LifeTree OS crystal logo
LifeTree OS
lifetree.finance
Powrót

Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

LifeTree OSlifetree.finance.

Wersja: 1.0  |  Data obowiązywania: 1 marca 2026 r.

1. Informacja o dostępności dokumentu

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych („DPA") stanowi załącznik do umowy głównej dotyczącej korzystania z usługi LifeTree OS („Regulamin"). DPA reguluje zasady przetwarzania danych osobowych przez JDG Oleksandr Khomenko LifeTree Finance jako podmiot przetwarzający w imieniu Klienta B2B, w zakresie określonym w art. 28 RODO.

DPA jest udostępniana Klientowi B2B nie później niż przed rozpoczęciem przetwarzania danych osób trzecich (tj. przed pierwszym przesłaniem do systemu dokumentów zawierających dane osobowe inne niż dane Klienta, np. dane pracowników, kontrahentów).

Na żądanie Klienta DPA może zostać udostępniona również wcześniej poprzez kontakt: legal@lifetree.finance.

2. Strony i role w rozumieniu RODO

  • Klient (Przedsiębiorca/Firma) — działa jako Administrator danych w zakresie danych osobowych zawartych w dokumentach i materiałach wprowadzanych do Usługi przez Klienta.
  • OperatorJDG Oleksandr Khomenko LifeTree Finance, ul. Romana Dmowskiego 13/15, 50-203 Wrocław, NIP: PL 8982326290, REGON: 543103202 — działa jako Podmiot przetwarzający („Processor") w zakresie, w jakim przetwarza dane osobowe w imieniu Klienta w ramach świadczenia Usługi.

3. Przedmiot i czas trwania powierzenia

Operator przetwarza dane osobowe wyłącznie w zakresie niezbędnym do świadczenia Usługi LifeTree OS na rzecz Klienta, zgodnie z udokumentowanymi instrukcjami Klienta oraz postanowieniami Regulaminu i niniejszej DPA.

Powierzenie obowiązuje przez okres świadczenia Usługi na rzecz Klienta oraz przez okresy retencji i rozliczeń przewidziane w Regulaminie i przepisach prawa.

Strony uzgadniają, że „udokumentowane polecenia" (instrukcje) Administratora obejmują w szczególności: (i) postanowienia Regulaminu i niniejszej DPA, (ii) konfigurację Usługi oraz działania Użytkowników w ramach Workspace, (iii) instrukcje przekazane w formie pisemnej (np. e-mail na legal@lifetree.finance). Instrukcje ustne nie są wiążące, chyba że zostaną niezwłocznie potwierdzone w formie pisemnej.

4. Charakter i cel przetwarzania

Powierzenie obejmuje w szczególności czynności niezbędne do prawidłowego działania Usługi, takie jak:

  • Bezpieczne przechowywanie dokumentów i metadanych w Workspace Klienta.
  • Obsługa trybu offline-first oraz synchronizacja po odzyskaniu łączności.
  • Eksport danych Klienta w standardowych formatach („anti-hostage export") zgodnie z Regulaminem.
  • Obsługa funkcji wspierających zgodność i audyt (np. rejestry zdarzeń, ścieżka audytu, raporty).
  • Funkcje asystenta operacyjnego (np. OCR/klasyfikacja/ekstrakcja danych, wyszukiwanie) — wyłącznie, jeśli Klient korzysta z tych funkcji.

5. Kategorie danych i osób, których dane dotyczą

W zależności od sposobu korzystania z Usługi, Operator może przetwarzać w imieniu Klienta m.in.:

  • Dane identyfikacyjne (np. imię i nazwisko, firma, identyfikatory na dokumentach).
  • Dane kontaktowe (np. adres e-mail, numer telefonu, adres).
  • Dane pracownicze/kontrahentów ujawnione w dokumentach (np. faktury, umowy, potwierdzenia).
  • Dane transakcyjne i dokumentowe (treść dokumentów, metadane, załączniki).
  • Dane techniczne i zdarzenia systemowe (np. identyfikatory sesji, logi, znaczniki czasu, identyfikatory śledzenia).

6. Instrukcje Administratora i poufność

Operator przetwarza dane wyłącznie na udokumentowane polecenie Klienta, chyba że obowiązek przetwarzania wynika z prawa Unii Europejskiej lub prawa polskiego. W takim przypadku Operator poinformuje Klienta o tym obowiązku, o ile prawo tego nie zabrania.

Operator zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi poufności, a dostęp do danych jest ograniczony do niezbędnego minimum.

Jeżeli transfer danych poza EOG miałby wyjątkowo wystąpić, Operator zapewni zastosowanie właściwych mechanizmów prawnych (np. Standardowych Klauzul Umownych — SCC) oraz środków zabezpieczających adekwatnych do ryzyka, zgodnie z RODO.

W przypadku, gdyby wyjątkowo doszło do transferu danych poza EOG, Operator zapewni zastosowanie wymaganych mechanizmów (w szczególności SCC oraz — jeżeli ma zastosowanie — ocenę ryzyka transferu/TIA) oraz wdrożenie dodatkowych środków zabezpieczających adekwatnych do ryzyka.

