Umowa powierzenia przetwarzania danych osobowych (DPA)
Ostatnia aktualizacja: 20 kwietnia 2026.
Niniejsza Umowa stanowi integralną część Regulaminu i reguluje zasady, na jakich Wearlo przetwarza dane osobowe w imieniu Klienta zgodnie z art. 28 RODO.
1. Strony
Administrator — Klient (sklep internetowy, marka, platforma e-commerce) korzystający z Usługi Wearlo. Klient określa cele i sposoby przetwarzania danych klientek, w szczególności zbierając zgody na przymierzenie AI.
Podmiot przetwarzający — Ailo sp. z o.o. (działająca pod marką Wearlo) z siedzibą w Mogilanach, Parkowe Wzgórze 100, 32-031 Mogilany, NIP 6762430848. Działa wyłącznie na udokumentowane polecenia Administratora.
2. Przedmiot i czas trwania
Przedmiotem powierzenia jest przetwarzanie danych osobowych klientek Administratora (w szczególności zdjęć twarzy i sylwetki) w celu wygenerowania fotorealistycznego przymierzenia ubrań oferowanych przez Administratora.
Umowa obowiązuje przez czas trwania Regulaminu pomiędzy Wearlo a Klientem.
3. Charakter i cel przetwarzania
- Charakter: zautomatyzowane przetwarzanie obrazów z wykorzystaniem modeli AI (generatywna sztuczna inteligencja).
- Cel: wygenerowanie wizualizacji produktu na osobie klientki, zwrot wyniku do przeglądarki klientki, zapis wyniku w panelu Administratora.
4. Kategorie danych i osób, których dane dotyczą
| Kategoria osób | Kategoria danych |
|---|---|
| Klientki odwiedzające sklep Administratora | Zdjęcie (selfie), wynik generacji, zhashowany adres IP, identyfikator sesji, czas przymierzenia |
| Pracownicy Administratora korzystający z panelu | Imię, nazwisko, e-mail, log logowania (IP hashowane) |
5. Obowiązki Administratora
- Zapewnienie podstawy prawnej przetwarzania — w szczególności uzyskanie zgody klientki na użycie jej wizerunku w AI oraz poinformowanie jej o fakcie przetwarzania.
- Udokumentowanie poleceń dotyczących przetwarzania.
- Nieładowanie do Usługi danych, których przetwarzanie byłoby niezgodne z prawem.
6. Obowiązki Wearlo jako podmiotu przetwarzającego
- Przetwarzanie danych wyłącznie zgodnie z udokumentowanymi poleceniami Administratora (Regulamin + instrukcje w panelu).
- Zapewnienie, by osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy.
- Wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych (szczegóły w pkt 8).
- Pomoc Administratorowi w realizacji żądań osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie).
- Zgłoszenie Administratorowi naruszenia ochrony danych w ciągu 24 godzin od jego wykrycia.
- Usunięcie lub zwrot wszystkich danych osobowych po zakończeniu świadczenia Usługi (zgodnie z wyborem Administratora), z zachowaniem wymogów prawa.
- Udostępnienie Administratorowi informacji niezbędnych do wykazania zgodności z art. 28 RODO oraz umożliwienie audytów (pkt 10).
7. Podwykonawcy przetwarzania (sub-procesorzy)
Administrator wyraża ogólną zgodę na korzystanie przez Wearlo z podwykonawców wymienionych poniżej. O każdej zmianie (dodaniu lub zmianie podwykonawcy) Wearlo informuje Administratora z 14-dniowym wyprzedzeniem. Administrator ma prawo sprzeciwu — w takim przypadku strony ustalą dalsze postępowanie, w tym możliwość wypowiedzenia Umowy.
| Podwykonawca | Rola | Lokalizacja |
|---|---|---|
| Kie.ai | Dostawca modelu AI (nano-banana-2) | Globalnie — transfer na podstawie SCC |
| Amazon Web Services (AWS) | Hosting plików (S3) | Niemcy (eu-central-1) |
| Railway Corp. | Hosting aplikacji i bazy danych | UE |
| Functional Software, Inc. (Sentry) | Monitorowanie błędów | UE — Sentry.io EU data region |
8. Środki bezpieczeństwa
- Szyfrowanie danych w spoczynku (AWS S3 SSE-S3) oraz w transporcie (TLS 1.2+).
- Hashowanie adresów IP z solą per sklep — nie logujemy surowych IP.
- Kontrola dostępu oparta na rolach (RBAC) z uwierzytelnianiem wieloskładnikowym dla zespołu Wearlo.
- Pseudonimizacja danych w logach diagnostycznych.
- Automatyczne kasowanie plików i rekordów po upływie 90 dni (konfigurowalne przez Administratora w dół, do 24 godzin).
- Testy bezpieczeństwa aplikacji wykonywane co najmniej raz w roku.
- Procedura reagowania na incydenty bezpieczeństwa z SLA 24h.
9. Transfery poza EOG
Dane klientek przekazywane są do modelu AI działającego u dostawcy Kie.ai, który może przetwarzać je poza Europejskim Obszarem Gospodarczym. W takim przypadku transfer odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską (decyzja 2021/914).
Pozostałe dane (hosting, logi) przechowywane są w regionach UE.
10. Audyty
Administrator ma prawo przeprowadzać audyty nie częściej niż raz w roku, po uprzednim zawiadomieniu z 30-dniowym wyprzedzeniem. Audyt odbywa się w godzinach roboczych, w sposób nieuciążliwy dla działania Usługi, przez niezależnego audytora zobowiązanego do zachowania poufności. Koszty audytu ponosi Administrator, z wyjątkiem sytuacji, w której audyt wykaże istotne naruszenia po stronie Wearlo.
W zakresie, w jakim jest to wystarczające, Wearlo zobowiązuje się udostępnić Administratorowi raporty z certyfikacji (np. ISO 27001, SOC 2) lub szczegółowy kwestionariusz bezpieczeństwa.
11. Zwrot lub usunięcie danych
Po zakończeniu świadczenia Usługi Wearlo — zgodnie z wyborem Administratora — zwraca wszystkie dane osobowe w ciągu 30 dni albo je usuwa, wraz ze wszystkimi istniejącymi kopiami, chyba że prawo wymaga dłuższego przechowywania (np. faktury — 5 lat).
12. Odpowiedzialność
Odpowiedzialność Wearlo z tytułu niewykonania lub nienależytego wykonania niniejszej Umowy jest ograniczona na zasadach określonych w Regulaminie, z wyłączeniem naruszeń, których wyłączenia nie dopuszczają bezwzględnie obowiązujące przepisy prawa.
13. Zmiany i kontakt
O istotnych zmianach DPA Wearlo informuje Administratora z 30-dniowym wyprzedzeniem. Kontakt w sprawach DPA: [email protected].