Umowa Powierzenia Przetwarzania Danych — Sigil RMPD
Wersja: 1.1 Data wejścia w życie: 29 maja 2026 Ostatnia aktualizacja: 20 czerwca 2026Niniejsza Umowa Powierzenia Przetwarzania Danych („DPA") stanowi część Regulaminu Usługi między Sigil RMPD („Podmiot przetwarzający") a Przewoźnikiem („Administrator"). Reguluje przetwarzanie danych osobowych przez Sigil w imieniu Przewoźnika w związku z platformą Sigil RMPD.
§1. Przedmiot i czas trwania
1.1 Niniejsza DPA reguluje przetwarzanie danych osobowych przez Sigil (jako Podmiot przetwarzający) w imieniu Przewoźnika (jako Administrator) w związku ze świadczeniem usług platformy Sigil RMPD opisanych w Regulaminie. 1.2 DPA wchodzi w życie z dniem akceptacji przez Przewoźnika Regulaminu i obowiązuje przez cały czas trwania umowy o świadczenie usług. Z chwilą rozwiązania Regulaminu DPA wygasa automatycznie, z zastrzeżeniem §12 (zwrot i usunięcie danych).§2. Charakter i cel przetwarzania
2.1 Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora w następujących celach:- Ekstrakcja OCR danych z dokumentów CMR przesłanych przez Administratora;
- Przechowywanie obrazów dokumentów CMR i wyekstrahowanych pól RMPD;
- Przygotowanie i elektroniczne składanie deklaracji RMPD100 do PUESC/SENT na polecenie Administratora;
- Przechowywanie potwierdzeń wysyłki PUESC i śladów audytu;
- Wyświetlanie danych deklaracji w interfejsie konta Administratora.
2.2 Podmiot przetwarzający nie przetwarza danych osobowych w celach innych niż określone w niniejszej DPA i udokumentowanych instrukcjach Administratora. Jeżeli Podmiot przetwarzający jest zobowiązany przez prawo do przetwarzania danych wykraczającego poza te cele, informuje o tym Administratora, chyba że prawo tego zakazuje.§3. Rodzaje przetwarzanych danych osobowych
W ramach niniejszej DPA mogą być przetwarzane następujące kategorie danych osobowych:
- Imiona, nazwiska i adresy nadawców wymienionych w dokumentach CMR;
- Imiona, nazwiska i adresy odbiorców wymienionych w dokumentach CMR;
- Imiona, nazwiska, narodowości i numery prawa jazdy kierowców wymienionych w CMR;
- Imiona, nazwiska i adresy pośredników transportowych lub adresatów powiadomień w dokumentach CMR;
- Tablice rejestracyjne pojazdów (ciągnik i naczepa), gdy powiązane z identyfikowalnymi osobami;
- Wszelkie inne dane osobowe obecne w polach tekstowych dokumentów CMR.
Szczególne kategorie danych osobowych (Art. 9 RODO) nie są celowo przetwarzane. Podmiot przetwarzający podejmuje rozsądne środki w celu oznaczenia i wyłączenia takich danych, jeśli zostaną wykryte podczas przetwarzania OCR.
§4. Kategorie osób, których dane dotyczą
Dane osobowe przetwarzane w ramach niniejszej DPA dotyczą następujących kategorii osób:
- Kierowców zatrudnionych przez Administratora lub działających na jego zlecenie;
- Pracowników klientów Administratora działających jako nadawcy lub odbiorcy;
- Pracowników firm trzecich działających jako nadawcy, odbiorcy lub strony powiadamiane w dokumentach CMR.
Podmiot przetwarzający nie ma bezpośredniej relacji z żadną z tych osób. Wszelkie żądania od osób, których dane dotyczą, powinny być kierowane do Administratora jako odpowiedzialnego administratora danych.
