Regulamin serwisu Form.com.pl

UMOWA O WSPÓŁPRACY

zawarta w dniu ……….. r. w Krakowie, pomiędzy:

1. AlfaMedial, z siedzibą w Krakowie, Os. Bohaterów Września 79A/16, 31-621 Kraków, NIP: 6771425568, REGON: 120607210, reprezentowaną przez ……………………………………, zwaną dalej „Operatorem”

a

2. ……………………………………………., prowadzącym działalność gospodarczą pod firmą ……………………………………………., z siedzibą ……………………………………………., NIP: ……………………………………………., REGON: ……………………………………………., zwaną dalej „Kontrahentem”

zwanymi łącznie „Stronami”, a każda z osobna „Stroną”.

§1. Przedmiot umowy

  1. Przedmiotem niniejszej umowy jest określenie zasad współpracy pomiędzy Operatorem a Kontrahentem w zakresie:

    • udostępnienia przez Operatora platformy Form.com.pl do obsługi formularzy kontaktowych, rezerwacyjnych oraz płatności online dotyczących usług oferowanych przez Kontrahenta,

    • przyjmowania przez Operatora płatności od użytkowników Serwisu Form.com.pl w imieniu Kontrahenta oraz rozliczania tych płatności z Kontrahentem na zasadach określonych w niniejszej umowie.

  2. Operator nie jest stroną umowy zawieranej pomiędzy Kontrahentem a klientem końcowym – pełni jedynie funkcję organizatora płatności i operatora technicznego platformy.

§2. Zakres obowiązków Stron

1. Obowiązki Operatora

Operator zobowiązuje się do:

  1. zapewnienia funkcjonowania platformy Form.com.pl, umożliwiającej przyjmowanie zamówień i płatności online od klientów Kontrahenta;

  2. przekazywania Kontrahentowi danych dotyczących zamówień i płatności;

  3. przyjmowania płatności od klientów na rachunek bankowy Operatora oraz prowadzenia ewidencji tych transakcji;

  4. rozliczania się z Kontrahentem na podstawie wystawionej przez niego faktury VAT;

  5. zapewnienia bezpieczeństwa danych osobowych i transakcyjnych zgodnie z RODO i ustawą o świadczeniu usług drogą elektroniczną.

2. Obowiązki Kontrahenta

Kontrahent zobowiązuje się do:

  1. świadczenia usług zgodnych z ofertą opublikowaną w Serwisie;

  2. przekazywania Operatorowi prawdziwych i aktualnych danych dotyczących oferowanych usług, cen i terminów;

  3. wystawiania faktur VAT na rzecz Operatora za zrealizowane usługi w terminach określonych w §4;

  4. zapewnienia realizacji usług w sposób zgodny z prawem, zasadami współżycia społecznego oraz standardami branżowymi;

  5. ponoszenia pełnej odpowiedzialności wobec klientów za jakość i realizację świadczonych usług.

§3. Przyjmowanie i rozliczanie płatności

  1. Płatności dokonywane przez klientów za pośrednictwem formularzy dostępnych na platformie Form.com.pl wpływają na rachunek bankowy Operatora.

  2. Operator przyjmuje te płatności w imieniu własnym, lecz na rzecz Kontrahenta, a następnie dokonuje rozliczenia z Kontrahentem na podstawie faktury VAT.

  3. Operator prowadzi ewidencję wszystkich transakcji i udostępnia Kontrahentowi zbiorcze zestawienie płatności w okresach rozliczeniowych.

  4. Operator pobiera wynagrodzenie prowizyjne określone w §4.

  5. W przypadku zwrotu środków klientowi końcowemu Operator dokonuje zwrotu w imieniu Kontrahenta, a wartość zwrotu zostaje potrącona z kolejnego rozliczenia lub faktury.

§4. Rozliczenia finansowe

  1. Rozliczenia pomiędzy Stronami odbywają się w okresach …………………………….. (np. tygodniowych / miesięcznych).

  2. Po zakończeniu każdego okresu Operator przekazuje Kontrahentowi raport zawierający listę zrealizowanych płatności netto.

  3. Kontrahent wystawia Operatorowi fakturę VAT na podstawie raportu, w wysokości odpowiadającej należnym środkom za sprzedane usługi.

