Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)
Załącznik nr 1 do Regulaminu · Wersja 1.0 · obowiązuje od dnia 14 lipca 2026 r. · integralna część Umowy (art. 28 RODO)
Niniejsza Umowa Powierzenia („DPA") zostaje zawarta pomiędzy Usługobiorcą —
Administratorem — a Usługodawcą, tj. 7KGEAR Krystian Pakulski —
Podmiotem Przetwarzającym — z chwilą akceptacji
Regulaminu i stanowi jego Załącznik nr 1. Pojęcia pisane wielką literą, niezdefiniowane w DPA, mają znaczenie nadane w § 1 Regulaminu.
§ 1. Definicje i przedmiot powierzenia
- DPA określa zasady, na jakich Podmiot Przetwarzający przetwarza dane osobowe klientów końcowych w imieniu i na rzecz Administratora, w związku ze świadczeniem Usługi na podstawie Regulaminu.
- Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych w zakresie, celach, przez czas oraz w odniesieniu do kategorii osób i rodzajów danych opisanych w Załączniku A.
- Podmiot Przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).
- Administrator oświadcza, że jest uprawniony do powierzenia danych oraz że dysponuje ważną podstawą prawną ich przetwarzania.
§ 2. Charakter, cel i czas przetwarzania
- Charakter i cel przetwarzania: realizacja procesów e-commerce Administratora w Systemie (obsługa zamówień, kompletacja i wydania magazynowe, generowanie etykiet i dokumentów, integracje z kurierami, marketplace i sklepami), wyłącznie w zakresie niezbędnym do świadczenia Usługi.
- Przetwarzanie obejmuje operacje: zbieranie, utrwalanie, przechowywanie, porządkowanie, przeglądanie, wykorzystywanie, przesyłanie do uprawnionych integracji oraz usuwanie — w środowisku Systemu.
- Powierzenie trwa przez czas obowiązywania Umowy i wygasa wraz z jej zakończeniem, z zastrzeżeniem § 11 (zwrot i usunięcie danych).
§ 3. Obowiązki Podmiotu Przetwarzającego
Podmiot Przetwarzający zobowiązuje się, zgodnie z art. 28 ust. 3 RODO, do:
- przetwarzania danych wyłącznie na udokumentowane polecenie Administratora — za takie polecenie uznaje się Regulamin, DPA, konfigurację Konta oraz czynności Administratora w Systemie — chyba że obowiązek przetwarzania nakłada prawo Unii lub państwa członkowskiego (w takim przypadku Podmiot Przetwarzający informuje Administratora o tym obowiązku prawnym przed przetwarzaniem, o ile prawo tego nie zakazuje);
- zapewnienia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub podlegały ustawowemu obowiązkowi zachowania tajemnicy;
- podjęcia wszelkich środków wymaganych na mocy art. 32 RODO (bezpieczeństwo przetwarzania) — opisanych w Załączniku C;
- przestrzegania warunków korzystania z usług dalszych podmiotów przetwarzających (§ 6);
- w miarę możliwości, biorąc pod uwagę charakter przetwarzania, pomagania Administratorowi — poprzez odpowiednie środki techniczne i organizacyjne — w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw z rozdziału III RODO (art. 12–22);
- pomagania Administratorowi w wywiązaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków, uprzednie konsultacje), uwzględniając charakter przetwarzania i dostępne mu informacje;
- po zakończeniu świadczenia Usługi — zależnie od decyzji Administratora — usunięcia lub zwrotu danych na zasadach § 11;
- udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwienia audytów na zasadach § 9;
- niezwłocznego informowania Administratora, jeżeli jego zdaniem wydane polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych (art. 28 ust. 3 zdanie drugie RODO).
§ 4. Polecenia Administratora
- Administrator ponosi odpowiedzialność za zgodność z prawem poleceń oraz za podstawę prawną przetwarzania powierzonych danych.
- Polecenia wykraczające poza standardowe funkcje Systemu wymagają formy dokumentowej i mogą podlegać odrębnej wycenie; Podmiot Przetwarzający może odmówić wykonania polecenia sprzecznego z prawem.
§ 5. Poufność i upoważnienia
- Podmiot Przetwarzający zapewnia, że dostęp do danych mają wyłącznie osoby upoważnione, w zakresie niezbędnym do realizacji Usługi, zobowiązane do poufności.
