1. Strony umowy
Wersja 1.0 · Obowiązuje od 07.07.2026
Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej „Umowa") stanowi integralną część Regulaminu świadczenia usług platformy „Ewidencja Faktur" i zostaje zawarta pomiędzy:
FLYRO Sp. z o.o. z siedzibą w Warszawie, przy ul. Domaniewskiej 24/113, 02-672 Warszawa, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy KRS, pod numerem KRS 0001249456, NIP 5214170400, REGON 545089015, o kapitale zakładowym 5.000,00 zł, prowadzącą serwis internetowy pod marką „Ewidencja Faktur" dostępny pod adresem ewidencjafaktur.pl (dalej „EF" lub „Przetwarzający"),
a
Użytkownikiem platformy „Ewidencja Faktur", tj. podmiotem, który zawarł z EF umowę o świadczenie usług i korzysta z platformy na potrzeby prowadzonej działalności (dalej „Użytkownik" lub „Administrator"),
zwanymi dalej łącznie „Stronami", a każda z osobna „Stroną".
2. § 1. Role stron i oświadczenia
- EF świadczy na rzecz Użytkownika usługi drogą elektroniczną poprzez dostęp do platformy informatycznej „Ewidencja Faktur" (dalej „Platforma"), umożliwiającej m.in. odbieranie, wystawianie, akceptację i obieg faktur, obsługę Krajowego Systemu e-Faktur (KSeF), realizację i przygotowanie płatności oraz integrację z systemami księgowymi.
- W zakresie danych osobowych, które Użytkownik wprowadza do Platformy lub które są do niej przekazywane w związku z korzystaniem z usług (w szczególności danych zawartych w treści faktur i innych dokumentów, danych kontrahentów, pracowników i klientów Użytkownika — dalej „Dane Powierzone"), EF działa jako podmiot przetwarzający, a Użytkownik jako administrator tych danych.
- Jeżeli Użytkownik świadczy usługi księgowe, rachunkowe lub podobne i przetwarza Dane Powierzone jako podmiot przetwarzający na rzecz swoich klientów (np. biuro rachunkowe), Użytkownik występuje wobec EF jako podmiot powierzający dalsze przetwarzanie, a EF działa jako dalszy podmiot przetwarzający (podprocesor). W takim przypadku Użytkownik oświadcza, że posiada ważną podstawę oraz zgodę właściwego administratora na dalsze powierzenie przetwarzania danych.
- Postanowienia dotyczące danych, których administratorem jest EF (w szczególności danych konta Użytkownika, danych rozliczeniowych i kontaktowych oraz danych przetwarzanych w celach marketingu własnego), nie są objęte niniejszą Umową i reguluje je Polityka prywatności EF.
- Zawarcie umowy o świadczenie usług oraz akceptacja Regulaminu są równoznaczne z zawarciem niniejszej Umowy. Zawarcie Umowy stanowi udokumentowane polecenie Administratora, o którym mowa w art. 28 ust. 3 lit. a) RODO.
3. § 2. Przedmiot, cel, charakter i zakres przetwarzania
- Użytkownik powierza EF przetwarzanie Danych Powierzonych na podstawie art. 28 RODO, wyłącznie w celu i w zakresie niezbędnym do świadczenia usług Platformy.
- Charakter i cel przetwarzania obejmują: przechowywanie (w tym kopiowanie i archiwizację), utrwalanie, porządkowanie, odczyt i automatyczne rozpoznawanie danych z dokumentów, udostępnianie w ramach obiegu dokumentów, przekazywanie do wskazanych przez Użytkownika systemów księgowych i instytucji (w tym KSeF), przygotowanie i realizację płatności oraz usuwanie danych — w każdym przypadku w zakresie wynikającym z funkcjonalności Platformy i poleceń Administratora.
- Kategorie osób, których dane dotyczą, oraz kategorie Danych Powierzonych określa Załącznik nr 1 do Umowy. Rzeczywisty zakres powierzonych danych wynika z treści dokumentów i informacji wprowadzanych przez Administratora do Platformy.
- Czas trwania przetwarzania odpowiada okresowi obowiązywania Umowy zgodnie z § 8.
- EF przetwarza Dane Powierzone wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania nakłada na EF prawo Unii Europejskiej lub prawo państwa członkowskiego; w takim przypadku EF informuje Administratora o tym obowiązku prawnym przed rozpoczęciem przetwarzania, o ile prawo to nie zabrania takiego informowania z uwagi na ważny interes publiczny.