  4. Operator przekaże środki należne Kontrahentowi przelewem bankowym w terminie do 7 dni roboczych od otrzymania prawidłowo wystawionej faktury.

  5. Z każdej transakcji Operator pobiera wynagrodzenie w formie prowizji w wysokości …… % wartości brutto każdej transakcji (lub stałą opłatę … zł netto).

  6. Wynagrodzenie Operatora obejmuje utrzymanie platformy, obsługę płatności, wsparcie techniczne oraz koszty administracyjne.

§5. Zwroty i reklamacje

  1. Reklamacje dotyczące działania platformy Form.com.pl rozpatruje Operator w terminie 14 dni roboczych.

  2. Reklamacje dotyczące usług świadczonych przez Kontrahenta rozpatruje Kontrahent, z zastrzeżeniem, że Operator może pośredniczyć w kontakcie z klientem.

  3. W przypadku uzasadnionej reklamacji lub rezygnacji klienta Operator dokonuje zwrotu środków w imieniu Kontrahenta na rachunek klienta, a kwota ta zostaje odjęta od kolejnego rozliczenia.

§6. Ochrona danych osobowych

  1. Strony oświadczają, że zobowiązują się do przestrzegania przepisów RODO.

  2. W zakresie przetwarzania danych klientów Kontrahenta przez Operatora, Strony uznają Operatora za podmiot przetwarzający w rozumieniu art. 28 RODO.

  3. Zakres i cele przetwarzania danych określa Załącznik nr 1 – Umowa powierzenia przetwarzania danych osobowych.

  4. Operator zapewnia środki techniczne i organizacyjne zapewniające bezpieczeństwo danych zgodnie z RODO oraz normami PSD2.

§7. Odpowiedzialność

  1. Operator odpowiada za prawidłowe techniczne działanie platformy i obsługę płatności, lecz nie odpowiada za nienależyte wykonanie usług przez Kontrahenta.

  2. Kontrahent ponosi pełną odpowiedzialność wobec klientów za wykonanie usług oraz wszelkie roszczenia z tym związane.

  3. Operator nie ponosi odpowiedzialności za przerwy w działaniu systemu Paynow lub banków obsługujących transakcje.

§8. Poufność

  1. Strony zobowiązują się do zachowania w tajemnicy wszelkich informacji poufnych uzyskanych w związku z realizacją niniejszej umowy.

  2. Obowiązek zachowania poufności obowiązuje przez okres 3 lat od daty rozwiązania umowy.

§9. Czas trwania i rozwiązanie umowy

  1. Umowa zostaje zawarta na czas nieokreślony z możliwością jej wypowiedzenia przez każdą ze Stron z zachowaniem 30-dniowego okresu wypowiedzenia.

  2. Operator ma prawo rozwiązać umowę ze skutkiem natychmiastowym w przypadku:

    • naruszenia przez Kontrahenta obowiązków umownych,

    • działania na szkodę Operatora lub klientów,

    • utraty wiarygodności finansowej.

  3. Po rozwiązaniu umowy Strony dokonają rozliczenia końcowego w terminie 14 dni.

§10. Postanowienia końcowe

  1. W sprawach nieuregulowanych niniejszą umową stosuje się przepisy Kodeksu cywilnego oraz ustawy o świadczeniu usług drogą elektroniczną.

  2. Wszelkie spory wynikłe z realizacji niniejszej umowy będą rozstrzygane przez sąd właściwy miejscowo dla siedziby Operatora.

  3. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Operator:
……………………………………………..
(AlfaMedial)

Kontrahent:
……………………………………………..

📎 Załączniki:

  1. Załącznik nr 1 – Umowa powierzenia przetwarzania danych osobowych (RODO)

  2. Załącznik nr 2 – Wzór raportu rozliczeniowego

  3.  

Załącznik nr 1 – Umowę powierzenia przetwarzania danych osobowych
dołączaną do Umowy o współpracy między AlfaMedial (Operatorem) a Kontrahentem (Usługodawcą).

Ten wzór jest gotowy do podpisu — możesz go stosować zarówno z hotelami, firmami usługowymi, jak i partnerami branżowymi.