- Podmiot Przetwarzający prowadzi rejestr kategorii czynności przetwarzania dokonywanych w imieniu Administratora zgodnie z art. 30 ust. 2 RODO.
§ 6. Podprocesorzy (dalsze powierzenie)
- Administrator udziela Podmiotowi Przetwarzającemu ogólnej zgody na korzystanie z podprocesorów (art. 28 ust. 2 RODO). Aktualny wykaz podprocesorów zawiera Załącznik B.
- Podmiot Przetwarzający informuje Administratora o zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów (przez aktualizację Załącznika B i powiadomienie w Systemie lub e-mailem) z co najmniej 14-dniowym wyprzedzeniem, umożliwiając Administratorowi wyrażenie sprzeciwu.
- W razie uzasadnionego sprzeciwu, którego nie da się rozwiązać, Administrator może wypowiedzieć Umowę na zasadach Regulaminu; kontynuacja korzystania z Usługi po upływie terminu na sprzeciw oznacza akceptację zmiany.
- Podmiot Przetwarzający nakłada na podprocesorów, w drodze umowy, obowiązki ochrony danych odpowiadające obowiązkom z DPA (art. 28 ust. 4 RODO) i pozostaje wobec Administratora odpowiedzialny za wywiązanie się przez podprocesorów z ich obowiązków.
§ 7. Naruszenia ochrony danych
- Podmiot Przetwarzający zgłasza Administratorowi naruszenie ochrony danych osobowych bez zbędnej zwłoki po jego stwierdzeniu (art. 33 ust. 2 RODO), nie później niż w ciągu 48 godzin.
- Zgłoszenie zawiera co najmniej: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób oraz wpisów, których dotyczy, prawdopodobne konsekwencje oraz zastosowane lub proponowane środki zaradcze (art. 33 ust. 3 RODO) — w zakresie informacji dostępnych Podmiotowi Przetwarzającemu.
- Obowiązek zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomienia osób, których dane dotyczą, spoczywa na Administratorze; Podmiot Przetwarzający wspiera go w realizacji tych obowiązków.
§ 8. Przekazywanie danych poza EOG
- Co do zasady dane przetwarzane są na terenie Europejskiego Obszaru Gospodarczego.
- Jeżeli w związku z korzystaniem z podprocesora dojdzie do przekazania danych poza EOG, Podmiot Przetwarzający zapewnia zastosowanie odpowiednich zabezpieczeń w rozumieniu art. 46 RODO (w szczególności standardowych klauzul umownych zatwierdzonych przez Komisję Europejską) albo oparcie transferu na decyzji stwierdzającej odpowiedni stopień ochrony (art. 45 RODO).
§ 9. Audyt
- Podmiot Przetwarzający udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwia audyty, w tym inspekcje (art. 28 ust. 3 lit. h RODO).
- W pierwszej kolejności realizacja prawa audytu następuje przez udostępnienie dokumentacji, wypełnionych kwestionariuszy bezpieczeństwa lub aktualnych certyfikatów/raportów niezależnych audytorów.
- Audyt na miejscu wymaga uprzedniego zawiadomienia z co najmniej 14-dniowym wyprzedzeniem, przeprowadzany jest w godzinach pracy, nie częściej niż raz w roku (chyba że wystąpiło naruszenie lub żąda tego organ nadzorczy), w sposób niezakłócający ciągłości Usługi i z poszanowaniem poufności oraz danych innych klientów Podmiotu Przetwarzającego. Koszty audytu na miejscu ponosi Administrator, chyba że audyt wykaże istotne naruszenie po stronie Podmiotu Przetwarzającego.
§ 10. Odpowiedzialność
- Każda ze stron odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO w zakresie, w jakim nie wywiązała się z obowiązków nałożonych na nią bezpośrednio przez RODO lub gdy działała poza zgodnymi z prawem poleceniami drugiej strony albo wbrew nim (art. 82 RODO).
- Odpowiedzialność Podmiotu Przetwarzającego wobec Administratora wynikająca z DPA podlega ograniczeniom z § 11 Regulaminu w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy; ograniczenia te nie naruszają uprawnień osób, których dane dotyczą, wynikających z art. 82 RODO.
- Administrator zwalnia Podmiot Przetwarzający z odpowiedzialności za roszczenia wynikające z braku podstawy prawnej przetwarzania po jego stronie lub z bezprawności powierzonych danych, zgodnie z § 9 ust. 5 Regulaminu.
