Umowa powierzenia (DPA)

Umowa powierzenia przetwarzania danych osobowych dla usługi GA4audyt.

Ostatnia aktualizacja: 1 czerwca 2026 r.

Wstęp i role stron

Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: DPA lub Umowa powierzenia) uzupełnia umowę o świadczenie usługi GA4audit zawartą na podstawie Regulaminu (dalej: Umowa Główna) i określa zasady przetwarzania danych osobowych powierzonych przez Użytkownika.

Stronami DPA są:

Powierzający - Użytkownik korzystający z Usługi na podstawie Regulaminu, będący administratorem powierzonych danych osobowych (a w przypadku, gdy Użytkownik sam jest podmiotem przetwarzającym dla swojego klienta - podmiotem przetwarzającym; wówczas Operator działa jako dalszy podmiot przetwarzający / podprocesor);
Przetwarzający - Wojciech Bednarski Data Wolves z siedzibą w 97-545 Wojciechów przy ulicy Fabrycznej 3/9, NIP: 7722307415, REGON: 382702660, działający pod marką Data Wolves, świadczący Usługę GA4audit (w Regulaminie i Polityce Prywatności określany jako Operator / Administrator).

Ważne rozróżnienie ról. W zakresie danych Użytkowników (dane Konta, płatności, kontaktu) Operator jest administratorem w rozumieniu Polityki Prywatności. Niniejsza DPA dotyczy innego zbioru danych - danych osobowych, które mogą znajdować się w środowisku Google Analytics 4 Użytkownika lub na skanowanej Stronie WWW i które Użytkownik udostępnia Operatorowi w związku z korzystaniem z Usługi. W odniesieniu do tych danych administratorem pozostaje Użytkownik, a Operator jest podmiotem przetwarzającym.

DPA jest włączona do Umowy Głównej przez odniesienie i zostaje zaakceptowana przez Powierzającego z chwilą akceptacji Regulaminu lub rozpoczęcia korzystania z Usługi. Akceptując DPA, Powierzający oświadcza, że jest uprawniony do zawarcia jej w imieniu administratora danych. Na żądanie Powierzającego Operator udostępni wersję DPA do podpisu wraz z pełnym tekstem standardowych klauzul umownych.

1. Definicje

Terminy pisane wielką literą, niezdefiniowane w DPA, mają znaczenie nadane im w Regulaminie i Polityce Prywatności. Pozostałe terminy (m.in. administrator, podmiot przetwarzający, podprocesor, osoba, której dane dotyczą, naruszenie ochrony danych osobowych, organ nadzorczy) mają znaczenie nadane im w RODO.

Dane Powierzone - dane osobowe, które Powierzający udostępnia Operatorowi w związku z korzystaniem z Usługi, w szczególności dane osobowe mogące występować w danych Usługi GA4 (np. wskutek nieprawidłowej konfiguracji prowadzącej do gromadzenia danych osobowych przez Użytkownika) oraz na skanowanej Stronie WWW.
Przepisy o ochronie danych - RODO oraz inne przepisy o ochronie danych osobowych mające zastosowanie.
Standardowe klauzule umowne (SCC) - standardowe klauzule umowne przyjęte decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r., w odpowiednim module.

2. Przedmiot, charakter i cel przetwarzania

2.1. Operator przetwarza Dane Powierzone wyłącznie w celu i w zakresie niezbędnym do świadczenia Usługi GA4audit zgodnie z Umową Główną, tj. w celu wykonania automatycznego audytu konfiguracji Usługi GA4 i tagowania Strony WWW oraz wygenerowania Raportów.

2.2. Charakter przetwarzania obejmuje czynności zautomatyzowane: odczyt (w trybie tylko do odczytu, read-only) ustawień i danych raportowych Usługi GA4 za pośrednictwem interfejsów API Google, pobieranie i analizę publicznie dostępnej zawartości Strony WWW, a także zapisywanie i udostępnianie wyników analizy (Raportów) w Aplikacji. Operator nie posiada technicznej możliwości modyfikacji konfiguracji Usługi GA4 Powierzającego.

