§1. Strony
Administrator: użytkownik Serwisu Progres, który wprowadza do aplikacji dane osobowe innych osób (np. trener wpisujący dane swoich podopiecznych). Jeżeli Klient używa Progres wyłącznie do własnych, osobistych celów, niniejsza umowa nie ma zastosowania.
Procesor: FeGrro Dominik Grzenia, ul. Na Równiku 1, 83-314 Sławki, NIP: 5892037971 (dalej: „Progres").
§2. Przedmiot powierzenia
Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usług Serwisu Progres, w szczególności: przechowywanie, udostępnianie, wyświetlanie i backup.
§3. Charakter, cel i czas przetwarzania
Charakter: przetwarzanie zautomatyzowane w chmurze.
Cel: świadczenie usługi Serwisu zgodnie z Regulaminem.
Czas: przez okres obowiązywania umowy o świadczenie usług (aktywne konto Administratora); po zakończeniu — dane są usuwane w ciągu 30 dni.
§4. Rodzaj danych i kategorie osób
Rodzaj danych: dane identyfikacyjne (imię/pseudonim), parametry treningowe, pomiary ciała, statystyki nawyków — wprowadzane przez Administratora.
Kategorie osób: osoby fizyczne wskazane przez Administratora (np. jego podopieczni, klienci trenerscy).
§5. Obowiązki Procesora
Procesor zobowiązuje się do:
- przetwarzania danych wyłącznie na udokumentowane polecenie Administratora,
- zapewnienia poufności osobom upoważnionym do przetwarzania,
- wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo (szyfrowanie TLS, bcrypt do haseł, backup),
- pomocy Administratorowi w realizacji praw osób, których dane dotyczą,
- zgłaszania Administratorowi naruszeń ochrony danych w terminie 72 godzin od ich stwierdzenia,
- usunięcia lub zwrotu danych po zakończeniu świadczenia usług — zgodnie z wyborem Administratora.
§6. Podpowierzenie
Administrator wyraża ogólną zgodę na korzystanie przez Procesora z podprzetwarzających. Aktualna lista podprocesorów obejmuje:
- Resend Inc. (San Francisco, USA) — wysyłka e-maili transakcyjnych. Podstawa: SCC (standardowe klauzule umowne).
- PayPro S.A. (Poznań, Polska) — obsługa płatności (Przelewy24).
- Dostawca infrastruktury chmurowej — hosting aplikacji i baz danych w obrębie EOG.
O każdej zmianie na liście podprocesorów Procesor informuje Administratora z 14-dniowym wyprzedzeniem e-mailem. Administrator ma prawo wnieść sprzeciw, co skutkuje możliwością rozwiązania niniejszej umowy.
§7. Środki techniczne i organizacyjne
- transport TLS 1.2+ (HTTPS wymuszone dla całego ruchu),
- hasła użytkowników zabezpieczone algorytmem bcrypt,
- izolacja danych pomiędzy kontami klientów (multi-tenant przez user_id),
- codzienne kopie zapasowe (30-dniowa retencja),
- logowanie zdarzeń administracyjnych,
- ograniczony dostęp do środowiska produkcyjnego (tylko Administrator serwisu).
§8. Audyt
Administrator ma prawo — po uprzednim uzgodnieniu, nie częściej niż raz w roku — do otrzymania raportu ze stanu wdrożonych środków bezpieczeństwa. W szczególnie uzasadnionych przypadkach (np. wskazanie na naruszenie) Administrator może żądać audytu na koszt własny.
§9. Odpowiedzialność
Każda ze stron odpowiada za szkody wynikające z naruszenia niniejszej Umowy oraz przepisów o ochronie danych osobowych na zasadach ogólnych. Odpowiedzialność Procesora względem Administratora jest ograniczona do wysokości opłat wniesionych przez Administratora w ciągu ostatnich 12 miesięcy.
§10. Postanowienia końcowe
Umowa jest zawierana z chwilą akceptacji podczas rejestracji konta i obowiązuje przez okres świadczenia usług. Zmiany Umowy wymagają formy pisemnej (dopuszczalna jest forma elektroniczna) i zostaną zakomunikowane e-mailem z 14-dniowym wyprzedzeniem.