7. Bezpieczeństwo przetwarzania (środki techniczne i organizacyjne — TOM)

Operator stosuje środki adekwatne do ryzyka, obejmujące co najmniej:

  • Hosting w EOG — infrastruktura zlokalizowana wyłącznie w Europejskim Obszarze Gospodarczym; podstawowa lokalizacja: Scaleway, region PL-WAW; failover wyłącznie w EOG.
  • Logiczna izolacja Workspace — separacja danych Klientów na poziomie aplikacji i bazy danych.
  • Szyfrowanie w transmisji (TLS) dla wszystkich połączeń z Usługą.
  • Rejestrowanie zdarzeń i rozliczalność — logi, identyfikatory zdarzeń, ścieżka audytu.
  • Integralność i opcjonalna niezmienność — mechanizmy WORM dla wybranych zasobów, tam gdzie ma zastosowanie.
  • Kopie zapasowe i odtwarzanie — wyłącznie w EOG, zgodnie z polityką bezpieczeństwa Operatora.
  • Zarządzanie dostępem — uwierzytelnianie, autoryzacja, zarządzanie uprawnieniami i kontrola dostępu.

Szczegółowy pakiet dokumentacyjny dotyczący środków technicznych i organizacyjnych (TOM) dostępny jest na żądanie Klienta poprzez kontakt: legal@lifetree.finance.

8. Podpowierzenie (Subprocesorzy)

Klient wyraża zgodę na korzystanie przez Operatora z subprocesorów niezbędnych do świadczenia Usługi, w szczególności dostawców infrastruktury w EOG, a w zakresie i przypadkach wymaganych przez aktualny model rozliczeniowy — podmiotów wspierających wystawianie dokumentów rozliczeniowych lub obsługę płatności, oraz — jeżeli Klient korzysta — dostawcy funkcji asystenta operacyjnego w EOG.

Operator zapewnia, że subprocesorzy są zobowiązani do stosowania standardów bezpieczeństwa i ochrony danych co najmniej równoważnych niniejszej DPA, w szczególności poprzez odpowiednie postanowienia umowne.

Aktualna lista lub kategorie subprocesorów są opisane w dokumentacji Usługi albo udostępniane Klientowi na żądanie poprzez kontakt: legal@lifetree.finance.

Operator poinformuje Klienta o zamierzonych zmianach dotyczących dodania lub zastąpienia subprocesorów z wyprzedzeniem co najmniej 14 dni. Klient może w tym czasie zgłosić uzasadniony sprzeciw wobec planowanej zmiany.

Jeżeli sprzeciw jest zasadny i Strony nie osiągną porozumienia w rozsądnym terminie, Klientowi przysługuje prawo rozwiązania Umowy głównej (Regulaminu).

9. Asystent operacyjny „Alfred" i AI (Mistral AI w EOG)

W ramach funkcji asystenta operacyjnego (np. OCR, klasyfikacja dokumentów, ekstrakcja danych, wyszukiwanie semantyczne), dostępnej pod nazwą „Alfred", Operator przekazuje minimalny zakres danych do przetwarzania przez dostawcę AI z siedzibą w EOG — Mistral AI — wyłącznie w celu wykonania danej funkcji i tylko, jeśli Klient z niej aktywnie korzysta.

Operator stosuje zasadę minimalizacji danych: zakres przekazywanych informacji jest proporcjonalny do celu i ograniczony do minimum niezbędnego do wykonania operacji.

Dane przekazywane do Mistral AI nie są wykorzystywane do trenowania modeli. Operator opiera się na warunkach umownych i deklaracjach dostawcy dotyczących zasad przetwarzania (brak retencji na potrzeby treningu), w zakresie mającym zastosowanie do Usługi. Dane są przechowywane przez dostawcę AI wyłącznie na czas trwania operacji.

Funkcje AI mają charakter wyłącznie pomocniczy i nie stanowią porady prawnej, podatkowej ani księgowej. W żadnym wypadku nie podejmują za Użytkownika wiążących decyzji. Ostateczne decyzje oraz pełna odpowiedzialność merytoryczna i prawna pozostają wyłącznie po stronie Klienta.

10. Wsparcie offline-first i PWA

Usługa może działać jako aplikacja PWA i korzystać z lokalnych mechanizmów przeglądarki/urządzenia (np. IndexedDB / Local Storage) do czasowego buforowania danych niezbędnych do trybu offline-first, a następnie synchronizacji po odzyskaniu łączności.

Dane lokalne są przechowywane w środowisku urządzenia użytkownika. Klient odpowiada za bezpieczeństwo urządzeń końcowych i środowiska przeglądarki (np. hasła, blokada ekranu, kontrola dostępu), ponieważ bezpieczeństwo lokalnego środowiska pozostaje w istotnym stopniu po stronie Klienta.

