Ważne: Niniejszy dokument stanowi umowę powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO. W przeciwieństwie do innych regulaminów TaxPilot.pl, zmiany niniejszego dokumentu wymagają zgody obu stron wyrażonej w formie dokumentowej (pisemnej lub elektronicznej). Zmiana nie wchodzi w życie przez sam fakt publikacji na stronie Biura — szczegóły w §12.
§1. Postanowienia ogólne i status stron
- Niniejsza Polityka stanowi jednocześnie umowę powierzenia przetwarzania danych osobowych w rozumieniu art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej: „RODO") zawartą między:
- a) Klientem — występującym jako Administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO;
- b) VOLURE Sp. z o.o., działającą pod marką TaxPilot.pl (dalej: „Biuro") — występującym jako Podmiot przetwarzający (procesor) w rozumieniu art. 4 pkt 8 RODO.
- Polityka stanowi integralną część Umowy Ramowej.
- Strony przyjmują, że niniejsza Polityka — wraz z Umową Ramową — wyczerpuje wymogi formalne stawiane umowie powierzenia przez art. 28 ust. 3 RODO.
§2. Definicje
- „RODO" — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
- „Administrator" — Klient (zleceniodawca usług księgowych).
- „Procesor" — Biuro (VOLURE Sp. z o.o., marka TaxPilot.pl).
- „Podpowierzenie" — dalsze powierzenie przetwarzania innemu podmiotowi przez Procesora.
- „Naruszenie ochrony danych" — naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
§3. Przedmiot i czas powierzenia
- Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu niezbędnym do wykonywania usług księgowych określonych Umową Ramową i Regulaminami.
- Powierzenie obowiązuje przez czas trwania Umowy Ramowej oraz przez okres, w którym przepisy prawa wymagają od Procesora przechowywania danych (księgowe — 5 lat, AML — 5 lat, kadrowo-płacowe — do 50 lat zgodnie z odrębnymi przepisami).
- Czynności przetwarzania obejmują: zbieranie, utrwalanie, przechowywanie, organizowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie do organów publicznych, dopasowywanie, łączenie, ograniczanie, usuwanie i niszczenie.
§4. Zakres przetwarzania — kategorie danych i osób
- Procesor przetwarza następujące kategorie danych osobowych Administratora oraz osób, których dane Administrator powierza:
- a) dane identyfikacyjne (imię, nazwisko, PESEL, NIP, data urodzenia, dokument tożsamości);
- b) dane kontaktowe (adres, e-mail, telefon);
- c) dane finansowe (numery rachunków, kwoty, transakcje);
- d) dane podatkowe (rozliczenia, deklaracje, korespondencja z organami);
- e) dane kadrowo-płacowe (jeśli dotyczy: stanowisko, wynagrodzenie, składki, urlopy, akta osobowe);
- f) dane z dokumentów księgowych (faktury, paragony, umowy);
- g) dane szczególnych kategorii (art. 9 RODO) — wyłącznie incydentalnie, jeśli wynikają z dokumentów księgowych (np. zwolnienia lekarskie, dane o niepełnosprawności w aktach pracowniczych) — przetwarzane wyłącznie w zakresie niezbędnym do wykonania obowiązku prawnego.
- Kategorie osób, których dane Administrator powierza:
- a) sam Administrator (jeśli osoba fizyczna lub przedsiębiorca JDG);
- b) członkowie zarządu, wspólnicy, beneficjenci rzeczywiści (sp. z o.o.);
- c) pracownicy, zleceniobiorcy, współpracownicy Administratora;
- d) kontrahenci Administratora (klienci, dostawcy);
- e) inne osoby ujawnione w dokumentach księgowych.
§5. Obowiązki Procesora (Biura)
Procesor zobowiązuje się do:
- przetwarzania danych wyłącznie na udokumentowane polecenie Administratora — przy czym Strony przyjmują, że Umowa Ramowa, Regulaminy i obowiązujące przepisy prawa stanowią udokumentowane polecenie;
- zapewnienia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub podlegały ustawowemu obowiązkowi zachowania tajemnicy;
- stosowania środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania (§6);
- korzystania z usług innego podmiotu przetwarzającego wyłącznie na zasadach określonych w §7;
- pomocy Administratorowi w realizacji praw osób, których dane dotyczą (§8);
- zgłaszania Administratorowi naruszeń ochrony danych (§9);
- udostępniania Administratorowi informacji niezbędnych do wykazania spełnienia obowiązków RODO oraz umożliwienia audytów (§10);
- usunięcia lub zwrotu danych po zakończeniu świadczenia usług (§11).