4. § 3. Obowiązki Przetwarzającego
EF zobowiązuje się przy przetwarzaniu Danych Powierzonych do:
- wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania stosownie do art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrożenia oraz charakteru, zakresu, kontekstu i celów przetwarzania, a także ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
- stosowania — z uwagi na utrzymywanie serwerów we własnej infrastrukturze — w szczególności następujących środków: kontroli dostępu opartej na indywidualnych uprawnieniach i uwierzytelnianiu wieloskładnikowym, szyfrowania połączeń oraz danych, regularnego wykonywania i testowania kopii zapasowych, rejestrowania zdarzeń i dostępu, ochrony przed złośliwym oprogramowaniem oraz fizycznego zabezpieczenia pomieszczeń, w których utrzymywane są serwery;
- dopuszczenia do przetwarzania Danych Powierzonych wyłącznie osób działających z upoważnienia EF, którym dostęp jest niezbędny do świadczenia usług;
- zapewnienia, aby osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności lub podlegały ustawowemu obowiązkowi zachowania tajemnicy;
- pomocy Administratorowi — poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości — w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie realizacji praw określonych w rozdziale III RODO;
- zapewnienia Administratorowi pomocy w wywiązaniu się z obowiązków określonych w art. 32–36 RODO, uwzględniając charakter przetwarzania oraz informacje dostępne EF;
- zgłaszania Administratorowi naruszeń ochrony Danych Powierzonych bez zbędnej zwłoki po stwierdzeniu naruszenia, wraz z informacjami niezbędnymi Administratorowi do realizacji jego obowiązków wynikających z art. 33 i 34 RODO, w zakresie, w jakim informacje te są dostępne EF;
- niezwłocznego informowania Administratora, jeżeli w ocenie EF wydane polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych;
- udostępniania Administratorowi informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienia audytów na zasadach określonych w § 5.
5. § 4. Obowiązki i oświadczenia Administratora
- Administrator oświadcza, że jest uprawniony do przetwarzania Danych Powierzonych i do ich powierzenia EF oraz że dysponuje ważną podstawą prawną przetwarzania. Administrator ponosi wyłączną odpowiedzialność za zgodność z prawem pozyskania i powierzenia danych.
- Administrator jest zobowiązany wydawać polecenia zgodne z prawem. EF nie ponosi odpowiedzialności za skutki wykonania polecenia Administratora, które okaże się niezgodne z prawem, o ile EF wykonał obowiązek informacyjny, o którym mowa w § 3.
- Administrator zapewnia zgodność zakresu wprowadzanych do Platformy danych z zasadą minimalizacji oraz nie wprowadza do Platformy danych szczególnych kategorii (art. 9 RODO) ani danych dotyczących wyroków skazujących (art. 10 RODO), o ile nie jest to niezbędne i objęte odrębnymi ustaleniami Stron.
6. § 5. Audyt i kontrola
- Administrator jest uprawniony do kontroli sposobu przetwarzania Danych Powierzonych w zakresie zgodności z Umową i RODO.
- Administrator przyjmuje do wiadomości, że serwery, na których przetwarzane są Dane Powierzone, są utrzymywane przez EF we własnej infrastrukturze. Kontrola przeprowadzana w siedzibie EF odbywa się w sposób niezakłócający jego działalności oraz z poszanowaniem bezpieczeństwa danych innych administratorów. EF może wykazać zgodność również poprzez przedstawienie aktualnej dokumentacji dotyczącej stosowanych środków technicznych i organizacyjnych.
- O zamiarze przeprowadzenia kontroli Administrator zawiadamia EF nie później niż na 7 dni roboczych przed planowanym terminem, wskazując zakres, termin oraz osoby upoważnione, na adres [email protected]. Jeżeli wskazany termin nie jest możliwy, Strony ustalą inny.
- Kontrola odbywa się w godzinach pracy EF, w sposób niezakłócający jego działalności; osoby prowadzące kontrolę zobowiązane są przestrzegać zasad bezpieczeństwa EF oraz zawrzeć umowę o zachowaniu poufności dostarczoną przez EF.
- Koszty kontroli, w tym udokumentowane koszty poniesione przez EF w związku z jej obsługą, ponosi Administrator. Kontrola kończy się podpisaniem przez Strony protokołu.
7. § 6. Dalsze podmioty przetwarzające
- Administrator udziela EF ogólnej zgody na korzystanie z dalszych podmiotów przetwarzających (podprocesorów) w celu realizacji usług Platformy, w szczególności dostawców usług komunikacji elektronicznej i poczty transakcyjnej oraz dostawców powiadomień, a także innych podmiotów świadczących usługi wspierające. Aktualny wykaz podprocesorów wskazuje ustęp 3 poniżej.
- EF zapewnia, aby każdy podprocesor był związany obowiązkami w zakresie ochrony danych odpowiadającymi obowiązkom EF wynikającym z Umowy, na podstawie umowy dalszego powierzenia. Jeżeli podprocesor nie wywiąże się ze swoich obowiązków, EF ponosi wobec Administratora pełną odpowiedzialność za wykonanie obowiązków tego podprocesora.
- Aktualny wykaz podmiotów przetwarzających (podprocesorów) oraz kategorii powierzanych im danych publikujemy jako osobny dokument.
