ramach Regulaminu. Nie jest ona prowizją od transakcji ani żadnym rodzajem wynagrodzenia za pośrednictwo finansowe.

  5. Brak statusu instytucji płatniczej: Podmiot Przetwarzający oświadcza, że nie jest instytucją płatniczą, małą instytucją płatniczą ani biurem usług płatniczych w rozumieniu ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych i nie wykonuje czynności wymagających zezwolenia Komisji Nadzoru Finansowego.

  6. Dane płatnicze: w zakresie, w jakim Platforma otrzymuje metadane płatnicze od Stripe (np. status transakcji, ostatnie 4 cyfry karty, kraj wydania), Dane Osobowe te przetwarzane są na zasadach niniejszej Umowy. Pełne dane kart płatniczych (PAN, CVV) nigdy nie są przechowywane ani przetwarzane przez Podmiot Przetwarzający — zgodnie z wymogami PCI-DSS obsługiwane są wyłącznie w infrastrukturze Stripe.

§15. Brak Cross-Tenant Analytics — Wykluczenie Wtórnego Wykorzystania Danych

  1. Podmiot Przetwarzający zobowiązuje się nie wykorzystywać Danych Osobowych Administratora do żadnych celów innych niż świadczenie usług dla tego Administratora w ramach Regulaminu i niniejszej Umowy.

  2. W szczególności, w zakresie objętym niniejszą Umową (v1.0), Podmiot Przetwarzający nie wykorzystuje Danych Osobowych — nawet zanonimizowanych lub zagregowanych — do:

    a) analityki porównawczej (benchmarki) obejmującej Dane Osobowe od innych Administratorów;

    b) trenowania modeli uczenia maszynowego na danych pochodzących od wielu Administratorów;

    c) badań statystycznych lub rynkowych;

    d) tworzenia profili predykcyjnych wykorzystujących dane z wielu źródeł.

  3. Wyjątek — dane telemetrii operacyjnej: powyższe ograniczenia nie dotyczą danych telemetrii operacyjnej i systemowej, które nie zawierają Danych Osobowych Podmiotów Danych (np. liczba zapytań do API, czasy odpowiedzi, błędy systemu, wykorzystanie zasobów).

  4. Przyszłe wykorzystanie — opt-in: rozszerzenie zakresu dopuszczalnego wykorzystania danych (np. anonimowe benchmarki, cross-tenant analytics) może nastąpić wyłącznie na podstawie odrębnej, jednoznacznej zgody Administratora udzielonej w przyszłej wersji Umowy (v2.0 lub późniejszej), na zasadach opt-in.

  5. Zobowiązania niniejszego paragrafu są bezterminowe i pozostają w mocy po zakończeniu obowiązywania Regulaminu.

§16. Wypowiedzenie Umowy

  1. Umowa obowiązuje przez okres obowiązywania Regulaminu. Wypowiedzenie, rozwiązanie lub wygaśnięcie Regulaminu skutkuje rozwiązaniem niniejszej Umowy — z zachowaniem obowiązków określonych w §17.

  2. Wcześniejsze wypowiedzenie Umowy przez Administratora jest dopuszczalne w przypadku:

    a) istotnego naruszenia Umowy przez Podmiot Przetwarzający, nieusuniętego w terminie 30 dni od wezwania Administratora;

    b) sprzeciwu wobec nowego Podmiotu Podprzetwarzającego zgodnie z §9 ust. 4, w razie braku porozumienia Stron;

    c) istotnej zmiany przepisów o ochronie danych uniemożliwiającej dalsze przetwarzanie w obecnym modelu;

    d) innych przyczyn przewidzianych przez powszechnie obowiązujące prawo.

  3. Wypowiedzenie Umowy przez Podmiot Przetwarzający jest dopuszczalne w przypadku:

    a) istotnego naruszenia Umowy przez Administratora, nieusuniętego w terminie 30 dni od wezwania;

    b) wydawania przez Administratora poleceń niezgodnych z prawem, nieskorygowanych po pouczeniu;

    c) zakończenia świadczenia usług Platformy zgodnie z Regulaminem.

