Umowa powierzenia przetwarzania danych (DPA)

Data wejścia w życie: 6 maja 2026 r.  |  zgodna z art. 28 RODO

1. Strony umowy

Podmiot przetwarzający: Właściciel serwisu Adresy.app ([email protected]), świadczący usługi pod adresem api.adresy.app.

Administrator: Użytkownik serwisu Adresy.app — osoba fizyczna lub prawna korzystająca z API w celu przetwarzania danych osobowych swoich klientów.

2. Przedmiot i czas powierzenia

Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie i celu opisanym w niniejszej umowie, na czas obowiązywania konta w serwisie Adresy.app.

Umowa wchodzi w życie z chwilą zaakceptowania Regulaminu i korzystania z API do przetwarzania danych osobowych osób trzecich.

3. Charakter i cel przetwarzania

Podmiot przetwarzający przetwarza dane wyłącznie w celu świadczenia usługi walidacji i normalizacji adresów. Przetwarzanie polega na:

• przyjęciu zapytania adresowego zawierającego dane osobowe (np. imię, adres dostawy),
• porównaniu adresu z rejestrami PRG i TERYT,
• zwróceniu znormalizowanego adresu lub wyniku walidacji Administratorowi.

Podmiot przetwarzający nie przechowuje treści adresów na dysku ani w bazie danych — zapytania przetwarzane są wyłącznie w pamięci operacyjnej. Dane osobowe zawarte w zapytaniach adresowych nie są rejestrowane ani zapisywane.

4. Rodzaj danych i kategorie osób

Rodzaj danych: adresy pocztowe (ulica, numer domu/lokalu, miejscowość, kod pocztowy), opcjonalnie imię i nazwisko osoby jako część adresu.

Kategorie osób: klienci lub kontrahenci Administratora, których adresy są weryfikowane.

Dane szczególnie wrażliwe: nie są przetwarzane.

5. Obowiązki podmiotu przetwarzającego (Adresy.app)

Podmiot przetwarzający zobowiązuje się do:

• przetwarzania danych wyłącznie na udokumentowane polecenie Administratora (tj. w wyniku wywołań API),
• zapewnienia, że osoby upoważnione do przetwarzania danych są zobowiązane do zachowania poufności,
• wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32 RODO),
• pomocy Administratorowi w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą,
• pomocy Administratorowi w spełnieniu obowiązków wynikających z art. 32–36 RODO,
• usunięcia lub zwrotu danych po zakończeniu świadczenia usług,
• udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania zgodności z art. 28 RODO.

6. Obowiązki administratora (Użytkownik)

Administrator oświadcza i zobowiązuje się, że:

• posiada ważną podstawę prawną do przetwarzania danych osobowych przekazywanych przez API,
• spełnił wobec osób, których dane dotyczą, obowiązek informacyjny wynikający z art. 13–14 RODO,
• korzysta z API wyłącznie w celach zgodnych z prawem i opisanych w polityce prywatności swojego serwisu,
• niezwłocznie poinformuje Podmiot przetwarzający o wszelkich zmianach mających wpływ na podstawę prawną przetwarzania.

7. Dalsze powierzenie — podpodmioty przetwarzające

Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z usług podpodmiotów przetwarzających wymienionych poniżej. Podmiot przetwarzający poinformuje Administratora o zamierzonych zmianach z 30-dniowym wyprzedzeniem.

Podpodmiot	Rola	Lokalizacja
Hetzner Online GmbH	Hosting serwera (infrastruktura)	Niemcy (UE)
Sentry (Functional Software, Inc.)	Monitoring błędów technicznych	USA (SCC) — dane adresowe NIE są przesyłane do Sentry

Uwaga: Stripe, Resend i Anthropic przetwarzają wyłącznie dane konta i rozliczeń Użytkownika (administratora), a nie dane osobowe klientów końcowych przesyłane przez API.

8. Środki bezpieczeństwa

Podmiot przetwarzający stosuje następujące środki ochrony danych:

• szyfrowanie transmisji (HTTPS/TLS 1.2+) dla wszystkich połączeń API,
• uwierzytelnianie kluczem API (SHA-256) lub sesją cookie (bcrypt/SHA-256),
• rate limiting chroniący przed nieautoryzowanym masowym pobieraniem danych,
• logi dostępu przechowywane przez ograniczony czas (90 dni),
• serwery w centrum danych z certyfikatem ISO 27001 (Hetzner),
• brak zapisu treści zapytań adresowych na dysku — przetwarzanie wyłącznie in-memory.

9. Transfery do państw trzecich

Dane adresowe przetwarzane przez API nie są transferowane poza UE/EOG. Serwer aplikacji zlokalizowany jest w Niemczech (Hetzner). Sentry może otrzymywać jedynie dane techniczne o błędach — nie przetwarza danych adresowych klientów.

10. Naruszenia ochrony danych

W przypadku wykrycia naruszenia ochrony danych osobowych Podmiot przetwarzający zobowiązuje się poinformować Administratora bez zbędnej zwłoki — nie później niż w ciągu 72 godzin od powzięcia wiadomości o naruszeniu — drogą e-mailową na adres podany w koncie.

Powiadomienie będzie zawierać: charakter naruszenia, kategorie i przybliżoną liczbę osób, których dotyczy, możliwe konsekwencje oraz podjęte środki zaradcze.

11. Audyt i weryfikacja

Administrator ma prawo weryfikować zgodność Podmiotu przetwarzającego z niniejszą umową poprzez pisemne zapytania na adres [email protected]. Podmiot przetwarzający udzieli odpowiedzi w terminie 30 dni.

Inspekcje fizyczne lub techniczne wymagają wcześniejszego uzgodnienia i mogą być realizowane nie częściej niż raz w roku, bez zakłócania działalności operacyjnej.

12. Zakończenie powierzenia

Po zakończeniu korzystania z Usługi (usunięciu konta) Podmiot przetwarzający zaprzestaje przetwarzania danych Administratora. Jako że dane adresowe przekazywane przez API nie są przechowywane, nie jest wymagany dodatkowy proces usuwania danych.

Dane konta Administratora (email, logi użycia) są usuwane zgodnie z Polityką prywatności.

13. Akceptacja warunków

Niniejsza umowa DPA stanowi integralną część Regulaminu Adresy.app. Akceptacja Regulaminu podczas rejestracji oznacza jednoczesną akceptację warunków niniejszej umowy powierzenia.

Jeśli Twoja organizacja wymaga podpisanej wersji DPA (np. na potrzeby zgodności korporacyjnej lub audytów), skontaktuj się z nami: