Skip to content
DPA

Umowa o przetwarzaniu danych osobowych

Warunki wynikające z art. 28 RODO, na jakich Alpha Analytics s.r.o. przetwarza dane osobowe w imieniu swoich klientów w związku ze świadczeniem usług Carsdata.com.

Ostatnia aktualizacja9 czerwca 2026 r.

Zakres i role stron

Niniejsza Umowa o przetwarzaniu danych osobowych (dalej „DPA”) stanowi część umowy zawartej między klientem (dalej „Administrator”) a Alpha Analytics s.r.o. (dalej „Podmiot przetwarzający”) dotyczącej korzystania z usług Carsdata.com (dalej „Usługi”). Reguluje ona przetwarzanie danych osobowych, które Podmiot przetwarzający realizuje w imieniu Administratora, i ma zastosowanie zawsze, gdy takie przetwarzanie podlega Rozporządzeniu (UE) 2016/679 (dalej „RODO”).

Administrator określa cele i sposoby przetwarzania danych osobowych oraz odpowiada za zgodność tego przetwarzania z prawem. Podmiot przetwarzający przetwarza dane osobowe wyłącznie w imieniu Administratora i na jego udokumentowane polecenie. W zakresie, w jakim Podmiot przetwarzający określa cele i sposoby przetwarzania na potrzeby własnej działalności, działa on jako administrator, a takie przetwarzanie jest regulowane Polityką prywatności, a nie niniejszą DPA.

W przypadku jakiejkolwiek sprzeczności między niniejszą DPA a pozostałą częścią umowy zawartej między stronami w odniesieniu do przetwarzania danych osobowych, pierwszeństwo ma niniejsza DPA.

Definicje

Pojęcia takie jak „dane osobowe”, „przetwarzanie”, „administrator”, „podmiot przetwarzający”, „podmiot podprzetwarzający”, „osoba, której dane dotyczą”, „naruszenie ochrony danych osobowych” oraz „organ nadzorczy” mają znaczenie nadane im w RODO. „Obowiązujące przepisy o ochronie danych” oznaczają RODO oraz wszelkie inne przepisy o ochronie danych lub prywatności mające zastosowanie do przetwarzania danych osobowych na podstawie umowy.

Przedmiot, czas trwania, charakter i cel przetwarzania

Przedmiotem przetwarzania jest świadczenie Usług. Podmiot przetwarzający przetwarza dane osobowe przez czas trwania umowy oraz przez tak długi okres po jej zakończeniu, jaki jest wymagany do wypełnienia jego obowiązków prawnych lub jaki został w inny sposób określony w niniejszej DPA.

Charakter i cel przetwarzania obejmuje obsługę i świadczenie Usług na rzecz Administratora, w tym hosting, przechowywanie, analizę oraz operacje techniczne niezbędne do udostępnienia Usług. Podmiot przetwarzający przetwarza kategorie danych osobowych oraz osób, których dane dotyczą, które Administrator przekazuje do Usług lub udostępnia za ich pośrednictwem — zazwyczaj dane identyfikacyjne i kontaktowe przedstawicieli Administratora oraz upoważnionych użytkowników, a także wszelkie dane osobowe zawarte w rekordach, które Administrator zdecyduje się przetwarzać za pośrednictwem Usług.

Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się:

  • przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym w odniesieniu do przekazywania danych osobowych do państwa trzeciego, chyba że obowiązek taki nakłada na niego prawo — w którym to przypadku Podmiot przetwarzający poinformuje Administratora o tym wymogu prawnym przed przystąpieniem do przetwarzania, chyba że prawo zabrania udzielania takich informacji z ważnych względów interesu publicznego;
  • niezwłocznie informować Administratora, jeżeli jego zdaniem polecenie narusza obowiązujące przepisy o ochronie danych;
  • zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności;
  • wdrożyć i utrzymywać techniczne i organizacyjne środki bezpieczeństwa opisane w niniejszej DPA;
  • przestrzegać warunków angażowania podmiotów podprzetwarzających określonych w niniejszej DPA;
  • wspomagać Administratora, biorąc pod uwagę charakter przetwarzania, w odpowiadaniu na żądania osób, których dane dotyczą, korzystających ze swoich praw;
  • wspomagać Administratora w zapewnieniu wywiązywania się z jego obowiązków dotyczących bezpieczeństwa przetwarzania, zgłaszania naruszeń, ocen skutków dla ochrony danych oraz uprzednich konsultacji, biorąc pod uwagę charakter przetwarzania oraz informacje dostępne Podmiotowi przetwarzającemu;
  • stosownie do decyzji Administratora, usunąć lub zwrócić wszelkie dane osobowe po zakończeniu świadczenia Usług oraz usunąć istniejące kopie, chyba że ich przechowywanie jest wymagane przez prawo;
  • udostępniać Administratorowi informacje niezbędne do wykazania wywiązywania się z obowiązków podmiotu przetwarzającego oraz umożliwiać przeprowadzanie audytów i przyczyniać się do nich, zgodnie z niniejszą DPA.