  4. Zawiadomienie o wypowiedzeniu wymaga formy elektronicznej na adres kontaktowy Strony wskazany w panelu Platformy.

§17. Obowiązki po Zakończeniu Przetwarzania

  1. Po zakończeniu świadczenia usług związanych z przetwarzaniem, Podmiot Przetwarzający — wedle wyboru Administratora wyrażonego przed zakończeniem Umowy lub w terminie 30 dni od jej zakończenia:

    a) usuwa wszystkie Dane Osobowe; albo

    b) zwraca wszystkie Dane Osobowe w powszechnie używanym, ustrukturyzowanym, nadającym się do odczytu maszynowego formacie (eksport JSON + CSV + faktury PDF);

    i usuwa istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie Danych Osobowych.

  2. Domyślne zachowanie w razie braku wyraźnego wyboru Administratora: Platforma przechodzi w tryb „read-only export" na okres 30 dni, w którym Administrator zachowuje dostęp do eksportu danych. Po tym okresie następuje usunięcie Danych Osobowych z wyjątkiem tych objętych ustawowymi obowiązkami retencji.

  3. Ustawowe obowiązki retencji: Podmiot Przetwarzający zachowuje po zakończeniu Umowy:

    a) dokumentację fakturową zgodnie z art. 74 ustawy o rachunkowości (5 lat);

    b) dowody akceptacji niniejszej Umowy i innych dokumentów prawnych platformy przez okres obowiązywania Umowy powiększony o 6 lat (art. 118 KC — termin przedawnienia);

    c) rejestry audytowe zgodnie z polityką bezpieczeństwa przez 13 miesięcy.

  4. Retencja w trakcie Umowy — dane uczestników Klubu:

    | Kategoria | Okres retencji | Podstawa | |---|---|---| | Uczestnicy aktywni | Okres członkostwa + 5 lat | Obowiązki podatkowe | | Uczestnicy usunięci przez Administratora | 30 dni soft delete + 60 dni recovery + hard delete | Art. 17 RODO | | Dane dotyczące zdrowia | Do końca członkostwa, natychmiastowe usunięcie po cofnięciu zgody | Art. 9 ust. 2 lit. a RODO | | Audit logs | 13 miesięcy raw, 3 lata rollup | Art. 32 RODO | | Akceptacje dokumentów prawnych | Okres Umowy + 6 lat | Art. 118 KC |

  5. Potwierdzenie usunięcia: Podmiot Przetwarzający na żądanie Administratora dostarcza pisemne potwierdzenie usunięcia Danych Osobowych w terminie 14 dni od żądania.

  6. Obowiązki określone w §10, §13 oraz §15 pozostają w mocy także po zakończeniu obowiązywania Umowy.

§18. Współpraca z Organem Nadzorczym

  1. Strony zobowiązują się do współpracy z PUODO i innymi właściwymi Organami Nadzorczymi, w szczególności w zakresie udzielania informacji i dostępu do dokumentacji w granicach ich kompetencji.

  2. Podmiot Przetwarzający niezwłocznie informuje Administratora o:

    a) wszelkich kontrolach i inspekcjach dotyczących Danych Osobowych powierzonych przez Administratora;

    b) jakimkolwiek postępowaniu administracyjnym lub sądowym dotyczącym tych Danych Osobowych;

    c) decyzjach administracyjnych lub orzeczeniach skierowanych do Podmiotu Przetwarzającego i dotyczących Danych Osobowych objętych Umową;

    z zastrzeżeniem, że informacja ta nie narusza obowiązków wynikających z przepisów prawa (np. tajemnicy śledztwa).

  3. W razie konieczności ujawnienia Danych Osobowych organom państwowym, Podmiot Przetwarzający ogranicza zakres ujawnianych danych do minimum niezbędnego do wykonania obowiązku.

§19. Postanowienia Końcowe

  1. Zmiany Umowy: wszelkie zmiany niniejszej Umowy wymagają zachowania formy elektronicznej pod rygorem nieważności. Zmiany ogłaszane są z 30-dniowym wyprzedzeniem i podlegają procedurze re-akceptacji zgodnie z Regulaminem.

