Umowa powierzenia przetwarzania danych (DPA)
Art. 28 RODO · Ostatnia aktualizacja: 8 czerwca 2026 r.
[…] i przeglądu prawnego.
Stanowi załącznik do Regulaminu i wiąże z chwilą zawarcia umowy o świadczenie Usługi.
Niniejsza Umowa powierzenia („DPA") określa zasady przetwarzania danych osobowych przez [NAZWA SPÓŁKI] („Podmiot przetwarzający", „Procesor") na rzecz Klienta („Administrator") w związku z korzystaniem z Platformy Global Telematics, zgodnie z art. 28 RODO.
§1. Role stron
Administratorem danych kierowców i pojazdów (lokalizacja, dane CAN, tachograf, styl jazdy) jest Klient. Procesor przetwarza te dane wyłącznie w imieniu i na udokumentowane polecenie Administratora, w zakresie i celu niezbędnym do świadczenia Usługi.
§2. Przedmiot, charakter i cel przetwarzania
Przetwarzanie obejmuje czynności techniczne niezbędne do działania Platformy: zbieranie, przechowywanie, organizowanie, analizowanie i udostępnianie danych telematycznych w celu monitoringu i zarządzania flotą Klienta.
§3. Czas trwania
DPA obowiązuje przez okres świadczenia Usługi. Po jego zakończeniu Procesor usuwa lub zwraca dane zgodnie z §10, z wyjątkiem danych, których przechowywanie nakazuje prawo (np. pliki tachografu).
§4. Kategorie osób i danych
| Kategorie osób | Kategorie danych |
|---|---|
| kierowcy i pracownicy Klienta, przedstawiciele, użytkownicy Platformy | dane identyfikacyjne i kontaktowe; dane pojazdu; dane lokalizacyjne (pozycje GPS, trasy, prędkość, kierunek); dane z magistrali CAN; dane tachografu cyfrowego (pliki DDD, numer karty kierowcy, aktywności); wskaźniki stylu jazdy; dane przeglądarki/urządzenia |
§5. Obowiązki Procesora
- przetwarzanie wyłącznie na udokumentowane polecenie Administratora;
- zapewnienie poufności (upoważnienia, zobowiązania personelu);
- wdrożenie środków technicznych i organizacyjnych (Załącznik B);
- pomoc Administratorowi w realizacji praw osób oraz w obowiązkach bezpieczeństwa (art. 32–36 RODO);
- zgłaszanie Administratorowi naruszeń ochrony danych bez zbędnej zwłoki, nie później niż w 48 godzin od stwierdzenia;
- udostępnianie informacji niezbędnych do wykazania zgodności oraz umożliwienie audytów (§9).
§6. Obowiązki Administratora (Klienta)
- zapewnienie podstawy prawnej przetwarzania i legalności poleceń;
- spełnienie obowiązków wobec kierowców, w tym z art. 223 Kodeksu pracy (zasady monitoringu w przepisach wewnętrznych, poinformowanie pracowników min. 2 tygodnie przed uruchomieniem, tryb prywatny dla użytku prywatnego pojazdu);
- ochrona poświadczeń dostępu i prawidłowa konfiguracja uprawnień.
Na życzenie udostępniamy gotowy wzór klauzuli informacyjnej dla kierowców oraz zapisów do regulaminu pracy.
§7. Sub-procesorzy
Administrator wyraża ogólną zgodę na korzystanie z sub-procesorów wymienionych w wykazie. O zamiarze zmiany (dodaniu/zastąpieniu) Procesor poinformuje z co najmniej 30-dniowym wyprzedzeniem; Administrator może zgłosić uzasadniony sprzeciw. Procesor odpowiada za sub-procesorów jak za własne działania i wiąże ich obowiązkami nie mniej restrykcyjnymi niż niniejsze.
§8. Przekazywanie poza EOG
Przekazanie danych do państw trzecich (np. dostawcy AI w USA) następuje wyłącznie przy zapewnieniu odpowiednich zabezpieczeń — standardowych klauzul umownych (SCC) lub na podstawie decyzji o adekwatności.
§9. Audyt
Administrator ma prawo do audytu zgodności (samodzielnie lub przez niezależnego audytora) po wcześniejszym zawiadomieniu (min. 14 dni), nie częściej niż raz w roku, z poszanowaniem poufności i ciągłości Usługi.
§10. Usunięcie / zwrot danych
Po zakończeniu świadczenia Usługi Procesor — wedle wyboru Administratora — usuwa lub zwraca dane oraz kasuje istniejące kopie, chyba że prawo nakazuje dalsze przechowywanie (np. retencja plików tachografu).
§11. Prawo właściwe
W sprawach nieuregulowanych stosuje się RODO i prawo polskie.
Załącznik A — opis przetwarzania
Przedmiot: świadczenie Platformy GPS. Czas: okres umowy. Charakter i cel: monitoring i zarządzanie flotą. Kategorie osób i danych: zgodnie z §4.
Załącznik B — środki techniczne i organizacyjne (TOMs)
- kontrola dostępu (uwierzytelnianie, role i uprawnienia, zasada minimalnego dostępu);
- szyfrowanie w transmisji (TLS) i w spoczynku;
- kopie zapasowe szyfrowane, plan ciągłości działania;
- rejestrowanie zdarzeń i monitorowanie bezpieczeństwa;
- zarządzanie podatnościami i incydentami;
- poufność i szkolenia personelu, weryfikacja sub-procesorów.
Załącznik C — wykaz sub-procesorów
Aktualna lista: sub-procesorzy.html.
Zobacz też: Polityka prywatności · Regulamin · Polityka cookies