§ 11. Czas obowiązywania, zwrot i usunięcie danych
- DPA obowiązuje przez czas trwania Umowy i wygasa wraz z jej zakończeniem.
- Po zakończeniu Umowy Podmiot Przetwarzający — zgodnie z decyzją Administratora — zwraca dane (poprzez udostępnienie eksportu w okresie retencji 30 dni) lub je usuwa oraz usuwa istniejące kopie, zgodnie z § 13 ust. 4 Regulaminu, chyba że prawo Unii lub państwa członkowskiego nakazuje dalsze przechowywanie danych.
§ 12. Postanowienia końcowe
- W sprawach nieuregulowanych w DPA stosuje się postanowienia Regulaminu oraz przepisy RODO i prawa polskiego.
- W razie sprzeczności w sprawach przetwarzania danych pierwszeństwo mają: RODO, następnie DPA, następnie pozostała część Regulaminu.
- Wersją rozstrzygającą DPA jest wersja polska.
Załącznik A — Opis przetwarzania
- Przedmiot
- Przetwarzanie danych osobowych klientów końcowych w Systemie ZVANTA na potrzeby obsługi sprzedaży i logistyki Administratora.
- Charakter i cel
- Obsługa zamówień (OMS), procesy magazynowe (WMS/ERP), generowanie dokumentów i etykiet, integracje z kurierami / marketplace / sklepami.
- Czas przetwarzania
- Czas trwania Umowy oraz okres retencji 30 dni (§ 11 DPA, § 13 Regulaminu).
- Kategorie osób
- Klienci końcowi Administratora: nabywcy, odbiorcy przesyłek, osoby kontaktowe zamówień.
- Rodzaje danych
- Imię i nazwisko, adres dostawy i rozliczeniowy, e-mail, numer telefonu, dane zamówienia i transakcji, numer przesyłki. Bez danych szczególnych kategorii (art. 9 RODO) — Administrator zobowiązuje się ich nie wprowadzać w ramach standardowej Usługi.
Załącznik B — Wykaz podprocesorów
- Amazon Web Services (dostawca infrastruktury/hostingu) — utrzymanie serwerów i baz danych; lokalizacja: Unia Europejska (EOG).
- Stripe Payments Europe, Ltd. — obsługa płatności subskrypcyjnych, przeciwdziałanie oszustwom; UE / transfer na podstawie art. 46 RODO.
- Dostawca poczty e-mail / powiadomień transakcyjnych — wysyłka wiadomości systemowych i transakcyjnych; UE (EOG).
- Integracje operacyjne uruchamiane przez Administratora (kurierzy, marketplace, sklepy) — realizacja zamówień i przesyłek, wyłącznie z inicjatywy i w konfiguracji Administratora; lokalizacja zależna od dostawcy.
Wykaz aktualizowany zgodnie z § 6 DPA.
Załącznik C — Środki techniczne i organizacyjne (art. 32 RODO)
- Szyfrowanie transmisji (TLS) oraz szyfrowanie wrażliwych danych uwierzytelniających.
- Rozdzielenie i izolacja środowisk — odrębna baza danych dla każdego Usługobiorcy (multi-tenant z izolacją).
- Kontrola dostępu oparta na rolach, zasada minimalnego uprawnienia, uwierzytelnianie oraz rejestrowanie zdarzeń (audyt).
- Kopie zapasowe z kontrolowanym cyklem rotacji oraz monitoring dostępności i bezpieczeństwa.
- Procedury reagowania na incydenty i zgłaszania naruszeń (§ 7 DPA).
- Zdolność do przywrócenia dostępności i dostępu do danych po incydencie (art. 32 ust. 1 lit. c RODO).
Załącznik nr 1 zawierany jest elektronicznie wraz z akceptacją Regulaminu i nie wymaga odrębnych podpisów. Wchodzi w życie z dniem 14 lipca 2026 r.
Data Processing Agreement (DPA)
Appendix No. 1 to the Terms of Service · Version 1.0 · effective as of 14 July 2026 · integral part of the Agreement (Art. 28 GDPR)
This Data Processing Agreement (the "DPA") is concluded between the Customer — the
Controller — and the Service Provider, i.e. 7KGEAR Krystian Pakulski — the
Processor — upon acceptance of the
Terms of Service, and constitutes Appendix No. 1 thereto. Capitalised terms not defined in this DPA have the meaning given in § 1 of the Terms of Service.
