Umowa powierzenia przetwarzania danych (DPA)

Niniejsza Umowa powierzenia przetwarzania danych („DPA”) stanowi część zasad korzystania z usługi Spedboard w zakresie, w jakim klient biznesowy powierza dane osobowe do przetwarzania w związku z korzystaniem z aplikacji.

Podmiotem przetwarzającym jest Maciej Mazurek, prowadzący działalność gospodarczą pod firmą „Usługi IT Maciej Mazurek”, z siedzibą przy ul. Targowej 5/3, 21-450 Stoczek Łukowski, Polska, NIP 5223234720, REGON 522940561, dalej: „Procesor”.

Administratorem danych pozostaje klient biznesowy korzystający ze Spedboard, dalej: „Administrator”.

Procesor przetwarza dane wyłącznie w celu świadczenia usługi Spedboard, w szczególności hostowania danych firmy, obsługi użytkowników i zespołów, zarządzania ładunkami, kontaktami, przypomnieniami, kartami dashboardu, historią aktywności oraz funkcjami pomocniczymi związanymi z działaniem aplikacji.

Przetwarzanie ma charakter zautomatyzowany i manualny, zależnie od funkcji używanych przez Administratora i jego użytkowników. Obejmuje przechowywanie, organizowanie, porządkowanie, udostępnianie w ramach uprawnień nadanych przez Administratora, aktualizowanie, usuwanie oraz inne operacje niezbędne do działania usługi.

DPA obowiązuje przez cały okres, w którym Procesor przetwarza dane osobowe w imieniu Administratora w związku z korzystaniem z usługi.

Zakres danych zależy od tego, co Administrator i jego użytkownicy wprowadzą do systemu. Mogą to być w szczególności dane identyfikacyjne i kontaktowe, dane operacyjne dotyczące zleceń transportowych, notatki, historia działań, treści przypomnień oraz dane przypisań organizacyjnych w obrębie firmy i zespołów.

Osobami, których dane dotyczą, mogą być przede wszystkim użytkownicy klienta, osoby kontaktowe po stronie klientów i przewoźników, kierowcy, kontrahenci oraz inne osoby, których dane Administrator umieści w aplikacji w związku z prowadzoną działalnością.

Procesor nie oczekuje powierzania szczególnych kategorii danych osobowych. Jeżeli takie dane zostaną wprowadzone przez Administratora, odpowiada on za posiadanie właściwej podstawy prawnej oraz za zasadność takiego zakresu danych.

Procesor przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora wynikające z umowy, konfiguracji usługi, działań użytkowników uprawnionych przez Administratora oraz innych zgodnych z prawem instrukcji przekazanych w formie możliwej do udokumentowania.

Konfiguracja tenantów, zespołów, ról, zaproszeń, przypisań użytkowników oraz dane wprowadzane do aplikacji przez Administratora i jego użytkowników są traktowane jako podstawowe instrukcje przetwarzania w ramach usługi.

Jeżeli Procesor uzna, że instrukcja narusza przepisy prawa ochrony danych, poinformuje o tym Administratora, chyba że przepisy zabraniają takiej informacji.

Procesor zapewnia, że osoby upoważnione do przetwarzania danych są zobowiązane do zachowania poufności albo podlegają odpowiedniemu ustawowemu obowiązkowi poufności.

Dostęp do danych jest ograniczany zgodnie z zasadą niezbędności i rolami technicznymi, a operacje uprzywilejowane są wykonywane po stronie serwera.

W samej aplikacji dane firm są logicznie rozdzielone tenantami i dodatkowymi zasadami dostępu do zespołów.

Procesor stosuje środki techniczne i organizacyjne odpowiednie do ryzyka, obejmujące w szczególności kontrolę dostępu, rozdzielenie danych tenantów, ochronę sesji, połączenia HTTPS/TLS, ograniczenie operacji uprzywilejowanych do warstwy serwerowej oraz wykorzystanie infrastruktury dostawców stosujących własne zabezpieczenia platformowe, mechanizmy kopii zapasowych i kontrolę dostępu.

Funkcje AI działają w modelu potwierdzania przez użytkownika przed zapisaniem danych, a surowa treść wejściowa przekazywana do parsowania nie jest zapisywana w bazie danych aplikacji.

Szczegółowy zakres środków może ewoluować wraz z rozwojem produktu, pod warunkiem utrzymania poziomu bezpieczeństwa odpowiedniego do ryzyka zgodnie z art. 32 RODO.

Administrator udziela ogólnej zgody na korzystanie przez Procesora z podprocesorów wskazanych poniżej oraz z ich następców funkcjonalnych, jeżeli są niezbędni do świadczenia usługi.

