Regulamin powierzenia przetwarzania danych osobowych

Data wejścia w życie: 31 marca 2026 r.

§1. DEFINICJE

  1. Użyte w Regulaminie pojęcia oznaczają:
    1. Dane Osobowe lub Dane – dane osobowe w rozumieniu art. 4 pkt 1 RODO, tj. wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, powierzone Usługodawcy przez Klienta w celu realizacji Umowy o świadczenie Usług;
    2. Integracja – dodatkowa funkcjonalność Serwisu umożliwiająca połączenie Serwisu z usługą lub systemem podmiotu trzeciego (w tym za pośrednictwem API), aktywowana przez Klienta w ramach Usług, w szczególności integracja z Krajowym Systemem e-Faktur (KSeF);
    3. KSeF – Krajowy System e-Faktur prowadzony przez Szefa Krajowej Administracji Skarbowej, o którym mowa w ustawie z dnia 11 marca 2004 r. o podatku od towarów i usług;
    4. Regulamin – niniejszy Regulamin powierzenia przetwarzania danych osobowych, regulujący zasady powierzenia i przetwarzania przez Usługodawcę Danych Osobowych w związku z realizacją Umowy o świadczenie Usług;
    5. Regulamin Biuromat.pl – Regulamin serwisu Biuromat.pl dostępny pod adresem: www.biuromat.pl;
    6. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
    7. Serwis – aplikacja internetowa dostępna pod adresem biuromat.pl, umożliwiająca Klientom fakturowanie online oraz integrację z KSeF;
    8. Umowa o świadczenie Usług lub Umowa – umowa o świadczenie usług drogą elektroniczną zawierana pomiędzy Klientem a Usługodawcą na warunkach określonych w Regulaminie Biuromat.pl.
  2. Pojęcia pisane wielką literą, niezdefiniowane w ust. 1 powyżej, mają znaczenie nadane im w Regulaminie Biuromat.pl.
  3. Niniejszy Regulamin stanowi integralną część dokumentacji związanej ze świadczeniem usług w ramach Serwisu.

§2. PRZEDMIOT POWIERZENIA

  1. Klient, działając na podstawie art. 28 ust. 3 RODO, powierza Usługodawcy Dane Osobowe do przetwarzania, na zasadach i w celach określonych w niniejszym Regulaminie.
  2. Klient oświadcza, że jest uprawniony do przetwarzania Danych Osobowych w zakresie i w celach, w jakich powierza je Usługodawcy na podstawie Regulaminu, oraz że dysponuje odpowiednią podstawą prawną ich przetwarzania.
  3. Usługodawca zobowiązuje się przetwarzać powierzone mu Dane Osobowe zgodnie z niniejszym Regulaminem, RODO oraz przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których Dane dotyczą.