§5. Obowiązki Podmiotu przetwarzającego
Zgodnie z Art. 28(3) RODO, Podmiot przetwarzający (Sigil) zobowiązuje się do:
(a) Przetwarzania wyłącznie na udokumentowanych instrukcjach. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane instrukcje Administratora (zgodnie z niniejszą DPA i Regulaminem), chyba że wymaga tego obowiązujące prawo (Ukrainy i, w stosownych przypadkach, RODO). (b) Poufności. Podmiot przetwarzający zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi poufności. (c) Bezpieczeństwo. Podmiot przetwarzający wdraża wszelkie środki wymagane na podstawie Art. 32 RODO (zob. §9). (d) Podprzetwarzający. Podmiot przetwarzający nie angażuje podprzetwarzających bez uprzedniej pisemnej zgody Administratora, z wyjątkiem wymienionych w §6 (Zatwierdzeni podprzetwarzający). Podmiot przetwarzający pozostaje w pełni odpowiedzialny za działania i zaniechania swoich podprzetwarzających. (e) Pomoc w realizacji praw osób. Podmiot przetwarzający pomaga Administratorowi w wypełnianiu obowiązków odpowiadania na żądania osób, których dane dotyczą, na podstawie Art. 15-22 RODO, z uwzględnieniem charakteru przetwarzania (zob. §10). (f) Pomoc w zakresie bezpieczeństwa, zgłaszania naruszeń, DPIA. Podmiot przetwarzający pomaga Administratorowi w zapewnieniu zgodności z Art. 32-36 RODO, uwzględniając charakter przetwarzania i dostępne informacje. (g) Zwrot i usunięcie. Na żądanie Administratora Podmiot przetwarzający usuwa lub zwraca wszelkie dane osobowe po zakończeniu świadczenia usług (zob. §12). (h) Współpraca w zakresie audytu. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami wynikającymi z Art. 28 RODO i umożliwia przeprowadzanie audytów (zob. §13).§6. Zatwierdzeni podprzetwarzający
Administrator udziela Sigil ogólnej pisemnej zgody na korzystanie z następujących zatwierdzonych podprzetwarzających:
| Podprzetwarzający | Czynność przetwarzania | Lokalizacja | Podstawa transferu RODO |
| Supabase, Inc. | Przechowywanie danych deklaracji i konta w bazie danych | Frankfurt, UE | EOG — bez transferu |
| Render Services, Inc. | Hosting aplikacji i obliczenia | Frankfurt, UE | EOG — bez transferu |
| Cloudflare, Inc. (R2) | Przechowywanie obrazów CMR i wygenerowanego XML | Bucket Frankfurt UE | EOG — bez transferu |
| Google LLC (Cloud Document AI) | Przetwarzanie OCR obrazów CMR | Region UE | EOG — bez transferu |
| Anthropic, PBC | Mapowanie pól AI (CMR → struktura RMPD) | USA | SCC (2021) |
| JSC CB PrivatBank (LiqPay) | Przetwarzanie płatności | Ukraina | Art. 46 RODO + Ustawa nr 2297-VI Art. 29(4) |
| Sentry, Inc. | Monitoring błędów i wydajności (może zawierać metadane żądań) | USA | SCC (2021) |
§7. Transfery danych poza EOG
7.1 Dane osobowe nie są przekazywane poza EOG z wyjątkiem podprzetwarzających wymienionych w §6 i tylko gdy istnieje odpowiedni mechanizm transferu. 7.2 W przypadku transferów do Anthropic i Sentry (USA) Podmiot przetwarzający korzysta ze Standardowych Klauzul Umownych Komisji Europejskiej (Moduł 3: Podmiot przetwarzający — podmiot przetwarzający) przyjętych 4 czerwca 2021 r. Kopia odpowiednich SCC dostępna na żądanie pod adresem privacy@sigil.app. 7.3 W przypadku transferów do LiqPay / PrivatBank (Ukraina) Podmiot przetwarzający korzysta z Art. 46 RODO i Ustawy nr 2297-VI Art. 29(4). Ukraina nie jest krajem EOG; transfery opierają się na klauzulach umownych uzgodnionych z LiqPay i udokumentowanych w umowie powierzenia przetwarzania danych LiqPay. 7.4 Podmiot przetwarzający przeprowadził Oceny Skutków Transferu (TIA) dla transferów do podprzetwarzających z USA i ustalił, że odpowiednie środki uzupełniające są wdrożone w celu zapewnienia zasadniczo równoważnego poziomu ochrony.§8. Poufność
Podmiot przetwarzający zapewnia, że wszyscy pracownicy, podwykonawcy i podprzetwarzający zaangażowani w przetwarzanie danych osobowych w ramach DPA podlegają wiążącym zobowiązaniom poufności. Dostęp do danych osobowych przyznawany jest wyłącznie na zasadzie need-to-know.
Podmiot przetwarzający nie ujawnia danych osobowych żadnym podmiotom trzecim (w tym organom ścigania) bez uprzedniej pisemnej zgody Administratora, z wyjątkiem przypadków wymaganych przez prawo, o czym informuje Administratora niezwłocznie w zakresie dozwolonym prawem.
§9. Środki bezpieczeństwa (Art. 32 RODO)
Podmiot przetwarzający wdraża następujące techniczne i organizacyjne środki bezpieczeństwa:
Środki techniczne:- Szyfrowanie AES-256-GCM danych osobowych w spoczynku;
- Szyfrowanie TLS 1.3 dla wszystkich danych w transmisji;
- Credentials PUESC przechowywane w zaszyfrowanym skarbcu, nigdy w logach aplikacji;
- Izolacja sieciowa między zbiorami danych klientów;
- Automatyczne skanowanie podatności kodu aplikacji;
- Regularne testy penetracyjne (co najmniej raz w roku).
Środki organizacyjne:- Kontrola dostępu oparta na rolach (RBAC) z zasadą minimalnych uprawnień;
- Logi dostępu prowadzone dla wszystkich operacji na danych;
- Weryfikacja przeszłości dla ról z dostępem do danych;
- Udokumentowana procedura reagowania na naruszenia danych;
- Regularne szkolenia pracowników z dostępem do danych w zakresie bezpieczeństwa.
