← Wróć na stronę główną

Umowa powierzenia przetwarzania danych osobowych

Wersja 1.0 — stanowi integralną część Regulaminu serwisu AutoRejestruj.pl

1. Strony umowy

1.1. Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej: „Umowa”) zawierana jest pomiędzy Użytkownikiem prowadzącym Organizację w serwisie AutoRejestruj.pl (dalej: „Administrator”) a firmą Securo Anna Stachowiak z siedzibą w Górze, ul. Nowowiejska 24, 63-233 Góra, NIP: 7881790878, REGON: 300585296 (dalej: „Podmiot przetwarzający”).

1.2. Umowa zostaje zawarta w formie elektronicznej z chwilą założenia konta w Serwisie i akceptacji Regulaminu, którego niniejsza Umowa stanowi integralną część, zgodnie z art. 28 ust. 3 i 9 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej: „RODO”).

2. Przedmiot i czas trwania powierzenia

2.1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie i celu określonym w Umowie, wyłącznie w związku ze świadczeniem usług Serwisu.

2.2. Umowa obowiązuje przez okres posiadania konta w Serwisie. Rozwiązanie umowy o świadczenie usług (usunięcie konta) oznacza rozwiązanie niniejszej Umowy.

3. Charakter, cel, rodzaj danych i kategorie osób

3.1. Charakter przetwarzania: przechowywanie, organizowanie, udostępnianie Administratorowi, generowanie dokumentów (druki urzędowe, faktury) w systemie informatycznym Serwisu.

3.2. Cel przetwarzania: obsługa procesu rejestracji pojazdów prowadzona przez Administratora, w tym wypełnianie druków urzędowych, wystawianie faktur i prowadzenie ewidencji zleceń.

3.3. Rodzaj danych: imiona i nazwiska, numery PESEL, numery NIP, adresy zamieszkania/siedziby, numery telefonów, adresy e-mail, dane pojazdów (nr rejestracyjny, VIN), dane transakcji (kwoty, daty), imiona rodziców (deklaracja PCC-3).

3.4. Kategorie osób: klienci Administratora (właściciele i nabywcy pojazdów, współwłaściciele, pełnomocnicy).

4. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się do:

  • przetwarzania danych wyłącznie na udokumentowane polecenie Administratora, którym jest korzystanie z funkcji Serwisu (art. 28 ust. 3 lit. a RODO);
  • zapewnienia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy (art. 28 ust. 3 lit. b RODO);
  • stosowania środków technicznych i organizacyjnych wymaganych na mocy art. 32 RODO, w tym szyfrowania transmisji (TLS), szyfrowania danych w spoczynku, kontroli dostępu opartej na rolach oraz izolacji danych pomiędzy Organizacjami;
  • pomocy Administratorowi w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą (art. 12–22 RODO), poprzez funkcje Serwisu umożliwiające wgląd, poprawienie, eksport i usunięcie danych;
  • pomocy Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO;
  • zgłaszania Administratorowi naruszeń ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od wykrycia naruszenia;
  • usunięcia danych osobowych po zakończeniu świadczenia usług (usunięcie konta usuwa trwale wszystkie dane Organizacji), chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych;
  • udostępnienia Administratorowi informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwienia przeprowadzania audytów (art. 28 ust. 3 lit. h RODO).

5. Podpowierzenie (subprocesorzy)

5.1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z usług dalszych podmiotów przetwarzających. Aktualna lista subprocesorów:

  • Supabase Inc. — hosting bazy danych i uwierzytelnianie (region UE)
  • Vercel Inc. — hosting aplikacji
  • Stripe Payments Europe Ltd. — obsługa płatności
  • Functional Software Inc. (Sentry) — monitorowanie błędów (z maskowaniem danych osobowych)
  • Sendinblue S.A.S. (Brevo) — wysyłka e-maili transakcyjnych
  • Google Ireland Ltd. — logowanie OAuth (opcjonalne)

5.2. Przekazywanie danych poza EOG odbywa się wyłącznie na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską.

5.3. O zamiarze dodania lub zmiany subprocesora Podmiot przetwarzający poinformuje Administratora z wyprzedzeniem co najmniej 14 dni (e-mail lub komunikat w Serwisie), umożliwiając wyrażenie sprzeciwu. Sprzeciw jest równoznaczny z wypowiedzeniem umowy o świadczenie usług.

6. Odpowiedzialność

6.1. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.

6.2. Administrator odpowiada za zgodność z prawem zbierania danych swoich klientów oraz za istnienie podstawy prawnej ich przetwarzania.

7. Postanowienia końcowe

7.1. W sprawach nieuregulowanych stosuje się RODO, Regulamin Serwisu oraz przepisy prawa polskiego.

7.2. Kontakt w sprawach ochrony danych: kontakt@autorejestruj.pl.

7.3. Kopię niniejszej Umowy w formacie do podpisu (na potrzeby dokumentacji Administratora) można uzyskać kontaktując się z Usługodawcą.