§3. ZAKRES I CEL PRZETWARZANIA

  1. Zakres powierzanych do przetwarzania Danych Osobowych obejmuje Dane Osobowe wprowadzone przez Klienta do Serwisu lub w inny sposób udostępnione Usługodawcy w związku z korzystaniem przez Klienta z Usług świadczonych za pośrednictwem Serwisu, w tym z aktywowanych Integracji – których przetwarzanie przez Usługodawcę odbywa się wyłącznie w celach i na potrzeby realizacji zleconych mu przez Klienta Usług. Powierzenie przetwarzania Danych Osobowych może obejmować w szczególności Dane Osobowe klientów i kontrahentów Klienta, w zakresie ujawnionym Usługodawcy za pośrednictwem Serwisu, w tym m.in. w zakresie:
    1. podstawowych danych identyfikacyjnych, takich jak: imię, nazwisko, firma, adres prowadzonej działalności gospodarczej, adres zamieszkania, NIP;
    2. danych kontaktowych, takich jak: adres korespondencyjny, numer telefonu, adres e-mail;
    3. danych finansowych i transakcyjnych, takich jak: numer rachunku bankowego, dane dotyczące transakcji realizowanych przez Klienta z jego klientami lub kontrahentami (zakres świadczonych usług, dane dotyczące rozliczeń finansowych, treść faktur);
    4. wszelkich innych Danych, o ile zostały one wprowadzone przez Klienta do Serwisu, a ich przetwarzanie przez Usługodawcę jest niezbędne w celu realizacji zawartej z Klientem Umowy o świadczenie Usług lub w celu umożliwienia poprawnego działania aktywowanych przez Klienta Integracji.
  2. Szczegółowy zakres powierzanych do przetwarzania Danych Osobowych wynika każdorazowo z zakresu Usług świadczonych przez Usługodawcę na rzecz Klienta, w tym funkcjonalności Serwisu oraz Integracji aktywowanych przez Klienta. Dla uniknięcia wątpliwości Strony potwierdzają, że zmiana planu subskrypcyjnego lub aktywacja albo dezaktywacja Integracji jest równoznaczna z rozszerzeniem lub ograniczeniem przez Klienta zakresu powierzanych Danych Osobowych o informacje wynikające z danej funkcjonalności, z zastrzeżeniem odmiennych postanowień Regulaminu Biuromat.pl. Zmiana zakresu powierzanych Usługodawcy Danych Osobowych dokonana w sposób opisany w zdaniu poprzednim nie stanowi zmiany Regulaminu.
  3. Celem powierzenia przetwarzania Danych Osobowych przez Klienta jest umożliwienie realizacji przez Strony przedmiotu Umowy o świadczenie Usług oraz poprawnego działania aktywowanych przez Klienta Integracji.
  4. Usługodawca uprawniony jest do przetwarzania Danych Osobowych w ramach wszelkich czynności przetwarzania, o których mowa w art. 4 pkt 2 RODO, które są niezbędne do prawidłowej realizacji Umowy o świadczenie Usług. W szczególności Usługodawca jest uprawniony do ujawniania Danych Osobowych poprzez ich przesyłanie lub udostępnianie, jeżeli – w związku z korzystaniem przez Klienta z danej Integracji lub funkcjonalności Serwisu oraz w celu zapewnienia ich prawidłowego działania – zachodzi konieczność przekazania powierzonych Danych Osobowych zewnętrznemu dostawcy lub innemu odbiorcy danych.
  5. Przetwarzanie Danych Osobowych przez Usługodawcę odbywa się wyłącznie za pośrednictwem systemów informatycznych i nie odbywa się przy wykorzystaniu kartotek papierowych.
  6. Korzystanie przez Klienta z Integracji może wiązać się z koniecznością przekazania przez Usługodawcę powierzonych mu przez Klienta Danych Osobowych podmiotom trzecim, dostarczającym usługi w ramach poszczególnych Integracji. Aktywując Integrację, Klient zobowiązuje Usługodawcę do przekazania wskazanemu dostawcy wszelkich Danych Osobowych niezbędnych do prawidłowego działania tej Integracji, w zakresie określonym w ust. 1 powyżej.
  7. Przekazywanie Danych, w zależności od charakteru danej Integracji, jest dokonywane przez Usługodawcę na rzecz podmiotu trzeciego dostarczającego usługi w ramach poszczególnych Integracji lub następuje poprzez udostępnienie temu podmiotowi API konta Klienta i nie wiąże się z przekazaniem temu podmiotowi indywidualnych danych logowania Klienta do Serwisu.
  8. W przypadku korzystania przez Klienta z funkcjonalności Serwisu umożliwiających wystawianie, przesyłanie, odbieranie lub obsługę faktur ustrukturyzowanych, Klient zleca Usługodawcy dokonanie czynności niezbędnych do realizacji tych funkcjonalności, w tym ujawnienie (przesłanie/udostępnienie) Danych Osobowych zawartych w fakturach ustrukturyzowanych oraz metadanych technicznych związanych z ich wysyłką lub odbiorem (np. identyfikatory operacji, identyfikatory faktur, statusy, daty) do KSeF, tj. do Szefa Krajowej Administracji Skarbowej – w zakresie niezbędnym do realizacji Umowy o świadczenie Usług oraz wykonania obowiązków podatkowych Klienta. Dla uniknięcia wątpliwości Strony potwierdzają, że Szef Krajowej Administracji Skarbowej przetwarza dane przekazywane do KSeF jako odrębny administrator danych osobowych, na podstawie przepisów prawa powszechnie obowiązującego.

