INCI APIINCI API

Umowa o powierzeniu przetwarzania danych

Data wejścia w życie: 26 marca 2026 · Ostatnia aktualizacja: 26 marca 2026

Pobierz PDF

Niniejsza Umowa o powierzeniu przetwarzania danych („DPA”) stanowi część Warunków świadczenia usług zawartych pomiędzy Andrii Sukhanov, działającym jako INCI API („Podmiot przetwarzający”, „my”, „nas”), autónomo zarejestrowanym w Hiszpanii (NIE: Z2338955K), a podmiotem akceptującym te warunki („Administrator danych”, „Ty”, „Klient”).

Niniejsza DPA została zawarta na podstawie art. 28 ogólnego rozporządzenia UE o ochronie danych (Regulation 2016/679, „GDPR”) i odzwierciedla porozumienie stron co do przetwarzania Danych osobowych przez Podmiot przetwarzający w imieniu Administratora danych.

1. Definicje

  • „Dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („Osoba, której dane dotyczą”), zgodnie z art. 4(1) GDPR.
  • „Przetwarzanie” oznacza wszelkie operacje wykonywane na Danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, w tym zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, usuwanie lub niszczenie.
  • „Podprocesor” oznacza dowolną osobę trzecią, której Podmiot przetwarzający powierzył przetwarzanie Danych osobowych w imieniu Administratora danych.
  • „Osoba, której dane dotyczą” oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną, do której odnoszą się Dane osobowe.
  • „GDPR” oznacza ogólne rozporządzenie o ochronie danych (UE) 2016/679 Parlamentu Europejskiego i Rady.
  • „Standardowe klauzule umowne” (SCC) oznaczają klauzule umowne zatwierdzone przez Komisję Europejską dotyczące przekazywania Danych osobowych do państw trzecich.

2. Zakres i cel

Podmiot przetwarzający przetwarza Dane osobowe w imieniu Administratora danych wyłącznie w następujących celach:

  • Świadczenie usługi INCI API, w tym analiza składników, wyszukiwanie produktów, ocena bezpieczeństwa, wykrywanie alergenów i analiza kompatybilności skóry
  • Zarządzanie kontem, uwierzytelnianie i autoryzacja
  • Śledzenie użycia, limitowanie i rozliczenia
  • Ulepszanie usługi, monitorowanie wydajności i analityka
  • Obsługa klienta i komunikacja

Podmiot przetwarzający nie przetwarza Danych osobowych w celach innych niż określone w niniejszej DPA lub udokumentowane na piśmie przez Administratora danych.

3. Rodzaje przetwarzanych danych osobowych

  • Dane konta: imię i nazwisko, adres e-mail, hashowane hasło
  • Dane użycia API: dzienniki żądań, znaczniki czasu, adresy IP, używane endpointy, kody odpowiedzi, identyfikatory kluczy API
  • Dane rozliczeniowe: poziom subskrypcji, metadane metody płatności (pełne dane płatności są przetwarzane wyłącznie przez Stripe i nigdy nie są przechowywane na naszych serwerach)
  • Dane techniczne: typ przeglądarki, informacje o urządzeniu, system operacyjny, adresy URL odsyłające (zbierane przez analitykę w celu ulepszania usługi)

Podmiot przetwarzający nie przetwarza szczególnych kategorii Danych osobowych (art. 9 GDPR) ani Danych osobowych dotyczących wyroków skazujących (art. 10 GDPR).

4. Kategorie osób, których dane dotyczą

Dane osobowe przetwarzane na podstawie niniejszej DPA dotyczą następujących kategorii Osób, których dane dotyczą:

  • Pracownicy i wykonawcy Klienta uzyskujący dostęp do INCI API i korzystający z niego
  • Użytkownicy końcowi aplikacji Klienta zintegrowanych z INCI API (w zakresie, w jakim ich dane są przesyłane przez żądania API)

5. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się do:

  1. Przetwarzania Danych osobowych wyłącznie na udokumentowane polecenie Administratora, w tym w odniesieniu do przekazywania Danych osobowych do państwa trzeciego, chyba że obowiązek taki wynika z prawa Unii lub państwa członkowskiego, któremu podlega Podmiot przetwarzający
  2. Zapewnienia, że osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu obowiązkowi prawnemu w tym zakresie
  3. Wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 GDPR w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka
  4. Niekorzystania z innego podmiotu przetwarzającego (podprocesora) bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora. W przypadku ogólnej pisemnej zgody Podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów, dając Administratorowi możliwość wniesienia sprzeciwu
  5. Z uwzględnieniem charakteru przetwarzania, pomagania Administratorowi za pomocą odpowiednich środków technicznych i organizacyjnych, w miarę możliwości, w wywiązywaniu się z obowiązku odpowiadania na żądania związane z prawami Osoby, której dane dotyczą
  6. Pomagania Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 GDPR, biorąc pod uwagę charakter przetwarzania oraz informacje, którymi dysponuje Podmiot przetwarzający
  7. Według wyboru Administratora, usunięcia lub zwrócenia wszystkich Danych osobowych Administratorowi po zakończeniu świadczenia usług oraz usunięcia istniejących kopii, chyba że prawo Unii lub państwa członkowskiego nakazuje przechowywanie
  8. Udostępnienia Administratorowi wszystkich informacji niezbędnych do wykazania zgodności z obowiązkami określonymi w art. 28 GDPR oraz umożliwienia Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzania audytów, w tym inspekcji, oraz wsparcia w nich

6. Środki bezpieczeństwa

Podmiot przetwarzający wdraża następujące środki techniczne i organizacyjne w celu ochrony Danych osobowych zgodnie z art. 32 GDPR:

  • Szyfrowanie w tranzycie: Wszystkie dane przesyłane między klientami a serwerami są szyfrowane przy użyciu TLS 1.2 lub wyższej (HTTPS)
  • Szyfrowanie w spoczynku: Pamięć bazy danych korzysta z szyfrowania w spoczynku MongoDB dla wszystkich przechowywanych Danych osobowych
  • Kontrola dostępu: Uwierzytelnianie za pomocą tokenów JWT i kluczy API; kontrola dostępu oparta na rolach; zasada najmniejszych uprawnień
  • Bezpieczeństwo haseł: Hasła użytkowników są przechowywane przy użyciu haszowania bcrypt z odpowiednimi współczynnikami kosztu; klucze API są przechowywane jako bezpieczne hashe
  • Bezpieczeństwo infrastruktury: Infrastruktura zabezpieczona zaporą sieciową (UFW z ograniczonymi portami), regularne aktualizacje bezpieczeństwa i poprawki
  • Lokalizacja serwerów: Infrastruktura DigitalOcean (obecnie w USA; planowana migracja do centrum danych UE/EOG)
  • Dane płatności: Brak przechowywania danych kart płatniczych na naszych serwerach. Wszystkie płatności są obsługiwane przez Stripe, który utrzymuje zgodność PCI DSS Level 1
  • Monitoring: Zautomatyzowany monitoring, logowanie i alerty dotyczące zdarzeń bezpieczeństwa i anomalii

7. Podprocesorzy

Administrator udziela Podmiotowi przetwarzającemu ogólnej zgody na korzystanie z następujących podprocesorów. Podmiot przetwarzający powiadomi Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów z co najmniej 30-dniowym pisemnym wyprzedzeniem, dając tym samym Administratorowi możliwość zgłoszenia sprzeciwu wobec takich zmian.

Podprocesorzy zaangażowani przez INCI API
PodprocesorCelLokalizacja
DigitalOceanHosting infrastrukturyUSA (planowana migracja do UE)
StripePrzetwarzanie płatnościUSA (centrum danych UE)
Google AnalyticsAnalityka witrynyUSA (przetwarzanie danych w UE)
Microsoft ClarityAnaliza sesjiUSA

Jeżeli Administrator zgłosi sprzeciw wobec nowego podprocesora z uzasadnionych powodów związanych z ochroną danych, strony omówią sprawę w dobrej wierze. Jeśli rozwiązanie nie zostanie osiągnięte w ciągu 30 dni, Administrator może rozwiązać dotknięte usługi bez kary.

8. Przekazywanie danych

Dane osobowe mogą być przekazywane i przetwarzane w państwach poza Unią Europejską i Europejskim Obszarem Gospodarczym. W przypadku takich przekazań Podmiot przetwarzający zapewnia odpowiednie zabezpieczenia zgodnie z Rozdziałem V GDPR, w tym:

  • Standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską (Decyzja wykonawcza (UE) 2021/914)
  • Decyzje stwierdzające odpowiedni stopień ochrony Komisji Europejskiej, gdy mają zastosowanie
  • Dodatkowe środki techniczne i organizacyjne uzupełniające mechanizmy przekazywania, gdy jest to niezbędne, zgodnie z wyrokiem Schrems II (sprawa C-311/18)