§6. Środki techniczne i organizacyjne
- Procesor stosuje środki techniczne i organizacyjne adekwatne do ryzyka, w tym w szczególności:
- a) szyfrowanie transmisji danych (HTTPS, TLS);
- b) szyfrowanie danych w spoczynku w systemach kluczowych (wFirma, hosting plików);
- c) dwustopniową autoryzację dostępu (2FA) do systemów krytycznych;
- d) kontrolę dostępu opartą na zasadzie najmniejszych uprawnień (least privilege);
- e) regularne kopie zapasowe danych z możliwością odtworzenia;
- f) zabezpieczenie pomieszczeń (jeśli dotyczy fizyczne archiwum) — kontrola dostępu;
- g) regularne aktualizacje oprogramowania i ochronę przed złośliwym oprogramowaniem;
- h) procedury reagowania na incydenty bezpieczeństwa.
- Szczegółowy wykaz środków technicznych i organizacyjnych prowadzony jest przez Procesora w odrębnym dokumencie wewnętrznym, udostępnianym Administratorowi na uzasadnione żądanie.
- Procesor zastrzega sobie prawo do zmiany środków technicznych i organizacyjnych, pod warunkiem zachowania poziomu bezpieczeństwa nie niższego niż dotychczasowy. Zmiana taka nie wymaga zgody Administratora.
§7. Podpowierzenia (subprocesorzy)
- Administrator wyraża ogólną zgodę (art. 28 ust. 2 RODO) na korzystanie przez Procesora z usług innych podmiotów przetwarzających (subprocesorów) niezbędnych do wykonywania umowy.
- Aktualna lista subprocesorów Procesora, z którymi zawarte są umowy powierzenia, obejmuje:
- a) Web INnovative Software Sp. z o.o. — operator systemu wFirma.pl (księgowość, hosting danych księgowych);
- b) Microsoft Corporation / Microsoft Ireland Operations Ltd. — Microsoft 365 (poczta elektroniczna kontakt@taxpilot.pl, pakiet Office, OneDrive);
- c) OVH Sp. z o.o. / OVH Groupe SAS — hosting strony taxpilot.pl, formularzy onboardingowych, kopii zapasowych;
- d) Supabase Inc. — baza danych klientów i leadów (CRM, historia komunikacji).
- Procesor publikuje aktualną listę subprocesorów na stronie www.taxpilot.pl/regulaminy/subprocesorzy i informuje Administratora o zamiarze dodania lub zmiany subprocesora z 30-dniowym wyprzedzeniem (e-mail).
- Administrator może wnieść uzasadniony sprzeciw wobec dodania subprocesora w terminie 14 dni od zawiadomienia. W przypadku wniesienia sprzeciwu Procesor może:
- a) zrezygnować z dodania subprocesora; lub
- b) jeżeli nie jest to możliwe — rozwiązać Umowę Ramową z 1-miesięcznym okresem wypowiedzenia.
- Procesor zapewnia, że subprocesorzy spełniają wymogi RODO i są zobowiązani do takich samych obowiązków ochrony danych jak Procesor.
§8. Pomoc Administratorowi w realizacji praw osób
- Procesor pomaga Administratorowi w realizacji obowiązków odpowiadania na żądania osób, których dane dotyczą — wynikających z art. 12–22 RODO (prawo dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu).
- Pomoc Procesora obejmuje udostępnienie danych dotyczących wskazanej osoby oraz wykonanie technicznych czynności w systemie wFirma niezbędnych do zrealizowania żądania.
- Termin pomocy: do 14 dni od otrzymania żądania Administratora przekazanego e-mailem na adres kontakt@taxpilot.pl.
- Pomoc świadczona jest w ramach Abonamentu — pod warunkiem, że ilość żądań nie przekracza standardowej obsługi (do 5 żądań w roku kalendarzowym). Pomoc wykraczająca poza ten zakres rozliczana jest zgodnie z §5 Polityki Cenowej.
§9. Naruszenia ochrony danych
- W przypadku stwierdzenia naruszenia ochrony danych Procesor zgłasza je Administratorowi e-mailem na adres wskazany w Umowie / Formularzu Onboardingowym niezwłocznie, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia.
- Zgłoszenie zawiera:
- a) opis charakteru naruszenia;
- b) kategorie i przybliżoną liczbę osób, których dane dotyczą;
- c) kategorie i przybliżoną liczbę wpisów danych osobowych;
- d) prawdopodobne konsekwencje naruszenia;
- e) podjęte i proponowane środki w celu zaradzenia naruszeniu.
- Obowiązek zgłoszenia naruszenia do organu nadzorczego (PUODO) i zawiadomienia osób, których dane dotyczą, spoczywa na Administratorze. Procesor wspiera Administratora w realizacji tego obowiązku — w szczególności poprzez:
- a) analizę charakteru naruszenia;
- b) przygotowanie dokumentacji niezbędnej do zgłoszenia;
- c) doradztwo techniczne w zakresie wdrożenia środków naprawczych.
§10. Audyt
- Administrator ma prawo do audytu zgodności Procesora z niniejszą Polityką, w tym do przeprowadzenia inspekcji.
- Wykonanie prawa do audytu wymaga:
- a) pisemnego zawiadomienia Procesora z co najmniej 30-dniowym wyprzedzeniem;
- b) ustalenia z Procesorem terminu i zakresu audytu z zachowaniem poszanowania ciągłości pracy Biura;
- c) zachowania poufności wszystkich informacji uzyskanych w trakcie audytu;
- d) niewykorzystywania audytu w sposób uciążliwy lub nieproporcjonalny.