Obowiązki Administratora

Administrator odpowiada za zapewnienie, że dysponuje ważną podstawą prawną przetwarzania danych osobowych za pośrednictwem Usług, że przekazał wszelkie informacje i uzyskał wszelkie zgody wymagane od osób, których dane dotyczą, oraz że jego polecenia kierowane do Podmiotu przetwarzającego są zgodne z obowiązującymi przepisami o ochronie danych. Administrator nie może przekazywać za pośrednictwem Usług żadnych danych osobowych, do których przetwarzania nie jest uprawniony.

Poufność

Podmiot przetwarzający traktuje wszystkie dane osobowe jako poufne i zapewnia, że dostęp do nich jest ograniczony do tego personelu, który potrzebuje go do świadczenia Usług. Personel ten jest związany pisemnymi zobowiązaniami do zachowania poufności oraz przechodzi odpowiednie szkolenia z zakresu ochrony danych i bezpieczeństwa.

Bezpieczeństwo przetwarzania

Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko dla praw i wolności osób, których dane dotyczą, Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiadającego temu ryzyku, zgodnie z art. 32 RODO. Środki te zostały opisane w Przeglądzie bezpieczeństwa i obejmują, stosownie do potrzeb, szyfrowanie danych osobowych, zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów przetwarzania, zdolność do szybkiego przywrócenia dostępności i dostępu po wystąpieniu incydentu oraz proces regularnego testowania i oceny skuteczności tych środków.

Podmioty podprzetwarzające

Administrator udziela Podmiotowi przetwarzającemu ogólnego upoważnienia do angażowania podmiotów podprzetwarzających w celu wspierania świadczenia Usług (na przykład dostawców infrastruktury chmurowej i przechowywania danych). Podmiot przetwarzający prowadzi aktualną listę podmiotów podprzetwarzających i informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podmiotów podprzetwarzających, dając Administratorowi możliwość wniesienia sprzeciwu z uzasadnionych względów ochrony danych.

Podmiot przetwarzający nakłada na każdy podmiot podprzetwarzający, w drodze umowy, obowiązki w zakresie ochrony danych nie mniej rygorystyczne niż te określone w niniejszej DPA oraz pozostaje w pełni odpowiedzialny wobec Administratora za wykonanie obowiązków przez każdy podmiot podprzetwarzający.

Wsparcie w realizacji praw osób, których dane dotyczą

Biorąc pod uwagę charakter przetwarzania, Podmiot przetwarzający wspomaga Administratora poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości, w wywiązywaniu się z obowiązku Administratora dotyczącego odpowiadania na żądania osób, których dane dotyczą, korzystających ze swoich praw dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia oraz sprzeciwu. W przypadku gdy Podmiot przetwarzający otrzyma żądanie bezpośrednio od osoby, której dane dotyczą, niezwłocznie przekaże to żądanie Administratorowi i nie udzieli na nie odpowiedzi samodzielnie, chyba że Administrator poleci mu to uczynić.

Zgłaszanie naruszeń ochrony danych osobowych

Podmiot przetwarzający zawiadamia Administratora bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych dotyczącego danych osobowych przetwarzanych w imieniu Administratora. Zawiadomienie obejmuje, w dostępnym zakresie, opis charakteru naruszenia, prawdopodobne konsekwencje, środki podjęte lub proponowane w celu jego usunięcia oraz punkt kontaktowy w celu uzyskania dalszych informacji. Podmiot przetwarzający wspomaga Administratora w wywiązywaniu się z jego własnych obowiązków dotyczących zgłaszania naruszeń i informowania organów nadzorczych oraz osób, których dane dotyczą.