ZAŁĄCZNIK NR 1

do Umowy o Współpracy pomiędzy AlfaMedial a Kontrahentem

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta w dniu ……………………. r. w Krakowie, pomiędzy:

1. AlfaMedial, z siedzibą w Krakowie, Os. Bohaterów Września 79A/16, 31-621 Kraków, NIP: 6771425568, REGON: 120607210, reprezentowaną przez ……………………………………, zwaną dalej „Procesorem” lub „Operatorem”,

a

2. ……………………………………………., prowadzącym działalność gospodarczą pod firmą ……………………………………………., z siedzibą ……………………………………………., NIP: ……………………………………………., REGON: ……………………………………………., zwaną dalej „Administratorem” lub „Kontrahentem”,

łącznie zwanymi dalej „Stronami”, a każda z osobna „Stroną”.

§1. Podstawa i cel przetwarzania

  1. Niniejsza Umowa została zawarta na podstawie art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).

  2. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu niezbędnym do:

    • obsługi formularzy kontaktowych i rezerwacyjnych dostępnych w serwisie Form.com.pl,

    • realizacji płatności online dokonywanych przez klientów Administratora,

    • obsługi komunikacji i raportowania transakcji,

    • archiwizacji danych transakcyjnych i technicznych.

  3. Procesor zobowiązuje się do przetwarzania powierzonych danych wyłącznie w zakresie niezbędnym do prawidłowego wykonania Umowy o Współpracy.

§2. Zakres i kategorie danych

  1. Powierzone dane mogą obejmować w szczególności:

    • imię, nazwisko, adres e-mail, numer telefonu klienta,

    • dane dotyczące płatności (np. ID transakcji, kwota, data),

    • dane dotyczące zamówienia lub rezerwacji (np. termin, miejsce, numer formularza),

    • inne dane przekazywane przez klientów Administratora w formularzach.

  2. Dane nie obejmują szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO (tzw. danych wrażliwych).

§3. Sposób przetwarzania

  1. Procesor przetwarza dane wyłącznie w sposób zautomatyzowany, z wykorzystaniem systemów teleinformatycznych, w szczególności platformy Form.com.pl.

  2. Dane przetwarzane są w chmurze oraz w systemach zabezpieczonych środkami technicznymi i organizacyjnymi zapewniającymi poufność, integralność i dostępność danych.

  3. Procesor zapewnia stosowanie zasad „privacy by design” oraz „privacy by default”.

§4. Obowiązki Procesora

Procesor zobowiązuje się do:

  1. przetwarzania danych wyłącznie na udokumentowane polecenie Administratora;

  2. zapewnienia, że osoby upoważnione do przetwarzania danych zachowają ich poufność;

  3. stosowania środków technicznych i organizacyjnych wymaganych przez art. 32 RODO, w tym:

    • szyfrowania transmisji (SSL/TLS),

    • autoryzacji dostępu do systemu,

    • regularnych kopii bezpieczeństwa,

    • kontroli dostępu i rejestru operacji na danych;

  4. współpracy z Administratorem w zakresie oceny skutków dla ochrony danych (DPIA), audytów i kontroli;

  5. niezwłocznego informowania Administratora o:

    • wszelkich przypadkach naruszenia bezpieczeństwa danych,

    • otrzymaniu żądania od osoby, której dane dotyczą,

    • konieczności zmiany zakresu lub sposobu przetwarzania.

§5. Podpowierzenie danych

  1. Procesor może korzystać z podmiotów przetwarzających (tzw. subprocesorów), wyłącznie w zakresie niezbędnym do realizacji Umowy.

  2. Podpowierzenie danych może dotyczyć w szczególności następujących kategorii podmiotów:

    • operatorzy płatności (np. Paynow – mBank S.A.),

    • dostawcy hostingu i infrastruktury IT,

    • podmioty świadczące usługi serwisowe lub wsparcia technicznego.

  3. Procesor odpowiada wobec Administratora za działania i zaniechania subprocesorów jak za własne.

  4. Aktualna lista subprocesorów może być udostępniona Administratorowi na jego wniosek.

§6. Prawa Administratora

  1. Administrator ma prawo do kontroli przetwarzania danych przez Procesora, w szczególności do:

    • uzyskania informacji o stosowanych zabezpieczeniach,

    • wglądu w dokumentację bezpieczeństwa,

    • przeprowadzenia audytu (po wcześniejszym uzgodnieniu terminu).

