Załącznik nr 1 do Regulaminu

Umowa Powierzenia Przetwarzania Danych Osobowych

Niniejszy dokument stanowi Załącznik nr 1 do Regulaminu świadczenia usług przez Motozen i określa zasady powierzenia przetwarzania danych osobowych zgodnie z art. 28 Rozporządzenia (UE) 2016/679 (RODO).

DPA v 1.0
Obowiązuje od: 1 maja 2026
Ostatnia aktualizacja: 6 czerwca 2026

Spis treści

  1. Strony umowy
  2. Przedmiot i cel powierzenia
  3. Zakres danych i kategorie osób
  4. Obowiązki Procesora
  5. Podpowierzenie
  6. Realizacja praw osób
  7. Naruszenia ochrony danych
  8. Audyty i kontrole
  9. Usunięcie lub zwrot danych
  10. Czas trwania
  11. Postanowienia końcowe

§ 1 Strony umowy

  1. Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: Umowa lub DPA) jest zawierana pomiędzy:
    • Administratorem — Użytkownikiem Serwisu Motozen będącym przedsiębiorcą lub innym podmiotem, który w ramach korzystania z Serwisu wprowadza do niego dane osobowe osób trzecich (np. pracowników, klientów, kierowców);
    • Procesorem — KIECANA.PL sp. z o.o. z siedzibą w Puławach, ul. Ceglana 5/11, 24-100 Puławy, KRS 0000959619, NIP 7162835425 (dalej: Usługodawca).
  2. Umowa wchodzi w życie automatycznie z chwilą założenia Konta w Serwisie przez Administratora i stanowi integralną część Regulaminu świadczenia usług Motozen.
  3. Użyte w niniejszej Umowie pojęcia mają znaczenie nadane im w Regulaminie Motozen oraz w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).

§ 2 Przedmiot i cel powierzenia

  1. Na podstawie niniejszej Umowy Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usług określonych w Regulaminie Motozen, w szczególności:
    • przechowywania danych w infrastrukturze Serwisu;
    • umożliwienia Administratorowi dostępu do danych za pośrednictwem interfejsu Serwisu;
    • tworzenia kopii zapasowych danych;
    • wykonywania operacji technicznych niezbędnych do prawidłowego funkcjonowania Serwisu.
  2. Procesor przetwarza powierzone dane osobowe wyłącznie na udokumentowane polecenie Administratora, za które uznaje się korzystanie przez Administratora z funkcjonalności Serwisu zgodnie z Regulaminem.
  3. Procesor nie przetwarza powierzonych danych osobowych w celach własnych ani na potrzeby osób trzecich, chyba że obowiązek taki wynika z prawa Unii Europejskiej lub prawa polskiego — w takim przypadku Procesor informuje Administratora przed rozpoczęciem przetwarzania, o ile prawo nie zakazuje udzielenia takiej informacji.

§ 3 Zakres danych i kategorie osób

  1. Przedmiotem powierzenia mogą być dane osobowe osób trzecich wprowadzanych do Serwisu przez Administratora, w szczególności:
    • dane identyfikacyjne (imię, nazwisko, stanowisko, numer identyfikacyjny pracownika);
    • dane kontaktowe (adres e-mail, numer telefonu);
    • dane dotyczące pojazdów powiązanych z konkretnymi osobami;
    • dane dotyczące lokalizacji i tras przejechanych przez osoby trzecie;
    • inne dane wprowadzone dobrowolnie przez Administratora w ramach modułów Serwisu.
  2. Kategorie osób, których dane mogą być powierzane:
    • pracownicy i współpracownicy Administratora;
    • klienci Administratora;
    • kierowcy lub inne osoby zarządzające pojazdami Administratora.
  3. Administrator jest odpowiedzialny za to, aby zakres powierzanych danych był adekwatny do celów przetwarzania i zgodny z RODO. Procesor nie weryfikuje, czy Administrator posiada właściwą podstawę prawną do przetwarzania powierzonych danych.

§ 4 Obowiązki Procesora

  1. Procesor zobowiązuje się do:
    • przetwarzania danych osobowych wyłącznie w zakresie i celu określonym w niniejszej Umowie;
    • zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
    • wdrożenia i utrzymywania odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 RODO, w szczególności: szyfrowania danych w tranzycie (HTTPS/TLS), kontroli dostępu opartej na rolach, regularnych kopii zapasowych oraz monitorowania bezpieczeństwa;
    • nieujawniania powierzonych danych osobowych podmiotom trzecim, z wyjątkiem podprocesorów wymienionych w § 5 lub działania na podstawie obowiązku prawnego.
  2. Procesor niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane polecenie narusza RODO lub inne przepisy o ochronie danych osobowych.
  3. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

§ 5 Podpowierzenie

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług podprocesorów w zakresie niezbędnym do świadczenia Usługi. Procesor informuje Administratora o wszelkich zamierzonych zmianach dotyczących podprocesorów, dając mu możliwość wyrażenia sprzeciwu.
  2. Aktualna lista podprocesorów korzystających z danych powierzonych przez Administratora jest dostępna pod adresem rodo@motozen.pl na pisemne żądanie Administratora. Do głównych kategorii podprocesorów należą:
    • dostawcy infrastruktury chmurowej i hostingu (serwery, bazy danych);
    • dostawcy usług transakcyjnych poczty elektronicznej (powiadomienia systemowe);
    • dostawcy usług monitorowania i bezpieczeństwa aplikacji.
  3. Procesor zapewnia, że każdy podprocesor jest związany umową spełniającą wymogi art. 28 ust. 4 RODO. Procesor ponosi pełną odpowiedzialność wobec Administratora za działania podprocesorów w zakresie przetwarzania powierzonych danych.
  4. Jeżeli podprocesor przetwarza dane w państwie trzecim (poza EOG), Procesor zapewnia właściwe zabezpieczenia transferu zgodnie z rozdziałem V RODO (np. standardowe klauzule umowne).

