Wersja DPA-2026-05-09 · obowiązuje od 9 maja 2026
Umowa Powierzenia Przetwarzania Danych (DPA)
Niniejsza Umowa Powierzenia (dalej „DPA") stanowi integralną część umowy o świadczenie usługi Sunrise Studio i obowiązuje automatycznie od momentu akceptacji Regulaminu przez Klienta. Sporządzona zgodnie z art. 28 RODO.
Pobierz wersję PDF do podpisu: sunrise-dpa-2026-05.pdf
§1. Strony i role
- Administrator - Klient (Twoja firma korzystająca ze Studia). Określa cele i sposoby przetwarzania danych swoich klientów końcowych.
- Procesor - Sunrise sp. z o.o., NIP 0000000000, Nowy Tomyśl. Przetwarza dane na polecenie Administratora wyłącznie w zakresie świadczenia usługi.
§2. Zakres przetwarzania
| Element | Treść |
|---|---|
| Przedmiot | Świadczenie usługi SaaS Sunrise Studio |
| Czas trwania | Cały okres umowy + 30 dni na eksport danych |
| Charakter | Przechowywanie, organizowanie, segregowanie, modyfikowanie, wyświetlanie, usuwanie |
| Cel | Realizacja umowy SaaS - bez tego usługa nie może być świadczona |
| Rodzaj danych | Dane identyfikacyjne (imię, nazwisko, email, telefon), dane operacyjne (treść kampanii, posty, zamówienia), dane finansowe (faktury bez numerów kart) |
| Kategorie osób | Klienci końcowi Klienta (osoby fizyczne, kontakty CRM, kupujący w sklepie) |
§3. Obowiązki Procesora
Sunrise jako Procesor zobowiązuje się do:
- przetwarzania danych wyłącznie na udokumentowane polecenie Administratora (Regulamin + konfiguracja konta);
- zapewnienia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy lub podlegają obowiązkowi tajemnicy ustawowej;
- wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32 RODO) - szczegóły w Załączniku 1: TOM;
- przestrzegania warunków korzystania z usług dalszych podmiotów przetwarzających (subprocesorów) - lista podprocesorów;
- pomocy Administratorowi w realizacji żądań osób, których dane dotyczą;
- pomocy w wypełnianiu obowiązków bezpieczeństwa, zgłaszania naruszeń (art. 33-34) i ocen skutków (art. 35-36);
- po zakończeniu umowy - zwrotu lub usunięcia danych zgodnie z wyborem Administratora, z wyłączeniem danych objętych retencją prawną (faktury 5 lat).
§4. Naruszenia bezpieczeństwa
Sunrise zgłasza Administratorowi każde naruszenie ochrony danych w terminie nie dłuższym niż 24 godziny od jego stwierdzenia. Zgłoszenie zawiera:
- opis charakteru naruszenia (kategorie i orientacyjna liczba osób)
- imię i kontakt do IOD lub innej osoby kontaktowej
- opis możliwych konsekwencji
- opis środków zastosowanych lub proponowanych w celu zaradzenia
§5. Podprocesorzy
Administrator wyraża ogólną zgodę na korzystanie z dalszych podmiotów przetwarzających. Sunrise informuje o nowych podprocesorach z 30-dniowym wyprzedzeniem przez email - Administrator ma prawo wnieść uzasadniony sprzeciw.
Aktualna lista podprocesorów (stan na 2026-05-09):
| Podmiot | Kraj | Cel | Podstawa transferu |
|---|---|---|---|
| Stripe Payments Europe Ltd. | Irlandia | Płatności, faktury | UE |
| Stripe Inc. | USA | Backend płatności | SCC + DPF |
| Anthropic PBC | USA | AI (Claude) - generowanie treści | SCC + DPF |
| OpenAI Inc. | USA | AI (Sora 2) - generowanie wideo | SCC + DPF |
| Cloudflare Inc. | USA / UE | Storage R2, CDN, security | SCC + DPF |
| Supabase Inc. (eu-central-1) | Niemcy | Hosting bazy PostgreSQL | UE |
| Sendinblue SA (Brevo) | Francja | Email + SMS | UE |
| SMSAPI sp. z o.o. | Polska | SMS marketingowe (rynek PL) | UE |
| Functional Software, Inc. (Sentry) | USA | Monitoring błędów | SCC |
| Vercel Inc. | USA | Hosting frontendu | SCC + DPF |
§6. Środki techniczne i organizacyjne (TOM)
6.1 Środki techniczne
- Szyfrowanie w tranzycie: TLS 1.3, HSTS preload, certyfikaty Let's Encrypt
- Szyfrowanie w spoczynku: dane w bazie - encryption at rest (Supabase), tokeny OAuth - AES-256-GCM
- Hasła użytkowników: Argon2id (memory=64MB, iterations=3, parallelism=4)
- Multi-tenant izolacja: Row Level Security (RLS) na poziomie PostgreSQL
- Backupy: pg_dump 24h + Point-in-Time Recovery 7 dni
- Bezpieczne ENV: secrety nie są w repozytorium, rotacja kluczy co 90 dni
6.2 Środki organizacyjne
- Polityka kontroli dostępu (RBAC) z zasadą najmniejszych uprawnień
- 2FA TOTP obowiązkowe dla wszystkich pracowników z dostępem do produkcji
- Audit log każdej operacji administracyjnej (append-only, 365 dni)
- Regularny pentest zewnętrzny (raz do roku) + bug bounty program
- Skanowanie zależności (npm audit + Dependabot) w CI
- Szkolenia RODO dla pracowników - co 12 miesięcy
- Procedura zgłaszania incydentów (24/7 mailem na bezpieczenstwo@sunrise.pl)
§7. Audyt
Administrator ma prawo do przeprowadzenia audytu Sunrise (samodzielnie lub przez upoważnionego audytora), nie częściej niż raz na 12 miesięcy. Powiadomienie o audycie należy przesłać z 30-dniowym wyprzedzeniem. Sunrise udostępnia raporty z audytów zewnętrznych (SOC 2, jeśli posiada) w zastępstwie audytu na miejscu.
§8. Eksport danych
Administrator może w każdej chwili wykonać pełny eksport danych przez Ustawienia → Konto → Eksport danych. Eksport zawiera wszystkie dane w formacie JSON zgodnym z RODO art. 20 (przenoszenie). Po rozwiązaniu umowy Administrator ma 30 dni na pobranie eksportu, po czym dane są usuwane lub pseudonimizowane.
§9. Postanowienia końcowe
- Niniejsza DPA stanowi załącznik do Regulaminu i umowy SaaS.
- Zmiany DPA wymagają formy pisemnej (email kwalifikowany).
- W zakresie nieuregulowanym stosuje się RODO i prawo polskie.
- Sunrise wyznaczył Inspektora Ochrony Danych: iod@sunrise.pl
Akceptując Regulamin Sunrise Studio podczas rejestracji, akceptujesz również powyższą Umowę Powierzenia w jej aktualnej wersji. Archiwum poprzednich wersji DPA.