Przejdź do treści
← AutoPick

Umowa o przetwarzanie danych (DPA)

Data wejścia w życie: 1 stycznia 2025 r.

1. Strony umowy

Niniejsza Umowa o Przetwarzanie Danych (“DPA”) jest zawierana pomiędzy:

  • Administratorem danych: Klientem korzystającym z platformy AutoPick w celach biznesowych
  • Podmiotem przetwarzającym: AutoPick sp. z o.o., ul. Przykładowa 1, 00-001 Warszawa, NIP: 000-000-00-00

2. Podstawa prawna

Niniejsza DPA jest zawierana w celu spełnienia wymogów art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) i stanowi integralną część Regulaminu AutoPick.

3. Zakres przetwarzania

Kategoria danychCel przetwarzaniaOkres retencji
Dane rejestracyjne (imię, email, telefon)Zarządzanie kontem, komunikacjaDo usunięcia konta + 30 dni
Historia rezerwacji i raportówRealizacja usług, fakturowanie5 lat (wymóg podatkowy)
Dane pojazdów (VIN, zdjęcia)Przechowywanie raportów inspekcji3 lata od inspekcji
Dane płatności (token Stripe)Przetwarzanie płatnościStripe: 7 lat
Logi systemoweBezpieczeństwo i diagnostyka90 dni

4. Obowiązki Podmiotu przetwarzającego

AutoPick sp. z o.o. zobowiązuje się do:

  • Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora
  • Zapewnienia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności
  • Wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO
  • Pomocy Administratorowi w realizacji praw osób, których dane dotyczą
  • Usunięcia lub zwrotu danych po zakończeniu świadczenia usług
  • Udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania zgodności z art. 28 RODO

5. Podpodmioty przetwarzające

AutoPick korzysta z następujących zatwierdzonych podpodmiotów:

DostawcaUsługaLokalizacja
Vercel Inc.Hosting i CDNUSA (SCCs)
Stripe Inc.Przetwarzanie płatnościUSA (SCCs)
Resend Inc.Wysyłka email transakcyjnegoUSA (SCCs)
PostgreSQL / NeonBaza danychEU

6. Środki bezpieczeństwa

🔒

Szyfrowanie

TLS 1.3 w tranzycie, AES-256 at rest

🔑

Kontrola dostępu

RBAC, MFA dla admins, zasada najmniejszych uprawnień

📊

Monitoring

Logi audytowe, alerty anomalii

🛡️

Testy bezpieczeństwa

Penetracja i skanowanie kwartalnie

7. Naruszenia ochrony danych

W przypadku stwierdzenia naruszenia ochrony danych osobowych AutoPick zobowiązuje się powiadomić Administratora bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, podając wszystkie dostępne informacje, o których mowa w art. 33 ust. 3 RODO.

8. Kontakt w sprawach ochrony danych

W sprawach dotyczących przetwarzania danych osobowych prosimy o kontakt:

Inspektor Ochrony Danych (IOD)

iod@autopick.pl

AutoPick sp. z o.o., ul. Przykładowa 1, 00-001 Warszawa