Rezerwo

Umowa powierzenia przetwarzania danych osobowych

Załącznik do Regulaminu usługi Rezerwo. Wersja 1.0

Strony i sposób zawarcia

Podmiot przetwarzający: Bartosz Majcher Visuals, Gniewczyna Łańcucka 470, 37-203 Gniewczyna, NIP 9512609022, REGON 540140059, działający pod marką „Rezerwo” (dalej: „Podmiot przetwarzający” lub „Rezerwo”).

Administrator: Wypożyczalnia będąca Usługobiorcą Rezerwo, której dane identyfikacyjne wskazane są na koncie w Usłudze (dalej: „Administrator”).

Umowa zostaje zawarta z chwilą akceptacji jej treści przez Administratora w procesie zakładania konta w Usłudze i stanowi integralną część umowy o świadczenie usługi Rezerwo (Regulaminu).

§ 1. Przedmiot i charakter powierzenia

  1. Administrator powierza Podmiotowi przetwarzającemu, w trybie art. 28 RODO, przetwarzanie danych osobowych Turystów w zakresie i celu określonym w niniejszej Umowie, wyłącznie na potrzeby świadczenia usługi Rezerwo.
  2. Podmiot przetwarzający przetwarza dane wyłącznie na udokumentowane polecenie Administratora. Za takie polecenie uznaje się również korzystanie przez Administratora z funkcji Usługi. Polecenia mogą być przekazywane także na adres hello@wodnabaza.pl.

§ 2. Zakres, charakter, cel i czas przetwarzania

  • Charakter i cel: przechowywanie i techniczne przetwarzanie danych Turystów w celu umożliwienia Administratorowi obsługi rezerwacji sprzętu.
  • Rodzaj danych: imię lub nazwa podana przez Turystę, numer telefonu (opcjonalnie), adres e-mail (opcjonalnie), a także treść i parametry rezerwacji (wybrany sprzęt, termin, liczba sztuk, status).
  • Kategorie osób: Turyści składający rezerwacje za pośrednictwem Strony Rezerwacyjnej Administratora.
  • Czas przetwarzania: przez czas obowiązywania umowy o świadczenie usługi Rezerwo, z zastrzeżeniem zasad retencji z § 7.

§ 3. Obowiązki Podmiotu przetwarzającego

  1. przetwarza dane wyłącznie na udokumentowane polecenie Administratora;
  2. zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności;
  3. stosuje środki techniczne i organizacyjne zapewniające bezpieczeństwo danych zgodnie z art. 32 RODO (Załącznik nr 2);
  4. pomaga Administratorowi, w miarę możliwości, w realizacji żądań osób, których dane dotyczą, oraz w wypełnianiu obowiązków z art. 32-36 RODO;
  5. po zakończeniu świadczenia usługi usuwa lub zwraca dane zgodnie z § 7, chyba że obowiązek ich przechowywania wynika z przepisów prawa;
  6. udostępnia Administratorowi informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwia audyty, w tym inspekcje, na zasadach uzgodnionych między stronami, z poszanowaniem bezpieczeństwa innych klientów Rezerwo;
  7. niezwłocznie informuje Administratora, jeżeli jego zdaniem polecenie narusza przepisy o ochronie danych.

§ 4. Zgłaszanie naruszeń

Podmiot przetwarzający zgłasza Administratorowi naruszenie ochrony danych osobowych bez zbędnej zwłoki po jego stwierdzeniu, nie później niż w terminie 48 godzin, przekazując informacje niezbędne do realizacji obowiązków Administratora wynikających z art. 33-34 RODO.

§ 5. Dalsze powierzenie (podprzetwarzający)

  1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z dalszych podmiotów przetwarzających (podprzetwarzających) wymienionych w Załączniku nr 1.
  2. Podmiot przetwarzający nakłada na podprzetwarzających obowiązki ochrony danych odpowiadające obowiązkom z niniejszej Umowy oraz pozostaje odpowiedzialny wobec Administratora za wykonanie ich obowiązków.
  3. O zamierzonej zmianie podprzetwarzających (dodaniu lub zastąpieniu) Podmiot przetwarzający informuje Administratora, umożliwiając wyrażenie sprzeciwu w rozsądnym terminie.

§ 6. Transfery poza EOG

Jeżeli przetwarzanie obejmuje przekazanie danych poza Europejski Obszar Gospodarczy (dotyczy m.in. dostawców z USA, Załącznik nr 1), odbywa się ono na podstawie standardowych klauzul umownych (SCC) lub innego mechanizmu zgodnego z rozdziałem V RODO.

§ 7. Okres przechowywania i usunięcie danych

  1. Dane rezerwacji są usuwane lub anonimizowane po upływie 12 miesięcy od daty rezerwacji, chyba że Administrator poleci inaczej w granicach prawa.
  2. Po zakończeniu umowy o świadczenie usługi Rezerwo Podmiot przetwarzający, według wyboru Administratora, usuwa albo zwraca powierzone dane, oraz usuwa istniejące kopie, chyba że prawo nakazuje ich dalsze przechowywanie.

§ 8. Odpowiedzialność

Każda ze stron odpowiada za szkody spowodowane przetwarzaniem niezgodnym z RODO w zakresie, w jakim naruszyła obowiązki nałożone na nią przez RODO lub niniejszą Umowę. Zasady i ograniczenia odpowiedzialności wynikające z Regulaminu stosuje się odpowiednio, w granicach dopuszczalnych przepisami o ochronie danych.

§ 9. Postanowienia końcowe

  1. Umowa obowiązuje przez czas trwania umowy o świadczenie usługi Rezerwo.
  2. W sprawach nieuregulowanych stosuje się RODO i prawo polskie.
  3. Załączniki stanowią integralną część Umowy.

Załącznik nr 1. Lista podprzetwarzających

PodmiotCel przetwarzaniaLokalizacja / transfer
SupabaseBaza danych i logowanie (przechowywanie danych rezerwacji)Frankfurt, Niemcy (EOG)
VercelHosting aplikacji, przetwarzanie ruchu i logówUSA, SCC
StripeObsługa płatności abonamentu AdministratoraUSA, SCC
ResendWysyłka wiadomości e-mail z potwierdzeniem rezerwacjiUSA, SCC
SMSAPI.plWysyłka SMS do Turysty (gdy włączona przez Administratora)Polska (EOG)

Załącznik nr 2. Środki techniczne i organizacyjne

  • izolacja danych między wypożyczalniami na poziomie bazy danych (Row Level Security): każdy Administrator widzi wyłącznie swoje dane;
  • zapis rezerwacji przez zabezpieczoną funkcję bazodanową (kontrola limitów i dostępności);
  • hasła przechowywane wyłącznie w postaci skrótu (hash), bez dostępu do postaci jawnej;
  • szyfrowanie połączeń (HTTPS);
  • klucze i dane dostępowe przechowywane poza kodem, w zmiennych środowiskowych;
  • ograniczenie administracyjnego dostępu do bazy danych do środowiska serwerowego.