§ 1. Definitions and subject matter of processing
- This DPA sets out the terms on which the Processor processes personal data of end customers on behalf of and for the Controller, in connection with the provision of the Service under the Terms of Service.
- The Controller entrusts the Processor with the processing of personal data to the extent, for the purposes, for the duration and in respect of the categories of data subjects and types of data described in Appendix A.
- The Processor declares that it provides sufficient guarantees to implement appropriate technical and organisational measures so that processing meets the requirements of the GDPR and protects the rights of data subjects (Art. 28(1) GDPR).
- The Controller declares that it is entitled to entrust the data and that it has a valid legal basis for its processing.
§ 2. Nature, purpose and duration of processing
- Nature and purpose of processing: performance of the Controller's e-commerce processes within the System (order handling, picking and warehouse issue, generation of labels and documents, integrations with couriers, marketplaces and stores), solely to the extent necessary to provide the Service.
- Processing covers the following operations: collection, recording, storage, organisation, consultation, use, transmission to authorised integrations and erasure — within the System environment.
- The entrustment lasts for the term of the Agreement and expires upon its termination, subject to § 11 (return and erasure of data).
§ 3. Obligations of the Processor
In accordance with Art. 28(3) GDPR, the Processor undertakes to:
- process the data solely on documented instructions from the Controller — the Terms of Service, this DPA, the Account configuration and the Controller's actions within the System are deemed such instructions — unless required to do so by Union or Member State law (in which case the Processor informs the Controller of that legal requirement before processing, unless the law prohibits it);
- ensure that persons authorised to process the data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;
- take all measures required pursuant to Art. 32 GDPR (security of processing) — described in Appendix C;
- respect the conditions for engaging further processors (§ 6);
- taking into account the nature of the processing, assist the Controller by appropriate technical and organisational measures, insofar as this is possible, in fulfilling its obligation to respond to requests from data subjects exercising their rights under Chapter III GDPR (Art. 12–22);
- assist the Controller in ensuring compliance with the obligations set out in Art. 32–36 GDPR (security, breach notification, impact assessment, prior consultation), taking into account the nature of processing and the information available to it;
- at the end of the provision of the Service — at the Controller's choice — delete or return the data in accordance with § 11;
- make available to the Controller all information necessary to demonstrate compliance with Art. 28 GDPR and allow for audits in accordance with § 9;
- immediately inform the Controller if, in its opinion, an instruction infringes the GDPR or other data protection provisions (Art. 28(3) second sentence GDPR).
§ 4. Controller's instructions
- The Controller is responsible for the lawfulness of its instructions and for the legal basis for processing the entrusted data.
- Instructions going beyond the standard functions of the System require documentary form and may be subject to separate pricing; the Processor may refuse to carry out an unlawful instruction.
§ 5. Confidentiality and authorisations
- The Processor ensures that only authorised persons have access to the data, to the extent necessary to provide the Service, bound by confidentiality.
- The Processor maintains a record of categories of processing activities carried out on behalf of the Controller in accordance with Art. 30(2) GDPR.
§ 6. Sub-processors (further entrustment)
- The Controller grants the Processor general authorisation to engage sub-processors (Art. 28(2) GDPR). The current list of sub-processors is set out in Appendix B.
- The Processor informs the Controller of any intended changes concerning the addition or replacement of sub-processors (by updating Appendix B and notifying within the System or by e-mail) at least 14 days in advance, thereby giving the Controller the opportunity to object.
- Where there is a reasonable objection that cannot be resolved, the Controller may terminate the Agreement in accordance with the Terms of Service; continued use of the Service after the objection deadline constitutes acceptance of the change.
- The Processor imposes on sub-processors, by way of contract, data protection obligations equivalent to those under this DPA (Art. 28(4) GDPR) and remains liable to the Controller for the sub-processors' performance of their obligations.
§ 7. Personal data breaches
- The Processor notifies the Controller of a personal data breach without undue delay after becoming aware of it (Art. 33(2) GDPR), and no later than within 48 hours.
- The notification contains at least: a description of the nature of the breach, the categories and approximate number of data subjects and records concerned, the likely consequences and the measures taken or proposed (Art. 33(3) GDPR) — to the extent of the information available to the Processor.
- The obligation to notify the supervisory authority and to communicate the breach to data subjects rests with the Controller; the Processor supports the Controller in fulfilling these obligations.
§ 8. Transfers outside the EEA
- As a rule, the data is processed within the European Economic Area.
