rozklad24.pl

Umowa powierzenia przetwarzania danych osobowych

Wzór. Wersja 1.0 · ostatnia aktualizacja: 24 kwietnia 2026 r.

To wzór umowy powierzenia dla Klientów, którzy w ramach korzystania z Serwisu powierzają rozklad24.pl przetwarzanie danych osobowych (np. dane pracowników wprowadzanych do panelu, dane pasażerów z systemów biletowych). Aby zawrześć umowę — napisz na biuro@silers.pl wskazując nazwę firmy, NIP i osobę reprezentującą. Prześlemy dokument do podpisu.

Strony umowy

Administrator: [Nazwa Klienta, NIP, adres, osoba reprezentująca]
Podmiot przetwarzający: SILERS Błaszczykowski Adrian, ul. Żeromskiego 29, 08-400 Garwolin, NIP: 8261941094 (dalej: „Procesor"), e-mail: biuro@silers.pl

§ 1. Przedmiot i cel powierzenia

1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i na zasadach określonych w niniejszej Umowie oraz w umowie głównej (Regulamin i zamówienie Usługi rozklad24.pl).

2. Celem powierzenia jest świadczenie Usługi rozklad24.pl, tj. udostępnienie Administratorowi oprogramowania w modelu SaaS do zarządzania rozkładami jazdy, tablicami informacyjnymi, treściami reklam i komunikacją z pasażerami.

§ 2. Zakres i rodzaj danych

Kategorie osób, których dane dotyczą: pracownicy Administratora korzystający z panelu, kontrahenci reklamowi Administratora, pasażerowie (jeśli Administrator wprowadza ich dane).

Kategorie danych: imię i nazwisko, adres e-mail, numer telefonu, dane do faktury, informacje dotyczące zatrudnienia/roli, identyfikatory konta, dane logów (IP, data).

Strony nie powierzają szczególnych kategorii danych (art. 9 RODO) ani danych karnych (art. 10 RODO). Jeśli Administrator zamierza wprowadzać takie dane, wymagane jest pisemne uzgodnienie z Procesorem.

§ 3. Czas trwania

Umowa obowiązuje przez czas trwania umowy głównej. Po jej zakończeniu Procesor usuwa lub zwraca dane Administratorowi zgodnie z § 8.

§ 4. Obowiązki Procesora

Procesor zobowiązuje się:

  • przetwarzać dane wyłącznie na udokumentowane polecenie Administratora;
  • zapewnić, że osoby upoważnione do przetwarzania są zobowiązane do zachowania tajemnicy;
  • wdrożyć środki techniczne i organizacyjne, o których mowa w art. 32 RODO (§ 6);
  • pomagać Administratorowi w realizacji obowiązków wynikających z art. 32–36 RODO w zakresie dostępnym Procesorowi;
  • pomagać Administratorowi w odpowiadaniu na żądania osób, których dane dotyczą (art. 12–22 RODO) — w miarę możliwości i proporcjonalnie do charakteru przetwarzania;
  • niezwłocznie powiadamiać Administratora o każdym naruszeniu ochrony danych, nie później niż w ciągu 48 godzin od wykrycia;
  • udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków, z prawem do audytu (§ 7).

§ 5. Podprocesorzy

1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z podprocesorów, pod warunkiem że Procesor zawrze z nimi umowy nakładające takie same obowiązki jak niniejsza Umowa.

2. Aktualna lista kategorii podprocesorów:

  • dostawca infrastruktury serwerowej (hosting, EOG);
  • dostawca usług pocztowych (SMTP) do wysyłki e-maili transakcyjnych;
  • bramki płatności (tylko dane rozliczeniowe);
  • dostawca usług monitoringu i kopii zapasowych.

3. O zmianie podprocesorów Procesor informuje Administratora na co najmniej 14 dni przed zmianą. Administrator może wnieść uzasadniony sprzeciw.

§ 6. Środki bezpieczeństwa

Procesor stosuje co najmniej następujące środki:

  • szyfrowanie transmisji (TLS 1.2+);
  • haszowanie haseł algorytmem bcrypt z kosztem 12;
  • ograniczenie dostępu do danych zgodnie z zasadą najmniejszych uprawnień;
  • logi audytowe operacji istotnych dla bezpieczeństwa (logowanie, zmiany uprawnień, usuwanie danych);
  • regularne kopie zapasowe z polityką retencji (dzienne 14 dni, tygodniowe 60 dni);
  • rate-limiting i ochrona przed nadużyciami;
  • aktualizowanie zabezpieczeń oprogramowania;
  • procedurę reagowania na incydenty.

§ 7. Prawo kontroli i audytu

1. Administrator ma prawo do przeprowadzenia audytu zgodności z Umową nie częściej niż raz w roku, z 30-dniowym wyprzedzeniem.

2. Procesor może alternatywnie przedstawić dokumentację audytu wykonanego przez niezależny podmiot (np. raport zgodności).

3. Koszty audytu ponosi Administrator. Jeżeli audyt wykaże istotne naruszenia po stronie Procesora, koszty ponosi Procesor.

§ 8. Zakończenie

Po zakończeniu umowy głównej Procesor, zgodnie z decyzją Administratora:

  • usunie wszystkie dane osobowe w terminie 30 dni od rozwiązania umowy, lub
  • udostępni Administratorowi eksport danych (format JSON) i usunie je po pobraniu.

Wyjątek: dane, które Procesor ma obowiązek przechowywać na podstawie przepisów prawa (np. faktury) przetwarzane są dalej wyłącznie w tym ograniczonym zakresie.

§ 9. Odpowiedzialność

Strony ponoszą odpowiedzialność zgodnie z RODO i przepisami powszechnie obowiązującymi. Ograniczenia odpowiedzialności wynikające z umowy głównej nie wyłączają odpowiedzialności za umyślne naruszenia obowiązków określonych w RODO.

§ 10. Postanowienia końcowe

1. W sprawach nieuregulowanych stosuje się RODO oraz ustawę o ochronie danych osobowych.

2. Wszelkie zmiany wymagają formy pisemnej (w tym e-mailowej z potwierdzeniem) pod rygorem nieważności.

3. Spory rozstrzyga sąd właściwy dla siedziby Procesora.

Jak zawrzeć umowę: napisz na biuro@silers.pl z prośbą o DPA. Odeślemy podpisany elektronicznie dokument PDF do Twojego podpisu (ePUAP/podpis kwalifikowany/skan).