Umowa powierzenia przetwarzania danych osobowych Mezantic

Wersja: 1.0
Data wejścia w życie: 2026-05-15
Podmiot przetwarzający: SONATE sp. z o.o., ul. Gospodarcza 26, 20-213 Lublin, KRS 0001162191, NIP 9462751627, REGON 541212186
Kontakt w sprawach ochrony danych: hello@mezantic.com

Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: „Umowa powierzenia" lub „DPA") została zawarta na podstawie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: „RODO").

1. Strony i zakres Umowy powierzenia

1.1. Umowa powierzenia ma zastosowanie, gdy klient korzysta z usługi Mezantic w celu przetwarzania danych osobowych, w odniesieniu do których klient pełni rolę administratora w rozumieniu art. 4 pkt 7 RODO (dalej: „Administrator"), a SONATE sp. z o.o. pełni rolę podmiotu przetwarzającego w rozumieniu art. 4 pkt 8 RODO (dalej: „Podmiot przetwarzający" lub „Mezantic").

1.2. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych (dalej: „Powierzone Dane") w ramach świadczenia przez Mezantic usług kreatora formularzy oraz powiązanych funkcji udostępniania, publikowania i zarządzania treścią cyfrową udostępnianych w ramach platformy Mezantic, w zakresie określonym Regulaminem świadczenia usług. Powierzone Dane obejmują w szczególności treść formularzy, odpowiedzi respondentów, przesłane przez respondentów pliki, polecenia kierowane do funkcji wspomaganych sztuczną inteligencją, projekty generowane przez te funkcje, metadane formularzy i odpowiedzi oraz dane przekazywane w ramach wsparcia.

1.3. Mezantic pozostaje samodzielnym administratorem w odniesieniu do danych dotyczących konta klienta, rozliczeń, bezpieczeństwa, zapobiegania nadużyciom, wsparcia, akceptacji prawnych, zgód, działania produktu oraz bezpieczeństwa platformy, na zasadach opisanych w Polityce prywatności. Mezantic może również wykorzystywać dane zanonimizowane pochodzące z Powierzonych Danych — w postaci uniemożliwiającej identyfikację osoby, której dane dotyczą, zgodnie z motywem 26 RODO — w celu doskonalenia Usługi i prowadzenia analityki produktowej, w tym analizy zagregowanych wzorców użycia obejmujących wielu klientów, na podstawie art. 6 ust. 1 lit. f RODO. Powyższa analityka cross-customer działa wyłącznie na zagregowanych metadanych użycia i nie czerpie z treści odpowiedzi Respondentów. Niniejsza Umowa powierzenia nie obejmuje tych operacji przetwarzania.

1.4. Umowa powierzenia stanowi uzupełnienie Regulaminu świadczenia usług. W razie sprzeczności dotyczącej obowiązków Podmiotu przetwarzającego pierwszeństwo mają postanowienia niniejszej Umowy powierzenia w zakresie objętym powierzeniem.

1.5. Umowę powierzenia zawiera się w formie elektronicznej w rozumieniu art. 28 ust. 9 RODO poprzez akceptację jej treści w procesie zakładania konta lub w innej trwałej formie elektronicznej zaakceptowanej przez Strony.

2. Przedmiot, czas trwania, charakter, cel, rodzaj danych i kategorie osób (art. 28 ust. 3 zdanie pierwsze RODO)

2.1. Przedmiot przetwarzania: świadczenie przez Mezantic usługi kreatora formularzy, hostingu publicznych formularzy, zbierania odpowiedzi, eksportu odpowiedzi, wspomaganego sztuczną inteligencją przygotowywania projektów formularzy, przechowywania powiązanych plików, wsparcia oraz operacji towarzyszących świadczeniu usługi.

2.2. Czas trwania przetwarzania: przez okres obowiązywania umowy o świadczenie usług zawartej między Administratorem a Mezantic oraz przez okres niezbędny po jej zakończeniu do realizacji obowiązków wynikających z art. 28 ust. 3 lit. g RODO (zwrot lub usunięcie danych), wygaśnięcia kopii zapasowych, retencji wymaganej przepisami prawa oraz zamknięcia spraw wsparcia.

2.3. Charakter przetwarzania: czynności przetwarzania w rozumieniu art. 4 pkt 2 RODO obejmujące w szczególności zbieranie, utrwalanie, przechowywanie, przesyłanie, organizowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez transmisję, usuwanie oraz zabezpieczanie Powierzonych Danych z wykorzystaniem systemów teleinformatycznych Podmiotu przetwarzającego i jego Dalszych podmiotów przetwarzających.