  2. Procesor zobowiązuje się współpracować i umożliwić Administratorowi wykonanie powyższych uprawnień.

§7. Zakończenie przetwarzania

  1. Po zakończeniu współpracy lub na żądanie Administratora, Procesor zobowiązuje się do:

    • usunięcia lub zwrotu wszystkich danych osobowych,

    • usunięcia wszelkich kopii zapasowych w terminie do 30 dni,

    • przekazania potwierdzenia usunięcia danych w formie pisemnej lub elektronicznej.

  2. Procesor może zachować dane jedynie w zakresie wymaganym przez przepisy prawa (np. rachunkowość, rozliczenia podatkowe).

§8. Odpowiedzialność

  1. Procesor odpowiada za szkody powstałe wskutek przetwarzania danych niezgodnie z Umową lub RODO, w zakresie, w jakim ponosi winę.

  2. Administrator odpowiada za zgodność powierzonych danych z prawem oraz ich pozyskanie w sposób legalny.

  3. Strony zobowiązują się do wzajemnej współpracy przy obsłudze incydentów bezpieczeństwa i żądań organów nadzorczych.

§9. Poufność

  1. Strony zobowiązują się do zachowania w tajemnicy wszelkich informacji uzyskanych w związku z realizacją niniejszej Umowy.

  2. Obowiązek zachowania poufności obowiązuje bezterminowo.

§10. Czas trwania umowy

  1. Niniejsza Umowa zostaje zawarta na czas obowiązywania Umowy o Współpracy.

  2. W przypadku rozwiązania Umowy o Współpracy, Umowa niniejsza wygasa z dniem zakończenia przetwarzania danych i dokonania czynności, o których mowa w §7.

§11. Postanowienia końcowe

  1. W sprawach nieuregulowanych niniejszą Umową stosuje się przepisy RODO i Kodeksu cywilnego.

  2. Wszelkie spory wynikłe na tle realizacji niniejszej Umowy będą rozstrzygane przez sąd właściwy miejscowo dla siedziby Procesora.

  3. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Administrator (Kontrahent):
……………………………………………..
(data, podpis)

Procesor (AlfaMedial):
……………………………………………..
(data, podpis)

ZAŁĄCZNIK NR 2

do Umowy o Współpracy pomiędzy AlfaMedial a Kontrahentem

WZÓR RAPORTU ROZLICZENIOWEGO

📅 Okres rozliczeniowy:

od ……………….. do ………………..
Raport wygenerowano dnia: ………………..
Numer raportu: FORM/[miesiąc]/[rok]/[nr]

🏢 Dane stron

Operator (AlfaMedial):
AlfaMedial
Os. Bohaterów Września 79A/16, 31-621 Kraków
NIP: 6771425568 | REGON: 120607210
E-mail: info@form.com.pl

Kontrahent:
Nazwa firmy: ………………………………………………………..
Adres: ……………………………………………………………..
NIP: …………………………………… | REGON: ………………………………
E-mail: ……………………………………

1. Zestawienie transakcji przyjętych w okresie rozliczeniowym

NrData transakcjiID transakcji (Paynow)Nazwa usługi / formularzaKlient (imię i nazwisko / e-mail)Kwota brutto (PLN)Prowizja (%)Prowizja (PLN)Kwota netto należna Kontrahentowi (PLN)
12025-10-01PAYN-24355612Rezerwacja nocleguAnna Nowak / anna@ex.com580,005%29,00551,00
22025-10-02PAYN-24355744Transfer lotniskowyJohn Smith / john@ex.com120,005%6,00114,00
32025-10-04PAYN-24356201Wycieczka fakultatywnaMaria Kowalska / maria@ex.com280,005%14,00266,00

Suma za okres:

  • Łączna kwota brutto transakcji: …………. PLN

  • Łączna prowizja AlfaMedial: …………. PLN

  • Łączna kwota należna Kontrahentowi (netto): …………. PLN

2. Zwroty i korekty (jeśli dotyczy)

NrData zwrotuID transakcjiNazwa usługiKwota zwrotu (PLN)Powód / opisUwagi
12025-10-05PAYN-24356201Wycieczka fakultatywna280,00Rezygnacja klienta 6 dni przed terminemZwrot pełny

Łączna wartość zwrotów: …………. PLN

3. Podsumowanie finansowe

PozycjaWartość (PLN)
Łączna kwota brutto zrealizowanych transakcji………….
Łączna prowizja AlfaMedial………….
Łączna wartość zwrotów / korekt………….
Kwota do wypłaty Kontrahentowi………….

💰 Dane do płatności

Operator (AlfaMedial) dokona przelewu środków należnych Kontrahentowi na poniższy rachunek bankowy:

Nazwa banku: ………………………………………………………..
Numer rachunku (IBAN): ………………………………………………………..
Termin płatności: do 7 dni roboczych od otrzymania faktury VAT.

4. Uwagi / notatki Operatora

…………………………………………………………………………………………………………
…………………………………………………………………………………………………………
…………………………………………………………………………………………………………

🖋️ Potwierdzenie odbioru raportu

Kontrahent:
Oświadczam, że zapoznałem się z treścią raportu i potwierdzam prawidłowość danych stanowiących podstawę do wystawienia faktury VAT.

……………………………………………..
(miejsce, data, podpis Kontrahenta)

Operator (AlfaMedial):
Raport sporządził: ……………………………………………..
Stanowisko: ……………………………………………..
Data: ……………………………………………..

……………………………………………..
(podpis osoby sporządzającej raport)

ZAŁĄCZNIK NR 3

do Umowy o Współpracy pomiędzy AlfaMedial a Kontrahentem

TABELA PROWIZJI I OPŁAT

📅 Okres obowiązywania

Załącznik obowiązuje od dnia: …………………
do dnia: ………………… (lub „do odwołania / zmiany aneksem”).

1. Wynagrodzenie Operatora (AlfaMedial)

NrRodzaj usługi / formularzaZakres obsługi (np. rezerwacja, płatność, komunikacja)Stawka prowizyjna [%]Prowizja minimalna [PLN]Sposób naliczaniaUwagi
1Rezerwacje noclegów / pobytówFormularz + obsługa płatności Paynow5%10,00od wartości brutto każdej transakcji 
2Transfery / usługi transportoweFormularz + płatność online7%5,00od wartości brutto 
3Wydarzenia, bilety, wycieczkiRezerwacja + płatność + potwierdzenie automatyczne8%10,00od wartości brutto 
4Usługi specjalne (indywidualne wyceny)Formularz kontaktowy + obsługa płatności10%od kwoty brutto po realizacji 
5Inne usługi (np. konsultacje, szkolenia)Formularz płatniczy / zapytanie ofertowe6%od kwoty brutto 

Uwaga:
Prowizje są naliczane automatycznie w momencie potwierdzenia płatności w systemie Paynow.
Kwoty uwzględniają obsługę płatności, infrastrukturę IT, raportowanie, archiwizację i wsparcie techniczne.

2. Opłaty dodatkowe (jeśli dotyczy)

NrRodzaj opłatyOpisKwota netto [PLN]Sposób rozliczeniaUwagi
1Utrzymanie konta / profilu KontrahentaOpłata roczna za utrzymanie integracji i panelu200,00raz w rokuopcjonalna
2Integracja niestandardowa (API, webhook, CRM)Jednorazowa konfiguracja i testy300,00jednorazowodot. zaawansowanych usług
3Modyfikacja formularzy / UXProjekt i wdrożenie formularza custom150,00po akceptacjifakultatywna
4Obsługa zwrotu środków (refund)Manualne przetworzenie zwrotu klienta10,00za każdą transakcjędot. zwrotów po 7 dniach
5Raporty niestandardowe / eksport danychWygenerowanie danych wg indywidualnych kryteriów50,00za raportna wniosek Kontrahenta

3. Terminy rozliczeń

  1. Rozliczenia prowizyjne odbywają się cyklicznie, raz w miesiącu (lub częściej – zgodnie z ustaleniem w umowie).

  2. Raport rozliczeniowy przekazywany jest Kontrahentowi do 5. dnia roboczego miesiąca następującego po okresie rozliczeniowym.

  3. Na podstawie raportu Kontrahent wystawia fakturę VAT na rzecz AlfaMedial w wysokości należnych środków.

  4. Płatność na rachunek Kontrahenta następuje w terminie do 7 dni roboczych od otrzymania faktury.

4. Zmiany i aktualizacje

  1. Zmiany w tabeli prowizji i opłat mogą być dokonywane:

    • w formie pisemnego aneksu, lub

    • drogą elektroniczną (e-mail z potwierdzeniem przyjęcia).

  2. Nowe stawki obowiązują od pierwszego dnia miesiąca następującego po dniu ich zatwierdzenia.

5. Podpisy Stron

Operator (AlfaMedial):
……………………………………………..
(data, podpis, pieczęć)

Kontrahent:
……………………………………………..
(data, podpis, pieczęć)

Świetnie, Jacek.
Poniżej otrzymujesz komplet trzech załączników pomocniczych w wersji kancelaryjno-technicznej:

1️⃣ Polityka bezpieczeństwa danych AlfaMedial
2️⃣ Wykaz subprocesorów
3️⃣ Procedura postępowania w razie incydentu bezpieczeństwa

Każdy z nich jest gotowy do wdrożenia w dokumentacji RODO i zgodny ze standardami ISO/IEC 27001 oraz wymogami operatorów płatności (Paynow, mBank).

ZAŁĄCZNIK NR A

Polityka bezpieczeństwa danych AlfaMedial

§1. Cel dokumentu

Celem niniejszej Polityki jest określenie zasad zapewnienia bezpieczeństwa danych osobowych i transakcyjnych przetwarzanych przez AlfaMedial w ramach działalności platformy Form.com.pl.
Polityka realizuje obowiązki wynikające z art. 24, 32 i 35 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

§2. Zakres stosowania

Polityka dotyczy wszystkich procesów, w których AlfaMedial:

  • przetwarza dane osobowe klientów, kontrahentów i partnerów,

  • obsługuje transakcje finansowe,

  • przechowuje dane w systemach informatycznych lub na nośnikach elektronicznych.

§3. Zasady bezpieczeństwa

  1. Poufność – dane są dostępne wyłącznie dla osób upoważnionych.

  2. Integralność – dane są chronione przed nieautoryzowaną modyfikacją lub utratą.

  3. Dostępność – dane są dostępne dla uprawnionych użytkowników w wymaganym czasie.

  4. Rozliczalność – wszystkie operacje na danych są rejestrowane i możliwe do odtworzenia.

  5. Minimalizacja danych – przetwarzane są wyłącznie dane niezbędne do realizacji celu.

§4. Środki techniczne i organizacyjne

  1. Zabezpieczenia IT:

    • szyfrowanie transmisji (SSL/TLS),

    • firewall, system antywirusowy i system wykrywania intruzów (IDS),

    • regularne aktualizacje systemów i oprogramowania,

    • ograniczenie dostępu do danych (uwierzytelnianie dwuskładnikowe).

  2. Zabezpieczenia organizacyjne:

    • upoważnienia imienne dla pracowników,

    • ewidencja operacji przetwarzania danych,

    • polityka haseł i dostępów,

    • cykliczne szkolenia personelu w zakresie RODO i cyberbezpieczeństwa.

  3. Zabezpieczenia fizyczne:

    • kontrola dostępu do pomieszczeń biurowych,

    • system alarmowy i monitoring,

    • niszczenie dokumentów papierowych z wykorzystaniem niszczarki klasy P-4 lub wyższej.

§5. Kopie zapasowe i archiwizacja

  1. Dane przechowywane są na serwerach zlokalizowanych w Unii Europejskiej.

  2. Kopie zapasowe tworzone są automatycznie co 24 godziny i przechowywane przez 30 dni.

  3. Dostęp do kopii mają wyłącznie administratorzy systemów informatycznych AlfaMedial.

§6. Audyty i przeglądy

  1. AlfaMedial przeprowadza audyt bezpieczeństwa co najmniej raz w roku.

  2. Wnioski z audytu są dokumentowane i przekazywane właścicielowi danych lub kontrahentom na żądanie.

§7. Naruszenia bezpieczeństwa

W przypadku naruszenia bezpieczeństwa danych stosuje się procedurę opisaną w Załączniku nr C – Procedura postępowania w razie incydentu bezpieczeństwa.

