Przejdź do treści

Regulamin powierzenia przetwarzania danych osobowych

Ostatnia aktualizacja: 17 czerwca 2026

Niniejszy Regulamin powierzenia przetwarzania danych osobowych ("Regulamin powierzenia") określa zasady, na jakich Dawid Zbiński ("Usługodawca", "Podmiot przetwarzający") przetwarza dane osobowe powierzone przez Użytkownika ("Klient", "Administrator") w związku z korzystaniem z usługi Createen ("Usługa").

Niniejszy Regulamin powierzenia stanowi integralną część Regulaminu Usługi i zostaje zawarty z chwilą zawarcia umowy o świadczenie usług (założenia konta). Jeżeli korzystasz z Usługi w imieniu organizacji, oświadczasz, że jesteś upoważniony do zawarcia niniejszego Regulaminu powierzenia w jej imieniu. W zakresie nieuregulowanym poniżej stosuje się Politykę prywatności oraz Regulamin.

§1 Definicje

Terminy pisane wielką literą mają znaczenie nadane im w Regulaminie. Ponadto:

  • Dane Osobowe — dane osobowe w rozumieniu art. 4 pkt 1 RODO, które Klient wprowadza do Usługi lub w inny sposób przekazuje Usługodawcy w celu wykonania umowy o świadczenie usług.
  • RODO — rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (ogólne rozporządzenie o ochronie danych).
  • Administrator — Klient (Użytkownik) decydujący o celach i sposobach przetwarzania Danych Osobowych, które powierza Usługodawcy.
  • Podmiot przetwarzający — Usługodawca, przetwarzający Dane Osobowe w imieniu Administratora.
  • Dalszy podmiot przetwarzający (Podwykonawca) — podmiot, któremu Usługodawca powierza dalsze przetwarzanie Danych Osobowych (podpowierzenie), wymieniony w Załączniku nr 1.
  • Umowa o świadczenie usług — umowa zawierana między Klientem a Usługodawcą na podstawie Regulaminu Usługi Createen.

§2 Przedmiot powierzenia

Na podstawie art. 28 ust. 3 RODO Administrator powierza Usługodawcy przetwarzanie Danych Osobowych w zakresie i w celu określonym w niniejszym Regulaminie powierzenia, a Usługodawca zobowiązuje się przetwarzać powierzone mu Dane Osobowe zgodnie z niniejszym Regulaminem powierzenia, RODO oraz przepisami prawa powszechnie obowiązującego.

Administrator oświadcza, że jest uprawniony do przetwarzania powierzanych Danych Osobowych w zakresie i celach wskazanych poniżej oraz że posiada ważną podstawę prawną ich przetwarzania. Usługodawca przetwarza Dane Osobowe wyłącznie w celu i w zakresie niezbędnym do świadczenia Usługi i nie wykorzystuje ich do własnych celów.

§3 Charakter, cel, zakres i czas przetwarzania

3.1 Charakter i cel przetwarzania

Przetwarzanie ma charakter ciągły i odbywa się wyłącznie za pomocą systemów teleinformatycznych (bez kartotek papierowych). Celem przetwarzania jest świadczenie Usługi zgodnie z Regulaminem, w tym: hosting i przechowywanie danych przestrzeni roboczej, zarządzanie klientami, projektami i zadaniami, przesyłanie i recenzowanie materiałów, obsługa faktur i płatności, planowanie treści, prowadzenie historii komunikacji (CRM) oraz wysyłka powiadomień transakcyjnych.