- If, in connection with the use of a sub-processor, data is transferred outside the EEA, the Processor ensures that appropriate safeguards within the meaning of Art. 46 GDPR are applied (in particular the Standard Contractual Clauses approved by the European Commission) or that the transfer is based on an adequacy decision (Art. 45 GDPR).
§ 9. Audit
- The Processor makes available to the Controller the information necessary to demonstrate compliance with Art. 28 GDPR and allows for audits, including inspections (Art. 28(3)(h) GDPR).
- The right to audit is exercised primarily by making available documentation, completed security questionnaires or current certificates/reports of independent auditors.
- An on-site audit requires prior notice of at least 14 days, is conducted during business hours, no more than once a year (unless a breach has occurred or the supervisory authority so requires), in a manner that does not disrupt the continuity of the Service and with respect for confidentiality and the data of the Processor's other customers. The cost of an on-site audit is borne by the Controller, unless the audit reveals a material infringement by the Processor.
§ 10. Liability
- Each party is liable for damage caused by processing that infringes the GDPR to the extent that it has not complied with obligations imposed on it directly by the GDPR, or where it acted outside or contrary to the lawful instructions of the other party (Art. 82 GDPR).
- The Processor's liability towards the Controller under this DPA is subject to the limitations set out in § 11 of the Terms of Service to the extent permitted by mandatory law; those limitations do not affect the rights of data subjects under Art. 82 GDPR.
- The Controller indemnifies the Processor against claims arising from the absence of a legal basis for processing on its side or from the unlawfulness of the entrusted data, in accordance with § 9(5) of the Terms of Service.
§ 11. Term, return and erasure of data
- This DPA is in force for the term of the Agreement and expires upon its termination.
- Upon termination of the Agreement, the Processor — at the Controller's choice — returns the data (by making an export available during the 30-day retention period) or erases it and deletes existing copies, in accordance with § 13(4) of the Terms of Service, unless Union or Member State law requires further storage of the data.
§ 12. Final provisions
- Matters not regulated in this DPA are governed by the Terms of Service and by the GDPR and Polish law.
- In the event of a conflict on data-processing matters, the following order of precedence applies: the GDPR, then this DPA, then the remainder of the Terms of Service.
- The Polish-language version of this DPA prevails.
Appendix A — Description of processing
- Subject matter
- Processing of end customers' personal data within the ZVANTA System for the Controller's sales and logistics operations.
- Nature and purpose
- Order handling (OMS), warehouse processes (WMS/ERP), generation of documents and labels, integrations with couriers / marketplaces / stores.
- Duration
- Term of the Agreement plus a 30-day retention period (§ 11 DPA, § 13 Terms of Service).
- Categories of data subjects
- The Controller's end customers: purchasers, parcel recipients, order contact persons.
- Types of data
- Name and surname, delivery and billing address, e-mail, phone number, order and transaction data, parcel number. No special categories of data (Art. 9 GDPR) — the Controller undertakes not to enter such data within the standard Service.
Appendix B — List of sub-processors
- Amazon Web Services (infrastructure/hosting provider) — maintenance of servers and databases; location: European Union (EEA).
- Stripe Payments Europe, Ltd. — subscription payment processing, fraud prevention; EU / transfer under Art. 46 GDPR.
- E-mail / transactional notification provider — delivery of system and transactional messages; EU (EEA).
- Operational integrations activated by the Controller (couriers, marketplaces, stores) — order and shipment fulfilment, solely on the Controller's initiative and configuration; location depends on the provider.
List updated in accordance with § 6 DPA.
Appendix C — Technical and organisational measures (Art. 32 GDPR)
- Encryption of transmission (TLS) and encryption of sensitive authentication data.
- Separation and isolation of environments — a dedicated database per Customer (multi-tenant with isolation).
- Role-based access control, least-privilege principle, authentication and event logging (audit).
- Backups with a controlled rotation cycle and availability and security monitoring.
- Incident response and breach notification procedures (§ 7 DPA).
- Ability to restore availability and access to data after an incident (Art. 32(1)(c) GDPR).
Appendix No. 1 is concluded electronically upon acceptance of the Terms of Service and requires no separate signatures. It enters into force on 14 July 2026.
