Niniejszy tekst stanowi wzór umowy powierzenia, zawieranej z każdą wypożyczalnią korzystającą z CarsLine. Dane Klienta uzupełniane są przy podpisaniu.
Wersja wzoru z dnia 7 lipca 2026 r.
Umowa powierzenia przetwarzania danych osobowych
(dalej: „Umowa powierzenia” lub „DPA”) — zawierana na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
§ 1. Strony umowy
Umowa powierzenia zawierana jest pomiędzy:
- Administratorem danych — Klientem platformy CarsLine, tj. przedsiębiorcą prowadzącym wypożyczalnię sprzętu samochodowego (boksy dachowe, bagażniki, uchwyty rowerowe, kity montażowe):
[DANE KLIENTA — NAZWA, NIP, ADRES — DO UZUPEŁNIENIA PRZY PODPISANIU]
(dalej: „Administrator”), - Podmiotem przetwarzającym — dostawcą platformy CarsLine:
BH-Wandex Jarosław Czechowski, NIP: PL5251917081, adres: ul. Ciołka 8/210 01-402 Warszawa, e-mail: lukasz.r.czechowski@gmail.com
(dalej: „Podmiot przetwarzający” lub „CarsLine”).
Umowa powierzenia stanowi integralną część umowy o świadczenie usług platformy CarsLine (umowy abonamentowej, dalej: „Umowa główna”) i jest zawierana na czas jej obowiązywania.
§ 2. Przedmiot, charakter i cel przetwarzania
- Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych swoich klientów końcowych w zakresie i celu niezbędnym do świadczenia usług platformy CarsLine, tj. prowadzonego w chmurze systemu do obsługi wypożyczalni sprzętu samochodowego.
- Cel przetwarzania: obsługa procesu rezerwacji i wynajmu sprzętu — w szczególności prowadzenie kartotek klientów, ewidencji pojazdów klientów (dobór kompatybilnego sprzętu), obsługa rezerwacji wraz z historią, elektroniczne podpisywanie protokołów wydania i zwrotu sprzętu oraz przechowywanie dokumentacji zdjęciowej sprzętu i rezerwacji.
- Charakter przetwarzania: przetwarzanie ciągłe, w formie elektronicznej, w infrastrukturze chmurowej Podmiotu przetwarzającego i jego podprocesorów; operacje obejmują w szczególności: zbieranie, utrwalanie, organizowanie, przechowywanie, przeglądanie, modyfikowanie, udostępnianie na żądanie Administratora oraz usuwanie danych.
- Podmiot przetwarzający przetwarza dane wyłącznie w imieniu Administratora. Dla danych konta Administratora na platformie (adres e-mail logowania, dane rozliczeniowe) CarsLine pozostaje samodzielnym administratorem — dane te nie są objęte niniejszą Umową powierzenia.
§ 3. Rodzaj danych osobowych i kategorie osób, których dane dotyczą
Kategorie osób: klienci końcowi Administratora — osoby fizyczne rezerwujące lub wypożyczające sprzęt samochodowy, a także osoby składające podpis na protokołach wydania/zwrotu.
Rodzaje danych osobowych objętych powierzeniem:
- dane identyfikacyjne: imię i nazwisko,
- dane kontaktowe: adres e-mail, numer telefonu, adres,
- dane dokumentu tożsamości: typ dokumentu oraz jego dane w postaci zredagowanej (częściowo zamaskowanej); pełny numer dokumentu nie jest utrwalany w systemie,
- dane pojazdów klienta (marka, model, rocznik i parametry techniczne) — jako dane powiązane z konkretną osobą, w tym utrwalone kopie (snapshoty) danych pojazdu w rezerwacjach,
- dane rezerwacji i wynajmu: terminy, wypożyczony sprzęt, historia rezerwacji,
- podpis odręczny w postaci graficznej (zapis elektroniczny) wraz z adresem IP urządzenia i znacznikiem czasu jego złożenia,
- zdjęcia sprzętu i dokumentacja zdjęciowa rezerwacji przechowywane w magazynie plików, które mogą incydentalnie zawierać dane osobowe (np. tablice rejestracyjne pojazdów).
Powierzenie nie obejmuje szczególnych kategorii danych (art. 9 RODO) ani danych dotyczących wyroków skazujących (art. 10 RODO). Administrator zobowiązuje się nie wprowadzać takich danych do platformy.
§ 4. Czas trwania przetwarzania
- Przetwarzanie odbywa się przez okres obowiązywania Umowy głównej (aktywnego abonamentu Administratora).
- Po zakończeniu świadczenia usług Podmiot przetwarzający — zależnie od decyzji Administratora — usuwa lub zwraca Administratorowi (w formie eksportu danych) wszystkie powierzone dane osobowe oraz usuwa ich istniejące kopie, w terminie [30] dni od zakończenia Umowy głównej, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje ich dalsze przechowywanie.