  2. Nieważność postanowień (klauzula salwatoryjna): nieważność pojedynczych postanowień Umowy nie powoduje nieważności całej Umowy. W miejsce nieważnego postanowienia zastosowanie znajduje postanowienie najbardziej zbliżone pod względem celu i skutku.

  3. Hierarchia dokumentów: w razie sprzeczności pomiędzy niniejszą Umową a Regulaminem, w zakresie ochrony Danych Osobowych pierwszeństwo ma niniejsza Umowa. W pozostałym zakresie pierwszeństwo ma Regulamin, chyba że strony ustaliły inaczej.

  4. Prawo właściwe: Umowa podlega prawu polskiemu. W zakresie nieuregulowanym stosuje się w szczególności RODO, ustawę o ochronie danych osobowych oraz Kodeks cywilny.

  5. Jurysdykcja: wszelkie spory wynikające z Umowy rozstrzygane są przez sąd polski właściwy rzeczowo i miejscowo dla siedziby Podmiotu Przetwarzającego, z zastrzeżeniem bezwzględnie obowiązujących przepisów o właściwości wyłącznej.

  6. Język: Umowa sporządzona jest w języku polskim. Wersja polska jest wersją wiążącą. Tłumaczenie na język angielski planowane jest w wersji v2.0 Umowy.

  7. Kontakt:

    a) sprawy dotyczące ochrony danych: iod@klubownik.pl

    b) sprawy bieżące: kontakt@klubownik.pl

    c) zgłoszenia Naruszeń: iod@klubownik.pl (oznaczone w temacie: „NARUSZENIE")

  8. Załączniki stanowią integralną część Umowy:

    • Załącznik nr 1 — Kategorie Podmiotów Danych i Rodzaje Danych Osobowych
    • Załącznik nr 2 — Klauzula informacyjna dla Podmiotów Danych
    • Załącznik nr 3 — Środki techniczne i organizacyjne (TOM)
    • Załącznik nr 4 — Wykaz Podmiotów Podprzetwarzających i ocena transferów

  9. Forma akceptacji: Umowa zostaje zawarta w formie elektronicznej poprzez akceptację click-wrap w panelu Platformy przez osobę uprawnioną do reprezentacji Administratora. Akceptujący oświadcza pod rygorem odpowiedzialności, że jest uprawniony do reprezentacji Administratora i zaciągnięcia zobowiązań w jego imieniu. Moment akceptacji rejestrowany jest wraz z adresem IP, user-agent, znacznikiem czasu i hashem SHA-256 treści Umowy — dla celów dowodowych zgodnie z art. 74 KC.

ZAŁĄCZNIK NR 1 — Kategorie Podmiotów Danych i Rodzaje Danych Osobowych

A. Kategorie Podmiotów Danych

  1. Uczestnicy pełnoletni — członkowie Klubu, osoby biorące udział w zajęciach, wydarzeniach, egzaminach, zawodach.

  2. Uczestnicy małoletni (poniżej 18. roku życia, w tym poniżej 16. roku życia podlegający art. 8 RODO) — szczególna kategoria wymagająca zgody opiekuna prawnego.

  3. Opiekunowie prawni — rodzice lub inne osoby sprawujące pieczę nad Uczestnikami małoletnimi.

  4. Kadra Klubu — instruktorzy, trenerzy, trenerzy pomocnicy, administratorzy klubu, pracownicy administracyjni, Asystenci Młodzieżowi, Kierownicy Strzelnic.

  5. Osoby kontaktowe — osoby wskazane w profilach uczestników do kontaktu awaryjnego, odbioru dziecka itp.

  6. Osoby zgłaszające zainteresowanie — leady, osoby korzystające z publicznego formularza zapisu, uczestnicy zajęć próbnych.