Auftragsverarbeitungsvertrag (AVV / DPA)
Anlage Nr. 1 zu den Allgemeinen Geschäftsbedingungen · Version 1.0 · gültig ab dem 14. Juli 2026 · integraler Bestandteil des Vertrags (Art. 28 DSGVO)
Dieser Auftragsverarbeitungsvertrag („AVV") wird zwischen dem Kunden — dem
Verantwortlichen — und dem Dienstanbieter, d. h. 7KGEAR Krystian Pakulski — dem
Auftragsverarbeiter — mit der Annahme der
Allgemeinen Geschäftsbedingungen geschlossen und bildet deren Anlage Nr. 1. Großgeschriebene, in diesem AVV nicht definierte Begriffe haben die in § 1 der AGB festgelegte Bedeutung.
§ 1. Begriffsbestimmungen und Gegenstand der Verarbeitung
- Dieser AVV regelt die Bedingungen, unter denen der Auftragsverarbeiter personenbezogene Daten der Endkunden im Namen und für den Verantwortlichen im Zusammenhang mit der Erbringung der Dienstleistung gemäß den AGB verarbeitet.
- Der Verantwortliche überträgt dem Auftragsverarbeiter die Verarbeitung personenbezogener Daten in dem Umfang, zu den Zwecken, für die Dauer und in Bezug auf die Kategorien betroffener Personen und Datenarten, die in Anlage A beschrieben sind.
- Der Auftragsverarbeiter erklärt, dass er hinreichende Garantien dafür bietet, geeignete technische und organisatorische Maßnahmen zu ergreifen, sodass die Verarbeitung den Anforderungen der DSGVO entspricht und die Rechte der betroffenen Personen schützt (Art. 28 Abs. 1 DSGVO).
- Der Verantwortliche erklärt, dass er zur Übertragung der Daten berechtigt ist und über eine gültige Rechtsgrundlage für deren Verarbeitung verfügt.
§ 2. Art, Zweck und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung: Durchführung der E-Commerce-Prozesse des Verantwortlichen im System (Auftragsabwicklung, Kommissionierung und Warenausgang, Erstellung von Etiketten und Dokumenten, Integrationen mit Versanddienstleistern, Marktplätzen und Shops), ausschließlich in dem für die Erbringung der Dienstleistung erforderlichen Umfang.
- Die Verarbeitung umfasst folgende Vorgänge: Erheben, Erfassen, Speichern, Ordnen, Einsehen, Verwenden, Übermitteln an berechtigte Integrationen sowie Löschen — innerhalb der Systemumgebung.
- Die Auftragsverarbeitung besteht für die Laufzeit des Vertrags und endet mit dessen Beendigung, vorbehaltlich § 11 (Rückgabe und Löschung der Daten).
§ 3. Pflichten des Auftragsverarbeiters
Gemäß Art. 28 Abs. 3 DSGVO verpflichtet sich der Auftragsverarbeiter,
- die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten — als solche Weisung gelten die AGB, dieser AVV, die Konfiguration des Kontos sowie die Handlungen des Verantwortlichen im System —, es sei denn, er ist nach dem Recht der Union oder eines Mitgliedstaats hierzu verpflichtet (in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das Recht dies nicht verbietet);
- zu gewährleisten, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zu ergreifen (Sicherheit der Verarbeitung) — beschrieben in Anlage C;
- die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter einzuhalten (§ 6);
- den Verantwortlichen angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen zur Wahrnehmung ihrer Rechte nach Kapitel III DSGVO (Art. 12–22) nachzukommen;
- den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten zu unterstützen (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation), unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen;
- nach Abschluss der Erbringung der Dienstleistung — nach Wahl des Verantwortlichen — die Daten gemäß § 11 zu löschen oder zurückzugeben;
- dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung von Art. 28 DSGVO zur Verfügung zu stellen und Überprüfungen gemäß § 9 zu ermöglichen;
- den Verantwortlichen unverzüglich zu informieren, falls eine Weisung seiner Auffassung nach gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 Satz 2 DSGVO).
§ 4. Weisungen des Verantwortlichen
- Der Verantwortliche ist für die Rechtmäßigkeit seiner Weisungen und für die Rechtsgrundlage der Verarbeitung der übertragenen Daten verantwortlich.
- Weisungen, die über die Standardfunktionen des Systems hinausgehen, bedürfen der Textform und können gesondert vergütet werden; der Auftragsverarbeiter kann die Ausführung einer rechtswidrigen Weisung verweigern.
§ 5. Vertraulichkeit und Befugnisse
- Der Auftragsverarbeiter stellt sicher, dass nur befugte Personen Zugang zu den Daten haben, im für die Erbringung der Dienstleistung erforderlichen Umfang und zur Vertraulichkeit verpflichtet.