2.4. Cel przetwarzania: umożliwienie Administratorowi korzystania z funkcjonalności usługi Mezantic, w tym tworzenia formularzy, ich publikowania, zbierania i eksportowania odpowiedzi, korzystania z funkcji wspomaganych AI oraz uzyskiwania wsparcia.

2.5. Rodzaj Powierzonych Danych: treść formularzy, odpowiedzi respondentów, dane kontaktowe respondentów i innych osób wskazane w formularzu przez Administratora, pliki przesłane przez respondentów, polecenia kierowane do funkcji AI, projekty wygenerowane przez funkcje AI, metadane formularzy, metadane odpowiedzi, opcjonalne metadane techniczne oraz dane przekazane w ramach wsparcia.

2.6. Kategorie osób, których dane dotyczą: użytkownicy końcowi Administratora (np. członkowie jego zespołu), respondenci formularzy, kontakty Administratora oraz inne osoby, których dane Administrator zdecyduje się przetwarzać za pośrednictwem usługi.

3. Udokumentowane polecenia Administratora (art. 28 ust. 3 lit. a RODO)

3.1. Podmiot przetwarzający przetwarza Powierzone Dane wyłącznie na udokumentowane polecenie Administratora — także w zakresie przekazywania danych do państwa trzeciego lub organizacji międzynarodowej — chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego; w takim przypadku Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym przed rozpoczęciem przetwarzania, chyba że prawo to zabrania udzielenia takiej informacji ze względu na ważny interes publiczny.

3.2. Za udokumentowane polecenia Administratora w rozumieniu art. 28 ust. 3 lit. a RODO uważa się: (i) Regulamin świadczenia usług, (ii) niniejszą Umowę powierzenia, (iii) konfigurację produktu dokonaną przez Administratora, (iv) zgłoszenia kierowane do wsparcia, (v) inne pisemne instrukcje przekazane Mezantic w sposób zgodny z prawem.

3.3. Podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane polecenie stanowi naruszenie RODO, innych przepisów Unii lub państwa członkowskiego o ochronie danych. Mezantic może odmówić wykonania polecenia, które w sposób oczywisty wydaje się sprzeczne z prawem, technicznie niewykonalne, wykraczające poza zakres usługi lub niezgodne z Regulaminem.

3.4. Administrator oświadcza, że przy formułowaniu poleceń, projektowaniu formularzy, redagowaniu klauzul informacyjnych, pozyskiwaniu zgód oraz dalszym wykorzystywaniu wyeksportowanych danych zapewnia podstawę prawną przetwarzania i zgodność z RODO.

4. Poufność osób upoważnionych (art. 28 ust. 3 lit. b RODO)

4.1. Podmiot przetwarzający zapewnia, że osoby, które upoważnia do przetwarzania Powierzonych Danych, zobowiązują się do zachowania ich w tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

4.2. Podmiot przetwarzający udostępnia Powierzone Dane wyłącznie osobom, w odniesieniu do których przetwarzanie jest niezbędne do wykonania zadań w ramach świadczenia usługi.

5. Bezpieczeństwo przetwarzania (art. 28 ust. 3 lit. c w zw. z art. 32 RODO)

5.1. Podmiot przetwarzający wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne, o których mowa w art. 32 RODO, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka, uwzględniając stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.

5.2. Środki, o których mowa w pkt 5.1, obejmują w szczególności: (i) kontrolę dostępu i uwierzytelnianie, (ii) szyfrowanie danych w przesyle i w spoczynku, (iii) separację danych poszczególnych Administratorów (multi-tenancy), (iv) bezpieczną konfigurację środowisk produkcyjnych, (v) logowanie zdarzeń i ich przegląd, (vi) procesy tworzenia kopii zapasowych i odtwarzania po awarii, (vii) zarządzanie podatnościami i incydentami, (viii) zabezpieczenia wnoszone przez Dalsze podmioty przetwarzające.

5.3. Administrator jest odpowiedzialny za bezpieczeństwo po swojej stronie, w tym za kontrolę dostępu do konta, prawidłowe informacje dla respondentów, projekt formularzy adekwatny do ryzyka oraz bezpieczne postępowanie z danymi po ich eksporcie.

6. Dalsze podmioty przetwarzające — Podprocesorzy (art. 28 ust. 2 i ust. 4 RODO)

6.1. Administrator udziela Mezantic ogólnej pisemnej zgody na korzystanie z Dalszych podmiotów przetwarzających (dalej: „Podprocesorzy") w rozumieniu art. 28 ust. 2 RODO, niezbędnych do świadczenia usługi.

6.2. Aktualna lista Podprocesorów jest publikowana pod adresem mezantic.com/pl/legal/service-providers i wskazuje: nazwę dostawcy, podmiot prawny i adres, cel przetwarzania, region przetwarzania oraz mechanizm transferu poza Europejski Obszar Gospodarczy (dalej: „EOG"), jeżeli ma zastosowanie. Strona wyodrębnia ponadto Podprocesorów mogących przetwarzać dane respondentów od dostawców wspierających wyłącznie operacje Mezantic oraz dostawców ładowanych po uzyskaniu zgody.

6.3. Mezantic zawiera z każdym Podprocesorem umowę nakładającą na niego obowiązki ochrony danych zasadniczo równoważne obowiązkom Podmiotu przetwarzającego wynikającym z niniejszej Umowy powierzenia w zakresie właściwym dla danego przetwarzania (art. 28 ust. 4 RODO). Mezantic ponosi wobec Administratora pełną odpowiedzialność za wypełnienie obowiązków przez Podprocesorów na zasadach określonych w art. 28 ust. 4 zdanie drugie RODO.

6.4. Mezantic informuje Administratora o zamierzonych zmianach polegających na dodaniu lub zastąpieniu Podprocesora, który może przetwarzać dane respondentów, z wyprzedzeniem nie krótszym niż 14 dni przed datą rozpoczęcia przetwarzania przez nowego Podprocesora, za pośrednictwem aktualizacji wykazu Podprocesorów, komunikatu w produkcie, wiadomości e-mail lub innego rozsądnego kanału.

6.5. Administrator może w terminie 14 dni od dnia otrzymania informacji, o której mowa w pkt 6.4, zgłosić uzasadniony sprzeciw wobec nowego Podprocesora. W razie sprzeciwu Strony podejmują w dobrej wierze rozmowy w celu znalezienia rozsądnej alternatywy. Jeżeli alternatywa nie jest dostępna, Administrator może zaprzestać korzystania z funkcjonalności objętej sprzeciwem albo rozwiązać umowę o świadczenie usług w części dotkniętej sprzeciwem.

7. Pomoc Podmiotu przetwarzającego

7.1. Pomoc w realizacji praw osób, których dane dotyczą (art. 28 ust. 3 lit. e RODO)

7.1.1. Biorąc pod uwagę charakter przetwarzania, Mezantic — w miarę możliwości i poprzez odpowiednie środki techniczne i organizacyjne — pomaga Administratorowi w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO (art. 12–22 RODO), w tym prawa dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych i sprzeciwu.

7.1.2. Pomoc jest realizowana przede wszystkim przez funkcje produktu (eksport, edycja, usuwanie odpowiedzi), dokumentację oraz, w razie potrzeby, manualne wsparcie obsługi.

7.2. Pomoc w wypełnianiu obowiązków z art. 32–36 RODO (art. 28 ust. 3 lit. f RODO)

7.2.1. Mezantic pomaga Administratorowi w wywiązaniu się z obowiązków określonych w art. 32–36 RODO, w tym w zakresie:

(a) zapewnienia bezpieczeństwa przetwarzania (art. 32 RODO),

(b) zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu (art. 33 RODO),

(d) oceny skutków dla ochrony danych (art. 35 RODO),

(e) uprzednich konsultacji z organem nadzorczym (art. 36 RODO),

w zakresie uwzględniającym charakter przetwarzania oraz informacje dostępne Mezantic.

7.2.2. Mezantic może realizować pomoc poprzez funkcje produktu, procesy wsparcia, dokumentację bezpieczeństwa, podsumowania środków technicznych i organizacyjnych oraz pisemne odpowiedzi.

7.2.3. Mezantic może pobrać uzasadnione opłaty za pomoc, która ma charakter złożony, powtarzalny lub wykracza poza standardową funkcjonalność produktu, w szczególności gdy jest spowodowana błędem lub zaniedbaniem po stronie Administratora; nie dotyczy to zakresu, w jakim obowiązek nieodpłatnej pomocy wynika bezpośrednio z RODO lub innych bezwzględnie obowiązujących przepisów.

8. Naruszenie ochrony danych osobowych (art. 28 ust. 3 lit. f w zw. z art. 33 ust. 2 RODO)

8.1. Po stwierdzeniu naruszenia ochrony danych osobowych dotyczącego Powierzonych Danych Mezantic powiadamia Administratora bez zbędnej zwłoki, w miarę możliwości w terminie umożliwiającym Administratorowi dotrzymanie własnego terminu 72 godzin, o którym mowa w art. 33 ust. 1 RODO.

8.2. Powiadomienie zawiera, w zakresie znanym Mezantic w danym czasie: (i) charakter naruszenia, (ii) kategorie i przybliżoną liczbę osób, których dane dotyczą, (iii) kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, (iv) prawdopodobne konsekwencje naruszenia, (v) zastosowane lub proponowane środki w celu zaradzenia naruszeniu, w tym ograniczenia jego negatywnych skutków, (vi) dane kontaktowe punktu kontaktowego.

8.3. Jeżeli informacji nie da się przekazać w jednym powiadomieniu, Mezantic może je sukcesywnie uzupełniać w miarę postępu wewnętrznego ustalania okoliczności naruszenia, bez zbędnej zwłoki.

8.4. Obowiązek zgłoszenia naruszenia organowi nadzorczemu (Prezesowi UODO) oraz, jeżeli to wymagane, zawiadomienia osób, których dane dotyczą, spoczywa na Administratorze.

9. Transfery danych do państw trzecich (art. 44–49 RODO)

9.1. Mezantic dąży do utrzymywania podstawowych Powierzonych Danych (treści formularzy, odpowiedzi, plików respondentów) w infrastrukturze hostowanej w EOG, jeżeli pozwala na to wybrany Podprocesor i nie zaznaczono inaczej w aktualnej liście Podprocesorów.

9.2. W zakresie, w jakim świadczenie usługi wymaga przekazywania Powierzonych Danych do państwa trzeciego lub organizacji międzynarodowej, Mezantic zapewnia odpowiednią podstawę takiego transferu, w szczególności:

(a) decyzję Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony w rozumieniu art. 45 RODO, w tym — w przypadku transferów do podmiotów certyfikowanych w Stanach Zjednoczonych — decyzję wykonawczą Komisji (UE) 2023/1795 z dnia 10 lipca 2023 r. (Ramy ochrony danych UE–USA, „EU–US Data Privacy Framework", „DPF"),

(b) standardowe klauzule umowne przyjęte decyzją wykonawczą Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r., w tym Moduł 2 (administrator → podmiot przetwarzający) lub Moduł 3 (podmiot przetwarzający → dalszy podmiot przetwarzający), w zakresie właściwym dla danego transferu, jako zabezpieczenie w rozumieniu art. 46 ust. 2 lit. c RODO,

(d) dopuszczalne wyjątki w sytuacjach szczególnych w rozumieniu art. 49 RODO, jedynie w zakresie i w sposób zgodny z tymi przepisami.

9.3. W zakresie, w jakim wymaga tego zastosowany mechanizm transferu, Strony przyjmują, że Mezantic występuje w roli podmiotu przekazującego dane (data exporter) lub odbiorcy danych (data importer) zgodnie ze strukturą relacji opisaną w aktualnej liście Podprocesorów.

9.4. Mezantic, w razie żądania Administratora, przekazuje informacje o zastosowanych mechanizmach transferu oraz, jeżeli mają zastosowanie, dodatkowych środkach zabezpieczających (supplementary measures) w rozumieniu zaleceń Europejskiej Rady Ochrony Danych.

10. Zwrot lub usunięcie Powierzonych Danych (art. 28 ust. 3 lit. g RODO)

10.1. Po zakończeniu świadczenia usług związanych z przetwarzaniem Mezantic — zależnie od decyzji Administratora — zwraca albo usuwa wszystkie Powierzone Dane oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie tych danych.

10.2. Administrator dokonuje wyboru pomiędzy zwrotem a usunięciem Powierzonych Danych poprzez funkcję eksportu lub usunięcia w produkcie albo poprzez pisemne żądanie skierowane na adres hello@mezantic.com. Brak złożenia takiego żądania w terminie 30 dni od zakończenia świadczenia usługi oznacza wybór usunięcia danych.

10.3. Aktywne Powierzone Dane są usuwane z warstwy produkcyjnej usługi zgodnie z procesem usuwania w produkcie. Pozostałości znajdujące się w kopiach zapasowych wygasają zgodnie ze skonfigurowanymi oknami retencji kopii zapasowych i procedurami odtwarzania po awarii. Pliki w warstwie przechowywania (storage) wymagają osobnego usunięcia i mogą podlegać terminom obowiązującym u właściwego Podprocesora.

10.4. Mezantic może zachować ograniczone zapisy, jeżeli przechowywanie jest wymagane przepisami prawa Unii lub państwa członkowskiego (w szczególności prawa podatkowego i o rachunkowości), niezbędne dla bezpieczeństwa, zapobiegania nadużyciom, obsługi wsparcia, dochodzenia, ustalania lub obrony roszczeń. Zachowywane zapisy nie zawierają nieprzetworzonej treści produktu, chyba że obowiązek ich zachowania wynika z przepisów prawa lub z obowiązku zachowania danych na potrzeby toczącego się postępowania.

11. Audyty i inspekcje (art. 28 ust. 3 lit. h RODO)

11.1. Mezantic udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

11.2. W pierwszej kolejności obowiązki, o których mowa w pkt 11.1, realizowane są poprzez: (i) udostępnianie dokumentacji środków technicznych i organizacyjnych, (ii) podsumowania bezpieczeństwa, (iii) atestacje, certyfikaty i raporty Podprocesorów (np. SOC 2, ISO 27001, jeżeli są dostępne), (iv) pisemne odpowiedzi na uzasadnione pytania Administratora.

11.3. Audyt na miejscu lub o charakterze inwazyjnym przeprowadza się po uprzednim pisemnym powiadomieniu z rozsądnym wyprzedzeniem (co do zasady nie krótszym niż 30 dni, z wyjątkiem przypadków nagłych), w godzinach pracy Mezantic, w sposób ograniczający zakres do informacji niezbędnych do weryfikacji zgodności i nieingerujący w bezpieczeństwo lub poufność danych innych klientów Mezantic. Audyty przeprowadzane są nie częściej niż raz w okresie kolejnych 12 miesięcy, chyba że obowiązek częstszego audytu wynika z bezwzględnie obowiązujących przepisów prawa lub w odpowiedzi na udokumentowany incydent bezpieczeństwa dotyczący Powierzonych Danych.

11.4. Audytor zobowiązany jest do zachowania poufności informacji uzyskanych w toku audytu. Strony mogą zawrzeć odrębną umowę o zachowaniu poufności (NDA) jako warunek przystąpienia do audytu. Audytor wybrany przez Administratora nie może być bezpośrednim konkurentem Mezantic ani podmiotem pozostającym z Mezantic w aktualnym sporze handlowym.

11.5. Mezantic może obciążyć Administratora rozsądnymi i udokumentowanymi kosztami pomocy własnego personelu udzielonej w toku audytu wykraczającego poza zakres standardowych raportów i dokumentacji. Mezantic nie pobiera z góry ustalonych ryczałtowych opłat za sam fakt przeprowadzenia audytu.

11.6. Mezantic niezwłocznie informuje Administratora, jeżeli zakres lub sposób przeprowadzenia audytu w jego ocenie narusza RODO, inne przepisy o ochronie danych lub uzasadnione interesy w zakresie poufności i bezpieczeństwa innych klientów.

12. Odpowiedzialność, czas obowiązywania i postanowienia końcowe

12.1. Umowa powierzenia obowiązuje przez czas, w którym Mezantic przetwarza w imieniu Administratora Powierzone Dane, niezależnie od zakończenia umowy o świadczenie usług, do czasu zakończenia czynności określonych w sekcji 10.

12.2. Odpowiedzialność stron z tytułu naruszenia Umowy powierzenia regulują postanowienia Regulaminu świadczenia usług, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa, w tym art. 82 RODO oraz art. 28 ust. 10 RODO (sytuacja, w której Podmiot przetwarzający narusza RODO przy ustalaniu celów i sposobów przetwarzania i staje się administratorem).

12.3. Niniejsza Umowa powierzenia podlega prawu polskiemu. Spory rozstrzygane są zgodnie z postanowieniami Regulaminu świadczenia usług.

12.4. Aktualne DPA: mezantic.com/pl/legal/dpa. Wersja angielska: mezantic.com/en/legal/dpa. Administratora wiąże ta wersja językowa DPA, którą zaakceptował przy zawarciu umowy. Równoległa wersja w drugim języku służy celom referencyjnym.