2.3. Operator nie określa zakresu ani rodzaju danych, które Powierzający gromadzi we własnej Usłudze GA4 lub na Stronie WWW. Funkcja wykrywania potencjalnych danych osobowych (PII) ma charakter wyłącznie sygnalizacyjny i służy wskazaniu Powierzającemu możliwych nieprawidłowości w jego konfiguracji.

2.4. DPA stanowi udokumentowane polecenie przetwarzania. Operator przetwarza Dane Powierzone wyłącznie na udokumentowane polecenie Powierzającego (którym jest korzystanie z Usługi zgodnie z Umową Główną oraz ewentualne odrębne instrukcje przekazane na piśmie lub drogą elektroniczną), chyba że obowiązek przetwarzania nakładają przepisy prawa - wówczas Operator informuje o tym Powierzającego przed przetwarzaniem, o ile przepisy tego nie zakazują. Jeżeli w ocenie Operatora polecenie narusza Przepisy o ochronie danych, Operator niezwłocznie informuje o tym Powierzającego.

3. Rodzaj danych i kategorie osób, których dane dotyczą

3.1. Rodzaj Danych Powierzonych: dane osobowe mogące występować w środowisku GA4 lub na Stronie WWW, w szczególności identyfikatory online, adresy IP, identyfikatory użytkowników/urządzeń oraz - w razie nieprawidłowej konfiguracji po stronie Powierzającego - inne dane wprowadzone do GA4 (np. adres e-mail przekazany w parametrach zdarzeń).

3.2. Kategorie osób: użytkownicy serwisów internetowych i aplikacji Powierzającego objętych pomiarem GA4.

3.3. Dane szczególnych kategorii. Powierzający zobowiązuje się nie wprowadzać do Usługi GA4 ani nie udostępniać Operatorowi danych szczególnych kategorii w rozumieniu art. 9 RODO ani danych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO). Operator nie ponosi odpowiedzialności za skutki naruszenia tego zobowiązania przez Powierzającego.

4. Czas trwania przetwarzania

Operator przetwarza Dane Powierzone przez czas obowiązywania Umowy Głównej. Po jej zakończeniu stosuje się postanowienia pkt 11 (usunięcie lub zwrot danych).

5. Obowiązki Operatora (podmiotu przetwarzającego)

Operator zobowiązuje się:

5.1. przetwarzać Dane Powierzone wyłącznie na udokumentowane polecenie Powierzającego i wyłącznie w celu określonym w pkt 2;

5.2. zapewnić, by osoby upoważnione do przetwarzania Danych Powierzonych zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy oraz ograniczyć dostęp do danych do osób, którym jest on niezbędny;

5.3. wdrożyć i utrzymywać odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo Danych Powierzonych, odpowiednie do ryzyka (art. 32 RODO), opisane w Załączniku nr 1;

5.4. przestrzegać warunków korzystania z usług podprocesorów określonych w pkt 7;

5.5. w miarę możliwości pomagać Powierzającemu, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw (art. 12-23 RODO);

5.6. pomagać Powierzającemu w wywiązaniu się z obowiązków określonych w art. 32-36 RODO (bezpieczeństwo przetwarzania, zgłaszanie naruszeń, ocena skutków, uprzednie konsultacje), uwzględniając charakter przetwarzania i dostępne mu informacje;

5.7. niezwłocznie, nie później niż bez zbędnej zwłoki po stwierdzeniu, informować Powierzającego o naruszeniu ochrony Danych Powierzonych, przekazując informacje umożliwiające Powierzającemu wywiązanie się z jego obowiązków (charakter naruszenia, przybliżone kategorie i liczba osób, możliwe konsekwencje, zastosowane lub proponowane środki zaradcze);

5.8. informować Powierzającego o każdym żądaniu udostępnienia Danych Powierzonych skierowanym do Operatora przez organ publiczny, chyba że zakazuje tego prawo;

5.9. po zakończeniu świadczenia Usługi usunąć lub zwrócić Dane Powierzone zgodnie z pkt 11;

5.10. udostępniać Powierzającemu informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwiać audyty na zasadach określonych w pkt 9.

6. Obowiązki Powierzającego (administratora)

6.1. Powierzający zapewnia, że posiada ważną podstawę prawną przetwarzania wszystkich Danych Powierzonych oraz że ich udostępnienie Operatorowi jest zgodne z Przepisami o ochronie danych. Powierzający ponosi wyłączną odpowiedzialność za legalność, prawidłowość i zakres danych gromadzonych w jego Usłudze GA4 i na Stronie WWW.