§4. PRAWA I OBOWIĄZKI STRON

  1. Usługodawca przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Klienta, przy czym za takie udokumentowane polecenie uważa się niniejszy Regulamin. Usługodawca może również przetwarzać Dane Osobowe w zakresie, w jakim obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo polskie. Usługodawca niezwłocznie informuje Klienta, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych. Poleceniem Klienta w rozumieniu niniejszego ustępu jest m.in. aktywacja przez Klienta funkcjonalności Serwisu związanej z KSeF oraz dokonanie przez Klienta dyspozycji wysyłki lub odbioru faktury ustrukturyzowanej za pośrednictwem KSeF.
  2. Klient zobowiązany jest posiadać podstawę prawną dla operacji przetwarzania Danych Osobowych, które powierza Usługodawcy do przetwarzania na podstawie niniejszego Regulaminu.
  3. Usługodawca będzie przetwarzać Dane Osobowe przez okres niezbędny do realizacji zleconych Usług i wywiązania się ze wszystkich obowiązków nałożonych na niego w związku z Umową. Z zastrzeżeniem odmiennych postanowień Regulaminu Biuromat.pl, po zakończeniu obowiązywania Umowy o świadczenie Usług Usługodawca, zależnie od decyzji Klienta: – w terminie 30 dni od dnia rozwiązania Umowy, chyba że prawo Unii Europejskiej lub prawo polskie nakazuje dalsze przechowywanie Danych Osobowych.
    1. usunie Dane Osobowe oraz wszelkie ich istniejące kopie, albo
    2. zwróci Klientowi Dane Osobowe (w formacie umożliwiającym eksport danych z Serwisu) oraz usunie istniejące kopie
  4. Usługodawca zapewnia, że osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  5. Usługodawca wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa Danych Osobowych odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, zgodnie z art. 32 RODO, w tym stosuje szyfrowanie danych, pseudonimizację, zapewnia poufność, integralność i dostępność systemów przetwarzania danych oraz regularnie testuje i ocenia skuteczność wdrożonych środków.
  6. Usługodawca wspiera Klienta, w miarę możliwości i w zakresie wymaganym przez RODO, w realizacji jego obowiązków w zakresie odpowiadania na żądania osób, których Dane dotyczą, w wykonywaniu praw wymienionych w art. 15-22 RODO (prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych i sprzeciwu). Wsparcie to polega w szczególności na umożliwieniu Klientowi dostępu do Danych Osobowych przetwarzanych w Serwisie za pośrednictwem jego konta.
  7. Usługodawca wspiera Klienta w zapewnieniu wypełnienia obowiązków określonych w art. 32-36 RODO.
  8. Usługodawca, po stwierdzeniu naruszenia ochrony Danych Osobowych, zobowiązany jest zgłosić je Klientowi bez zbędnej zwłoki, nie później niż w terminie 48 godzin od stwierdzenia naruszenia. Zgłoszenie naruszenia nastąpi na adres e-mail Klienta przypisany do jego konta w Serwisie. Zgłoszenie naruszenia powinno zawierać co najmniej informacje wskazane w art. 33 ust. 3 RODO, w zakresie w jakim są dostępne Usługodawcy w momencie zgłoszenia, z zastrzeżeniem obowiązku ich niezwłocznego uzupełnienia.
  9. Usługodawca udostępnia Klientowi informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