Przed powierzeniem danych nowemu podprocesorowi Procesor zapewni, że taki podmiot daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, a na podprocesora zostaną nałożone zasadniczo te same obowiązki ochrony danych, które wynikają z tej DPA.

O istotnym dodaniu lub zmianie podprocesora informujemy z co najmniej 15-dniowym wyprzedzeniem przez aktualizację dokumentów prawnych lub kanał kontaktowy związany z usługą. Administrator może zgłosić uzasadniony sprzeciw przed planowaną zmianą, kontaktując się z Procesorem przed wejściem zmiany w życie.

Procesor pozostaje odpowiedzialny wobec Administratora za działania podprocesorów w takim zakresie, w jakim wynikają one z usług powierzonych przez Procesora.

Procesor co do zasady korzysta z infrastruktury i usług skonfigurowanych z myślą o przetwarzaniu danych w Europie.

Jeżeli jednak konkretna usługa lub element rozliczeń wymaga przekazania danych poza Europejski Obszar Gospodarczy, Procesor zapewnia stosowanie mechanizmów wymaganych przez RODO, w tym standardowych klauzul umownych, decyzji stwierdzających odpowiedni stopień ochrony lub innych podstaw prawnych mających zastosowanie.

Administrator akceptuje, że taki transfer może dotyczyć w szczególności procesów płatniczych lub usług pomocniczych używanych zgodnie z aktualną konfiguracją usługi.

Procesor, z uwzględnieniem charakteru przetwarzania i dostępnych informacji, wspiera Administratora w realizacji obowiązków dotyczących żądań osób, których dane dotyczą, bezpieczeństwa przetwarzania, zgłaszania naruszeń, ocen skutków dla ochrony danych oraz konsultacji z organem nadzorczym, o ile mają zastosowanie.

Wsparcie może obejmować udostępnienie informacji, eksport danych, techniczne usunięcie danych lub inne działania możliwe w rozsądnym zakresie organizacyjnym i technicznym.

Część żądań może wymagać manualnej obsługi po zgłoszeniu przez ustawienia konta lub po kontakcie z Procesorem oraz po weryfikacji uprawnienia osoby zgłaszającej.

Jeżeli Procesor stwierdzi naruszenie ochrony danych osobowych dotyczące danych przetwarzanych w imieniu Administratora, poinformuje Administratora bez zbędnej zwłoki po uzyskaniu wystarczającego potwierdzenia zdarzenia.

Zakres przekazywanych informacji będzie obejmował w miarę dostępności charakter naruszenia, przewidywane skutki, podjęte lub proponowane działania naprawcze oraz inne informacje potrzebne Administratorowi do realizacji jego obowiązków wynikających z RODO.

Administrator pozostaje odpowiedzialny za ocenę obowiązku zgłoszenia naruszenia organowi nadzorczemu i osobom, których dane dotyczą, chyba że przepisy lub odrębne ustalenia stanowią inaczej.

Po zakończeniu świadczenia usługi Procesor, według wyboru Administratora wyrażonego w ramach zgłoszenia lub uzgodnień operacyjnych, usuwa albo zwraca dane osobowe, o ile dalsze przechowywanie nie jest wymagane przez obowiązujące prawo.

Dostępne mechanizmy eksportu i usunięcia danych mogą mieć charakter częściowo manualny. Administrator może zgłosić żądanie przez kanał kontaktowy wskazany w dokumentach prawnych albo przez ustawienia aplikacji, jeżeli dana ścieżka jest dostępna.

Jeżeli usunięcie nie następuje natychmiast z kopii zapasowych, Procesor zapewnia, że dane pozostają objęte odpowiednimi zabezpieczeniami i są usuwane zgodnie z cyklem retencji kopii zapasowych oraz polityką techniczną dostawców infrastruktury.

Procesor udostępnia Administratorowi informacje potrzebne do wykazania zgodności z obowiązkami wynikającymi z art. 28 RODO w rozsądnym zakresie odpowiadającym charakterowi usługi i ryzyku.

Zapytania audytowe, due diligence i rozsądne kontrole mogą być realizowane na podstawie dokumentacji, odpowiedzi pisemnych lub innej proporcjonalnej formy, z poszanowaniem poufności, bezpieczeństwa innych klientów oraz realiów technicznych usługi SaaS.

Jeżeli zmieni się model działania usługi, podprocesorzy lub wymagania prawne, Procesor może zaktualizować DPA. Aktualna wersja jest publikowana na tej stronie, a nowa wersja wymaga akceptacji przez właściciela firmy lub inną osobę uprawnioną do działania w imieniu Administratora.