Umowa o przetwarzanie danych (AVV]
zgodnie z art. 28 ust. 3 Ogólnego Rozporządzenia o Ochronie Danych (RODO]
§ 1 Przedmiot i czas trwania zlecenia
(1] Niniejsza umowa reguluje prawa i obowiązki stron w związku z przetwarzaniem danych osobowych przez wykonawcę (podmiot przetwarzający] na zlecenie klienta (administrator]. Ma zastosowanie do wszystkich czynności, w których pracownicy wykonawcy lub osoby trzecie przez niego upoważnione mogą mieć kontakt z danymi osobowymi administratora.
(2] Okres obowiązywania niniejszej umowy jest zgodny z okresem obowiązywania umowy głównej dotyczącej korzystania z oprogramowania "BusWay". Kończy się automatycznie wraz z zakończeniem umowy głównej, o ile nie istnieją ustawowe obowiązki przechowywania.
§ 2 Rodzaj i cel przetwarzania
(1] Podmiot przetwarzający udostępnia administratorowi platformę Software-as-a-Service (SaaS]. Przetwarzanie obejmuje gromadzenie, przechowywanie, analizę i udostępnianie danych w celu wspierania procesów operacyjnych.
(2] Celem przetwarzania jest cyfrowe przydzielanie Route/Line, nawigacja personelu kierującego pojazdami, zarządzanie informacjami o trasach oraz techniczne zapewnienie działania oprogramowania.
§ 3 Rodzaj danych i krąg osób, których dane dotyczą
(1] Kategorie osób, których dane dotyczą: Pracownicy klienta (kierowcy, dyspozytorzy, administratorzy].
(2] Rodzaj przetwarzanych danych osobowych:
- Dane identyfikacyjne (nazwa użytkownika, adres e-mail, imię i nazwisko].
- Dane o lokalizacji i ruchu (współrzędne GPS podczas aktywnego korzystania z aplikacji, przebieg tras].
- Metadane urządzenia (adres IP, identyfikator urządzenia, wersja systemu operacyjnego, wersja aplikacji].
- Dane dotyczące użytkowania (znaczniki czasu logowania, utworzone lub przejechane trasy, logi synchronizacji].
§ 4 Obowiązki podmiotu przetwarzającego
(1] Podmiot przetwarzający przetwarza dane osobowe wyłącznie w ramach zawartych umów i zgodnie z instrukcjami administratora, chyba że jest zobowiązany do innego przetwarzania na mocy przepisów prawa.
(2] Podmiot przetwarzający zapewnia, aby wszystkie osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
(3] Podmiot przetwarzający podejmuje wszelkie niezbędne środki zgodnie z art. 32 RODO (bezpieczeństwo przetwarzania], aby zapewnić poziom ochrony odpowiedni do ryzyka.
(4] Podmiot przetwarzający wspiera administratora w przestrzeganiu obowiązków wymienionych w art. 32 do 36 RODO (np. zgłaszanie naruszeń ochrony danych osobowych] w miarę swoich możliwości.
§ 5 Obowiązki administratora
(1] Administrator ponosi wyłączną odpowiedzialność za ocenę dopuszczalności przetwarzania zgodnie z art. 6 ust. 1 RODO oraz za ochronę praw osób, których dane dotyczą (np. informowanie pracowników o lokalizacji GPS].
(2] Administrator wydaje instrukcje z reguły poprzez korzystanie z funkcji oprogramowania (np. tworzenie lub usuwanie użytkowników]. Instrukcje ustne należy niezwłocznie potwierdzić pisemnie lub w formie tekstowej (e-mail].
§ 6 Techniczne i organizacyjne środki (TOM]
(1] Podmiot przetwarzający podjął odpowiednie środki techniczne i organizacyjne w celu ochrony danych przed nieuprawnionym dostępem, utratą lub zmianą.
- Poufność: Szyfrowanie transmisji danych (SSL/TLS], ochrona hasłem (Hashing], kontrola dostępu.
- Integralność: Kontrola wprowadzanych danych, protokołowanie dostępu do systemu, oddzielenie danych klientów (logiczne oddzielenie].
- Dostępność: Regularne kopie zapasowe, redundantna infrastruktura serwerowa, plany awaryjne (Disaster Recovery].
- Obciążalność: Wykorzystanie skalowalnej infrastruktury chmurowej i regularna weryfikacja bezpieczeństwa systemu.
§ 7 Podwykonawstwo
(1] Administrator udziela podmiotowi przetwarzającemu ogólnej zgody na angażowanie dalszych podmiotów przetwarzających (podwykonawców] w celu wypełnienia zobowiązań umownych.
(2] Podmiot przetwarzający informuje administratora o każdej zamierzonej zmianie dotyczącej angażowania lub zastępowania dalszych podmiotów przetwarzających. Administratorowi przysługuje prawo wniesienia sprzeciwu.
(3] Aktualnie zaangażowani podwykonawcy są wymienieni w załączniku do niniejszej umowy.
§ 8 Prawa kontroli
(1] Administrator ma prawo do weryfikacji przestrzegania przepisów prawa i postanowień niniejszej umowy przez podmiot przetwarzający w rozsądnym zakresie. Ponieważ jest to rozwiązanie SaaS, dowód można przedstawić przede wszystkim za pomocą certyfikatów lub atestów niezależnych stron trzecich.
§ 9 Usuwanie i zwrot danych
(1] Po zakończeniu świadczenia usług przetwarzania podmiot przetwarzający usuwa wszystkie dane osobowe lub zwraca je administratorowi, o ile nie istnieje ustawowy obowiązek przechowywania.
§ 10 Postanowienia końcowe
(1] Jeżeli poszczególne części niniejszej umowy okażą się nieważne, nie narusza to ważności pozostałych postanowień.
(2] Obowiązuje prawo Republiki Federalnej Niemiec. Sądem właściwym jest siedziba podmiotu przetwarzającego.
Podmiot przetwarzający korzysta z następujących usługodawców w celu realizacji swoich usług:
| Usługa | Usługodawca | Lokalizacja serwera |
|---|---|---|
| Hosting, baza danych i backend | Strato AG | Berlin / Karlsruhe, DE |
| Dane map i geokodowanie | Google Cloud EMEA | Dublin, IE (EU] |
| Reseller / Merchant of Record | Paddle.com Market Ltd | Londyn, UK (Decyzja o adekwatności] |