B. Rodzaje Danych Osobowych

B.1 Dane identyfikacyjne (wszystkich kategorii)

  • Imię, nazwisko
  • Data urodzenia
  • Płeć
  • Adres email
  • Numer telefonu
  • Adres zamieszkania lub korespondencyjny

B.2 Dane finansowe i fakturowe

  • Dane niezbędne do wystawienia faktury (nazwa, adres, NIP)
  • Numer PESEL (opcjonalnie, dla faktur B2C bez NIP i dla KSeF)
  • Historia płatności
  • Metadane transakcji płatniczych (bez danych pełnych kart, PCI-DSS compliance po stronie Stripe)

B.3 Dane szczególne (art. 9 RODO)

  • Dane dotyczące zdrowia: orzeczenia lekarskie, zaświadczenia o braku przeciwwskazań, ubezpieczenia NNW
  • Dane dotyczące niepełnosprawności lub szczególnych potrzeb (jeśli zgłoszone przez Opiekuna)

B.4 Dane związane z działalnością klubu

  • Historia uczestnictwa w zajęciach i obecności
  • Wyniki egzaminów, promocje, stopnie/pasy, licencje
  • Dokumenty licencyjne i kwalifikacyjne
  • Wydarzenia, zawody, obozy

B.5 Dane dotyczące kadry

  • Dane zatrudnienia lub współpracy (typ umowy, wynagrodzenie za zajęcia)
  • Numer licencji instruktorskiej
  • Dane z weryfikacji niekaralności (status weryfikacji RSPTS/KRK — zgodnie z Ustawą Kamilka; sam wynik weryfikacji, nie skan zaświadczenia)

B.6 Dane techniczne i behawioralne

  • Adres IP, user-agent, fingerprint sesji
  • Logi dostępu do systemu
  • Preferencje i ustawienia konta
  • Zdjęcie profilowe (opcjonalne)
  • Notatki trenera/instruktora (fakultatywne, widoczne ograniczonemu kręgowi)

B.7 Dane z komunikacji

  • Treść wiadomości w ramach komunikacji wewnętrznej Platformy
  • Historia wysłanych powiadomień i ich statusów

C. Operacje Przetwarzania

Zbieranie, utrwalanie, organizowanie, przechowywanie, adaptowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesyłanie wewnątrz Platformy, udostępnianie, dopasowywanie, ograniczanie, usuwanie, niszczenie — w zakresie niezbędnym do realizacji celów opisanych w §3 Umowy.

ZAŁĄCZNIK NR 2 — Klauzula Informacyjna dla Podmiotów Danych

Niniejsza klauzula stanowi wzór do wykorzystania przez Administratora w wykonaniu obowiązku z art. 13 i 14 RODO wobec Podmiotów Danych. Administrator dostosowuje treść do specyfiki swojego Klubu (w szczególności w miejscach oznaczonych nawiasami kwadratowymi).

Informacja o przetwarzaniu danych osobowych

Administrator danych: [Nazwa Klubu], [adres], [NIP/REGON/KRS]

Kontakt w sprawach ochrony danych: [email Administratora] (lub IOD Administratora, jeśli został wyznaczony)

Podmiot przetwarzający: Klubownik — Michał Szymanowski prowadzący jednoosobową działalność gospodarczą — dostawca platformy klubownik.pl, działający na podstawie Umowy Powierzenia Przetwarzania Danych Osobowych.

Cele i podstawy przetwarzania

Administrator przetwarza Państwa dane osobowe w następujących celach:

  1. Zawarcie i wykonanie umowy o świadczenie usług (członkostwo w Klubie, uczestnictwo w zajęciach) — art. 6 ust. 1 lit. b RODO.

  2. Wypełnienie obowiązków prawnych ciążących na Administratorze (ewidencja, rachunkowość, bezpieczeństwo uczestników, obowiązki wynikające z Ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich) — art. 6 ust. 1 lit. c RODO.

  3. Przetwarzanie danych szczególnych (dotyczących zdrowia) — na podstawie Państwa wyraźnej zgody — art. 9 ust. 2 lit. a RODO.

  4. Prawnie uzasadniony interes Administratora — marketing własnych usług, zarządzanie reklamacjami, dochodzenie lub obrona roszczeń — art. 6 ust. 1 lit. f RODO.

