Legal Kanban Legal Kanban
language EN Zaloguj do aplikacji Portal klienta

Umowa powierzenia przetwarzania danych

Obowiązuje od: 01.03.2026. Ostatnia aktualizacja: 01.03.2026.

1. Strony umowy

Administrator danych: klient korzystający z systemu Legal Kanban, zgodnie z danymi wskazanymi w umowie lub zamówieniu.

Podmiot przetwarzający: Decent Code Sp. z o.o., ul. Młynarska 29, 58-300 Wałbrzych (wyłącznie adres siedziby rejestrowej, brak obsługi klientów na miejscu), NIP 886 301 65 19, REGON 388 952 820, KRS 0000904994, kapitał zakładowy 10 000 zł, e-mail: firma@decentcode.pl.

Umowa powierzenia stanowi część umowy o korzystanie z Legal Kanban i ma zastosowanie, gdy Klient wprowadza do systemu dane osobowe, których jest administratorem lub które przetwarza jako procesor uprawniony do dalszego powierzenia.

2. Przedmiot powierzenia

Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usługi Legal Kanban, w tym utrzymania aplikacji, hostingu, kont Użytkowników, Portalu Klienta, backupu, bezpieczeństwa, wsparcia technicznego, diagnostyki błędów oraz realizacji udokumentowanych poleceń Administratora.

Przetwarzanie odbywa się przez okres korzystania z usługi, a po jej zakończeniu przez okres niezbędny do eksportu, zwrotu lub usunięcia danych oraz wykonania obowiązków bezpieczeństwa i rozliczalności.

3. Zakres i cele przetwarzania

Charakter przetwarzania obejmuje przechowywanie, utrwalanie, organizowanie, porządkowanie, modyfikowanie, przeglądanie w zakresie wsparcia, udostępnianie upoważnionym Użytkownikom, zabezpieczanie, tworzenie kopii zapasowych, odtwarzanie, ograniczanie, usuwanie i eksport danych.

Celem przetwarzania jest umożliwienie Administratorowi korzystania z systemu SaaS do obsługi pracy kancelarii, spraw prawnych, dokumentów, klientów, terminów, zadań, ofert, rozliczeń i komunikacji.

Powierzenie może obejmować dane klientów kancelarii, kontrahentów, pracowników, współpracowników, pełnomocników, przeciwników procesowych, świadków, osób kontaktowych, Użytkowników, osób zaproszonych do Portalu Klienta oraz inne osoby, których dane Administrator wprowadzi do systemu.

Zakres danych może obejmować dane identyfikacyjne, kontaktowe, organizacyjne, dane dotyczące spraw i dokumentów, dane finansowe i rozliczeniowe, metadane, historię aktywności, korespondencję oraz - jeżeli Administrator zdecyduje się je wprowadzić - dane szczególnych kategorii lub dane dotyczące wyroków skazujących i czynów zabronionych, w zakresie wynikającym z charakteru spraw prowadzonych przez Administratora.

4. Środki bezpieczeństwa

Podmiot przetwarzający stosuje środki techniczne i organizacyjne adekwatne do ryzyka, w szczególności kontrolę dostępu, nadawanie upoważnień, poufność personelu, szyfrowanie transmisji, segmentację uprawnień, kopie zapasowe, monitoring bezpieczeństwa, rejestrowanie wybranych zdarzeń, procedury obsługi incydentów oraz zabezpieczenia środowiska serwerowego.

Administrator odpowiada za konfigurację ról i uprawnień Użytkowników, dobór danych wprowadzanych do systemu, legalność poleceń przetwarzania oraz ocenę, czy korzystanie z systemu jest zgodne z tajemnicą zawodową i obowiązkami Administratora wobec osób, których dane dotyczą.

5. Polecenia Administratora

Podmiot przetwarzający przetwarza dane wyłącznie na udokumentowane polecenie Administratora. Za udokumentowane polecenia uznaje się umowę, Regulamin, konfigurację systemu, działania Administratora i Użytkowników w aplikacji, zgłoszenia wsparcia oraz inne pisemne lub elektroniczne dyspozycje Administratora.

Jeżeli Podmiot przetwarzający uzna, że polecenie narusza RODO lub inne przepisy o ochronie danych, informuje o tym Administratora, chyba że zakazują tego przepisy prawa.

6. Poufność i tajemnica zawodowa

Podmiot przetwarzający zapewnia, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.

Podmiot przetwarzający uwzględnia, że Dane Klienta mogą obejmować informacje objęte tajemnicą adwokacką, radcowską, zawodową lub kontraktową. Dostęp do takich danych jest ograniczany do zakresu niezbędnego do świadczenia usługi, wsparcia, bezpieczeństwa lub wykonania zgodnego z prawem polecenia Administratora.

