PhotoRobot
Centrum Zaufania
Legalny
Umowa o przetwarzaniu danych PhotoRobot (DPA)
Warunki korzystania z PhotoRobot
Umowa licencyjna PhotoRobot
Dokumenty prywatności PhotoRobot - Przegląd
Polityka prywatności PhotoRobot
Informacja o Prywatności PhotoRobot dotycząca RODO (Artykuł 13)
Umowa o przetwarzaniu danych PhotoRobot (DPA)
Polityka akceptowalnego użytkowania PhotoRobot (AUP)
Umowy o poziomie usług PhotoRobot (SLA)
Umowa o poziomie usług (SLA) dla oprogramowania PhotoRobot
Umowa o poziomie usług (SLA) dla sprzętu PhotoRobot
Warunki obsługi klienta PhotoRobot
Polityka dotycząca plików cookie PhotoRobot
Polityka zgody marketingowej PhotoRobot
Lista podprocesorów PhotoRobot
PhotoRobot – definicje prawne i słowniczek
Ostatnia edycja: 29 grudnia 2025

Umowa o przetwarzaniu danych PhotoRobot (DPA)

Dokument ten reprezentuje Umowę o przetwarzaniu danych PhotoRobot: Wersja 1.0 — PhotoRobot Edition, uni-Robot Ltd., Czechy.

1. Strony

Niniejsza Umowa o Przetwarzaniu Danych ("DPA") zostaje zawarta pomiędzy:

Kontroler (klient)
Osoba fizyczna lub podmiot prawny, który zawarł Regulamin PhotoRobot i korzysta z usługi.

oraz

Procesor:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praga 1
Czechy
Identyfikacja firmy: 01478061
ID VAT: CZ01478061
E-mail: legal@photorobot.com

Dalej zbiorczo nazywane "Stronami".

To DPA uzupełnia Warunki korzystania z usług PhotoRobot i ma zastosowanie, gdy PhotoRobot przetwarza dane osobowe w imieniu Klienta.

2. Temat i charakter przetwarzania

PhotoRobot ("Procesor") zapewnia usługi w chmurze, lokalne rozszerzenia oprogramowania, zarządzanie firmware'em oraz infrastrukturę hostingową niezbędną do przetwarzania obrazów, metadanych i powiązanych treści cyfrowych przesyłanych przez klienta ("Kontroler").

Przetwarzanie obejmuje:

  • Kolekcja
  • Przechowywanie
  • Transmisja
  • Ekstrakcja metadanych
  • synchronizacja między CL ↔ Cloud
  • Hosting treści przesyłanych przez klientów
  • tworzenie dzienników i diagnostyki
  • Operacje zapasowe

Przetwarzanie odbywa się wyłącznie w imieniu Kontrolera, zgodnie z jego udokumentowanymi instrukcjami.

3. Czas trwania

To DPA obowiązuje przez cały okres obowiązywania umowy między Stronami, a następnie tak długo, jak Procesor przechowuje lub przetwarza jakiekolwiek dane osobowe w imieniu Kontrolera.

4. Dane osobowe i kategorie podmiotów danych

4.1. Rodzaje danych osobowych

W zależności od sposobu korzystania z usługi, przetwarzane dane mogą obejmować:

  • Dane identyfikacyjne (imię, nazwisko, firma)
  • Dane kontaktowe (e-mail, telefon)
  • Treści wizualne (obrazy, filmy)
  • Metadane związane z przesłanymi treściami
  • dane logowe, adresy IP, identyfikatory techniczne
  • Dane na poziomie projektu
  • Poświadczenia (zahashowane), tokeny dostępu

Procesor nie wymaga ani celowo nie przetwarza specjalnych kategorii danych (art. 9 RODO).

4.2. Kategorie podmiotów danych

  • Pracownicy klienta
  • Klienci lub partnerzy klienta
  • Użytkownicy upoważniani
  • Każda osoba przedstawiona w treści wizualnych przesłanych przez klienta

Klient jest wyłącznie odpowiedzialny za zapewnienie legalnego zbierania danych od podmiotów danych.

5. Instrukcje od kontrolera

Procesor przetwarza wyłącznie dane osobowe:

  1. zgodnie z udokumentowanymi instrukcjami Kontrolera,
  2. w razie potrzeby świadczenia usługi,
  3. aby zapewnić bezpieczeństwo, integralność i dostępność systemów,
  4. zgodnie z wymogami prawa UE lub Czech.

Jeśli Procesor uzna polecenie za niezgodne z prawem, musi powiadomić Administratora.

6. Poufność

Procesor zapewnia, że wszystkie osoby upoważnione do przetwarzania danych osobowych:

  • podlegają obowiązkom poufności,
  • przeszły odpowiednie szkolenie,
  • przetwarza dane wyłącznie na polecenie Kontrolera.

7. Podprocesory

Procesor korzysta z usług określonych podmiotów trzecich ("Subprocesorów") do wsparcia usługi.