  5. W przypadku osób poniżej 16. roku życia — na podstawie zgody rodzica lub opiekuna prawnego — art. 8 RODO.

Odbiorcy danych

Państwa dane mogą być udostępniane:

  • Pracownikom i współpracownikom Administratora w zakresie niezbędnym do wykonywania obowiązków służbowych
  • Podmiotowi Przetwarzającemu (Klubownik — Michał Szymanowski prowadzący jednoosobową działalność gospodarczą) oraz jego podwykonawcom wymienionym pod adresem klubownik.pl/sub-processors
  • Dostawcom usług płatniczych (Stripe Payments Europe)
  • Organom państwowym na podstawie przepisów prawa (KSeF, US, ZUS, organy ścigania)

Transfer poza EOG

Niektóre dane mogą być przekazywane poza Europejski Obszar Gospodarczy (do USA) do podmiotów wymienionych w liście podwykonawców, na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (decyzja 2021/914).

Okres przechowywania

  • Dane związane z członkostwem: okres członkostwa + 5 lat (ze względu na obowiązki podatkowe)
  • Dane dotyczące zdrowia: do końca członkostwa lub do cofnięcia zgody
  • Inne dane: zgodnie z polityką retencji Administratora dostępną na żądanie

Państwa prawa

Przysługują Państwu prawa:

  • dostępu do danych i otrzymania ich kopii (art. 15 RODO)
  • sprostowania (art. 16 RODO)
  • usunięcia — „prawo do bycia zapomnianym" (art. 17 RODO)
  • ograniczenia przetwarzania (art. 18 RODO)
  • przenoszenia danych (art. 20 RODO)
  • sprzeciwu wobec przetwarzania (art. 21 RODO)
  • cofnięcia zgody w dowolnym momencie (nie wpływa na wcześniejsze przetwarzanie)
  • wniesienia skargi do Prezesa UODO (uodo.gov.pl)

Dobrowolność

Podanie danych jest dobrowolne, ale niezbędne do zawarcia umowy i korzystania z usług Klubu. W przypadku danych dotyczących zdrowia — odmowa podania może uniemożliwić uczestnictwo w zajęciach z przyczyn bezpieczeństwa.

Zautomatyzowane podejmowanie decyzji

Administrator nie podejmuje wobec Państwa zautomatyzowanych decyzji w rozumieniu art. 22 RODO, w tym profilowania wywołującego skutki prawne.

ZAŁĄCZNIK NR 3 — Środki Techniczne i Organizacyjne (TOM)

Zgodnie z art. 32 RODO, Podmiot Przetwarzający wdrożył i utrzymuje następujące środki techniczne i organizacyjne. Niniejszy opis aktualizowany jest nie rzadziej niż raz w roku.

I. Poufność

1. Kontrola dostępu do infrastruktury

  • Dostęp do infrastruktury produkcyjnej (Supabase, Vercel) ograniczony do wskazanych członków zespołu, z indywidualnymi kontami
  • MFA (uwierzytelnianie wieloskładnikowe) obowiązkowe dla wszystkich kont administracyjnych
  • Klucze dostępu rotowane nie rzadziej niż co 90 dni
  • Dostęp SSH i administracyjny wyłącznie z whitelisted IP albo przez zarządzany panel dostawcy

2. Kontrola dostępu użytkowników Platformy

  • System ról i uprawnień (RBAC) z granularnymi poziomami: owner, admin, coach, instructor, youth_assistant, range_officer, participant, guardian
  • Multi-tenant isolation — pełna izolacja danych między Administratorami poprzez Row Level Security (RLS) w bazie danych
  • Wymuszone MFA dostępne i rekomendowane dla ról admin i owner
  • Blokada konta po wielokrotnych nieudanych próbach logowania
  • Polityka haseł: minimum 12 znaków, kontrola wycieków (have-i-been-pwned)