7. Podpowierzenie

Administrator udziela Podmiotowi przetwarzającemu ogólnej zgody na korzystanie z dalszych podmiotów przetwarzających, jeżeli jest to niezbędne do świadczenia usługi, w szczególności dostawców infrastruktury chmurowej i hostingu w EOG, poczty elektronicznej, narzędzi bezpieczeństwa, backupu, monitoringu technicznego i wsparcia.

Podmiot przetwarzający nakłada na dalszych podprocesorów obowiązki ochrony danych nie mniej restrykcyjne niż wynikające z niniejszej umowy i odpowiada za ich działania zgodnie z RODO. Informacja o aktualnych kategoriach lub liście podprocesorów jest udostępniana Administratorowi na żądanie.

Podmiot przetwarzający informuje Administratora o zamierzonych istotnych zmianach dotyczących podprocesorów, dając Administratorowi możliwość zgłoszenia sprzeciwu, jeżeli zmiana może realnie wpływać na ochronę powierzonych danych.

8. Pomoc Administratorowi

Podmiot przetwarzający, z uwzględnieniem charakteru przetwarzania i dostępnych informacji, pomaga Administratorowi w realizacji obowiązków dotyczących praw osób, których dane dotyczą, bezpieczeństwa przetwarzania, zgłaszania naruszeń, oceny skutków dla ochrony danych oraz konsultacji z organem nadzorczym.

Jeżeli osoba, której dane dotyczą, zwróci się bezpośrednio do Podmiotu przetwarzającego w sprawie danych powierzonych przez Administratora, Podmiot przetwarzający może przekazać żądanie Administratorowi, o ile przepisy prawa nie wymagają innego działania.

9. Naruszenia ochrony danych

Podmiot przetwarzający informuje Administratora bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony powierzonych danych osobowych. Informacja obejmuje, w miarę dostępności, opis charakteru naruszenia, możliwe skutki, podjęte lub proponowane środki zaradcze oraz dane umożliwiające kontakt w sprawie naruszenia.

Administrator odpowiada za ocenę obowiązku zgłoszenia naruszenia organowi nadzorczemu lub zawiadomienia osób, których dane dotyczą, chyba że przepisy prawa nakładają określone obowiązki bezpośrednio na Podmiot przetwarzający.

10. Audyt i rozliczalność

Podmiot przetwarzający udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO, z uwzględnieniem tajemnicy przedsiębiorstwa, bezpieczeństwa systemu oraz praw innych klientów.

Audyt może być realizowany przez analizę dokumentów, odpowiedzi na ankietę bezpieczeństwa, spotkanie techniczne lub inną uzgodnioną formę. Audyt bezpośredni wymaga wcześniejszego uzgodnienia terminu, zakresu i zasad bezpieczeństwa oraz nie może zakłócać działania usługi ani naruszać poufności danych innych klientów.

11. Zwrot i usunięcie danych

Po zakończeniu świadczenia usług Podmiot przetwarzający, według wyboru Administratora, umożliwia eksport danych, usuwa dane albo zwraca dane w uzgodnionej formie, chyba że prawo Unii Europejskiej lub prawo polskie nakazuje dalsze przechowywanie danych.

Kopie zapasowe mogą być usuwane zgodnie z cyklem retencji backupów. Do czasu usunięcia z kopii zapasowych dane pozostają zabezpieczone i nie są przetwarzane w innym celu niż bezpieczeństwo, odtworzenie danych lub wykonanie obowiązku prawnego.

12. Transfer danych

Podmiot przetwarzający przetwarza powierzone dane aplikacyjne w Europejskim Obszarze Gospodarczym, chyba że Administrator i Podmiot przetwarzający uzgodnią inaczej lub transfer wynika z usług wybranych albo skonfigurowanych przez Administratora.

Jeżeli dojdzie do transferu danych poza EOG, Podmiot przetwarzający stosuje mechanizmy wymagane przez RODO, w szczególności standardowe klauzule umowne lub inne właściwe zabezpieczenia.

13. Obowiązki Administratora

Administrator zobowiązuje się do korzystania z usługi zgodnie z prawem, spełnienia obowiązków informacyjnych wobec osób, których dane dotyczą, zapewnienia podstaw prawnych przetwarzania, nadawania uprawnień zgodnie z zasadą minimalizacji oraz niewprowadzania do systemu danych w zakresie szerszym niż potrzebny do realizacji celów Administratora.

14. Postanowienia końcowe

W zakresie nieuregulowanym niniejszą umową stosuje się RODO, przepisy prawa polskiego, Regulamin oraz umowę główną dotyczącą Legal Kanban. W razie sprzeczności pierwszeństwo w zakresie ochrony danych osobowych mają postanowienia niniejszej Umowy powierzenia.