§5. ZASADY PODPOWIERZENIA

  1. Klient wyraża niniejszym ogólną zgodę (w rozumieniu art. 28 ust. 2 RODO) na dalsze powierzenie przetwarzania Danych Osobowych podwykonawcom Usługodawcy wskazanym w Załączniku nr 1 do Regulaminu, z zastrzeżeniem że nie wszyscy wskazani podwykonawcy uczestniczą w przetwarzaniu Danych Osobowych każdego Klienta.
  2. Usługodawca poinformuje Klienta o zamierzonych zmianach dotyczących dodania lub zastąpienia podwykonawców wskazanych w Załączniku nr 1 z co najmniej 14-dniowym wyprzedzeniem, drogą elektroniczną na adres e-mail przypisany do konta Klienta w Serwisie lub poprzez komunikat w Serwisie.
  3. Klient ma prawo zgłosić uzasadniony sprzeciw wobec zamierzonej zmiany, o której mowa w ust. 2, w terminie 14 dni od dnia otrzymania informacji o zmianie. Sprzeciw wymaga formy pisemnej lub elektronicznej (e-mail na adres: rodo@biuromat.pl) i powinien zawierać uzasadnienie. W przypadku zgłoszenia uzasadnionego sprzeciwu Strony podejmą w dobrej wierze rozmowy w celu znalezienia rozwiązania. Jeżeli Strony nie osiągną porozumienia w terminie 30 dni od dnia zgłoszenia sprzeciwu, Klientowi przysługuje prawo wypowiedzenia Umowy o świadczenie Usług ze skutkiem na koniec bieżącego okresu rozliczeniowego.
  4. W przypadku podpowierzenia Danych Osobowych podwykonawcy, na podwykonawcę nałożone zostają te same obowiązki ochrony Danych Osobowych jak w Regulaminie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie Danych odpowiadało wymogom RODO. Jeżeli podwykonawca, któremu Usługodawca podpowierzył przetwarzanie Danych Osobowych, nie wywiąże się ze spoczywających na nim obowiązków ochrony Danych, pełna odpowiedzialność wobec Klienta za wypełnienie obowiązków tego podwykonawcy spoczywa na Usługodawcy (art. 28 ust. 4 RODO).
  5. Usługodawca może przekazać Dane Osobowe do państwa trzeciego, znajdującego się poza Europejskim Obszarem Gospodarczym, pod warunkiem spełnienia wymogów określonych w rozdziale V RODO (art. 44-50), w szczególności na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony lub z zastosowaniem standardowych klauzul umownych (SCCs).
  6. Niezależnie od podwykonawców wskazanych w Załączniku nr 1 do Regulaminu, Klient przyjmuje do wiadomości, że w zakresie niezbędnym do realizacji obowiązków prawnych ciążących na Usługodawcy, w szczególności przeprowadzania audytów, kontroli lub analiz zgodności działalności Usługodawcy z przepisami prawa, Usługodawca może ujawniać powierzone mu Dane Osobowe profesjonalnym doradcom i audytorom, w szczególności doradcom prawnym, podatkowym, biegłym rewidentom oraz audytorom wewnętrznym i zewnętrznym. Podmioty te przetwarzają Dane Osobowe jako odrębni administratorzy danych osobowych oraz są ustawowo zobowiązane do zachowania poufności danych osobowych na zasadach tajemnicy zawodowej lub są związane równoważnymi zobowiązaniami do zachowania poufności. Ujawnienie Danych Osobowych podmiotom, o których mowa powyżej, nie stanowi dalszego powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO.

§6. PRAWO KONTROLI

  1. Usługodawca umożliwia Klientowi lub upoważnionemu przez Klienta audytorowi przeprowadzanie kontroli (audytów) zgodności przetwarzania Danych Osobowych z niniejszym Regulaminem oraz RODO i przyczynia się do nich. Kontrole mogą być przeprowadzane nie częściej niż raz w roku kalendarzowym i trwać nie dłużej niż jeden Dzień Roboczy każda, chyba że przeprowadzenie kontroli jest wymagane przez organ nadzorczy lub wynika ze stwierdzonego naruszenia ochrony Danych Osobowych – wówczas ograniczenie częstotliwości nie ma zastosowania.
  2. Każda ze Stron zobowiązana jest ponieść we własnym zakresie koszty związane z przeprowadzeniem kontroli.
  3. Audytorem Klienta nie może być podmiot prowadzący działalność konkurencyjną wobec Usługodawcy ani podmiot z nim powiązany, jego pracownik lub osoba z nim współpracująca, bez względu na podstawę zatrudnienia lub współpracy.
  4. Klient zobowiązany jest poinformować Usługodawcę o planowanej kontroli z co najmniej 30-dniowym wyprzedzeniem. Usługodawca ma prawo odmówić przeprowadzenia kontroli we wskazanym przez Klienta terminie, w przypadku wystąpienia wysokiego prawdopodobieństwa, że przeprowadzenie kontroli w tym terminie zakłóci bieżące funkcjonowanie przedsiębiorstwa Usługodawcy. W takim wypadku Usługodawca zaproponuje inny termin, nie dalszy niż 5 Dni Roboczych po terminie wskazanym przez Klienta. Osoby biorące udział w kontroli, przed przystąpieniem do niej, zobowiązane są do podpisania zobowiązania do zachowania poufności według wzoru Usługodawcy.
  5. Klient realizować będzie prawo kontroli wyłącznie w Dni Robocze, w formule zdalnej, w godzinach pracy Usługodawcy (9:00–17:00) oraz w sposób możliwie najmniej zakłócający funkcjonowanie jego pracy. W trakcie kontroli Klient i jego audytor mają obowiązek przestrzegania wewnętrznych procedur i polityk Usługodawcy dotyczących bezpieczeństwa i poufności.
  6. W celu przeprowadzenia kontroli Usługodawca umożliwi i przyczyni się do przeprowadzenia czynności kontrolnych, o ile mają bezpośredni związek z wykonywaniem Umowy, w szczególności poprzez udzielenie Klientowi pisemnych lub ustnych wyjaśnień dotyczących przetwarzania powierzonych Danych Osobowych – z wyłączeniem informacji lub czynności, które obejmują tajemnicę przedsiębiorstwa Usługodawcy. Kontrola nie może obejmować informacji lub dokumentów dotyczących innych Klientów Usługodawcy, ani zmierzać lub skutkować uzyskaniem dostępu Klienta do danych osobowych innych niż Dane Osobowe tego Klienta lub do danych poufnych Usługodawcy lub innych podmiotów.
  7. Przeprowadzona kontrola zostanie zakończona sporządzeniem protokołu przedstawiającego wyniki kontroli. W przypadku wykazania w protokole uchybień, Klient uprawniony jest do przekazania Usługodawcy pisemnych zaleceń pokontrolnych wraz z terminem ich realizacji, który nie może być krótszy niż 30 Dni Roboczych. Zalecenia pokontrolne nie mogą wykraczać poza wymogi wynikające z niniejszego Regulaminu lub z powszechnie obowiązujących przepisów prawa, w tym RODO, a ponadto powinny być obiektywnie zasadne i możliwe do zrealizowania bez naruszenia ciągłości działania przedsiębiorstwa Usługodawcy.

