Ostatnia aktualizacja: 23 marca 2026
Umowa powierzenia przetwarzania danych (DPA)
1. Strony i zakres
Niniejsza Umowa powierzenia przetwarzania danych ("DPA") uzupełnia Regulamin oraz Politykę prywatności serwisu metrico.studio, prowadzonego przez:
ZARIA s.c.
ul. Powstańców Wielkopolskich 16, 63-460 Skalmierzyce, Polska
NIP: PL6222782905
Kontakt: metrico@metrico.studio
Niniejsza DPA ma zastosowanie, gdy użytkownik ("Ty") korzysta z metrico.studio w celu przetwarzania danych osobowych osób trzecich — na przykład wprowadzając pomiary ciała klienta, dla którego tworzy wykroje. W tym scenariuszu Ty działasz jako Administrator, a ZARIA s.c. jako Podmiot przetwarzający.
Gdy korzystasz z serwisu dla swoich własnych pomiarów, ZARIA s.c. przetwarza Twoje dane jako Administrator na podstawie Polityki prywatności. Niniejsza DPA nie dotyczy tego scenariusza.
2. Przedmiot i cel przetwarzania
Celem przetwarzania jest świadczenie usługi cyfrowej metrico.studio w scenariuszu client-use: generowanie wykrojów krawieckich PDF na podstawie pomiarów ciała i powiązanych informacji o kliencie przekazanych przez Administratora.
Dane przetwarzane w ramach niniejszej DPA mogą obejmować:
- Dane pomiarowe klienta wprowadzone przez Administratora.
- Identyfikatory lub nazwy referencyjne klienta wprowadzone przez Administratora, jeśli są używane.
- Rekordy generowania wykrojów powiązane z zamówieniem lub profilem danego klienta.
- Ograniczone dane techniczne i serwisowe ściśle niezbędne do świadczenia usługi w kontekście client-use.
Dla jasności, ZARIA s.c. może odrębnie przetwarzać określone dane konta, rozliczeń, zgodności, bezpieczeństwa i transakcji dotyczące konta użytkownika jako niezależny administrator na podstawie Polityki prywatności. Takie przetwarzanie po stronie administratora nie podlega niniejszej DPA.
3. Kategorie przetwarzanych danych
| Kategoria | Opis |
|---|---|
| Dane pomiarowe klienta | Pomiary ciała (talia, klatka, biodra itp.) wprowadzone przez Administratora — nie są to dane biometryczne w rozumieniu art. 9 RODO |
| Identyfikatory klienta | Imiona, kody referencyjne lub etykiety przypisane przez Administratora w celu identyfikacji klientów |
| Rekordy generowania wykrojów | Rekordy wiążące wygenerowany wykrój z konkretnym zamówieniem lub profilem klienta |
| Dane techniczne (ograniczone) | Adresy IP, dane sesji i logi błędów ściśle niezbędne do świadczenia usługi w kontekście client-use |
4. Podpodmioty przetwarzające
| Podpodmiot | Cel | Lokalizacja |
|---|---|---|
| Supabase Inc. | Baza danych, uwierzytelnianie | USA (dostępna rezydencja w UE) |
| Stripe Inc. | Przetwarzanie płatności | USA |
| Vercel Inc. | Hosting, CDN, funkcje edge | USA |
| Resend Inc. | E-mail transakcyjny | USA |
| Sentry (Functional Software Inc.) | Monitorowanie błędów | USA |
O zmianach w podpodmiotach przetwarzających poinformujemy z co najmniej 14-dniowym wyprzedzeniem.
5. Prawa osób, których dane dotyczą
W przypadku gdy żądanie osoby, której dane dotyczą, dotyczy danych przetwarzanych na podstawie niniejszej DPA, główna odpowiedzialność za odpowiedź na to żądanie spoczywa na Administratorze. Jeśli ZARIA s.c. otrzyma takie żądanie bezpośrednio, powiadomi Administratora i udzieli mu pomocy w zakresie wymaganym przez obowiązujące prawo, jeśli będzie to prawnie zasadne.
Prawa osób, których dane dotyczą, na mocy RODO obejmują: dostęp, sprostowanie, usunięcie ("prawo do bycia zapomnianym"), przenoszenie danych, ograniczenie przetwarzania oraz sprzeciw wobec przetwarzania.
W sprawach dotyczących danych, w przypadku których ZARIA s.c. działa jako administrator (np. dane Twojego konta): metrico@metrico.studio. Odpowiemy w ciągu 30 dni (możliwość przedłużenia do 90 dni, z powiadomieniem).
6. Środki bezpieczeństwa
- Szyfrowanie danych w spoczynku (AES-256) i w tranzycie (TLS 1.2+)
- Polityki bezpieczeństwa na poziomie wiersza (RLS)
- Hasła hashowane (bcrypt)
- Ograniczanie liczby żądań API (rate limiting)
- Rejestrowanie dostępów i monitorowanie anomalii
7. Przekazywanie danych poza EOG
Niektóre podpodmioty przetwarzające mają siedzibę w USA. Przekazywanie danych odbywa się na podstawie Standardowych Klauzul Umownych (SCCs) oraz decyzji stwierdzających odpowiedni stopień ochrony (np. EU-US Data Privacy Framework).
8. Prawo właściwe
Niniejsza Umowa podlega prawu polskiemu i unijnemu prawu o ochronie danych (RODO — Rozporządzenie (UE) 2016/679).
9. Indywidualne ustalenia DPA
W sprawie indywidualnych warunków DPA (np. klienci korporacyjni, integracje B2B) skontaktuj się z nami: metrico@metrico.studio.