Umowa powierzenia danych (DPA)

Zgodnie z art. 28 RODO. Ostatnia aktualizacja: 2 lipca 2026

Strony umowy

Administrator — przewoźnik korzystający z TransitX, który decyduje o celach i środkach przetwarzania danych.

Podmiot przetwarzający — dostawca TransitX, który przetwarza dane wyłącznie na polecenie Administratora w zakresie niezbędnym do świadczenia usługi.

Przedmiot i czas przetwarzania

Podmiot przetwarzający przetwarza dane osobowe powierzone przez Administratora w ramach korzystania z TransitX przez okres obowiązywania umowy na korzystanie z usługi i przez okres wygaszania konta (do 60 dni po rozwiązaniu umowy, o ile Administrator nie zażądał wcześniejszego usunięcia).

Rodzaj danych i kategorie osób

Powierzone dane obejmują w szczególności: imię i nazwisko, adres e-mail, numer telefonu, adres korespondencyjny, NIP, numer prawa jazdy i kategorie, dane pojazdów, dane zleceń i faktur, dane logowania (skróty haseł), metadane techniczne (IP, user-agent, znaczniki czasu).

Kategorie osób: pracownicy i współpracownicy Administratora (administrator, dyspozytor, kierowca), klienci Administratora, przedstawiciele kontrahentów.

Cel przetwarzania

Dane przetwarzane są wyłącznie w celu świadczenia i utrzymania usługi TransitX zgodnie z jej przeznaczeniem: planowanie zleceń, zarządzanie flotą, wystawianie faktur, komunikacja z klientami, bezpieczeństwo i audyt.

Obowiązki podmiotu przetwarzającego
  • Przetwarzanie danych wyłącznie na udokumentowane polecenie Administratora.
  • Zapewnienie, by osoby upoważnione do przetwarzania były zobowiązane do zachowania poufności.
  • Wdrożenie środków organizacyjnych i technicznych (szyfrowanie w tranzycie, bcrypt dla haseł, izolacja multi-tenant, audit log).
  • Pomoc Administratorowi w realizacji praw osób, których dane dotyczą, oraz w zgłaszaniu naruszeń.
  • Po zakończeniu świadczenia usługi — usunięcie lub zwrot danych zgodnie z wyborem Administratora, chyba że prawo Unii lub państwa członkowskiego nakazuje dalsze ich przechowywanie.
Podprocesorzy

Administrator wyraża ogólną zgodę na korzystanie z podprocesorów w zakresie niezbędnym do świadczenia usługi (np. dostawca hostingu, dostawca poczty transakcyjnej, dostawca kopii zapasowych). Aktualna lista dostępna jest na żądanie.

O każdej planowanej zmianie listy podprocesorów Administrator zostanie poinformowany z 30-dniowym wyprzedzeniem, z możliwością sprzeciwu.

Transfer poza EOG

Jeżeli dane są przekazywane poza Europejski Obszar Gospodarczy, odbywa się to wyłącznie do krajów uznanych przez Komisję Europejską za zapewniające odpowiedni poziom ochrony albo na podstawie standardowych klauzul umownych (SCC) wraz z odpowiednimi zabezpieczeniami technicznymi.

Naruszenia ochrony danych

Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki, nie później niż w ciągu 48 godzin, o stwierdzeniu naruszenia ochrony powierzonych danych, przekazując wszelkie dostępne informacje pozwalające na ocenę sytuacji.

Audyt

Administrator ma prawo, nie częściej niż raz w roku (chyba że przepisy lub organ nadzorczy stanowią inaczej), do audytu działania Podmiotu przetwarzającego w zakresie obowiązków wynikających z niniejszej umowy. Audyt poprzedzany jest pisemnym zawiadomieniem z 14-dniowym wyprzedzeniem.

Postanowienia końcowe

Umowa obowiązuje od momentu rozpoczęcia korzystania z TransitX i stanowi integralną część Regulaminu. W sprawach nieuregulowanych stosuje się przepisy RODO oraz prawo polskie.