- Der Auftragsverarbeiter führt ein Verzeichnis der Kategorien von im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO.
§ 6. Unterauftragsverarbeiter (weitere Auftragsverarbeitung)
- Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Inanspruchnahme von Unterauftragsverarbeitern (Art. 28 Abs. 2 DSGVO). Die aktuelle Liste der Unterauftragsverarbeiter ist in Anlage B aufgeführt.
- Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern (durch Aktualisierung der Anlage B und Benachrichtigung im System oder per E-Mail) mindestens 14 Tage im Voraus und gibt dem Verantwortlichen damit die Möglichkeit zum Einspruch.
- Im Falle eines begründeten, nicht ausräumbaren Einspruchs kann der Verantwortliche den Vertrag gemäß den AGB kündigen; die fortgesetzte Nutzung der Dienstleistung nach Ablauf der Einspruchsfrist gilt als Zustimmung zur Änderung.
- Der Auftragsverarbeiter erlegt den Unterauftragsverarbeitern vertraglich Datenschutzpflichten auf, die den Pflichten aus diesem AVV entsprechen (Art. 28 Abs. 4 DSGVO), und bleibt dem Verantwortlichen gegenüber für die Erfüllung der Pflichten der Unterauftragsverarbeiter verantwortlich.
§ 7. Verletzungen des Schutzes personenbezogener Daten
- Der Auftragsverarbeiter meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich, nachdem ihm die Verletzung bekannt geworden ist (Art. 33 Abs. 2 DSGVO), spätestens jedoch innerhalb von 48 Stunden.
- Die Meldung enthält mindestens: eine Beschreibung der Art der Verletzung, die Kategorien und die ungefähre Zahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen (Art. 33 Abs. 3 DSGVO) — im Umfang der dem Auftragsverarbeiter verfügbaren Informationen.
- Die Pflicht zur Meldung an die Aufsichtsbehörde und zur Benachrichtigung der betroffenen Personen obliegt dem Verantwortlichen; der Auftragsverarbeiter unterstützt ihn bei der Erfüllung dieser Pflichten.
§ 8. Datenübermittlung außerhalb des EWR
- Grundsätzlich werden die Daten innerhalb des Europäischen Wirtschaftsraums verarbeitet.
- Kommt es im Zusammenhang mit der Inanspruchnahme eines Unterauftragsverarbeiters zu einer Übermittlung von Daten außerhalb des EWR, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien im Sinne von Art. 46 DSGVO angewendet werden (insbesondere die von der Europäischen Kommission genehmigten Standardvertragsklauseln) oder die Übermittlung auf einen Angemessenheitsbeschluss gestützt wird (Art. 45 DSGVO).
§ 9. Überprüfung (Audit)
- Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO).
- Das Auditrecht wird vorrangig durch die Bereitstellung von Dokumentation, ausgefüllten Sicherheitsfragebögen oder aktuellen Zertifikaten/Berichten unabhängiger Prüfer wahrgenommen.
- Eine Vor-Ort-Prüfung erfordert eine vorherige Ankündigung von mindestens 14 Tagen, erfolgt während der Geschäftszeiten, höchstens einmal jährlich (es sei denn, es ist eine Verletzung eingetreten oder die Aufsichtsbehörde verlangt dies), in einer die Kontinuität der Dienstleistung nicht beeinträchtigenden Weise und unter Wahrung der Vertraulichkeit sowie der Daten anderer Kunden des Auftragsverarbeiters. Die Kosten einer Vor-Ort-Prüfung trägt der Verantwortliche, es sei denn, die Prüfung ergibt einen wesentlichen Verstoß des Auftragsverarbeiters.
§ 10. Haftung
- Jede Partei haftet für Schäden, die durch eine gegen die DSGVO verstoßende Verarbeitung verursacht werden, soweit sie den ihr durch die DSGVO unmittelbar auferlegten Pflichten nicht nachgekommen ist oder außerhalb bzw. entgegen den rechtmäßigen Weisungen der anderen Partei gehandelt hat (Art. 82 DSGVO).
- Die Haftung des Auftragsverarbeiters gegenüber dem Verantwortlichen aus diesem AVV unterliegt den Beschränkungen des § 11 der AGB im gesetzlich zulässigen Umfang; diese Beschränkungen berühren nicht die Rechte der betroffenen Personen aus Art. 82 DSGVO.
