Regulamin powierzenia przetwarzania danych osobowych

27.05.2026

Niniejszy dokument, zwany dalej Regulaminem, opisuje zasady powierzenia przetwarzania danych osobowych, dokonywanego przez administratora danych na rzecz podmiotu przetwarzającego.

Spis treści:

1. Definicje
2. Postanowienia ogólne
3. Zobowiązania Procesora
4. Zgłaszanie naruszeń
5. Przekazywanie danych poza EOG
6. Dalsze powierzenie przetwarzania
7. Czynności kontrolne
8. Zakończenie współpracy
9. Postanowienia końcowe

Załączniki
Załącznik nr 1 do Regulaminu

1. Definicje
Poniższym pojęciom nadaje się następujące znaczenie:

1. Administrator – podmiot, który ustala cele i sposoby przetwarzania danych osobowych; w rozumieniu Regulaminu jest nim Klient;
2. Danxils – DANXILS sp. z o.o. (Swobodnia 35, 05-180 Swobodnia; NIP 5311719061)
3. EOG – Europejski Obszar Gospodarczy;
4. Klient – podmiot korzystający z usług Danxils w zakresie, w związku z którym niezbędne jest powierzenie przetwarzania danych osobowych przez Klienta na rzecz Danxils;
5. Osoby kontaktowe – osoby, reprezentujące Strony w sprawach dotyczących Regulaminu, w szczególności zgłaszania naruszeń, zawiadamiania o zmianach dalszych podmiotów przetwarzających, ustalania czynności kontrolnych itd.;
   a) Osoba kontaktowa Administratora – osoba wskazana w treści umowy/zlecenia o usługach logistycznych pomiędzy nadawcą przesyłki a DANXILS;
   b) Osoba kontaktowa Procesora – Jan Obojski [email protected];
6. Procesor – który przetwarza dane osobowe w imieniu administratora; w rozumieniu Regulaminu jest nim Danxils;
7. Przepisy – RODO, ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych oraz przepisy branżowe (krajowe, unijne lub międzynarodowe), dotyczące ochrony danych osobowych i bezpieczeństwa informacji;
8. RODO – ogólne rozporządzenie o ochronie danych;
9. Umowa – umowa lub zlecenie będąca podstawą współpracy Danxils z Klientem, realizacja której wymaga powierzenia przetwarzania danych osobowych.
10. Strony – nazwa łączna dla Administratora i Procesora lub nazwa indywidualna to Strona.

2. Postanowienia ogólne

1. Na podstawie art. 28 RODO Administrator powierza, a Procesor przyjmuje do przetwarzania dane osobowe w zakresie i na zasadach, wskazanych w Regulaminie.
2. Powierzenie następuje w związku z realizacją Umowy.
3. Regulamin obowiązuje w okresie obowiązywania Umowy oraz związanych z nią rozliczeń.
4. Procesor może przetwarzać powierzone mu dane osobowe wyłącznie w zakresie i celu przewidzianym w Regulaminie. Procesor nie jest uprawniony do decydowania o celach i środkach przetwarzania.
5. Osoby, których dane dotyczą, rodzaje dotyczących ich danych osobowych oraz cele przetwarzania zostały wskazane w załączniku nr 1 do Regulaminu.
6. Strony mogą wspólnie zdecydować, by powierzenie przetwarzania danych osobowych było uregulowane w drodze odrębnej umowy powierzenia przetwarzania danych osobowych. W przypadku zawarcia takiej umowy postanowienia Regulaminu nie znajdują zastosowania.

3. Zobowiązania Procesora

1. Procesor oświadcza, że dysponuje zasobami, umożliwiającymi mu przetwarzanie danych osobowych w zakresie wskazanym w Regulaminie, a także, że znana jest mu aktualna treść Przepisów.
2. Procesor zobowiązuje się przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora. Za takie polecenie uznaje się w szczególności treść Regulaminu.
3. Procesor zapewnia, by osoby upoważnione do przetwarzania danych osobowych:
   1) były odpowiednio przeszkolone z Przepisów oraz zasad wykorzystania danych osobowych,
   2) zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy zarówno w toku współpracy z Procesorem, jak i po jej zakończeniu.
4. Procesor wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przy wdrażaniu Procesor bierze pod uwagę w szczególności stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.
5. W miarę swoich możliwości Procesor:
   1) pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
   2) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32, 35 i 36 RODO.

4. Zgłaszanie naruszeń

1. W razie stwierdzenia naruszenia ochrony danych osobowych Procesor niezwłocznie (nie później jednak niż w terminie 36 godzin od stwierdzenia naruszenia) zawiadamia Administratora o tym fakcie.
2. Zgłoszenie naruszenia zawiera następujące informacje:
   1) charakter naruszenia ochrony danych osobowych (w tym kategorie i przybliżona liczba osób, których dane dotyczą),
   2) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
   3) możliwe konsekwencje naruszenia ochrony danych osobowych,
   4) środki zastosowane lub proponowane przez Procesora w celu zaradzenia naruszeniu ochrony danych osobowych
3. Uwzględniając charakter przetwarzania oraz dostępne mu informacje, Procesor wspiera Administratora w realizacji obowiązków z art. 33-34 RODO.