3. Zasada minimalnych uprawnień

  • Zasada least privilege — każdy członek zespołu otrzymuje tylko uprawnienia niezbędne do wykonywania zadań
  • Regularny przegląd uprawnień (co najmniej raz na 6 miesięcy)
  • Natychmiastowe odwołanie dostępu po zakończeniu współpracy

II. Integralność

1. Szyfrowanie

  • Szyfrowanie w transporcie: TLS 1.3 (minimum TLS 1.2), HSTS, CAA records, certyfikaty odnawiane automatycznie
  • Szyfrowanie w spoczynku: AES-256 dla bazy danych i plików (domyślne szyfrowanie Supabase Storage oraz PostgreSQL at-rest)
  • Szyfrowanie w bazie (wrażliwe pola): wybrane pola (np. PESEL, dokumenty medyczne) szyfrowane dodatkową warstwą na poziomie aplikacji

2. Integralność danych

  • Checksumy i integrity constraints na poziomie bazy danych
  • Audit log wszystkich operacji modyfikujących (tabela audit_logs)
  • Niezmienność rekordów krytycznych (akceptacje dokumentów prawnych, logi bezpieczeństwa) — policy RLS blokująca UPDATE i DELETE

3. Separacja środowisk

  • Środowiska dev / staging / production całkowicie odseparowane (osobne projekty Supabase, osobne domeny, osobne klucze)
  • Zakaz używania danych produkcyjnych w środowiskach nieprodukcyjnych
  • Dane testowe generowane syntetycznie (faker, anonimizowane snapshots)

III. Dostępność

1. Kopie zapasowe

  • Backup codzienny bazy danych z retencją 30 dni (Point-In-Time Recovery przez Supabase PITR)
  • Backup tygodniowy z retencją 90 dni
  • Testy odzyskiwania przeprowadzane kwartalnie

2. Ciągłość działania (BCP)

  • Multi-region redundancja dostawcy hostingu (Vercel Edge Network)
  • Plan reagowania na incydenty udokumentowany i testowany (tabletop exercises)
  • RTO (Recovery Time Objective): 4 godziny dla core services
  • RPO (Recovery Point Objective): 1 godzina

3. Monitorowanie i alerty

  • Monitoring 24/7 podstawowej dostępności (uptime, response times, error rates)
  • Alerty eskalowane do zespołu dyżurnego
  • Publiczny status page: status.klubownik.pl

IV. Odporność i Reagowanie

1. Zarządzanie podatnościami

  • Automatyczne skanowanie zależności (Dependabot, npm audit)
  • Testy bezpieczeństwa CI/CD
  • Planowany coroczny test penetracyjny przez niezależny podmiot

2. Reagowanie na incydenty

  • Procedura reagowania na naruszenia udokumentowana (breach playbook)
  • Zespół reagowania z wyznaczonym koordynatorem
  • Template komunikatu o naruszeniu do Administratorów
  • Procedura notyfikacji w ciągu 48 godzin od stwierdzenia

3. Testowanie i ewaluacja

  • Audit review co 12 miesięcy z udokumentowanymi wnioskami
  • Tabletop exercise scenariuszy naruszeń raz w roku
  • Review TOM niezwłocznie po każdym incydencie istotnym

V. Ochrona Danych w Fazie Projektowania (Privacy by Design)

1. Minimalizacja danych

  • Pola formularzy ograniczone do niezbędnego minimum
  • Dane opcjonalne jasno oznaczone
  • Usuwanie danych nieaktywnych zgodnie z polityką retencji

2. Pseudonimizacja i anonimizacja

  • Identyfikatory użytkowników w logach pseudonimizowane
  • Dane kierowane do zewnętrznych usług AI (Anthropic) — pseudonimizacja (MEMBER_xxxx, GUARDIAN_yyyy)
  • Agregaty i statystyki z usuniętymi identyfikatorami jako wartości domyślne

3. Domyślne ustawienia prywatności

  • Zdjęcia uczestników domyślnie niewidoczne publicznie
  • Leaderboardy i rankingi domyślnie opt-in
  • Przesyłanie powiadomień push — opt-in

