Umowa Powierzenia
Przetwarzania Danych Osobowych

1 Definicje

2 Przedmiot i cel przetwarzania

Na podstawie niniejszej Umowy Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych kierowców w zakresie niezbędnym do realizacji usługi oferowanej przez Serwis.

Przetwarzanie odbywa się wyłącznie w celu realizacji usługi i nie może być wykorzystywane do innych celów bez wyraźnej zgody Administratora.

3 Zakres danych osobowych

Podmiot Przetwarzający przetwarza wyłącznie następujące kategorie danych osobowych:

• imię i nazwisko kierowcy
• numer blankietu dokumentu prawa jazdy
• dane zwracane przez CEPiK: status dokumentu, data ważności, kategorie uprawnień
• data ważności badania lekarskiego kierowcy (obowiązkowego na podstawie art. 39j ustawy o transporcie drogowym)
• data ważności badania psychologicznego kierowcy (obowiązkowego na podstawie art. 39k ustawy o transporcie drogowym)
• data ważności karty kierowcy (uprawnienia zawodowego — nie stanowi danych dotyczących zdrowia)
• data ważności certyfikatu ADR (uprawnienia zawodowego — nie stanowi danych dotyczących zdrowia)

W zakresie dat ważności badań lekarskich i psychologicznych Podmiot Przetwarzający przetwarza dane dotyczące zdrowia w rozumieniu art. 9 ust. 1 RODO. Podstawą prawną tego przetwarzania jest art. 9 ust. 2 lit. b RODO — przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora w dziedzinie prawa pracy, w zakresie wymaganym przepisami ustawy z dnia 6 września 2001 r. o transporcie drogowym. Przetwarzanie ogranicza się wyłącznie do daty ważności zaświadczenia; Serwis nie przechowuje wyników badań ani diagnoz medycznych.

Serwis umożliwia również zarządzanie danymi floty pojazdów (marka, model, numer rejestracyjny, VIN, daty ważności dokumentów eksploatacyjnych). Dane te co do zasady nie stanowią danych osobowych w rozumieniu RODO i nie są objęte zakresem niniejszej Umowy. W zakresie, w jakim dane pojazdu mogłyby zostać powiązane z osobą fizyczną i tym samym stanowić dane osobowe, Administrator zobowiązuje się do samodzielnego zapewnienia odpowiedniej podstawy prawnej ich przetwarzania — w szczególności wobec pracowników korzystających ze służbowych pojazdów.

4 Obowiązki Podmiotu Przetwarzającego

1. Przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora i w zakresie określonym w niniejszej Umowie.
2. Zapewnić, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają ustawowemu obowiązkowi zachowania tajemnicy.
3. Wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku, w szczególności: szyfrowanie danych w transmisji (HTTPS/TLS), kontrolę dostępu do systemów przetwarzania danych, regularne tworzenie kopii zapasowych.
4. Respektować warunki korzystania z usług kolejnych podmiotów przetwarzających (podpowierzenie) określone w §6 niniejszej Umowy.
5. Niezwłocznie informować Administratora o wszelkich naruszeniach ochrony danych osobowych, nie później niż w ciągu 72 godzin od powzięcia informacji o naruszeniu.
6. Pomagać Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą (m.in. prawo dostępu, sprostowania, usunięcia).
7. Usunąć lub zwrócić Administratorowi wszelkie dane osobowe po zakończeniu świadczenia usługi i usunąć istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych.
8. Udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO.

5 Obowiązki Administratora

1. Wprowadzać do Serwisu wyłącznie dane kierowców, w stosunku do których Administrator posiada podstawę prawną do przetwarzania ich danych osobowych (np. umowa o pracę, kontrakt).
2. Zapewnić, że dane osobowe wprowadzane do Serwisu są prawidłowe i aktualne.
3. Poinformować kierowców o fakcie przetwarzania ich danych w Serwisie, zgodnie z obowiązkiem informacyjnym wynikającym z art. 13 RODO — w tym o przetwarzaniu dat ważności badań lekarskich i psychologicznych jako danych dotyczących zdrowia na podstawie art. 9 ust. 2 lit. b RODO.
4. Posiadać i dokumentować podstawę prawną przetwarzania danych dotyczących zdrowia kierowców (daty badań lekarskich i psychologicznych) wymaganą przepisami prawa pracy i prawa transportowego.
5. Nie udostępniać danych dostępowych do konta osobom nieupoważnionym.