§ 6 Realizacja praw osób, których dane dotyczą

  1. Procesor, uwzględniając charakter przetwarzania, w miarę możliwości pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, wykonujących prawa określone w rozdziale III RODO, w tym prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania i przenoszenia danych.
  2. W przypadku gdy osoba, której dane dotyczą, zwróci się bezpośrednio do Procesora z żądaniem realizacji praw wynikających z RODO, Procesor niezwłocznie — nie później niż w ciągu 5 dni roboczych — przekazuje takie żądanie Administratorowi i nie odpowiada na nie samodzielnie, chyba że Administrator udzielił wyraźnego upoważnienia.
  3. Procesor umożliwia Administratorowi eksport danych powierzonych poprzez funkcje Serwisu dostępne w panelu Konta.

§ 7 Naruszenia ochrony danych osobowych

  1. Procesor po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki — w miarę możliwości nie później niż w ciągu 24 godzin od jego wykrycia — zgłasza je Administratorowi na adres e-mail przypisany do Konta.
  2. Zgłoszenie, o którym mowa w ust. 1, powinno zawierać co najmniej:
    • opis charakteru naruszenia, w tym kategorii i przybliżonej liczby osób oraz rekordów danych, których dotyczy;
    • dane kontaktowe inspektora ochrony danych Procesora lub innej osoby, od której można uzyskać więcej informacji;
    • opis możliwych konsekwencji naruszenia;
    • opis środków zastosowanych lub proponowanych przez Procesora w celu zaradzenia naruszeniu.
  3. Procesor dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze, i udostępnia tę dokumentację Administratorowi na żądanie.

§ 8 Audyty i kontrole

  1. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia przeprowadzanie audytów i inspekcji przez Administratora lub upoważnionego przez niego audytora.
  2. Audyt przeprowadzany jest na pisemny wniosek Administratora złożony z co najmniej 30-dniowym wyprzedzeniem, w uzgodnionym terminie, w sposób minimalizujący zakłócenie działalności Procesora. Administrator ponosi koszty audytu, chyba że jego wyniki wykazują naruszenie przez Procesora postanowień niniejszej Umowy.
  3. Procesor może zaproponować Administratorowi zaakceptowanie audytu przeprowadzonego przez niezależnego audytora zewnętrznego (np. certyfikat ISO 27001, raport SOC 2) jako alternatywy dla audytu własnego Administratora.

§ 9 Usunięcie lub zwrot danych

  1. Po zakończeniu świadczenia usług związanych z przetwarzaniem danych Procesor, według wyboru Administratora, usuwa lub zwraca wszelkie dane osobowe oraz usuwa istniejące kopie, chyba że prawo Unii Europejskiej lub prawo polskie nakazuje przechowywanie tych danych.
  2. Za zakończenie świadczenia usług uznaje się:
    • usunięcie Konta przez Administratora;
    • rozwiązanie umowy o świadczenie usług Motozen przez którąkolwiek ze stron;
    • pisemne żądanie Administratora zaprzestania powierzania i usunięcia danych.
  3. Procesor potwierdza Administratorowi usunięcie danych w ciągu 30 dni od daty zakończenia świadczenia usług, na pisemne żądanie Administratora.
  4. Do czasu usunięcia danych, o którym mowa w ust. 1, postanowienia niniejszej Umowy pozostają w mocy.

§ 10 Czas trwania

  1. Umowa zostaje zawarta na czas trwania umowy o świadczenie usług Motozen pomiędzy Administratorem a Procesorem.
  2. Umowa wygasa automatycznie z chwilą wygaśnięcia lub rozwiązania umowy o świadczenie usług Motozen, z zastrzeżeniem ust. 3.
  3. Postanowienia dotyczące poufności, usunięcia danych oraz odpowiedzialności pozostają w mocy po wygaśnięciu Umowy przez czas niezbędny do pełnego wykonania zobowiązań w nich zawartych.

§ 11 Postanowienia końcowe

  1. W zakresie nieuregulowanym niniejszą Umową zastosowanie mają postanowienia Regulaminu Motozen oraz przepisy RODO i polskiego prawa o ochronie danych osobowych.
  2. W przypadku sprzeczności między postanowieniami niniejszej Umowy a Regulaminem, w odniesieniu do kwestii przetwarzania danych osobowych osób trzecich pierwszeństwo mają postanowienia niniejszej Umowy.
  3. Wszelkie zmiany niniejszej Umowy dokonywane są w trybie przewidzianym dla zmian Regulaminu (§ 14 Regulaminu). Kontynuowanie korzystania z Serwisu po wejściu w życie zmian oznacza ich akceptację.
  4. W sprawach dotyczących realizacji niniejszej Umowy Administrator może kontaktować się z Procesorem pod adresem e-mail: rodo@motozen.pl.
  5. Umowa podlega prawu polskiemu. Wszelkie spory wynikłe z Umowy będą rozstrzygane przez sąd właściwy zgodnie z przepisami Kodeksu postępowania cywilnego.