Podmiot przetwarzający przegląda i aktualizuje te środki co najmniej raz w roku.
§10. Pomoc w realizacji praw osób, których dane dotyczą
Gdy Podmiot przetwarzający otrzyma żądanie osoby, której dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszalność, sprzeciw) dotyczące danych osobowych przetwarzanych w ramach DPA:
(a) Nie odpowiada na żądanie samodzielnie w imieniu Administratora;
(b) Niezwłocznie (w ciągu 3 dni roboczych) powiadamia Administratora;
(c) Zapewnia rozsądną pomoc techniczną umożliwiającą Administratorowi odpowiedź w terminie RODO;
(d) Nie pobiera opłat za rozsądną pomoc udzieloną na podstawie tej klauzuli.
§11. Zgłaszanie naruszeń danych osobowych
11.1 Podmiot przetwarzający powiadamia Administratora bez zbędnej zwłoki, w każdym razie w ciągu 48 godzin, po uzyskaniu informacji o naruszeniu danych osobowych dotyczącym danych przetwarzanych w ramach DPA. 11.2 Powiadomienie zawiera w miarę możliwości: (a) opis naruszenia; (b) kategorie i przybliżoną liczbę osób; (c) kategorie i przybliżoną liczbę rekordów danych; (d) prawdopodobne skutki; (e) podjęte lub proponowane środki zaradcze. 11.3 Administrator odpowiada za zgłoszenie właściwemu organowi nadzorczemu (Уповноважений Верховної Ради України з прав людини lub właściwy organ UE, jeśli RODO ma zastosowanie) i osobom, których dane dotyczą, zgodnie z Art. 33-34 RODO i Ustawą nr 2297-VI Art. 21. Podmiot przetwarzający zapewnia rozsądną współpracę i pomoc.§12. Zwrot i usunięcie danych
12.1 Po rozwiązaniu Regulaminu Podmiot przetwarzający, według wyboru Administratora: (a) zwraca wszystkie dane osobowe w ustrukturyzowanym, czytelnym maszynowo formacie; lub (b) bezpiecznie usuwa wszystkie dane osobowe. 12.2 Administrator musi dokonać wyboru w ciągu 30 dni od rozwiązania. Po 30 dniach Podmiot przetwarzający przystępuje do bezpiecznego usunięcia. 12.3 Podmiot przetwarzający może przechowywać dane osobowe dłużej wyłącznie w zakresie wymaganym przez prawo UE lub państwa członkowskiego (np. obowiązki rachunkowe przez 7 lat, dokumentacja SENT przez 10 lat). Takie dane są przetwarzane wyłącznie w zakresie wymaganym przez obowiązek prawny. 12.4 Na żądanie Podmiot przetwarzający dostarcza Administratorowi pisemne poświadczenie usunięcia.§13. Prawo do audytu
13.1 Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami wynikającymi z Art. 28 RODO i niniejszej DPA. 13.2 Administrator (lub upoważniony audytor zewnętrzny objęty odpowiednimi zobowiązaniami poufności) może przeprowadzić audyt czynności przetwarzania danych Podmiotu przetwarzającego, pod warunkiem że:(a) Administrator przekaże Podmiotowi przetwarzającemu co najmniej 30-dniowe pisemne wyprzedzenie;
(b) Audyty są przeprowadzane w normalnych godzinach pracy i w rozsądnych odstępach (nie więcej niż raz w roku, chyba że wymagane przez organ nadzorczy);
(c) Audyty minimalizują zakłócenia w działalności Podmiotu przetwarzającego.
13.3 Koszty audytu ponosi Administrator, chyba że audyt ujawni istotne naruszenie DPA przez Podmiot przetwarzający — wówczas koszty ponosi Podmiot przetwarzający. 13.4 Podmiot przetwarzający może spełnić obowiązek audytu poprzez udostępnienie aktualnego raportu audytu niezależnej strony trzeciej (np. SOC 2 Type II) obejmującego odpowiednie czynności przetwarzania.§14. Prawo właściwe i właściwość sądów
Niniejsza DPA podlega prawu Ukrainy i, w stosownym zakresie, bezpośrednio RODO (Rozporządzenie UE 2016/679) oraz ukraińskiej Ustawie nr 2297-VI „O ochronie danych osobowych". Wszelkie spory wynikające z niniejszej DPA rozstrzygane są zgodnie z postanowieniami o prawie właściwym i właściwości sądów zawartymi w Regulaminie.
§15. Aktualizacje DPA
Podmiot przetwarzający może aktualizować niniejszą DPA w celu odzwierciedlenia zmian w obowiązującym prawie lub czynnościach przetwarzania. Administrator zostanie powiadomiony co najmniej 30 dni przed wejściem w życie istotnych zmian. Aktualna wersja jest zawsze dostępna pod adresem /legal/dpa.
*Pytania dotyczące DPA: privacy@sigil.app*