§ 5. Obowiązki Podmiotu przetwarzającego (art. 28 ust. 3 RODO)
Podmiot przetwarzający zobowiązuje się:
- przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora — za udokumentowane polecenia uznaje się niniejszą Umowę, Umowę główną oraz czynności wykonywane przez Administratora i jego personel w panelu platformy CarsLine; wyjątkiem jest sytuacja, gdy obowiązek przetwarzania nakłada prawo Unii lub prawo państwa członkowskiego — wówczas Podmiot przetwarzający informuje Administratora o tym obowiązku przed rozpoczęciem przetwarzania, o ile prawo tego nie zabrania,
- zapewnić, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegały ustawowemu obowiązkowi zachowania tajemnicy,
- wdrożyć i utrzymywać środki techniczne i organizacyjne wymagane na mocy art. 32 RODO, opisane w § 7,
- przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego (podpowierzenia), opisanych w § 6,
- w miarę możliwości pomagać Administratorowi — poprzez odpowiednie środki techniczne i organizacyjne oraz funkcje platformy (m.in. podgląd, edycję, eksport i usuwanie kartotek klientów) — w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw z rozdziału III RODO (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw),
- pomagać Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo przetwarzania, zgłaszanie naruszeń, ocena skutków dla ochrony danych i uprzednie konsultacje), uwzględniając charakter przetwarzania i dostępne mu informacje,
- po zakończeniu świadczenia usług usunąć lub zwrócić dane osobowe zgodnie z § 4 ust. 2,
- udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwiać przeprowadzanie audytów i inspekcji na zasadach opisanych w § 9,
- niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
§ 6. Podpowierzenie (podprocesorzy)
- Administrator udziela ogólnej zgody (art. 28 ust. 2 RODO) na korzystanie przez Podmiot przetwarzający z usług dalszych podmiotów przetwarzających (podprocesorów) wskazanych w ust. 2.
- Na dzień zawarcia Umowy Podmiot przetwarzający korzysta z następujących podprocesorów:
| Podprocesor | Zakres usług | Lokalizacja przetwarzania |
|---|---|---|
| Supabase | baza danych PostgreSQL, uwierzytelnianie (Auth), magazyn plików (Storage — zdjęcia sprzętu i rezerwacji) | Unia Europejska (region projektu: UE) |
| Vercel | hosting aplikacji i CDN (przetwarzanie żądań, w tym adresów IP) | Unia Europejska (funkcje serwerowe: region UE; CDN globalny dla danych technicznych żądań) |
| SMSAPI sp. z o.o. | wysyłka wiadomości SMS do klientów końcowych w imieniu Administratora (numer telefonu odbiorcy, treść wiadomości) | Polska / Unia Europejska |
| Stripe Payments Europe, Ltd. | obsługa płatności za pakiety SMS (dane rozliczeniowe płacącego; bez dostępu do danych klientów końcowych Administratora) | Irlandia / UE; możliwy transfer do USA (standardowe klauzule umowne, EU–US Data Privacy Framework) |
| Supabase Auth (e-mail) | systemowe wiadomości e-mail dotyczące kont użytkowników panelu | Unia Europejska |
- O każdej zamierzonej zmianie dotyczącej dodania lub zastąpienia podprocesora Podmiot przetwarzający poinformuje Administratora z co najmniej [14]-dniowym wyprzedzeniem (na adres e-mail konta Administratora), dając mu możliwość wyrażenia sprzeciwu. Zgłoszenie uzasadnionego sprzeciwu, którego nie da się pogodzić z dalszym świadczeniem usług, uprawnia każdą ze stron do wypowiedzenia Umowy głównej.
- Podmiot przetwarzający nakłada na każdego podprocesora — na mocy umowy — te same obowiązki ochrony danych, jakie wynikają z niniejszej Umowy, w szczególności obowiązek wdrożenia wystarczających gwarancji z art. 32 RODO. Za działania i zaniechania podprocesorów Podmiot przetwarzający odpowiada wobec Administratora jak za własne.
- Jeżeli przetwarzanie przez podprocesora wiąże się z przekazaniem danych poza Europejski Obszar Gospodarczy, odbywa się ono wyłącznie na podstawie ważnego mechanizmu transferowego z rozdziału V RODO (decyzja stwierdzająca odpowiedni stopień ochrony — w tym EU–US Data Privacy Framework — lub standardowe klauzule umowne).
