DPA — Data Processing Agreement

Wersja: 2.0 Obowiązuje od: 1 stycznia 2026 Zgodność: Art. 28 RODO, SCC 2021/914

1. Strony

Niniejszy Data Processing Agreement („DPA") stanowi integralną część Umowy o świadczenie usług bramki płatniczej zawartej pomiędzy:

Administratorem — Merchantem korzystającym z Usługi,
Procesorem — Payment Gateway Sp. z o.o. (KRS: 0001023004).

2. Rola stron

W zakresie danych osobowych klientów końcowych Merchanta (kupujących), Merchant pozostaje Administratorem, a Payment Gateway działa jako Procesor w rozumieniu art. 4(8) RODO.

W zakresie danych kart płatniczych tokenizowanych przez VTS/MDES, Payment Gateway działa jako niezależny administrator dla celów przeciwdziałania oszustwom i zgodności z PCI DSS.

3. Przedmiot powierzenia

Zakres danych: imię, nazwisko, email, adres rozliczeniowy, tokenizowane dane karty, IP, fingerprint.
Kategorie osób: klienci końcowi Merchanta dokonujący płatności.
Czas trwania: przez okres obowiązywania Umowy + okresy retencji wymagane przepisami AML.
Cel: procesowanie płatności, anti-fraud, obsługa sporów (chargeback), raportowanie.

4. Obowiązki Procesora

Przetwarzać dane wyłącznie na udokumentowane polecenie Administratora.
Zapewnić, że osoby upoważnione są zobowiązane do zachowania poufności.
Wdrożyć środki bezpieczeństwa zgodnie z art. 32 RODO.
Udzielać pomocy Administratorowi w realizacji praw osób, których dane dotyczą.
Zawiadamiać o naruszeniach bez zbędnej zwłoki, nie później niż w ciągu 24 godzin.

5. Subprocesorzy

Procesor korzysta z następujących subprocesorów, na których wykorzystanie Administrator wyraża ogólną zgodę:

Subprocesor	Lokalizacja	Cel
AWS (Amazon Web Services EMEA)	Frankfurt, DE	Hosting infrastruktury
Cloudflare	EU data residency	CDN, WAF, DDoS protection
Datadog EU	Paryż, FR	Logging, APM
Elavon Financial Services	Dublin, IE	Acquiring
Visa Token Service	EU	Tokenizacja kart Visa
Mastercard Digital Enablement	EU	Tokenizacja kart Mastercard

O zmianach listy subprocesorów informujemy z 30-dniowym wyprzedzeniem. Administrator ma prawo sprzeciwu.

6. Środki bezpieczeństwa

Szyfrowanie danych w ruchu: TLS 1.3.
Szyfrowanie danych w spoczynku: AES-256.
Tokenizacja PAN przez HSM (FIPS 140-2 Level 3).
Kontrola dostępu: MFA, SSO SCIM, audit log.
Segregacja PCI CDE od pozostałych środowisk.
Certyfikaty: PCI DSS Level 1, ISO 27001, SOC 2 Type II.

7. Incydenty

W razie wykrycia naruszenia ochrony danych Procesor powiadamia Administratora w ciągu 24 godzin na adres email wskazany w Umowie. Zawiadomienie zawiera informacje wymagane art. 33(3) RODO.

8. Audyt

Administrator ma prawo raz w roku przeprowadzić audyt zgodności Procesora, z 30-dniowym uprzedzeniem. Procesor udostępnia raporty SOC 2 Type II oraz PCI AoC jako alternatywę dla audytu własnego.

9. Zakończenie

Po zakończeniu Umowy Procesor, zgodnie z wyborem Administratora, usunie lub zwróci wszystkie dane osobowe, z wyjątkiem danych wymaganych do dalszego przechowywania przez przepisy prawa (AML: 5 lat).

Podpisane DPA

Podpisana kopia DPA dostępna do pobrania po zalogowaniu do panelu Merchanta lub na życzenie.

Poproś o podpisane DPA