11. Pomoc Klientowi w realizacji obowiązków RODO

Operator pomaga Klientowi (Administratorowi) w realizacji obowiązków wynikających z RODO, w zakresie adekwatnym do charakteru Usługi, w szczególności poprzez:

  • Funkcje eksportu i usuwania danych — umożliwienie realizacji praw osób, których dane dotyczą (w tym prawa do przenoszenia danych i prawa do usunięcia), jeżeli ma to zastosowanie.
  • Informacje o środkach bezpieczeństwa — przekazywanie na żądanie informacji o stosowanych środkach technicznych i organizacyjnych (TOM) niezbędnych do wykazania zgodności.
  • Wsparcie w DPIA (art. 35 RODO) — udzielanie rozsądnej pomocy Klientowi w przeprowadzeniu oceny skutków dla ochrony danych, w zakresie dotyczącym przetwarzania realizowanego przez Operatora.
  • Wsparcie w uprzednich konsultacjach (art. 36 RODO) — udzielanie rozsądnej pomocy w ramach konsultacji z organem nadzorczym, jeżeli ocena DPIA wykaże wysokie ryzyko nieograniczone przez Operatora.

Pomoc, o której mowa powyżej, jest udzielana w rozsądnym zakresie, adekwatnym do charakteru powierzonych operacji przetwarzania.

12. Naruszenia ochrony danych

W razie stwierdzenia naruszenia ochrony danych osobowych dotyczącego danych powierzonych, Operator poinformuje Klienta bez zbędnej zwłoki po wykryciu zdarzenia oraz przekaże dostępne informacje umożliwiające ocenę sytuacji i podjęcie działań.

Klient realizuje obowiązki zgłoszeniowe wobec organu nadzorczego i osób, których dane dotyczą, zgodnie z przepisami RODO, o ile jest do tego zobowiązany. Operator udzieli Klientowi rozsądnej pomocy wyłącznie w zakresie naruszeń dotyczących danych powierzonych, niezbędnym do realizacji tych obowiązków przez Klienta.

Kanałem kontaktu w sprawach incydentów bezpieczeństwa i naruszeń ochrony danych jest: security@lifetree.finance.

13. Zakończenie przetwarzania (zwrot/usunięcie danych)

Po zakończeniu świadczenia Usługi Operator — według wyboru Klienta — zwraca lub usuwa dane powierzone, po uprzednim umożliwieniu Klientowi eksportu danych w standardowych formatach (zasada anti-hostage export). W trakcie trwania Umowy Klient może w każdym czasie złożyć udokumentowane żądanie eksportu lub usunięcia danych. Operator wykonuje te działania z zastrzeżeniem dalszego przechowywania wymaganego przez prawo Unii Europejskiej lub prawo polskie, albo uzasadnionego niezbędnością do dochodzenia lub obrony roszczeń — zgodnie z zasadami retencji opisanymi w Regulaminie i/lub Polityce Prywatności.

Usunięcie danych może obejmować również usunięcie z kopii zapasowych w ramach cyklu retencji. Dane mogą być przechowywane w kopiach zapasowych przez ograniczony czas techniczny, wyłącznie w EOG, do momentu ich nadpisania zgodnie z harmonogramem rotacji kopii.

14. Kontakt w sprawach DPA

W sprawach dotyczących niniejszej DPA prosimy o kontakt: legal@lifetree.finance.

15. Postanowienia końcowe

15.1 Audyt i informacje (art. 28 ust. 3 lit. h RODO)

Operator udostępnia Klientowi na żądanie pakiet audytowy obejmujący: dokumentację środków technicznych i organizacyjnych (TOM), niniejszą DPA, listę subprocesorów oraz inne informacje niezbędne do wykazania zgodności z art. 28 RODO.

Przeprowadzenie audytu u Operatora odbywa się po uprzednim uzgodnieniu przez Strony zakresu, terminu oraz zasad poufności. Operator może zażądać zawarcia umowy o zachowaniu poufności (NDA), jeżeli jest to uzasadnione charakterem audytu. Audyt odbywa się na koszt Klienta. Operator może ograniczyć zakres audytu wyłącznie w zakresie niezbędnym do ochrony bezpieczeństwa Usługi, danych innych Klientów, tajemnic handlowych lub z uwagi na obowiązujące przepisy prawa.

15.2 Zmiana podmiotu przetwarzającego (cesja)

W przypadku przekształcenia, cesji lub zmiany formy prawnej Operatora (np. przekształcenia JDG w spółkę kapitałową), prawa i obowiązki wynikające z niniejszej DPA mogą zostać przeniesione na podmiot następczy, z zachowaniem co najmniej równoważnych standardów ochrony danych. Klient zostanie poinformowany o takiej zmianie z wyprzedzeniem za pośrednictwem poczty elektronicznej.

Historia wersji niniejszego dokumentu jest publicznie dostępna w Archiwum dokumentów.

JDG Oleksandr Khomenko LifeTree Finance  •  NIP: PL 8982326290  •  REGON: 543103202  •  ul. Romana Dmowskiego 13/15, 50-203 Wrocław