Role stron
Klient jest administratorem danych osobowych wpisanych do panelu. Axart Group Sp. z o.o., jako operator TransPanel, działa jako podmiot przetwarzający w zakresie potrzebnym do hostingu, utrzymania, zabezpieczenia i wsparcia usługi. Rozwój usługi na danych klienta może odbywać się wyłącznie na danych zanonimizowanych lub zagregowanych albo w granicach udokumentowanych instrukcji klienta. DPA powinno być zawarte w formie pisemnej albo elektronicznej i spełniać wymagania art. 28 RODO.
Ostatnia aktualizacja zakresu DPA: 18.05.2026.
Przedmiot i cel przetwarzania
Przetwarzanie służy prowadzeniu firmy przewozowej w panelu: obsłudze klientów, wyjazdów, kalendarza, konfliktów, kierowców, pojazdów, dokumentów, wycen, faktur, raportów, kont kierowców, funkcji PWA, wsparcia technicznego i bezpieczeństwa systemu.
Czas trwania
Dane panelu klienta są przetwarzane przez czas obowiązywania umowy o korzystanie z TransPanel oraz okres potrzebny do rozliczenia, eksportu, zwrotu albo usunięcia danych po zakończeniu umowy. Po zakończeniu usług dane klienta są, według wyboru klienta, zwracane albo usuwane, chyba że prawo Unii Europejskiej lub państwa członkowskiego wymaga dalszego przechowywania. Axart może odrębnie przechowywać własne dane umowne, rozliczeniowe, bezpieczeństwa i niezbędne logi w zakresie koniecznym do obrony roszczeń.
Kategorie osób
- użytkownicy panelu i administratorzy klienta,
- kierowcy i osoby zaproszone do konta kierowcy,
- klienci, pasażerowie, kontrahenci i osoby kontaktowe przewoźnika,
- osoby widoczne na dokumentach, fakturach, zezwoleniach albo plikach dodanych przez klienta,
- osoby, których dane pojawiają się w logach, zgłoszeniach wsparcia lub historii działań.
Kategorie danych
- dane identyfikacyjne i kontaktowe,
- dane kont, ról, sesji, zaproszeń i aktywności,
- dane klientów, tras, wyjazdów, pojazdów, kierowców i obsady,
- dane wycen, faktur, korekt, płatności, raportów i PDF,
- dane dokumentów, uprawnień, terminów, alertów i plików,
- dane tachografów, aktywności, ECP i paczek kontrolnych, jeśli taki moduł jest włączony,
- dane szczególnych kategorii, jeżeli klient doda dokumenty zawierające takie dane, na przykład informacje z badań lekarskich lub psychologicznych kierowców.
Instrukcje klienta
Axart Group Sp. z o.o. przetwarza dane zgodnie z umową, DPA, konfiguracją usługi i udokumentowanymi instrukcjami klienta. Klient decyduje, jakie dane wpisuje, komu nadaje dostęp, jakie dokumenty dodaje, jakie moduły uruchamia i kiedy dane powinny zostać usunięte albo wyeksportowane. DPA powinno przewidywać, że Axart informuje klienta, jeżeli według oceny Axart dana instrukcja narusza RODO albo inne przepisy o ochronie danych.
Środki bezpieczeństwa
DPA powinno opisywać kontrolę dostępu, role użytkowników, separację danych firm, szyfrowanie transmisji, kopie zapasowe, logi dostępu, podpisane albo czasowe linki do plików, skanowanie plików, minimalizację payloadów kolejek, ograniczenie dostępu wsparcia oraz procedurę zgłaszania incydentów. Axart zawiadamia klienta bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych dotyczącego danych klienta i przekazuje dostępne informacje potrzebne klientowi do oceny obowiązków z art. 33 i 34 RODO.
Poufność i personel
Osoby działające po stronie operatora powinny być zobowiązane do poufności i mieć dostęp tylko w zakresie potrzebnym do utrzymania, wsparcia, bezpieczeństwa albo wykonania udokumentowanej instrukcji klienta.