Data wejścia w życie: ……………………………
Odpowiedzialny za politykę bezpieczeństwa: Inspektor Ochrony Danych AlfaMedial
E-mail kontaktowy: iod@form.com.pl

ZAŁĄCZNIK NR B

Wykaz subprocesorów AlfaMedial

Zgodnie z art. 28 ust. 4 RODO, AlfaMedial korzysta z następujących podmiotów przetwarzających dane (subprocesorów):

NrNazwa podmiotuZakres usługSiedziba / kraj przetwarzaniaPodstawa prawna / zgodność RODO
1Paynow (mBank S.A.)Obsługa płatności onlinePolska (UE)Umowa o powierzeniu danych, zgodność z PSD2
2Cloudflare, Inc.Ochrona przed atakami DDoS, CDNUSA / UEEU Standard Contractual Clauses
3Google Ireland Ltd.Analityka ruchu (Google Analytics)Irlandia (UE)Umowa powierzenia danych Google Ads Data Processing Terms
4OVH Sp. z o.o.Hosting serwerów i backupPolska (UE)Umowa powierzenia danych
5Mailgun Technologies, Inc.Obsługa powiadomień e-mailUE (Frankfurt) / USASCC + DPA Mailgun
6Make.com (Celonis SE)Automatyzacja przesyłania danych między systemamiUE (Czechy / Niemcy)DPA Make.com
7Microsoft Ireland Operations Ltd.Usługi biurowe (Outlook, SharePoint)Irlandia (UE)DPA Microsoft EU Data Boundary

Uwaga:
Każdy nowy subprocesor jest dodawany do niniejszej listy po uzyskaniu zgody kontrahenta lub zawiadomieniu zgodnie z art. 28 ust. 2 RODO.

ZAŁĄCZNIK NR C

Procedura postępowania w razie incydentu bezpieczeństwa

§1. Cel procedury

Celem procedury jest zapewnienie skutecznego reagowania na naruszenia bezpieczeństwa danych osobowych w sposób zgodny z art. 33–34 RODO.

§2. Definicje

Incydent bezpieczeństwa – każde naruszenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, ujawnienia, zmiany lub nieuprawnionego dostępu do danych osobowych.

§3. Etapy postępowania

1️⃣ Wykrycie i zgłoszenie

  • Każdy pracownik lub podmiot współpracujący z AlfaMedial jest zobowiązany do natychmiastowego zgłoszenia incydentu do Inspektora Ochrony Danych (iod@form.com.pl).

  • Zgłoszenie powinno zawierać datę, opis zdarzenia, osoby, których dotyczy oraz wstępny wpływ na dane.

2️⃣ Analiza i ocena ryzyka

  • Inspektor Ochrony Danych dokonuje wstępnej analizy w ciągu 24 godzin.

  • Ocenia, czy incydent stanowi naruszenie w rozumieniu RODO oraz czy wymaga zgłoszenia do Prezesa UODO i/lub osób, których dane dotyczą.

3️⃣ Działania naprawcze

  • Zabezpieczenie systemów i ograniczenie skutków incydentu (np. zmiana haseł, blokada dostępu, kopia logów).

  • Przywrócenie integralności danych z kopii zapasowej.

  • Dokumentacja działań naprawczych w „Rejestrze naruszeń bezpieczeństwa”.

4️⃣ Zgłoszenie do UODO (jeśli wymagane)

  • Jeśli incydent może powodować ryzyko naruszenia praw osób fizycznych, zgłoszenie następuje nie później niż 72 godziny od jego wykrycia.

  • Zgłoszenie zawiera m.in. charakter naruszenia, kategorie danych, przyczyny oraz zastosowane środki zaradcze.

5️⃣ Powiadomienie osób, których dane dotyczą

  • Jeżeli incydent może powodować wysokie ryzyko dla praw i wolności osób, Operator przekazuje im stosowne zawiadomienie w sposób jasny i zrozumiały.

§4. Dokumentacja i archiwizacja

  1. Każdy incydent dokumentowany jest w Rejestrze naruszeń bezpieczeństwa, który zawiera: datę, opis zdarzenia, skutki, zastosowane działania i osobę odpowiedzialną.

  2. Rejestr jest przechowywany przez okres 5 lat i dostępny wyłącznie dla Inspektora Ochrony Danych i Zarządu AlfaMedial.

§5. Szkolenia i prewencja

  1. Pracownicy AlfaMedial są szkoleni z zasad reagowania na incydenty co najmniej raz w roku.

  2. Regularnie przeprowadzane są testy bezpieczeństwa systemów IT (m.in. testy penetracyjne, audyty logów).

Inspektor Ochrony Danych AlfaMedial:
Imię i nazwisko: ………………………………………………….
E-mail: iod@form.com.pl
Telefon: ………………………………………………….

Data wejścia w życie: ……………………………