3.2 Rodzaje (kategorie) Danych Osobowych

  • Dane identyfikacyjne i kontaktowe — imię i nazwisko, nazwa firmy, stanowisko/rola, adres, adres e-mail, numer telefonu, identyfikatory podatkowe (NIP, REGON, EU VAT ID);
  • Dane rozliczeniowe i transakcyjne — pliki faktur przesłane do Usługi, pola odczytane z faktur, zapisy płatności, kwoty, waluty i terminy;
  • Treści i materiały — pliki multimedialne, dokumenty, notatki, komentarze, harmonogramy i zadania oraz inne dane wprowadzone przez Klienta;
  • Dane recenzji — adres e-mail recenzenta zewnętrznego oraz treść komentarzy i decyzji w ramach recenzji materiałów;
  • Dane techniczne — ograniczone dane powiązane z powyższymi, niezbędne do działania i zabezpieczenia Usługi.

Klient zobowiązuje się nie powierzać za pośrednictwem Usługi danych szczególnych kategorii (art. 9 RODO) ani danych dotyczących wyroków skazujących i czynów zabronionych (art. 10 RODO), chyba że dysponuje odrębną, ważną podstawą prawną i poinformuje o tym Usługodawcę.

3.3 Kategorie osób, których dane dotyczą

  • klienci Klienta, których obsługę prowadzi w ramach Usługi, oraz ich kontrahenci i potencjalni klienci (leady);
  • przedstawiciele, pracownicy i współpracownicy Klienta oraz jego klientów;
  • recenzenci zewnętrzni zaproszeni przez Klienta do recenzji materiałów;
  • osoby przesyłające materiały za pośrednictwem publicznego linku do przesyłania materiałów udostępnionego przez Klienta.

3.4 Czas przetwarzania

Usługodawca przetwarza powierzone Dane Osobowe przez czas obowiązywania Umowy o świadczenie usług. Po jej zakończeniu Usługodawca, zgodnie z decyzją Administratora, usuwa lub zwraca Dane Osobowe oraz usuwa istniejące kopie, chyba że obowiązek ich dalszego przechowywania wynika z przepisów prawa (zob. §4 pkt 9).

§4 Obowiązki Usługodawcy

Usługodawca zobowiązuje się do:

  1. Przetwarzania wyłącznie na udokumentowane polecenie Administratora. Niniejszy Regulamin powierzenia, Regulamin oraz czynności wykonywane przez Klienta w Usłudze stanowią udokumentowane polecenie. Usługodawca niezwłocznie informuje Administratora, jeżeli jego zdaniem polecenie narusza RODO lub inne przepisy o ochronie danych.
  2. Zachowania poufności — zapewnienia, by osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania poufności lub podlegały ustawowemu obowiązkowi zachowania tajemnicy, zarówno w trakcie, jak i po ustaniu współpracy.
  3. Wdrożenia środków bezpieczeństwa — zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiadający ryzyku, o których mowa w art. 32 RODO, uwzględniając stan wiedzy technicznej i koszty wdrożenia. Wykaz przyjętych środków stanowi Załącznik nr 2.
  4. Podpowierzenia — przestrzegania warunków korzystania z usług dalszych podmiotów przetwarzających określonych w §5.
  5. Pomocy w realizacji praw osób, których dane dotyczą — w miarę możliwości pomagania Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie praw określonych w rozdziale III RODO.
  6. Wsparcia w wypełnianiu obowiązków z art. 32–36 RODO — pomagania Administratorowi w zapewnieniu bezpieczeństwa przetwarzania, zgłaszaniu naruszeń, ocenie skutków dla ochrony danych (DPIA) oraz uprzednich konsultacjach z organem nadzorczym, uwzględniając charakter przetwarzania i dostępne mu informacje.
  7. Zgłaszania naruszeń — informowania Administratora o stwierdzonym naruszeniu ochrony Danych Osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od jego stwierdzenia, na adres e-mail powiązany z kontem Administratora. Zgłoszenie zawiera co najmniej informacje wskazane w art. 33 ust. 3 RODO, w zakresie, w jakim są dostępne Usługodawcy.
  8. Udostępniania informacji i umożliwienia kontroli — udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienia przeprowadzania audytów na zasadach określonych w §6.
  9. Usunięcia lub zwrotu danych — po zakończeniu świadczenia Usługi, zależnie od decyzji Administratora, usunięcia lub zwrotu wszelkich Danych Osobowych oraz usunięcia istniejących kopii, chyba że prawo Unii lub prawo krajowe nakazuje ich dalsze przechowywanie. Tam, gdzie to wykonalne, Usługodawca udostępnia Klientowi możliwość eksportu danych przez rozsądny okres przed ich usunięciem.

