Dokumenty prawne

Umowa powierzenia
przetwarzania danych (DPA)

Wersja 1.0 · obowiązuje od 13 maja 2026
Co to jest DPA?
Umowa powierzenia (Data Processing Agreement) to dokument wymagany przez RODO, gdy jedna firma przetwarza dane osobowe w imieniu drugiej. Biuro rachunkowe jest Administratorem danych swoich klientów. Casso przetwarza te dane w imieniu Biura — jest więc Procesorem. Niniejsza umowa określa zasady tej współpracy.
Automatyczna akceptacja
Akceptując regulamin Casso, Biuro automatycznie zawiera niniejszą umowę powierzenia. Umowa wchodzi w życie z chwilą rejestracji Konta i obowiązuje przez cały okres korzystania z Usługi.

Strony umowy

  1. Administrator — Usługobiorca (Biuro), korzystający z usługi Casso na podstawie regulaminu.
  2. Procesor — [UZUPEŁNIĆ: nazwa firmy], operator serwisu Casso, z siedzibą [UZUPEŁNIĆ: adres], NIP [UZUPEŁNIĆ].

Definicje

  • RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
  • Dane osobowe — wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
  • Przetwarzanie — operacja lub zestaw operacji wykonywanych na danych osobowych.
  • Klient Biura — podmiot, na rzecz którego Biuro świadczy usługi księgowe.
  • Podprocesor — podmiot trzeci, któremu Procesor powierza dalsze przetwarzanie danych.

Przedmiot powierzenia

  1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usługi Casso, w szczególności:
    • przechowywanie danych Klientów Biura,
    • rozpoznawanie dokumentów księgowych przy użyciu AI,
    • udostępnianie Panelu Klienta i obsługa komunikacji Klient–Biuro,
    • generowanie eksportów do systemów księgowych.
  2. Procesor zobowiązuje się przetwarzać dane wyłącznie na udokumentowane polecenie Administratora — za co uznaje się także korzystanie przez Administratora z funkcjonalności Usługi.

Charakter i cel przetwarzania

Przetwarzanie ma charakter zautomatyzowanego przetwarzania danych w ramach systemu informatycznego. Celem jest świadczenie usługi opisanej w regulaminie Casso.

Kategorie danych i kategorie osób

Kategorie osób, których dane dotyczą:

  • Klienci Biura — osoby fizyczne prowadzące działalność gospodarczą,
  • kontrahenci Klientów Biura (sprzedawcy, dostawcy widoczni na dokumentach),
  • pracownicy i współpracownicy Klientów Biura.

Kategorie danych:

  • dane identyfikacyjne (imię, nazwisko, nazwa firmy, NIP, REGON),
  • dane kontaktowe (adres, e-mail, telefon),
  • dane finansowe (kwoty, numery rachunków, dane transakcji),
  • treść dokumentów księgowych (paragony, faktury, wyciągi),
  • treść wiadomości komunikacji Klient–Biuro.

Casso nie jest przeznaczone do przetwarzania szczególnych kategorii danych w rozumieniu art. 9 RODO (dane wrażliwe). Administrator zobowiązuje się nie wprowadzać takich danych do Usługi.

Czas trwania

Niniejsza umowa obowiązuje przez cały okres trwania umowy głównej (regulaminu Casso). Po zakończeniu umowy stosują się postanowienia § 12.

Obowiązki Procesora

Procesor zobowiązuje się do:

  1. przetwarzania danych wyłącznie zgodnie z poleceniami Administratora,
  2. zapewnienia poufności danych — każda osoba mająca dostęp do danych jest zobowiązana do zachowania ich w tajemnicy,
  3. stosowania środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych (patrz § 9),
  4. pomocy Administratorowi w realizacji obowiązków wynikających z art. 32-36 RODO,
  5. pomocy w odpowiedzi na żądania osób, których dane dotyczą (prawa z art. 15-22 RODO),
  6. powiadomienia Administratora o każdym naruszeniu ochrony danych w terminie 24 godzin od jego wykrycia,
  7. udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania zgodności z obowiązkami RODO.