- Der Verantwortliche stellt den Auftragsverarbeiter von Ansprüchen frei, die sich aus dem Fehlen einer Rechtsgrundlage für die Verarbeitung auf seiner Seite oder aus der Rechtswidrigkeit der übertragenen Daten ergeben, gemäß § 9 Abs. 5 der AGB.
§ 11. Laufzeit, Rückgabe und Löschung der Daten
- Dieser AVV gilt für die Laufzeit des Vertrags und endet mit dessen Beendigung.
- Nach Beendigung des Vertrags gibt der Auftragsverarbeiter — nach Wahl des Verantwortlichen — die Daten zurück (durch Bereitstellung eines Exports während der 30-tägigen Aufbewahrungsfrist) oder löscht sie und vernichtet vorhandene Kopien gemäß § 13 Abs. 4 der AGB, es sei denn, das Recht der Union oder eines Mitgliedstaats verlangt eine weitere Speicherung der Daten.
§ 12. Schlussbestimmungen
- Für in diesem AVV nicht geregelte Angelegenheiten gelten die AGB sowie die DSGVO und das polnische Recht.
- Im Falle eines Widerspruchs in Datenschutzangelegenheiten gilt folgende Rangfolge: die DSGVO, sodann dieser AVV, sodann der übrige Teil der AGB.
- Maßgeblich ist die polnische Sprachfassung dieses AVV.
Anlage A — Beschreibung der Verarbeitung
- Gegenstand
- Verarbeitung personenbezogener Daten der Endkunden im ZVANTA-System für den Vertrieb und die Logistik des Verantwortlichen.
- Art und Zweck
- Auftragsabwicklung (OMS), Lagerprozesse (WMS/ERP), Erstellung von Dokumenten und Etiketten, Integrationen mit Versanddienstleistern / Marktplätzen / Shops.
- Dauer
- Laufzeit des Vertrags zuzüglich einer Aufbewahrungsfrist von 30 Tagen (§ 11 AVV, § 13 AGB).
- Kategorien betroffener Personen
- Endkunden des Verantwortlichen: Käufer, Paketempfänger, Kontaktpersonen von Bestellungen.
- Datenarten
- Vor- und Nachname, Liefer- und Rechnungsanschrift, E-Mail, Telefonnummer, Bestell- und Transaktionsdaten, Sendungsnummer. Keine besonderen Kategorien von Daten (Art. 9 DSGVO) — der Verantwortliche verpflichtet sich, solche Daten im Rahmen der Standard-Dienstleistung nicht einzugeben.
Anlage B — Liste der Unterauftragsverarbeiter
- Amazon Web Services (Infrastruktur-/Hosting-Anbieter) — Betrieb von Servern und Datenbanken; Standort: Europäische Union (EWR).
- Stripe Payments Europe, Ltd. — Abwicklung von Abonnementzahlungen, Betrugsprävention; EU / Übermittlung auf Grundlage von Art. 46 DSGVO.
- Anbieter für E-Mail / Transaktionsbenachrichtigungen — Versand von System- und Transaktionsnachrichten; EU (EWR).
- Vom Verantwortlichen aktivierte operative Integrationen (Versanddienstleister, Marktplätze, Shops) — Auftrags- und Sendungsabwicklung, ausschließlich auf Initiative und in der Konfiguration des Verantwortlichen; Standort je nach Anbieter.
Liste aktualisiert gemäß § 6 AVV.
Anlage C — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Verschlüsselung der Übertragung (TLS) sowie Verschlüsselung sensibler Authentifizierungsdaten.
- Trennung und Isolierung der Umgebungen — eine eigene Datenbank für jeden Kunden (mandantenfähig mit Isolierung).
- Rollenbasierte Zugriffskontrolle, Prinzip der minimalen Berechtigung, Authentifizierung und Ereignisprotokollierung (Audit).
- Backups mit kontrolliertem Rotationszyklus sowie Verfügbarkeits- und Sicherheitsüberwachung.
- Verfahren zur Reaktion auf Vorfälle und zur Meldung von Verletzungen (§ 7 AVV).
- Fähigkeit, die Verfügbarkeit und den Zugang zu den Daten nach einem Vorfall wiederherzustellen (Art. 32 Abs. 1 lit. c DSGVO).
Anlage Nr. 1 wird elektronisch mit der Annahme der AGB geschlossen und bedarf keiner gesonderten Unterschriften. Sie tritt am 14. Juli 2026 in Kraft.