Umowa powierzenia danych (DPA)
Zgodnie z art. 28 RODO. Ostatnia aktualizacja: 2 lipca 2026
Administrator — przewoźnik korzystający z TransitX, który decyduje o celach i środkach przetwarzania danych.
Podmiot przetwarzający — dostawca TransitX, który przetwarza dane wyłącznie na polecenie Administratora w zakresie niezbędnym do świadczenia usługi.
Podmiot przetwarzający przetwarza dane osobowe powierzone przez Administratora w ramach korzystania z TransitX przez okres obowiązywania umowy na korzystanie z usługi i przez okres wygaszania konta (do 60 dni po rozwiązaniu umowy, o ile Administrator nie zażądał wcześniejszego usunięcia).
Powierzone dane obejmują w szczególności: imię i nazwisko, adres e-mail, numer telefonu, adres korespondencyjny, NIP, numer prawa jazdy i kategorie, dane pojazdów, dane zleceń i faktur, dane logowania (skróty haseł), metadane techniczne (IP, user-agent, znaczniki czasu).
Kategorie osób: pracownicy i współpracownicy Administratora (administrator, dyspozytor, kierowca), klienci Administratora, przedstawiciele kontrahentów.
Dane przetwarzane są wyłącznie w celu świadczenia i utrzymania usługi TransitX zgodnie z jej przeznaczeniem: planowanie zleceń, zarządzanie flotą, wystawianie faktur, komunikacja z klientami, bezpieczeństwo i audyt.
- Przetwarzanie danych wyłącznie na udokumentowane polecenie Administratora.
- Zapewnienie, by osoby upoważnione do przetwarzania były zobowiązane do zachowania poufności.
- Wdrożenie środków organizacyjnych i technicznych (szyfrowanie w tranzycie, bcrypt dla haseł, izolacja multi-tenant, audit log).
- Pomoc Administratorowi w realizacji praw osób, których dane dotyczą, oraz w zgłaszaniu naruszeń.
- Po zakończeniu świadczenia usługi — usunięcie lub zwrot danych zgodnie z wyborem Administratora, chyba że prawo Unii lub państwa członkowskiego nakazuje dalsze ich przechowywanie.
Administrator wyraża ogólną zgodę na korzystanie z podprocesorów w zakresie niezbędnym do świadczenia usługi (np. dostawca hostingu, dostawca poczty transakcyjnej, dostawca kopii zapasowych). Aktualna lista dostępna jest na żądanie.
O każdej planowanej zmianie listy podprocesorów Administrator zostanie poinformowany z 30-dniowym wyprzedzeniem, z możliwością sprzeciwu.
Jeżeli dane są przekazywane poza Europejski Obszar Gospodarczy, odbywa się to wyłącznie do krajów uznanych przez Komisję Europejską za zapewniające odpowiedni poziom ochrony albo na podstawie standardowych klauzul umownych (SCC) wraz z odpowiednimi zabezpieczeniami technicznymi.
Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki, nie później niż w ciągu 48 godzin, o stwierdzeniu naruszenia ochrony powierzonych danych, przekazując wszelkie dostępne informacje pozwalające na ocenę sytuacji.
Administrator ma prawo, nie częściej niż raz w roku (chyba że przepisy lub organ nadzorczy stanowią inaczej), do audytu działania Podmiotu przetwarzającego w zakresie obowiązków wynikających z niniejszej umowy. Audyt poprzedzany jest pisemnym zawiadomieniem z 14-dniowym wyprzedzeniem.
Umowa obowiązuje od momentu rozpoczęcia korzystania z TransitX i stanowi integralną część Regulaminu. W sprawach nieuregulowanych stosuje się przepisy RODO oraz prawo polskie.