5. Przekazywanie danych poza EOG

1. Procesor może przetwarzać dane osobowe poza EOG pod warunkiem spełnienia wymogów, wskazanych w niniejszym paragrafie Regulaminu.
2. Podstawą dla przetwarzania danych osobowych poza EOG powinny być standardowe klauzule umowne.
3. Jeżeli stosowanie klauzul umownych nie jest możliwe, Administrator i Procesor wspólnie dążą do uregulowania transferu danych zgodnie z wymogami rozdziału V RODO.

6. Dalsze powierzenie przetwarzania

1. Procesor może, w celu realizacji Regulaminu, korzystać z usług dalszych podmiotów przetwarzających.
2. Dalsze podmioty przetwarzające zobowiązane są do zapewnienia co najmniej takiego samego poziomu ochrony danych osobowych, do zapewnienia którego zobowiązany jest Procesor.
3. Procesor zawiadamia Administratora o planowanych zmianach, dotyczących dalszych podmiotów przetwarzających (w szczególności dodania nowych podmiotów). Administrator ma 3 dni robocze na zgłoszenie ewentualnego sprzeciwu wobec zmiany. Brak sprzeciwu we wskazanym terminie uznaje się za równoznaczny z akceptacją Administratora, dotyczącą zmiany.
4. Administrator ma prawo żądać natychmiastowego zaprzestania korzystania przez Procesora z usług konkretnego podmiotu przetwarzającego, jeżeli podmiot ten nie daje odpowiednich gwarancji w zakresie ochrony danych osobowych.
5. Lista dalszych podmiotów przetwarzających jest dostępna na żądanie Administratora. W celu jej otrzymania należy skontaktować się z Osobą kontaktową Procesora, wskazaną w rozdziale 1 Regulaminu.

7. Czynności kontrolne

1. Administrator może prowadzić u Procesora czynności kontrolne, mające na celu ustalenie, czy Procesor przetwarza dane osobowe zgodnie z Regulaminem lub Przepisami.
2. Czynności kontrolne mogę polegać na:
   1) udostępnieniu przez Procesora dokumentów lub wyjaśnień, dotyczących przetwarzania danych osobowych,
   2) audytach, prowadzonych w miejscu przetwarzania danych osobowych przez Procesora.
3. Audyty, o których mowa w ust. 2 p. 2 powyżej, są realizowane:
   1) na wniosek Administratora, nie częściej niż raz w roku kalendarzowym (chyba że Administrator poweźmie uzasadnione podejrzenie o naruszeniu przez Procesora treści Regulaminu lub Przepisów),
   2) w godzinach pracy Procesora,
   3) po uprzednim zawiadomieniu Procesora przez Administratora, nie później jednak niż na 10 dni roboczych przed planowanym rozpoczęciem audytu,
   4) za uprzednim zawiadomieniem Procesora przez Administratora na temat planowanego zakresu czynności kontrolnych (nie później niż w terminie wskazanym w ust. 3 p. 3 powyżej),
   5) w zakresie dotyczącym jedynie danych, powierzonych do przetwarzania na mocy Regulaminu,
   6) w sposób nienaruszający bieżącej pracy Procesora.
4. Z przeprowadzonych czynności Administrator sporządza podsumowanie i przekazuje je Procesorowi. Procesor, w terminie uzgodnionym z Administratorem, usuwa ewentualne nieprawidłowości, wykryte w toku czynności kontrolnych.

8. Zakończenie współpracy

1. W przypadku zakończenia obowiązywania Umowy Procesor usuwa wszelkie dane osobowe, objęte Regulaminem oraz usuwa wszelkie ich istniejące kopie, chyba że Przepisy nakazują przechowywanie danych osobowych.
2. Usunięcie danych ma miejsce niezwłocznie, nie później jednak niż w terminie 30 dni od dnia otrzymania przez Procesora informacji o zakończeniu współpracy.

9. Postanowienia końcowe

1. W zakresie nieuregulowanym w Regulaminie stosuje się przepisy prawa powszechnie obowiązującego.
2. Integralną część Regulaminu stanowi:

Załącznik nr 1 – kategorie osób, rodzaje danych i cele przetwarzania danych osobowych.

Załącznik nr 1 do Regulaminu

Wyjaśnienie
W poniższej tabeli wskazano informacje nt. danych osobowych, jakie będą powierzone do przetwarzania Procesorowi przez Administratora.

Informacje nt. danych osobowych

Kategorie osób	Rodzaje danych osobowych	Cele przetwarzania
Odbiorcy przesyłek typu B2C i C2C	Imię nazwisko, adres zamieszkania, numer tel., adres e-mail	Wykonanie usługi dostawy paczki do rąk własnych
Dane firm jednoosobowych	Imię nazwisko, adres zamieszkania, numer tel., adres e-mail	Wykonanie usługi dostawy paczki do rąk własnych