7.1. Zatwierdzone podprocesory

Kontroler udziela ogólnej zgody na współpracę z następującymi kategoriami podprocesorów:

  • Dostawcy infrastruktury chmurowej (np. Google Cloud Platform)
  • Dostawcy dostawy e-maili
  • Dostawcy analityki
  • Systemy biletowe
  • Usługi monitoringu bezpieczeństwa
  • Systemy backupu i odzyskiwania po awarii

Pełna lista jest utrzymywana w PhotoRobot Sub-Processor List i może być aktualizowana.

7.2. Powiadomienie o zmianach

Procesor musi powiadomić Kontrolera o wszelkich planowanych zmianach w podprocesorach co najmniej 15 dni wcześniej, co pozwala Kontrolerowi zgłosić sprzeciw na uzasadnionych podstawach.

8. Międzynarodowe transfery danych

Gdy podprocesory lub infrastruktura znajdują się poza EEA, procesor zapewnia:

  • stosowanie standardowych klauzul umownych (SCC 2021),
  • dodatkowe zabezpieczenia techniczne i organizacyjne,
  • zminimalizowany dostęp i szyfrowanie,
  • audyty zgodności przeprowadzane przez danego dostawcę.

Google Cloud Platform oferuje:

  • ISO 27001, ISO 27017, ISO 27018
  • Raporty SOC 1/2/3
  • Dokumentacja zgodności z RODO

Szczegóły dostępne pod adresem https://cloud.google.com/security.

9. Środki bezpieczeństwa

Procesor musi wdrażać branżowe standardy techniczne i organizacyjne (TOM), w tym:

9.1. Środki techniczne

  • Szyfrowanie TLS danych w trakcie przesyłania
  • Bezpieczne przechowywanie z zaszyfrowanymi tokenami dostępu
  • izolowane środowiska przetwarzania
  • Haszowanie haseł
  • Limity szybkości i systemy wykrywania włamań
  • Wielowarstwowe zapory sieciowe
  • Fizyczne bezpieczeństwo centrum danych (za pośrednictwem Google Cloud)

9.2. Środki organizacyjne

  • Kontrola dostępu oparta na rolach
  • Logowanie i monitorowanie dostępu
  • Wewnętrzne polityki dotyczące obsługi danych
  • Obowiązki dotyczące poufności pracowników
  • Okresowe szkolenia z zakresu bezpieczeństwa
  • Zarządzanie ryzykiem dostawców

Pełna lista TOM-ów jest dostępna na życzenie.

10. Prawa podmiotów danych

Procesor pomaga kontrolerowi w reagowaniu na:

  • Żądania dostępu
  • Rectifikacja
  • usunięcie
  • Ograniczenie
  • Przenośność danych
  • Zarzuty

Procesor powinien przekazywać każde bezpośrednie żądanie od podmiotu objętego danymi do Kontrolera bez zbędnej zwłoki.

11. Powiadomienie o naruszeniu danych

W przypadku naruszenia danych osobowych Procesor powiadomi Administratora:

  • Bez zbędnej zwłoki,
  • w tym wszystkie informacje wymagane przez artykuł 33 RODO,
  • oraz dostarczać bieżące aktualizacje do czasu zakończenia naprawy.

Kontroler pozostaje odpowiedzialny za powiadamianie władz i osób dotkniętych.

12. Usunięcie lub zwrot danych

Po zakończeniu umowy:

  • Procesor usuwa dane klienta po 30 dniach,
  • chyba że Kontroler poleci inaczej,
  • z wyjątkiem sytuacji, gdy utrzymanie jest wymagane przez prawo.

Kopie zapasowe są nadpisywane w trakcie normalnego cyklu życia.

13. Audyty

Kontroler ma prawo do:

  • otrzymaj dokumentację potwierdzającą zgodność z RODO
  • poproś o raport o TOM-ach
  • przeprowadzaj rozsądne audyty, ograniczone do raz w roku
  • polegaj na certyfikacjach firm trzecich (raporty ISO/SOC Google Cloud)

Audyty nie mogą zagrażać bezpieczeństwu ani zakłócać działań.

14. Odpowiedzialność

Odpowiedzialność stron wynika z Warunków świadczenia usług.
Procesor odpowiada wyłącznie za naruszenia wynikające z naruszeń wynikających z jego własnych zobowiązań wynikających z RODO.

15. Prawo i jurysdykcja

Ta DPA jest regulowana przez prawo Republiki Czeskiej.

Spory rozstrzygane są przez sądy w Pradze, Czechy.

16. Standardowe klauzule umowne (SCC)

W razie potrzeby SCC 2021 (Moduł 2: Kontroler → Procesor) obowiązuje jako załącznik do tego DPA.

PhotoRobot:

  • włącza SCC przez odniesienie,
  • zawiera wszystkie obowiązkowe klauzule,
  • wdraża dodatkowe środki techniczne
  • zapewnia zgodność z transferami do podprocesorów spoza EOG.

SCC może być udostępniony w całości na życzenie.

17. Kontakt

uni-Robot Ltd.
Vodičkova 710/31
110 00 Praga 1
Czechy

E-mail: legal@photorobot.com