VI. Organizacyjne

1. Szkolenia i świadomość

  • Szkolenia z ochrony danych dla wszystkich członków zespołu przed dostępem do systemów
  • Okresowe przypomnienia (co najmniej raz w roku)
  • Dokumentacja zasad w wewnętrznym handbooku

2. Polityki wewnętrzne

  • Polityka bezpieczeństwa informacji
  • Polityka retencji danych
  • Polityka reagowania na incydenty
  • Polityka pracy zdalnej i urządzeń

3. Umowy o zachowaniu poufności

  • Wszyscy członkowie zespołu mający dostęp do danych związani NDA
  • Podwykonawcy — standardowe klauzule powierzenia lub dedykowane DPA

4. Inspektor Ochrony Danych

  • IOD wyznaczony (jeśli wymagane zgodnie z art. 37 RODO)
  • Kontakt: iod@klubownik.pl

VII. Niezależne Certyfikacje i Audyty (podwykonawcy)

Główni podwykonawcy Podmiotu Przetwarzającego posiadają certyfikacje:

  • Supabase: SOC 2 Type II, HIPAA compliance
  • Vercel: SOC 2 Type II, ISO 27001
  • Stripe: PCI DSS Level 1, SOC 1, SOC 2, ISO 27001
  • Anthropic: SOC 2 Type II
  • Resend: SOC 2 Type II

ZAŁĄCZNIK NR 4 — Wykaz Podmiotów Podprzetwarzających i Ocena Transferów

Aktualna, publicznie dostępna wersja: klubownik.pl/sub-processors

A. Sub-procesorzy aktywni

A.1 Infrastruktura i hosting

| Podmiot | Rola | Lokalizacja | Transfer poza EOG | Podstawa transferu | |---|---|---|---|---| | Supabase Inc. | Baza danych, uwierzytelnianie, storage | eu-central-1 (Frankfurt) | Nie (dane pozostają w UE) | N/D — DPA z Supabase | | Vercel Inc. | Hosting aplikacji Next.js, CDN | Regiony UE (cdg1, fra1) | Sporadycznie (wsparcie techniczne) | SCC 2021/914 + DPA |

A.2 Płatności

| Podmiot | Rola | Lokalizacja | Transfer poza EOG | Podstawa transferu | |---|---|---|---|---| | Stripe Payments Europe, Ltd. | Dostawca usług płatniczych (Stripe Connect, BLIK via P24) | Irlandia (Dublin) | Tak (Stripe Inc. USA dla supportu) | SCC 2021/914 + DPA + PCI-DSS Level 1 |

A.3 Komunikacja

| Podmiot | Rola | Lokalizacja | Transfer poza EOG | Podstawa transferu | |---|---|---|---|---| | Resend, Inc. | Transactional email | USA (AWS) | Tak | SCC 2021/914 + DPA |

A.4 AI (Asystent, generowanie treści)

| Podmiot | Rola | Lokalizacja | Transfer poza EOG | Podstawa transferu | |---|---|---|---|---| | Anthropic, PBC | AI Assistant, generowanie treści (Claude API) | USA | Tak | SCC 2021/914 + DPA + zero-retention flag |

A.5 Opcjonalne (aktywne tylko po zgodzie Administratora)

| Podmiot | Rola | Lokalizacja | Transfer poza EOG | Podstawa transferu | |---|---|---|---|---| | Meta Platforms, Inc. | OAuth logowanie Facebook (opcjonalne) | USA | Tak | SCC 2021/914 |

B. Sub-procesorzy nieaktywni (pod feature flags OFF)

| Podmiot | Potencjalna rola | Status | |---|---|---| | Microsoft Clarity | Heatmaps, session recording | Wyłączone w prod | | Vercel Analytics | Analityka użycia | Wyłączone w prod |

Aktywacja któregokolwiek z powyższych będzie podlegała procedurze z §9 ust. 4 Umowy.