9. Powiadamianie o naruszeniu danych

Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki, a w każdym przypadku w ciągu 72 godzin po stwierdzeniu naruszenia ochrony Danych osobowych w rozumieniu art. 4(12) GDPR. Powiadomienie obejmuje:

  • Opis charakteru naruszenia, w tym kategorii i przybliżonej liczby Osób, których dane dotyczą, oraz rekordów objętych naruszeniem
  • Imię i nazwisko oraz dane kontaktowe osoby do kontaktu w sprawie ochrony danych, od której można uzyskać dalsze informacje
  • Opis prawdopodobnych konsekwencji naruszenia
  • Opis środków podjętych lub proponowanych w celu zaradzenia naruszeniu, w tym środków łagodzących możliwe negatywne skutki

Podmiot przetwarzający współpracuje z Administratorem i podejmuje uzasadnione środki gospodarcze, aby pomóc w dochodzeniu, łagodzeniu i naprawianiu każdego takiego naruszenia.

10. Prawa osób, których dane dotyczą

Podmiot przetwarzający pomaga Administratorowi w wykonywaniu obowiązków odpowiadania na żądania Osób, których dane dotyczą, dotyczące korzystania z ich praw na mocy Rozdziału III GDPR, w tym:

  • Prawo dostępu (art. 15)
  • Prawo do sprostowania (art. 16)
  • Prawo do usunięcia / prawo do bycia zapomnianym (art. 17)
  • Prawo do ograniczenia przetwarzania (art. 18)
  • Prawo do przenoszenia danych (art. 20)
  • Prawo do sprzeciwu (art. 21)

Jeśli Podmiot przetwarzający otrzyma żądanie bezpośrednio od Osoby, której dane dotyczą, niezwłocznie poinformuje o tym Administratora i nie odpowie na żądanie bez uprzedniej pisemnej zgody Administratora, chyba że jest do tego prawnie zobowiązany.

11. Prawa audytu

Administrator może audytować przestrzeganie niniejszej DPA przez Podmiot przetwarzający. Audyty podlegają następującym warunkom:

  • Administrator z co najmniej 30-dniowym pisemnym wyprzedzeniem zawiadomi o audycie
  • Audyty będą przeprowadzane nie częściej niż raz w roku kalendarzowym, chyba że wymaga tego organ nadzorczy lub nastąpiło naruszenie Danych osobowych
  • Audyty będą przeprowadzane w normalnych godzinach pracy i nie mogą w sposób nieuzasadniony zakłócać działalności Podmiotu przetwarzającego
  • Administrator pokryje koszty audytu, chyba że audyt wykaże istotną niezgodność po stronie Podmiotu przetwarzającego
  • Administrator może zaangażować wykwalifikowanego, niezależnego audytora zewnętrznego, z zastrzeżeniem rozsądnych zobowiązań do zachowania poufności

12. Okres obowiązywania i rozwiązanie

Niniejsza DPA pozostaje w mocy przez okres obowiązywania umowy o świadczenie usług między stronami. Po rozwiązaniu umowy o świadczenie usług:

  • Podmiot przetwarzający, według wyboru Administratora, usunie lub zwróci wszystkie Dane osobowe w ciągu 30 dni od daty rozwiązania
  • Podmiot przetwarzający usunie istniejące kopie Danych osobowych, chyba że prawo Unii lub państwa członkowskiego nakazuje ich przechowywanie (np. ewidencje podatkowe i finansowe wymagane prawem hiszpańskim)
  • Podmiot przetwarzający na żądanie Administratora dostarczy pisemne potwierdzenie usunięcia

13. Prawo właściwe

Niniejsza DPA podlega i będzie interpretowana zgodnie z prawem Królestwa Hiszpanii, bez uwzględniania jego przepisów kolizyjnych. GDPR ma zastosowanie do wszystkich kwestii związanych z przetwarzaniem Danych osobowych. Wszelkie spory wynikające z niniejszej DPA podlegają wyłącznej jurysdykcji sądów Wysp Kanaryjskich, Hiszpania (Santa Cruz de Tenerife).

14. Kontakt

W przypadku pytań, wątpliwości lub żądań związanych z niniejszą Umową o powierzeniu przetwarzania danych, skontaktuj się z nami:

Kontakt ds. Ochrony Danych

Andrii Sukhanov

Av. Marítima 2, puerta 05c
Los Silos, Santa Cruz de Tenerife, España

E-mail: privacy@inciapi.com

Strona internetowa: inciapi.com

Powiązane dokumenty