- O zamiarze dodania lub zmiany podprocesora EF informuje Administratora — na adres e-mail wskazany w panelu Konta — dając możliwość wniesienia sprzeciwu w terminie 7 dni od dnia zawiadomienia. Wniesienie uzasadnionego sprzeciwu uprawnia Administratora do rozwiązania umowy o świadczenie usług, jeżeli Strony nie uzgodnią rozwiązania alternatywnego; do czasu rozstrzygnięcia EF może wstrzymać się z powierzeniem danych podmiotowi, wobec którego zgłoszono sprzeciw.
8. § 7. Przekazywanie danych do państw trzecich
- Dane Powierzone są przetwarzane co do zasady na terytorium Europejskiego Obszaru Gospodarczego (EOG).
- Jeżeli realizacja usług wymaga przekazania Danych Powierzonych do państwa trzeciego poza EOG, EF zapewnia, że przekazanie następuje wyłącznie w oparciu o właściwy mechanizm przewidziany w rozdziale V RODO, w szczególności decyzję Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony (w tym ramy EU-U.S. Data Privacy Framework w odniesieniu do certyfikowanych podmiotów w USA) albo standardowe klauzule umowne (SCC), wraz z niezbędnymi dodatkowymi zabezpieczeniami.
9. § 8. Czas obowiązywania Umowy
- Umowa zostaje zawarta na czas świadczenia przez EF usług na rzecz Administratora i wygasa z chwilą rozwiązania lub wygaśnięcia umowy o świadczenie usług.
- Zmiana warunków umowy o świadczenie usług nie wpływa na obowiązywanie niniejszej Umowy.
10. § 9. Zakończenie przetwarzania
- Po zakończeniu świadczenia usług EF, zależnie od decyzji Administratora, usuwa lub zwraca mu Dane Powierzone oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują ich dalsze przechowywanie.
- Jeżeli Administrator nie przekaże dyspozycji co do zwrotu lub usunięcia danych w terminie 90 dni od rozwiązania Umowy, EF jest uprawniony do usunięcia Danych Powierzonych wraz z kopiami, z zastrzeżeniem ust. 1.
- Zwrot danych następuje we wspólnie uzgodnionym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Koszty czynności zwrotu wykraczających poza standardowy eksport danych dostępny w Platformie ponosi Administrator.
11. § 10. Odpowiedzialność
- EF ponosi odpowiedzialność za szkody spowodowane przetwarzaniem wyłącznie wówczas, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami Administratora bądź wbrew nim. EF nie ponosi odpowiedzialności, jeżeli wykaże, że nie ponosi winy za zdarzenie, które doprowadziło do szkody.
- EF nie odpowiada za utracone korzyści Administratora. Całkowita odpowiedzialność EF wobec Administratora z tytułu Umowy jest ograniczona do niższej z kwot:
- sumy wynagrodzenia zapłaconego EF przez Administratora w okresie 6 miesięcy poprzedzających zdarzenie, oraz
- limitu odpowiedzialności określonego w umowie o świadczenie usług lub Regulaminie.
- Każda ze Stron zwalnia drugą Stronę z odpowiedzialności wobec osób trzecich w zakresie, w jakim roszczenia tych osób wynikają z naruszenia Umowy przez pierwszą ze Stron.
12. § 11. Postanowienia końcowe
- W sprawach nieuregulowanych Umową stosuje się przepisy RODO oraz prawa polskiego.
- Strony będą dążyć do polubownego rozwiązywania sporów; w razie braku porozumienia właściwy będzie sąd powszechny właściwy miejscowo dla siedziby EF.
- Nieważność któregokolwiek z postanowień Umowy nie wpływa na ważność pozostałych; Strony zastąpią postanowienie nieważne postanowieniem ważnym, najbliższym pierwotnemu zamiarowi Stron.
- EF może zmienić treść Umowy w trybie przewidzianym dla zmiany Regulaminu; dalsze korzystanie z Platformy po wejściu zmian w życie oznacza ich akceptację.
13. Załącznik nr 1 — Zakres powierzenia
Poniższe kategorie mają charakter przykładowy i ramowy; rzeczywisty zakres wynika z danych faktycznie wprowadzonych przez Administratora do Platformy.
Charakter i cel przetwarzania: przechowywanie, odczyt i ewidencja danych z dokumentów, obieg i akceptacja dokumentów, wystawianie faktur, obsługa KSeF, przygotowanie i realizacja płatności, integracja z systemami księgowymi.
Czas przetwarzania: przez okres obowiązywania umowy o świadczenie usług, z uwzględnieniem § 9 Umowy.
Akceptacja Regulaminu i zawarcie umowy o świadczenie usług są równoznaczne z zawarciem niniejszej Umowy; odrębny podpis nie jest wymagany, chyba że Strony postanowią inaczej.