§ 7. Środki techniczne i organizacyjne (art. 32 RODO)
Podmiot przetwarzający wdraża i utrzymuje w szczególności następujące środki, uwzględniając stan wiedzy technicznej, koszty wdrażania, charakter, zakres i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych:
- izolacja danych pomiędzy klientami platformy (per-tenant) — wymuszana na poziomie bazy danych politykami Row Level Security (RLS), tak aby każda wypożyczalnia miała dostęp wyłącznie do własnych danych,
- szyfrowanie danych w tranzycie (TLS/HTTPS) na całej drodze komunikacji oraz szyfrowanie danych w spoczynku zapewniane na poziomie infrastruktury podprocesorów,
- kontrola dostępu — uwierzytelnianie kont użytkowników, rozdział ról i uprawnień, zasada minimalnych uprawnień; dostęp serwisowy personelu Podmiotu przetwarzającego ograniczony do niezbędnego minimum,
- kopie zapasowe bazy danych wykonywane automatycznie w infrastrukturze dostawcy bazy danych, umożliwiające przywrócenie dostępności danych po incydencie,
- rejestrowanie zdarzeń (logi) — w tym utrwalanie adresu IP i znacznika czasu przy składaniu podpisów elektronicznych na protokołach,
- minimalizacja danych — dane dokumentu tożsamości przechowywane wyłącznie w postaci zredagowanej (częściowo zamaskowanej),
- środki organizacyjne: zobowiązania do poufności, procedura zarządzania incydentami i naruszeniami, bieżące aktualizacje oprogramowania i zależności platformy.
§ 8. Zgłaszanie naruszeń ochrony danych osobowych
- Po stwierdzeniu naruszenia ochrony powierzonych danych osobowych Podmiot przetwarzający zawiadamia Administratora bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia, na adres e-mail konta Administratora.
- Zawiadomienie zawiera co najmniej informacje, o których mowa w art. 33 ust. 3 RODO: opis charakteru naruszenia (w miarę możliwości z kategoriami i przybliżoną liczbą osób oraz wpisów danych), możliwe konsekwencje, podjęte i proponowane środki zaradcze oraz dane kontaktowe do dalszych wyjaśnień.
- Podmiot przetwarzający współpracuje z Administratorem w wyjaśnieniu okoliczności naruszenia i ograniczeniu jego skutków. Zgłoszenie naruszenia organowi nadzorczemu (Prezes UODO) oraz zawiadomienie osób, których dane dotyczą, pozostaje obowiązkiem Administratora.
§ 9. Prawo kontroli (audyt)
- Administrator ma prawo do przeprowadzenia audytu lub inspekcji zgodności przetwarzania z niniejszą Umową — samodzielnie lub przez upoważnionego audytora niebędącego konkurentem Podmiotu przetwarzającego.
- Audyt jest zapowiadany z co najmniej [14]-dniowym wyprzedzeniem, odbywa się w godzinach pracy i nie częściej niż raz w roku kalendarzowym, chyba że audyt jest następstwem stwierdzonego naruszenia. W pierwszej kolejności Podmiot przetwarzający realizuje prawo kontroli poprzez udostępnienie dokumentacji, odpowiedzi na pytania oraz raportów i certyfikacji swoich podprocesorów.
§ 10. Odpowiedzialność
- Odpowiedzialność stron wobec osób, których dane dotyczą, regulują przepisy art. 82 RODO. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami Administratora lub wbrew nim.
- Administrator odpowiada za zgodność z prawem zbierania danych klientów końcowych oraz za realizację wobec nich obowiązków informacyjnych (art. 13/14 RODO), w tym za podstawę prawną utrwalania danych dokumentu tożsamości i podpisów.
- W stosunkach między stronami odpowiednie zastosowanie znajdują ograniczenia odpowiedzialności przewidziane w Umowie głównej, w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy prawa. Każda ze stron ponosi we własnym zakresie administracyjne kary pieniężne nałożone na nią przez organ nadzorczy.
§ 11. Postanowienia końcowe
- W sprawach nieuregulowanych niniejszą Umową stosuje się przepisy RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz prawo polskie. W zakresie ochrony danych osobowych postanowienia niniejszej Umowy mają pierwszeństwo przed postanowieniami Umowy głównej.
- Umowa wygasa wraz z rozwiązaniem lub wygaśnięciem Umowy głównej, z tym że obowiązki z § 4 ust. 2 (usunięcie lub zwrot danych) oraz obowiązek zachowania poufności pozostają w mocy po jej zakończeniu.
- Zmiany Umowy wymagają formy dokumentowej pod rygorem nieważności. Jeżeli którekolwiek postanowienie okaże się nieważne lub bezskuteczne, pozostałe postanowienia pozostają w mocy.
- Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron, lub zawarto w formie elektronicznej (dokumentowej).
§ 12. Data zawarcia i podpisy stron
Miejscowość i data: [MIEJSCOWOŚĆ], [DATA]
W imieniu Administratora (wypożyczalni)
[PODPISY STRON — ADMINISTRATOR]
W imieniu Podmiotu przetwarzającego (CarsLine)
[PODPISY STRON — PODMIOT PRZETWARZAJĄCY]
Pytania dotyczące niniejszego wzoru: kontakt@carsline.pl · inspektor ochrony danych nie został wyznaczony