§5 Zasady podpowierzenia (dalsze przetwarzanie)

Administrator wyraża ogólną zgodę na korzystanie przez Usługodawcę z usług dalszych podmiotów przetwarzających wymienionych w Załączniku nr 1, z zastrzeżeniem, że nie każdy z nich przetwarza dane każdego Klienta — faktyczny udział danego podmiotu zależy od funkcji Usługi, z których Klient korzysta.

  • Usługodawca informuje Administratora o zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających (aktualizacja Załącznika nr 1), umożliwiając zgłoszenie uzasadnionego sprzeciwu. Zmiana Załącznika nr 1 stanowi zmianę Regulaminu powierzenia w trybie określonym w Regulaminie.
  • Usługodawca nakłada na każdy dalszy podmiot przetwarzający, w drodze umowy, te same obowiązki ochrony danych co określone w niniejszym Regulaminie powierzenia. Usługodawca ponosi wobec Administratora pełną odpowiedzialność za wykonanie obowiązków przez dalszy podmiot przetwarzający.
  • Przekazywanie Danych Osobowych do państwa trzeciego (poza EOG) odbywa się wyłącznie przy zapewnieniu odpowiednich zabezpieczeń wymaganych przez rozdział V RODO (art. 44–50), w szczególności standardowych klauzul umownych (SCC) lub na podstawie decyzji stwierdzającej odpowiedni stopień ochrony.
  • Udostępnienie danych doradcom prawnym, podatkowym lub audytorom Usługodawcy, w zakresie niezbędnym do realizacji ich usług, nie stanowi podpowierzenia — podmioty te działają jako odrębni administratorzy związani tajemnicą zawodową.

§6 Prawo kontroli (audyt)

Administratorowi przysługuje prawo kontroli przestrzegania przez Usługodawcę warunków niniejszego Regulaminu powierzenia, na następujących zasadach:

  • kontrola może być prowadzona nie częściej niż raz w roku i trwać nie dłużej niż jeden dzień roboczy; każda ze stron ponosi własne koszty kontroli;
  • Administrator zawiadamia Usługodawcę o zamiarze kontroli z co najmniej 14-dniowym wyprzedzeniem; kontrola odbywa się w dni robocze w godzinach 9:00–17:00, zdalnie i w sposób możliwie najmniej zakłócający działalność Usługodawcy;
  • osoby przeprowadzające kontrolę nie mogą być konkurentami Usługodawcy ani podmiotami z nim powiązanymi i są zobowiązane do zachowania poufności; zobowiązane są respektować wewnętrzne procedury i polityki bezpieczeństwa Usługodawcy;
  • kontrola nie może obejmować informacji ani dokumentów dotyczących innych Klientów Usługodawcy ani jego tajemnic przedsiębiorstwa;
  • z kontroli sporządza się protokół; Administrator może przekazać pisemne zalecenia, których wdrożenie powinno nastąpić w rozsądnym terminie, nie krótszym niż 30 dni roboczych; zalecenia muszą być zgodne z RODO oraz obiektywnie uzasadnione i wykonalne.

Obowiązek udostępniania informacji, o którym mowa w §4 pkt 8, Usługodawca może spełnić również poprzez udostępnienie dokumentacji, certyfikatów lub raportów z audytów dotyczących stosowanych środków bezpieczeństwa.