C. Ocena Transferów (Skrócony Transfer Impact Assessment)

Dla transferów do USA (Stripe USA, Resend, Anthropic, Meta)

C.1 Ogólna ocena ryzyka

Stany Zjednoczone nie są uznane przez Komisję Europejską za zapewniające odpowiedni stopień ochrony w rozumieniu art. 45 RODO. W świetle wyroku TSUE w sprawie Schrems II (C-311/18) oraz późniejszej Decyzji wykonawczej Komisji (UE) 2023/1795 (EU-U.S. Data Privacy Framework), oceny transferu dokonuje się indywidualnie dla każdego odbiorcy.

C.2 Zastosowane mechanizmy dla każdego odbiorcy

Stripe Payments Europe Ltd. (IE):

  • Główny podmiot w UE, dane przetwarzane w UE
  • Transfer do Stripe Inc. USA sporadyczny (wsparcie techniczne, procedury AML)
  • Stripe Inc. certyfikowany w ramach Data Privacy Framework (status do weryfikacji w aktualnym rejestrze)
  • SCC Moduł 3 (procesor → procesor)

Resend Inc. (USA):

  • Transfer niezbędny dla funkcji transactional email
  • Data minimization: wysyłane wyłącznie adres email + zawartość wiadomości
  • SCC Moduł 2 (administrator UE → procesor USA)
  • Retencja u Resend ograniczona do 90 dni

Anthropic PBC (USA):

  • Transfer niezbędny dla funkcji AI Asystenta
  • Pseudonimizacja wszystkich PII przed transmisją (identyfikatory zastępcze)
  • Zero-retention flag aktywny w API — dane nie są przechowywane po zakończeniu zapytania
  • Zakaz używania danych do treningu modeli (zgodnie z DPA)
  • SCC Moduł 2

Meta Platforms Inc. (USA):

  • Transfer opcjonalny, aktywny tylko przy wyborze logowania Facebook
  • Zakres minimum: identyfikator OAuth
  • SCC obecne w polityce Meta dla Business

C.3 Ocena ryzyka dostępu organów publicznych (FISA 702, Executive Order 12333)

Dla przetwarzania w modelu SaaS dla klubów sportowych w Polsce oceniamy, że:

  • Ryzyko celowego targetowania przez amerykańskie organy jest niskie (dane nie dotyczą osób o znaczeniu dla bezpieczeństwa narodowego USA)
  • Ryzyko masowego dostępu ograniczane przez: pseudonimizację, data minimization, zero-retention (Anthropic)
  • Dla danych wrażliwych (dzieci, zdrowie) — zastosowano dodatkowe środki (pseudonimizacja, brak transferu danych zdrowotnych poza UE)

C.4 Środki uzupełniające

Poza SCC wdrożono środki uzupełniające zgodnie z Rekomendacją EDPB 01/2020:

  • Techniczne: szyfrowanie end-to-end w transporcie, szyfrowanie at-rest, pseudonimizacja
  • Organizacyjne: zobowiązania umowne dostawców do notyfikacji o żądaniach organów, polityki dostępu
  • Prawne: SCC, DPA, publiczne transparency reports głównych dostawców

C.5 Prawo sprzeciwu Administratora

Jeżeli Administrator uzna, że ryzyko transferu jest zbyt wysokie dla specyfiki jego działalności, może:

  • zwrócić się o wyłączenie konkretnych funkcji Platformy opartych na transferze (np. AI Asystent, Meta OAuth)
  • żądać rozwiązania Umowy zgodnie z §16

METRYKA DOKUMENTU

| Pole | Wartość | |---|---| | Wersja | 1.0 — interim | | Status | Draft — oczekuje weryfikacji kancelaryjnej | | Data utworzenia | [DATA] | | Autor | Zespół techniczny Klubownik — Michał Szymanowski prowadzący jednoosobową działalność gospodarczą | | Podstawy źródłowe | Decyzja KE 2021/915, RODO, Wytyczne EDPB 07/2020, SCC 2021/914 | | Planowana weryfikacja kancelaryjna | [DATA] | | Planowana wersja 2.0 | [DATA] | | Kontakt IOD | iod@klubownik.pl | | Hash SHA-256 (po publikacji) | [wyliczany automatycznie] |

KONIEC UMOWY