- Częstotliwość audytów: nie więcej niż raz w roku kalendarzowym, chyba że audyt wynika z incydentu bezpieczeństwa lub żądania organu nadzorczego.
- Koszty audytu ponosi Administrator. Procesor rozlicza swój czas pracy poświęcony obsłudze audytu zgodnie z §5 Polityki Cenowej.
- Procesor może zaspokoić obowiązek umożliwienia audytu poprzez udostępnienie raportów z audytów zewnętrznych przeprowadzonych u Procesora, certyfikatów lub kodeksów postępowania zatwierdzonych zgodnie z RODO — jeśli takimi dysponuje.
§11. Zwrot lub usunięcie danych po zakończeniu
- Po zakończeniu świadczenia usług na podstawie Umowy Ramowej Procesor — w zależności od decyzji Administratora przekazanej e-mailem — usuwa lub zwraca dane osobowe.
- Termin: 30 dni od dnia rozwiązania Umowy.
- Wyjątek: Procesor zatrzymuje dane, których dalsze przechowywanie wynika z przepisów prawa (księgowe — 5 lat, AML — 5 lat, kadrowo-płacowe — do 50 lat). Po upływie tych okresów dane są usuwane.
- Forma zwrotu: eksport danych z systemu wFirma w formacie obsługiwanym przez wFirma (PDF, XLS, JPK). Procesor nie zapewnia konwersji do innych formatów.
- Zwrot danych w innej formie lub w trybie pilnym — usługa dodatkowa rozliczana zgodnie z §5 Polityki Cenowej.
§12. Zmiany niniejszej Polityki
- Niniejsza Polityka — jako umowa powierzenia w rozumieniu art. 28 RODO — może być zmieniona wyłącznie za zgodą obu Stron, wyrażoną w formie dokumentowej (e-mail, podpis elektroniczny).
- Procesor informuje Administratora o proponowanych zmianach z 30-dniowym wyprzedzeniem przed planowaną datą wejścia w życie. Zawiadomienie wysyłane jest na adres e-mail Administratora wskazany w Umowie.
- Brak sprzeciwu Administratora w terminie 30 dni od dnia zawiadomienia uznaje się za akceptację zmiany.
- Sprzeciw wobec zmiany powoduje, że Polityka pozostaje w dotychczasowym brzmieniu — z zastrzeżeniem ust. 5.
- Jeżeli zmiana wynika z bezwzględnie obowiązujących przepisów prawa lub decyzji organu nadzorczego, zmiana wchodzi w życie w terminie wynikającym z tych przepisów lub decyzji, niezależnie od stanowiska Administratora.
§13. Odpowiedzialność Procesora
- Procesor ponosi odpowiedzialność wobec Administratora za szkody powstałe wyłącznie wskutek nieprzestrzegania niniejszej Polityki lub działania niezgodnego z prawem dotyczącym ochrony danych osobowych.
- Odpowiedzialność Procesora jest ograniczona do:
- a) sumy gwarancyjnej polisy OC zawodowego biura rachunkowego, obejmującej szkody wynikające z naruszenia ochrony danych; lub
- b) wysokości wynagrodzenia zapłaconego przez Administratora w okresie 12 miesięcy poprzedzających zdarzenie powodujące szkodę
- Ograniczenie odpowiedzialności z ust. 2 nie ma zastosowania w przypadkach, w których nie może być wyłączone na podstawie obowiązujących przepisów prawa (umyślne naruszenie, rażące niedbalstwo).
- Procesor nie ponosi odpowiedzialności za:
- a) szkody wynikające z działań lub zaniechań Administratora;
- b) szkody wynikające z nieprawdziwości lub niekompletności danych przekazanych przez Administratora;
- c) szkody wynikające z naruszeń bezpieczeństwa po stronie systemów Administratora lub osób trzecich;
- d) szkody wynikające z awarii lub przerw w działaniu systemów Ministerstwa Finansów, ZUS, KSeF, e-Doręczeń lub innych systemów państwowych;
- e) szkody pośrednie, utracone korzyści, szkody niematerialne wykraczające poza realne uszczerbki finansowe.
§14. Postanowienia końcowe
- W sprawach nieuregulowanych niniejszą Polityką stosuje się przepisy RODO oraz polskie ustawy o ochronie danych osobowych.
- Spory wynikające z niniejszej Polityki rozstrzyga sąd właściwy dla siedziby Procesora.
- Aktualna wersja Polityki publikowana jest na stronie www.taxpilot.pl/regulaminy.
- W razie sprzeczności między niniejszą Polityką a inną Polityką lub Regulaminem Biura — w sprawach ochrony danych osobowych pierwszeństwo ma niniejsza Polityka (zgodnie z hierarchią kolizji określoną w Polityce Wersjonowania Dokumentów).