6.2. Powierzający wydaje polecenia przetwarzania zgodne z prawem i zobowiązuje się nie przekazywać Operatorowi danych szczególnych kategorii (pkt 3.3).

6.3. Powierzający jest odpowiedzialny za prawidłową, zgodną z dokumentacją Google konfigurację GA4, w tym za niegromadzenie w GA4 danych osobowych (zgodnie z zasadami Google Analytics).

6.4. Powierzający odpowiada za wdrożenie odpowiednich środków bezpieczeństwa po swojej stronie oraz za korzystanie z Usługi przez osoby, którym udostępnił dostęp do Konta.

7. Podpowierzenie (podprocesorzy)

7.1. Powierzający udziela Operatorowi ogólnej zgody na korzystanie z podprocesorów w celu świadczenia Usługi.

7.2. Operator zapewnia, że podprocesorów wiążą obowiązki ochrony danych odpowiadające obowiązkom określonym w DPA oraz że zakres udostępnianych im Danych Powierzonych jest ograniczony do niezbędnego minimum.

7.3. Aktualna lista podprocesorów dostępna jest w Polityce Prywatności (https://ga4audyt.pl/privacy) oraz na żądanie. W odniesieniu do Danych Powierzonych podprocesorami są w szczególności dostawcy infrastruktury, na której świadczona jest Usługa:

Lp.PodprocesorRolaLokalizacja
1.Google Cloud / Firebase (Google)Hosting, baza danych, infrastruktura aplikacji i przechowywanie wyników AudytuUE (region europejski); możliwe transfery do Google poza EOG
2.Google - interfejsy API Google AnalyticsŹródło danych odczytywanych w trybie read-only na potrzeby AudytuGoogle; możliwe poza EOG

7.4. Operator z wyprzedzeniem informuje Powierzającego o zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów, umożliwiając wniesienie uzasadnionego sprzeciwu. W razie zgłoszenia sprzeciwu, którego nie da się rozwiązać, każda ze stron może rozwiązać Umowę Główną w części, której sprzeciw dotyczy.

Uwaga: narzędzia takie jak Google Tag Manager, reCAPTCHA / App Check czy Operator Płatności (Stripe) służą obsłudze własnego Serwisu Operatora i przetwarzaniu danych, dla których Operator jest administratorem (Polityka Prywatności), a nie przetwarzaniu Danych Powierzonych w rozumieniu DPA. Dlatego nie figurują w powyższej tabeli podprocesorów.

8. Przekazywanie danych poza EOG

8.1. Operator przechowuje Dane Powierzone na infrastrukturze zlokalizowanej w Unii Europejskiej.

8.2. Jeżeli realizacja Usługi wiąże się z przekazaniem Danych Powierzonych poza Europejski Obszar Gospodarczy (w szczególności w związku z korzystaniem z usług Google), Operator zapewnia odpowiednie zabezpieczenia wymagane Przepisami o ochronie danych, w szczególności standardowe klauzule umowne (SCC) lub przekazanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony. Akceptując DPA, Powierzający upoważnia Operatora do takiego przekazania oraz - w zakresie niezbędnym - do zawarcia SCC w jego imieniu z podprocesorami. Pełny tekst SCC Operator udostępnia na żądanie.

9. Audyt i wykazanie zgodności

9.1. Operator udostępnia Powierzającemu, na jego pisemne żądanie, informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwia audyty, w tym inspekcje, prowadzone przez Powierzającego lub upoważnionego przez niego audytora.

9.2. Powierzający zawiadamia Operatora o planowanym audycie z co najmniej miesięcznym wyprzedzeniem. Strony uzgadniają termin, zakres i warunki audytu z poszanowaniem poufności oraz konieczności zapewnienia ciągłości Usługi. Audyt ogranicza się do weryfikacji zgodności Usługi ze środkami bezpieczeństwa określonymi w DPA i Polityce Prywatności.

9.3. Koszty audytu prowadzonego na żądanie Powierzającego, w tym uzasadnione koszty Operatora oraz koszty audytorów zewnętrznych, ponosi Powierzający.

