Umowa Powierzenia Przetwarzania Danych Osobowych
(DPA — Data Processing Agreement, Art. 28 RODO)
Ostatnia aktualizacja: 30.03.2026
§ 1. Strony umowy
- Administrator danych (Klient): Organizacja zarejestrowana w LoadTMS jako Tenant, reprezentowana przez Administratora Tenanta.
- Podmiot przetwarzający (Procesor): LoadTMS Sp. z o.o. z siedzibą w Polska, właściciel i operator platformy LoadTMS.
§ 2. Przedmiot umowy
Procesor zobowiązuje się przetwarzać dane osobowe wyłącznie w imieniu i na polecenie Administratora, w zakresie niezbędnym do świadczenia usługi LoadTMS, zgodnie z Art. 28 ust. 3 RODO.
§ 3. Zakres przetwarzania
| Kategoria | Dane |
|---|---|
| Pracownicy Klienta | Imię, nazwisko, e-mail, telefon, stanowisko |
| Kontrahenci Klienta | Nazwa firmy, NIP, REGON, adres, dane kontaktowe |
| Kierowcy | Imię, nazwisko, nr prawa jazdy, telefon, pozycje GPS |
| Dane transakcyjne | Zlecenia, faktury, kwoty, numery kont bankowych |
§ 4. Obowiązki Procesora
- Przetwarzać dane wyłącznie na udokumentowane polecenie Administratora.
- Zapewnić, aby osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy.
- Wdrożyć odpowiednie środki techniczne i organizacyjne (Art. 32 RODO):
- Szyfrowanie danych w tranzycie (TLS 1.3) i spoczynku
- Izolacja danych tenantów (tenant_id, global scope)
- Hashowanie haseł (bcrypt, cost 12)
- Kontrola dostępu (role, uprawnienia granularne)
- Regularne kopie zapasowe (RPO: 24h)
- Monitoring bezpieczeństwa, health checks i logi audytowe operacji
- Nie angażować innego podmiotu przetwarzającego bez uprzedniej zgody Administratora.
- Wspierać Administratora w realizacji praw osób (Art. 15–22 RODO).
- Po zakończeniu umowy usunąć dane lub zwrócić je Administratorowi (eksport JSON).
- Udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków.
§ 5. Podprzetwarzający (sub-processors)
Lista zatwierdzonych podprzetwarzających:
| Podmiot | Rola | Lokalizacja |
|---|---|---|
| OVHcloud / infrastruktura VPS | Hosting, backupy, infrastruktura sieciowa | EOG |
| PayPro S.A. (Przelewy24) | Przetwarzanie płatności | Polska (EOG) |
| Ministerstwo Finansów | KSeF (faktury ustrukturyzowane) | Polska (EOG) |
| Nominatim / OpenStreetMap / OSRM | Geokodowanie i wyliczanie tras | EOG lub infrastruktura publiczna zgodna z polityką dostawcy |
Wszystkie dane przetwarzane są w Europejskim Obszarze Gospodarczym (EOG). Brak transferu do krajów trzecich.
§ 6. Naruszenie ochrony danych
Procesor zobowiązuje się powiadomić Administratora o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od wykrycia incydentu (Art. 33 RODO).
Zgłoszenie zawierać będzie:
- Charakter naruszenia
- Kategorie i przybliżoną liczbę osób, których dane dotyczą
- Prawdopodobne konsekwencje
- Podjęte środki zaradcze
§ 7. Czas trwania i rozwiązanie
- Umowa obowiązuje przez okres korzystania z usługi LoadTMS.
- Na żądanie Administratora, przed zakończeniem współpracy Procesor udostępni eksport danych dostępny w systemie lub inną uzgodnioną formę przekazania.
- Po zakończeniu współpracy dalsze przetwarzanie odbywa się wyłącznie w zakresie niezbędnym do wykonania poleceń Administratora, obowiązków prawnych oraz rotacji kopii zapasowych.
§ 8. Postanowienia końcowe
- Umowa podlega prawu polskiemu.
- W przypadku sprzeczności z Regulaminem, postanowienia DPA mają pierwszeństwo w zakresie ochrony danych.
- Zmiany wymagają formy pisemnej lub elektronicznej.