Podpowierzenie
DPA powinno wskazywać, czy klient udziela zgody ogólnej czy szczegółowej na podprocesorów oraz jak otrzymuje informację o zmianach i może zgłosić sprzeciw. Lista podprocesorów jest potwierdzana przed produkcyjnym wdrożeniem u klienta. Dotyczy to w szczególności hostingu, bazy danych, poczty e-mail, storage plików, monitoringu, narzędzi technicznych, księgowości i obsługi płatności, jeśli są używane. Podprocesorzy powinni być związani obowiązkami ochrony danych odpowiadającymi art. 28 RODO, a Axart pozostaje odpowiedzialna wobec klienta za wykonanie obowiązków podpowierzenia w zakresie wymaganym przez RODO.
Transfer poza EOG
Dane panelu klienta są domyślnie hostowane w EOG, chyba że umowa, zamówienie lub DPA wskazują inaczej. Jeżeli podprocesor przetwarza dane poza Europejskim Obszarem Gospodarczym, DPA powinno wskazać podstawę transferu i zabezpieczenia, na przykład decyzję stwierdzającą odpowiedni stopień ochrony, standardowe klauzule umowne, ocenę ryzyka transferu i środki uzupełniające tam, gdzie są potrzebne.
Informacje i audyty
DPA powinno przewidywać, że Axart Group Sp. z o.o. udostępnia klientowi informacje potrzebne do wykazania zgodności z obowiązkami podmiotu przetwarzającego oraz umożliwia i wspiera audyty albo inspekcje w zakresie wymaganym przez art. 28 RODO. Audyty powinny odbywać się po rozsądnym uprzedzeniu, nie częściej niż raz w roku, chyba że doszło do istotnego incydentu albo wymaga tego organ lub bezwzględnie obowiązujące przepisy, w zakresie niezbędnym do weryfikacji powierzenia, w godzinach pracy, z zachowaniem poufności, bezpieczeństwa systemu i praw innych klientów. O ile umowa nie stanowi inaczej, audyt odbywa się na koszt klienta. W pierwszej kolejności udostępniane są ankiety, raporty, certyfikaty lub zdalna dokumentacja; testy penetracyjne, dostęp produkcyjny, dostęp do środowisk, kodu źródłowego i danych innych klientów są wyłączone, chyba że strony wyraźnie uzgodnią inaczej na piśmie.
Pomoc dla klienta
DPA powinno opisać, jak TransPanel pomaga klientowi przy żądaniach osób, incydentach, audytach, eksporcie danych, usuwaniu danych, ocenie skutków dla ochrony danych i konsultacjach z organem nadzorczym. Zakres operacyjny, terminy i koszty pomocy mogą zależeć od pakietu, umowy i możliwości technicznych systemu, bez ograniczania obowiązków wymaganych przez art. 28 RODO.
Zwrot i usunięcie danych
Po zakończeniu umowy klient powinien mieć ustalony czas na eksport danych. Po tym czasie dane panelu klienta są, według wyboru klienta, zwracane albo usuwane zgodnie z umową i DPA, chyba że prawo Unii Europejskiej lub państwa członkowskiego wymaga dalszego przechowywania. Kopie zapasowe i logi bezpieczeństwa są usuwane lub nadpisywane zgodnie z harmonogramem retencji technicznej. Axart może odrębnie zachować własne dane umowne, rozliczeniowe, bezpieczeństwa i niezbędne logi w zakresie koniecznym do obrony roszczeń. DPA powinno określać, jak potwierdzane jest usunięcie danych.
Kontakt bezpieczeństwa
Zgłoszenia dotyczące bezpieczeństwa, naruszeń ochrony danych albo pilnych instrukcji przetwarzania należy kierować na kontakt@transpanel.pl, chyba że umowa wskazuje osobny adres lub tryb zgłoszeń.