§7. POSTANOWIENIA KOŃCOWE

  1. Usługodawca odpowiada za niewykonanie lub nienależyte wykonanie postanowień Regulaminu na zasadach wskazanych w Regulaminie Biuromat.pl. Odpowiedzialność Usługodawcy za wykonanie polecenia lub zaleceń pokontrolnych Klienta, które są niezgodne z RODO lub innymi przepisami prawa powszechnie obowiązującego, jest wyłączona.
  2. Postanowienia Regulaminu stanowią całość zobowiązań oraz warunków powierzenia przetwarzania Danych Osobowych w związku z realizacją Umowy o świadczenie Usług. W momencie wejścia w życie niniejszego Regulaminu, jego postanowienia zastępują wszelkie dotychczasowe ustalenia Stron dotyczące powierzenia przetwarzania Danych Osobowych, chyba że Strony inaczej uzgodniły.
  3. W sprawach nieuregulowanych niniejszym Regulaminem zastosowanie mają odpowiednie postanowienia Regulaminu Biuromat.pl.
  4. W przypadku rozbieżności pomiędzy postanowieniami niniejszego Regulaminu a Regulaminu Biuromat.pl, w zakresie dotyczącym ochrony danych osobowych zastosowanie mają postanowienia niniejszego Regulaminu.
  5. Niniejszy Regulamin wchodzi w życie z dniem 31 marca 2026 i obowiązuje przez okres obowiązywania Umowy o świadczenie Usług, a po jej zakończeniu – w zakresie niezbędnym do realizacji obowiązków wynikających z §4 ust. 3.

Załącznik nr 1 – Wykaz podwykonawców

Wskazanie podmiotu w niniejszym wykazie nie oznacza, że dany podwykonawca uczestniczy w przetwarzaniu Danych Osobowych każdego Klienta. Zakres faktycznego udziału poszczególnych podwykonawców zależy od funkcjonalności Serwisu oraz Integracji, z których korzysta Klient.

Lp.

Podwykonawca

Siedziba

Zakres przetwarzania

Lokalizacja danych

Mechanizm transferu (w przypadku transferu poza EOG)

1.

Amazon Web Services EMEA SARL

Luksemburg (UE)

Hosting infrastruktury, przechowywanie i przetwarzanie danych w ramach Serwisu (serwery, bazy danych, kopie zapasowe)

Region UE (Frankfurt / Irlandia)

Nie dotyczy (dane w EOG)

2.

Cyber_Folks S.A.

Poznań (Polska, UE)

Wysyłka wiadomości e-mail generowanych przez Serwis w imieniu Klienta (np. przesyłanie faktur do kontrahentów Klienta)

Polska (UE)

Nie dotyczy (dane w EOG)