Podprocesorzy

Administrator wyraża zgodę na powierzanie przez Procesora przetwarzania danych następującym podprocesorom:

Podprocesor Cel Lokalizacja Podstawa transferu
Zenbox sp. z o.o. Hosting aplikacji, baza danych, pliki Polska UE
Anthropic PBC Rozpoznawanie dokumentów (Claude AI, zero-retention) USA SCC + DPA Anthropic
[UZUPEŁNIĆ: dostawca płatności] Przetwarzanie płatności UE UE
[UZUPEŁNIĆ: dostawca e-mail] Wysyłka e-maili transakcyjnych UE UE
  1. Procesor zobowiązuje się zapewnić aby podprocesorzy zapewniali ten sam poziom ochrony danych, co Procesor wobec Administratora.
  2. O zmianach w liście podprocesorów Procesor powiadomi Administratora z 30-dniowym wyprzedzeniem za pośrednictwem aktualizacji niniejszej strony i powiadomienia e-mail. Administrator ma prawo wnieść sprzeciw — w takim wypadku może rozwiązać umowę.

Środki techniczne i organizacyjne

Procesor wdraża następujące środki zapewniające bezpieczeństwo przetwarzania (art. 32 RODO):

Środki techniczne

  • szyfrowanie połączeń (TLS 1.2+),
  • szyfrowanie haseł (bcrypt, koszt min. 10),
  • oddzielenie danych poszczególnych Biur (multi-tenant isolation na poziomie zapytań SQL),
  • kontrola dostępu oparta na rolach (RBAC: tenant_admin, tenant_member, client_owner, client_member),
  • sesje opaque, ważność 8 godzin, przechowywane w bazie danych,
  • codzienne kopie zapasowe bazy danych,
  • logi audit z hashowanym adresem IP,
  • hosting w certyfikowanym data center w Polsce.

Środki organizacyjne

  • upoważnienia do przetwarzania danych dla każdej osoby mającej dostęp,
  • zobowiązania do zachowania poufności,
  • procedury reagowania na incydenty bezpieczeństwa,
  • regularna analiza ryzyka,
  • polityka bezpieczeństwa informacji.

Prawo audytu

  1. Administrator ma prawo do audytu lub inspekcji Procesora w zakresie zgodności przetwarzania z niniejszą umową, nie częściej niż raz w roku, po uprzednim 30-dniowym powiadomieniu.
  2. Audyt prowadzony jest w sposób niezakłócający działalność Procesora. Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenie obowiązków Procesora.
  3. W zastępstwie audytu Procesor może udostępnić Administratorowi aktualne raporty z audytów wewnętrznych lub certyfikaty (jeśli posiada).

Naruszenia ochrony danych

  1. W przypadku stwierdzenia naruszenia ochrony danych Procesor niezwłocznie, nie później niż w ciągu 24 godzin, powiadamia Administratora.
  2. Powiadomienie zawiera co najmniej:
    • opis charakteru naruszenia,
    • kategorie i przybliżoną liczbę osób oraz rekordów,
    • opis prawdopodobnych konsekwencji,
    • podjęte i proponowane środki zaradcze.
  3. Procesor zobowiązuje się współpracować z Administratorem w zakresie zgłoszeń do organu nadzorczego (art. 33 RODO) oraz powiadomień osób, których dane dotyczą (art. 34 RODO).

Zakończenie umowy

  1. Po zakończeniu umowy głównej Administrator może w terminie 30 dni pobrać wszystkie dane w formacie strukturyzowanym.
  2. Po upływie 30 dni Procesor nieodwracalnie usuwa wszystkie dane Administratora oraz powierzone dane Klientów Biura, chyba że obowiązek przechowywania wynika z przepisów prawa (np. dane rozliczeniowe — 5 lat).
  3. Na żądanie Administratora Procesor wystawi pisemne potwierdzenie usunięcia danych.

Postanowienia końcowe

  1. W sprawach nieuregulowanych stosuje się przepisy RODO, ustawy o ochronie danych osobowych oraz Kodeksu cywilnego.
  2. W razie sprzeczności postanowień niniejszej umowy z regulaminem Casso, pierwszeństwo mają postanowienia DPA — w zakresie ochrony danych.
  3. Spory rozstrzyga sąd właściwy dla siedziby Procesora.
Ostatnia aktualizacja: 13 maja 2026 r.
Regulamin Polityka prywatności Cookies