6 Podpowierzenie przetwarzania

Administrator wyraża ogólną zgodę na korzystanie przez Podmiot Przetwarzający z usług kolejnych podmiotów przetwarzających (podpowierzenie). Dotyczy to w szczególności:

• dostawców infrastruktury serwerowej i hostingu
• dostawców usług poczty elektronicznej (powiadomienia e-mail)
• dostawców usług SMS (powiadomienia SMS)
• dostawców usług monitorowania i logowania błędów

Podmiot Przetwarzający zobowiązuje się do nałożenia na podmioty podprzetwarzające takich samych obowiązków ochrony danych jak wynikające z niniejszej Umowy. Podmiot Przetwarzający ponosi pełną odpowiedzialność za działania podpodmiotów przetwarzających.

Aktualna lista podmiotów podprzetwarzających dostępna jest na stronie https://raportkierowcy.pl/polityka-prywatnosci.

7 Bezpieczeństwo danych

Podmiot Przetwarzający stosuje następujące środki techniczne i organizacyjne w celu ochrony powierzonych danych:

• szyfrowanie danych w transmisji przy użyciu protokołu TLS/HTTPS
• szyfrowane przechowywanie haseł (bcrypt)
• kontrola dostępu oparta na rolach (RBAC)
• regularne kopie zapasowe danych
• monitorowanie dostępu i anomalii w systemie
• aktualizacja oprogramowania i łatanie luk bezpieczeństwa

8 Czas trwania i rozwiązanie umowy

1. Niniejsza Umowa zostaje zawarta na czas nieokreślony, od momentu rejestracji konta w Serwisie.
2. Umowa wygasa automatycznie z chwilą trwałego usunięcia konta przez Administratora lub przez Podmiot Przetwarzający (np. w wyniku wypowiedzenia regulaminu).
3. W przypadku rozwiązania Umowy Podmiot Przetwarzający usuwa dane osobowe w terminie 30 dni od daty zakończenia świadczenia usługi, chyba że przepisy prawa wymagają ich dłuższego przechowywania.
4. Administrator może wypowiedzieć niniejszą Umowę z zachowaniem 14-dniowego okresu wypowiedzenia poprzez trwałe usunięcie konta w Serwisie.

9 Odpowiedzialność

1. Podmiot Przetwarzający ponosi odpowiedzialność za szkody spowodowane przetwarzaniem danych niezgodnie z niniejszą Umową lub z przepisami RODO, jeżeli nie dopełnił swoich obowiązków wynikających z RODO lub postępował wbrew instrukcjom Administratora.
2. Administrator ponosi odpowiedzialność za szkody wynikające z wprowadzania do Serwisu danych, do których przetwarzania nie posiada podstawy prawnej.
3. Podmiot Przetwarzający jest zwolniony z odpowiedzialności, jeżeli udowodni, że nie ponosi winy za zdarzenie powodujące szkodę.

10 Postanowienia końcowe

1. Umowa podlega prawu polskiemu. W sprawach nieuregulowanych zastosowanie mają przepisy RODO oraz Kodeksu cywilnego.
2. Wszelkie spory wynikające z niniejszej Umowy będą rozstrzygane przez sąd właściwy dla siedziby Podmiotu Przetwarzającego.
3. Podmiot Przetwarzający zastrzega sobie prawo do zmiany niniejszej Umowy w przypadku zmiany przepisów prawa lub istotnej zmiany zakresu świadczonych usług. O zmianach Administrator zostanie poinformowany drogą e-mailową z co najmniej 14-dniowym wyprzedzeniem.
4. Akceptacja niniejszej Umowy następuje poprzez zaznaczenie stosownego pola wyboru podczas rejestracji konta w Serwisie, co jest równoznaczne ze złożeniem oświadczenia woli w formie elektronicznej.
5. Niniejsza Umowa zastępuje wszelkie wcześniejsze porozumienia między stronami w zakresie powierzenia przetwarzania danych osobowych.