AutokilometryAutokilometry

Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

Wersja: 1.0 | Data wejścia w życie: 19 lutego 2026 r.

§1. Strony umowy

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: "Umowa" lub "DPA") zostaje zawarta między:

Podmiotem przetwarzającym (Procesorem):

Emversa Maciej Łukowski

ul. Sielska 17a

60-129 Poznań

NIP: 9720811257

E-mail: office@emversa.com

(dalej: "Procesor" lub "Emversa")

a

Administratorem danych:

Organizacją korzystającą z Platformy Autokilometry

(dalej: "Administrator" lub "Organizacja")

§2. Zawarcie umowy

  1. Niniejsza Umowa zostaje zawarta automatycznie z chwilą akceptacji Regulaminu serwisu Autokilometry podczas procesu rejestracji.
  2. Akceptacja Regulaminu (zaznaczenie wymaganego pola wyboru "Akceptuję Regulamin serwisu") stanowi jednoczesną akceptację warunków niniejszej Umowy Powierzenia Przetwarzania Danych.
  3. Organizacja oświadcza, że osoba akceptująca Regulamin i niniejszą Umowę jest upoważniona do reprezentowania Organizacji i zaciągania zobowiązań w jej imieniu.

§3. Przedmiot umowy

  1. Administrator powierza Procesorowi przetwarzanie danych osobowych Kierowców (pracowników i współpracowników Administratora) w zakresie niezbędnym do świadczenia usług Platformy Autokilometry.
  2. Procesor zobowiązuje się przetwarzać powierzone dane osobowe wyłącznie w celu i zakresie określonym w niniejszej Umowie oraz zgodnie z poleceniami Administratora.
  3. Procesor przetwarza dane w imieniu Administratora na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

§4. Zakres powierzonych danych

4.1. Kategorie osób, których dane dotyczą

  • Kierowcy (pracownicy i współpracownicy Organizacji)
  • Użytkownicy zaproszeni przez Administratora

4.2. Kategorie przetwarzanych danych

Dane identyfikacyjne:

  • Imię i nazwisko
  • Adres e-mail służbowy
  • Zdjęcie profilowe (opcjonalnie)

Dane dotyczące przejazdów:

  • Współrzędne GPS (początek/koniec trasy)
  • Punkty kontrolne GPS (checkpoints) zawierające: szerokość i długość geograficzną, wysokość, prędkość chwilową, kierunek jazdy, dokładność GPS, znacznik czasu
  • Adresy (początkowy/końcowy)
  • Znaczniki czasowe (rozpoczęcie/zakończenie)
  • Dystans przejazdu
  • Prędkość (maksymalna, średnia)
  • Stan licznika pojazdu
  • Cel przejazdu
  • Typ przejazdu (służbowy/prywatny)

Dane pojazdów prywatnych:

  • Numer rejestracyjny
  • Marka i model
  • Pojemność silnika
  • Typ pojazdu

Dane dotyczące zwrotów kosztów:

  • Kwoty wniosków o zwrot
  • Okresy rozliczeniowe
  • Status zatwierdzenia

Dane techniczne:

  • Godziny i dni pracy (dla funkcji auto-trip)
  • Preferencje językowe
  • Ustawienia zgód (lokalizacja, marketing)

4.3. Szczególne kategorie danych

Procesor nie przetwarza szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO.

§5. Cel przetwarzania

Procesor przetwarza powierzone dane wyłącznie w celu:

  1. Rejestrowania i dokumentowania przejazdów służbowych i prywatnych
  2. Generowania raportów Ewidencji przebiegu pojazdu (dla pojazdów służbowych) oraz Zestawienia zwrotu kosztów (dla pojazdów prywatnych)
  3. Przetwarzania wniosków o zwrot kosztów za pojazdy prywatne
  4. Wizualizacji danych na mapie floty (funkcja płatna)
  5. Wykrywania luk przebiegowych i rozbieżności
  6. Automatycznego wykrywania przejazdów (auto-trip)
  7. Eksportu danych do formatów Excel i PDF
  8. Zapewnienia funkcjonalności aplikacji mobilnej iOS
  9. Wysyłania zaproszeń do Kierowców
  10. Obsługi technicznej i wsparcia użytkowników

§6. Obowiązki Procesora

Procesor zobowiązuje się do:

6.1. Zgodność z przepisami

  • Przetwarzania danych zgodnie z RODO i innymi obowiązującymi przepisami
  • Przetwarzania danych wyłącznie na udokumentowane polecenie Administratora
  • Niezwłocznego informowania Administratora, jeśli polecenie narusza przepisy prawa

6.2. Poufność

  • Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności
  • Przetwarzania danych wyłącznie przez przeszkolony personel

6.3. Bezpieczeństwo

Wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych, w tym:

  • Szyfrowanie danych w tranzycie (TLS/HTTPS)
  • Szyfrowanie danych w spoczynku
  • Hashowanie haseł (bcrypt)
  • Row-Level Security (RLS) na poziomie bazy danych
  • Kontrola dostępu oparta na rolach (RBAC)
  • Weryfikacja podpisów webhooków
  • Regularne aktualizacje zabezpieczeń

6.4. Podpowierzenie

  • Korzystania z podprocesorów wyłącznie na warunkach określonych w §7
  • Zapewnienia, że podprocesorzy spełniają wymagania RODO

6.5. Pomoc Administratorowi

  • Pomocy w realizacji praw osób, których dane dotyczą
  • Pomocy w zapewnieniu zgodności z art. 32-36 RODO (bezpieczeństwo, DPIA, konsultacje)
  • Udostępniania informacji niezbędnych do wykazania zgodności

6.6. Naruszenia ochrony danych

  • Niezwłocznego (nie później niż 24 godziny) powiadomienia Administratora o naruszeniu ochrony danych
  • Dokumentowania naruszeń i podjętych działań naprawczych

§7. Podprocesorzy (dalsze powierzenie)

7.1. Zgoda na podpowierzenie

Administrator wyraża ogólną zgodę na korzystanie przez Procesora z podprocesorów wymienionych w §7.3.

7.2. Obowiązki wobec podprocesorów

Procesor zobowiązuje się:

  • Zawrzeć z każdym podprocesorem umowę powierzenia przetwarzania danych
  • Zapewnić, że podprocesorzy spełniają wymagania nie mniejsze niż określone w niniejszej Umowie
  • Ponosić pełną odpowiedzialność za działania podprocesorów

7.3. Lista podprocesorów

PodprocesorCelLokalizacjaDane przetwarzane
Supabase Inc.Hosting bazy danych, uwierzytelnianie, Edge FunctionsUEWszystkie dane użytkowników, przejazdów, checkpointów
Stripe Payments Europe, Ltd.Płatności, fakturyIrlandia (UE)Dane rozliczeniowe Organizacji
Vercel Inc.Hosting aplikacji, CDNGlobalnieLogi żądań, adresy IP
Resend, Inc.Wysyłka e-maili transakcyjnychUSAAdresy e-mail, imiona, tokeny zaproszeń
Google LLCGoogle Analytics (za zgodą)USAAnonimizowane dane analityczne
OpenStreetMap FoundationGeokodowanie (reverse geocoding)GlobalnieWspółrzędne GPS (bez danych osobowych)
Project OSRMObliczanie dystansówGlobalnieWspółrzędne GPS (bez danych osobowych)
WeatherAPIWarunki pogodowe-Współrzędne GPS (bez danych osobowych)
ipapi.coWykrywanie kraju-Adresy IP
ip-api.comWykrywanie kraju (zapasowo)-Adresy IP

7.4. Zmiany listy podprocesorów

  1. Procesor powiadomi Administratora o zamiarze dodania lub zmiany podprocesora z 30-dniowym wyprzedzeniem drogą e-mailową na adres rozliczeniowy Organizacji.
  2. Administrator może zgłosić sprzeciw wobec nowego podprocesora w ciągu 14 dni od powiadomienia. Brak sprzeciwu oznacza akceptację.
  3. W przypadku uzasadnionego sprzeciwu strony podejmą negocjacje w celu znalezienia rozwiązania. Jeśli rozwiązanie nie zostanie osiągnięte, Administrator może rozwiązać umowę ze skutkiem na koniec bieżącego okresu rozliczeniowego.

§8. Przekazywanie danych do państw trzecich

8.1. Transfery do USA

Niektórzy podprocesorzy przetwarzają dane w USA. Transfery są zabezpieczone poprzez:

  • Standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską
  • EU-US Data Privacy Framework (gdzie ma zastosowanie)

8.2. Podprocesorzy w państwach trzecich

PodprocesorLokalizacjaMechanizm transferu
Vercel Inc.USA/GlobalnieSCC
Resend, Inc.USASCC
Google LLCUSASCC + EU-US Data Privacy Framework

§9. Prawa osób, których dane dotyczą

9.1. Pomoc w realizacji praw

Procesor zobowiązuje się pomagać Administratorowi w realizacji praw osób, których dane dotyczą:

PrawoImplementacja w Platformie
Prawo dostępu (art. 15 RODO)Eksport danych do Excel/PDF dostępny dla Kierowców
Prawo do sprostowania (art. 16 RODO)Edycja profilu, wnioski o edycję przejazdów
Prawo do usunięcia (art. 17 RODO)Administrator może dezaktywować Kierowców; kontakt z Procesorem
Prawo do przenoszenia (art. 20 RODO)Eksport danych do formatów standardowych
Prawo do ograniczenia (art. 18 RODO)Kontakt z Procesorem
Prawo do sprzeciwu (art. 21 RODO)Kontakt z Procesorem

9.2. Termin odpowiedzi

Procesor odpowie na żądania Administratora dotyczące praw osób w ciągu 10 dni roboczych.