10. Zgłaszanie naruszeń

W razie naruszenia ochrony Danych Powierzonych Operator powiadamia Powierzającego bez zbędnej zwłoki po stwierdzeniu naruszenia oraz udziela mu rozsądnej pomocy niezbędnej do wywiązania się z obowiązków wynikających z art. 33-34 RODO. Obowiązek ten nie obejmuje incydentów spowodowanych działaniem lub zaniechaniem Powierzającego lub osób, którymi się posługuje.

11. Usunięcie lub zwrot danych

11.1. Po zakończeniu świadczenia Usługi Operator, zależnie od wyboru Powierzającego, zwraca Dane Powierzone lub je usuwa, a także usuwa istniejące kopie, w terminie 30 dni, chyba że przepisy prawa wymagają dłuższego przechowywania.

11.2. Przed usunięciem Powierzający może wyeksportować dostępne w Aplikacji dane (w tym Raporty). W przypadku, gdy dalsze przechowywanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń, Operator ogranicza przetwarzanie do minimum i przetwarza dane na podstawie prawnie uzasadnionego interesu.

12. Odpowiedzialność

12.1. Operator odpowiada za szkody spowodowane niedopełnieniem obowiązków wynikających z DPA lub obowiązków nałożonych wprost na podmiot przetwarzający przez RODO. Operator nie odpowiada za szkody będące skutkiem działania lub zaniechania, za które odpowiedzialność ponosi Powierzający, w szczególności za brak podstawy prawnej lub legalności danych wprowadzonych przez Powierzającego.

12.2. Odpowiedzialność Operatora wynikająca z DPA podlega ograniczeniom odpowiedzialności określonym w Regulaminie (Umowie Głównej), w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy prawa.

13. Czas obowiązywania i rozwiązanie

DPA obowiązuje przez czas obowiązywania Umowy Głównej i rozwiązuje się wraz z nią, bez uszczerbku dla postanowień, które ze swej natury powinny obowiązywać po jej zakończeniu (w szczególności pkt 11 i 12).

14. Postanowienia końcowe

14.1. W razie sprzeczności między DPA a pozostałymi postanowieniami Umowy Głównej, w zakresie przetwarzania Danych Powierzonych pierwszeństwo mają postanowienia DPA.

14.2. Zmiany DPA wymagają formy dokumentowej. Operator może zaktualizować DPA w związku ze zmianami przepisów lub sposobu świadczenia Usługi, informując o tym Powierzającego zgodnie z zasadami zmiany Regulaminu.

14.3. DPA podlega prawu polskiemu. Spory rozstrzyga sąd właściwy zgodnie z Regulaminem.

14.4. Na żądanie Powierzającego skierowane na adres contact@ga4audit.io Operator udostępni DPA z pełnym tekstem standardowych klauzul umownych lub wersję przeznaczoną do podpisu.

Załącznik nr 1 - Środki techniczne i organizacyjne (TOMs)

Operator stosuje w szczególności następujące środki bezpieczeństwa:

dostęp do danych Usługi GA4 wyłącznie w trybie tylko do odczytu (read-only); brak technicznej możliwości modyfikacji konfiguracji GA4 Powierzającego;
przechowywanie danych na infrastrukturze w UE (Google Cloud / Firebase, region europejski);
szyfrowanie danych w trakcie przesyłania (TLS) oraz w spoczynku zgodnie ze standardami dostawcy infrastruktury;
kontrola dostępu oparta na zasadzie wiedzy koniecznej i minimalnych uprawnień; uwierzytelnianie dostępu do systemów;
zobowiązanie osób upoważnionych do zachowania poufności;
ochrona przed nadużyciami i nieautoryzowanym dostępem (m.in. mechanizmy typu reCAPTCHA / App Check po stronie Serwisu);
rejestrowanie zdarzeń i monitorowanie bezpieczeństwa;
procedury reagowania na incydenty i zgłaszania naruszeń.

Niniejsza DPA stanowi integralną część Regulaminu.

Pozostałe dokumenty

Polityka prywatności Regulamin

Nie znalazłeś odpowiedzi?

Napisz do nas - odpowiadamy konkretnie i szybko, także na pytania o wdrożenie.

Napisz do nas