Oceny skutków dla ochrony danych

Podmiot przetwarzający zapewnia Administratorowi rozsądne wsparcie przy wszelkich ocenach skutków dla ochrony danych oraz uprzednich konsultacjach z organami nadzorczymi, które Administrator rozsądnie uzna za wymagane na podstawie art. 35 lub 36 RODO, w każdym przypadku wyłącznie w odniesieniu do przetwarzania danych osobowych przez Podmiot przetwarzający w imieniu Administratora oraz z uwzględnieniem informacji dostępnych Podmiotowi przetwarzającemu.

Międzynarodowe przekazywanie danych

Podmiot przetwarzający przetwarza i przechowuje dane osobowe przede wszystkim na terenie Unii Europejskiej / Europejskiego Obszaru Gospodarczego. Podmiot przetwarzający nie przekazuje danych osobowych do państwa spoza EOG, które nie korzysta z decyzji stwierdzającej odpowiedni stopień ochrony, chyba że wprowadził odpowiedni mechanizm przekazywania uznawany na gruncie RODO, taki jak Standardowe klauzule umowne Komisji Europejskiej, wraz z wszelkimi środkami uzupełniającymi niezbędnymi do zapewnienia odpowiedniego poziomu ochrony.

Audyty i kontrole

Podmiot przetwarzający udostępnia Administratorowi informacje rozsądnie niezbędne do wykazania zgodności z niniejszą DPA oraz umożliwia przeprowadzanie audytów, w tym inspekcji, prowadzonych przez Administratora lub upoważnionego przez niego audytora, a także przyczynia się do nich. Audyty przeprowadzane są po rozsądnym uprzednim powiadomieniu, w normalnych godzinach pracy, nie częściej niż raz w roku (z wyjątkiem przypadków, gdy wymaga tego organ nadzorczy lub gdy nastąpiło naruszenie ochrony danych osobowych) oraz w sposób, który nie zakłóca działalności Podmiotu przetwarzającego ani nie narusza poufności danych innych klientów. Podmiot przetwarzający może zaspokoić żądania audytowe poprzez dostarczenie odpowiednich raportów lub certyfikatów z audytów przeprowadzonych przez podmioty trzecie, o ile są one dostępne.

Zwrot i usunięcie danych

Po rozwiązaniu lub wygaśnięciu Usług Podmiot przetwarzający, stosownie do decyzji Administratora, usunie lub zwróci wszelkie dane osobowe przetwarzane w imieniu Administratora oraz usunie istniejące kopie, chyba że obowiązujące przepisy prawa wymagają ich dalszego przechowywania. Standardowe kopie zapasowe systemu są usuwane zgodnie z udokumentowanym cyklem retencji Podmiotu przetwarzającego.

Odpowiedzialność, czas obowiązywania i prawo właściwe

Odpowiedzialność każdej ze stron na podstawie niniejszej DPA podlega ograniczeniom i wyłączeniom odpowiedzialności określonym w umowie zawartej między stronami. Niniejsza DPA wchodzi w życie z dniem wejścia w życie umowy i pozostaje w mocy tak długo, jak długo Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora. Niniejsza DPA podlega prawu Republiki Czeskiej, chyba że umowa zawarta między stronami stanowi inaczej, oraz bez uszczerbku dla bezwzględnie obowiązujących przepisów RODO.

Aby zwrócić się o kontrasygnowany egzemplarz niniejszej DPA lub omówić szczególne ustalenia dotyczące ochrony danych, skontaktuj się z nami pod adresem info@carsdata.com.

Dane spółki
Alpha Analytics s.r.o.
Siedziba
Gustav Mahlerplein 2
1082 MA Amsterdam
Holandia
Numer identyfikacyjny spółki (IČO)
228 01 154
Rejestr handlowy
Krajský soud v Ústí nad Labem
Numer akt C 32406

Masz pytania dotyczące tego dokumentu? Napisz do nas na adres info@carsdata.com.