§10. Audyt i kontrola

10.1. Prawo do audytu

Administrator ma prawo do weryfikacji zgodności Procesora z niniejszą Umową poprzez:

  • Żądanie pisemnych informacji i dokumentacji
  • Przeprowadzenie audytu (z 30-dniowym wyprzedzeniem, w godzinach pracy)

10.2. Koszty audytu

Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenia – wówczas koszty ponosi Procesor.

10.3. Poufność audytu

Wyniki audytu są poufne i nie mogą być udostępniane osobom trzecim bez zgody Procesora.

§11. Okres obowiązywania i rozwiązanie

11.1. Okres obowiązywania

Niniejsza Umowa obowiązuje przez cały okres korzystania z Platformy Autokilometry przez Administratora.

11.2. Rozwiązanie

Umowa ulega rozwiązaniu:

  • Z chwilą zakończenia subskrypcji i upływu okresu karencji (90 dni przy dobrowolnym anulowaniu lub 30 dni przy braku płatności)
  • W przypadku rozwiązania Regulaminu serwisu
  • Za porozumieniem stron

11.3. Postępowanie z danymi po rozwiązaniu

  1. Po rozwiązaniu Umowy Procesor:
    • Umożliwi eksport danych w formatach CSV i PDF w okresie karencji
    • Usunie dane osobowe po upływie okresu karencji
    • Zachowa dane wymagane przepisami prawa (np. dane fakturowe – 5 lat od końca roku podatkowego)
  2. Na żądanie Administratora Procesor przedstawi certyfikat usunięcia danych.

11.4. Zakończenie działalności Platformy

  1. W przypadku zakończenia działalności Platformy przez Procesora, Administrator zostanie powiadomiony z co najmniej 90-dniowym wyprzedzeniem.
  2. W okresie wypowiedzenia Administrator będzie mógł wyeksportować wszystkie dane.
  3. Po upływie okresu wypowiedzenia dane zostaną trwale usunięte, z wyjątkiem danych podlegających obowiązkowej retencji prawnej.

§12. Odpowiedzialność

12.1. Odpowiedzialność Procesora

Procesor ponosi odpowiedzialność za szkody wynikające z przetwarzania danych niezgodnie z niniejszą Umową lub przepisami RODO.

12.2. Ograniczenie odpowiedzialności

Całkowita odpowiedzialność Procesora jest ograniczona do sumy opłat subskrypcyjnych uiszczonych przez Administratora w okresie 12 miesięcy poprzedzających zdarzenie, chyba że szkoda wynika z rażącego niedbalstwa lub umyślnego działania.

12.3. Odpowiedzialność za podprocesorów

Procesor ponosi odpowiedzialność za działania i zaniechania podprocesorów jak za własne działania.

§13. Zmiany umowy

  1. Procesor może wprowadzić zmiany do niniejszej Umowy z 30-dniowym wyprzedzeniem.
  2. O zmianach Administrator zostanie powiadomiony drogą e-mailową.
  3. Dalsze korzystanie z Platformy po wejściu zmian w życie oznacza akceptację zmienionej Umowy.
  4. W przypadku braku akceptacji zmian Administrator może rozwiązać umowę przed wejściem zmian w życie.

§14. Postanowienia końcowe

14.1. Prawo właściwe

Niniejsza Umowa podlega prawu polskiemu.

14.2. Rozstrzyganie sporów

Wszelkie spory wynikające z niniejszej Umowy będą rozstrzygane przez sąd właściwy dla siedziby Procesora.

14.3. Hierarchia dokumentów

W przypadku sprzeczności między niniejszą Umową a Regulaminem serwisu, postanowienia niniejszej Umowy mają pierwszeństwo w zakresie ochrony danych osobowych.

14.4. Rozdzielność postanowień

Jeżeli którekolwiek postanowienie niniejszej Umowy zostanie uznane za nieważne, pozostałe postanowienia pozostają w mocy.

§15. Kontakt

Procesor (podmiot przetwarzający):

Emversa Maciej Łukowski

ul. Sielska 17a

60-129 Poznań

E-mail: office@emversa.com

Organ nadzorczy:

Prezes Urzędu Ochrony Danych Osobowych (UODO)

ul. Stawki 2

00-193 Warszawa

www.uodo.gov.pl

Dokument wygenerowany: 19 lutego 2026 r.

Regulamin|Polityka Prywatności|Polityka Cookies|Strona główna