§7 Odpowiedzialność

Zasady odpowiedzialności Usługodawcy określa Regulamin. Usługodawca nie ponosi odpowiedzialności wobec osób trzecich za szkody powstałe w wyniku przetwarzania Danych Osobowych niezgodnie z niniejszym Regulaminem powierzenia, jeżeli wynika to z poleceń Administratora naruszających RODO lub inne przepisy prawa, bądź z braku ważnej podstawy prawnej po stronie Administratora. Administrator zwalnia Usługodawcę z odpowiedzialności z tytułu roszczeń osób trzecich wynikających z takich naruszeń.

§8 Postanowienia końcowe

  • Niniejszy Regulamin powierzenia stanowi całość uzgodnień stron w zakresie powierzenia przetwarzania Danych Osobowych na potrzeby świadczenia Usługi i zastępuje wcześniejsze ustalenia w tym przedmiocie.
  • Zmiany niniejszego Regulaminu powierzenia oraz Załączników następują w trybie zmiany Regulaminu. Klient nie może wypowiedzieć umowy z powodu zmiany dotyczącej dalszego podmiotu przetwarzającego, z którego usług nie korzysta, lub funkcji Usługi, której nie używa.
  • W razie sprzeczności między niniejszym Regulaminem powierzenia a Regulaminem, w sprawach dotyczących przetwarzania Danych Osobowych pierwszeństwo ma niniejszy Regulamin powierzenia.
  • W sprawach nieuregulowanych stosuje się RODO oraz przepisy prawa polskiego.
  • Pytania dotyczące niniejszego Regulaminu powierzenia można kierować na adres support@createen.pl.

Załącznik nr 1 — Dalsze podmioty przetwarzające

Umieszczenie podmiotu na poniższej liście nie oznacza, że przetwarza on dane każdego Klienta — faktyczny udział zależy od funkcji Usługi, z których Klient korzysta.

Podmiot przetwarzający Siedziba Cel / zakres przetwarzania
netcup GmbH Niemcy (EOG) Infrastruktura serwerowa hostująca aplikację i bazę danych (PostgreSQL) — wszystkie dane Usługi w spoczynku
Cloudflare, Inc. (R2) USA / sieć globalna Magazyn obiektowy dla przesłanych materiałów i plików faktur
Anthropic, PBC USA / Irlandia Wspomagane przez AI odczytywanie pól z przesłanych faktur
Resend, Inc. USA Dostarczanie wiadomości e-mail (transakcyjnych oraz — opcjonalnie — o produkcie)
PostHog, Inc. Hosting w Unii Europejskiej Nieinwazyjna analityka produktu w aplikacji (powtórki sesji wyłączone; bez rejestrowania wpisywanej treści)

Analityka witryny marketingowej (Google Tag Manager / Google Analytics) działa wyłącznie na powierzchni marketingowej i wyłącznie za zgodą odwiedzającego; nie przetwarza powierzonych Danych Osobowych Klienta i nie stanowi dalszego przetwarzania w rozumieniu niniejszego Regulaminu powierzenia (zob. Polityka plików cookie).

Załącznik nr 2 — Środki techniczne i organizacyjne

Usługodawca stosuje co najmniej następujące środki bezpieczeństwa (art. 32 RODO):

  • szyfrowanie danych w transmisji (HTTPS/TLS);
  • przechowywanie haseł wyłącznie w postaci zahaszowanej (argon2id), nigdy jako zwykły tekst;
  • uwierzytelnianie oparte na tokenach w ciasteczkach httpOnly oraz opcjonalne uwierzytelnianie dwuskładnikowe (TOTP);
  • kontrola dostępu oparta na rolach (RBAC) oraz ścisła izolacja danych między przestrzeniami roboczymi klientów;
  • przechowywanie plików w magazynie obiektowym z dostępem wyłącznie przez krótkotrwałe, podpisane adresy URL (pliki binarne nie przechodzą przez serwer aplikacji);
  • ograniczanie liczby żądań (rate limiting) na publicznych i wrażliwych punktach końcowych;
  • ograniczone logi serwera z redakcją danych wrażliwych;
  • regularne aktualizacje oprogramowania oraz kopie zapasowe bazy danych.