Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Umowa o przetwarzaniu danych

Wersja 3.0 · Ostatnia aktualizacja: 9 maja 2026 · Obowiązuje natychmiast

1. Strony

Niniejsza Umowa o przetwarzaniu danych ("DPA") jest zawierana pomiędzy Klientem ("Administrator danych") a YARDtwin Ltd, zarejestrowaną w Irlandii ("Podmiot przetwarzający"), zwanymi łącznie "Stronami". Niniejsza DPA stanowi część i jest objęta Warunki korzystania z usługi.

2. Zakres i cel

Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora wyłącznie w celu świadczenia usług platformy zarządzania placem YARDtwin: planowania doków, operacji bramowych, wizualizacji cyfrowego bliźniaka placu, zarządzania przewoźnikami i kierowcami, ścieżki audytu zgodnej z GMP, analityki oraz integracji. Przetwarzanie odbywa się przez okres obowiązywania subskrypcji Administratora oraz przez okres przechowywania wymagany zgodnie z Sekcją 11.

3. Kategorie podmiotów danych

  • Pracownicy i administratorzy Administratora (nazwani użytkownicy platformy)
  • Kierowcy i personel logistyczny odprawiani przy bramach Administratora
  • Przedstawiciele przewoźników i kontakty dyspozytorskie
  • Personel ochrony bramy i operatorzy magazynu

4. Rodzaje danych osobowych

  • Dane identyfikacyjne: imiona i nazwiska, adresy e-mail, numery telefonów, stanowisko/tytuł zawodowy, nazwa i adres firmy
  • Dane uwierzytelniające: hasła hashowane bcrypt (12 rund), tokeny dostępu i odświeżania JWT, znaczniki czasu sesji, adresy IP, identyfikatory SSO (Google, Microsoft)
  • Dane operacyjne: terminy, alokacje doków, przemieszczenia naczep, protokoły kontroli, dokumenty, przypisania zadań, numery rejestracyjne pojazdów
  • Dane kierowców: numery prawa jazdy, zdjęcia prawa jazdy, opcjonalne zdjęcia twarzy do biometrycznej weryfikacji przy bramie (dane szczególnej kategorii, art. 9 GDPR — przetwarzane wyłącznie gdy Administrator włączył weryfikację biometryczną przy bramie i uzyskał wyraźną zgodę w miejscu rejestracji)
  • Dane audytu: działania użytkowników, znaczniki czasu, adresy IP, ciągi user-agent, różnice starych/nowych wartości, rekordy oznaczone flagą GMP

5. Obowiązki Podmiotu przetwarzającego

  • Przetwarzanie danych osobowych wyłącznie na udokumentowane polecenia Administratora (interfejs użytkownika platformy i API stanowią udokumentowane polecenia)
  • Zapewnienie, że osoby upoważnione do przetwarzania danych są związane umowami o poufności
  • Wdrożenie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa (art. 32) — patrz Sekcja 7 poniżej
  • Niewykorzystywanie podprocesorów bez uprzedniej pisemnej zgody; powiadomienie z 30-dniowym wyprzedzeniem o każdym nowym podprocesorze (prawo sprzeciwu)
  • Wspieranie Administratora w realizacji żądań podmiotów danych (art. 15–22) za pośrednictwem punktów końcowych DSAR opisanych w Sekcji 9
  • Powiadamiaj Administratora o naruszeniach ochrony danych osobowych bez zbędnej zwłoki i w ciągu 72 godzin (Sekcja 8)
  • Usuń lub zwróć wszystkie dane osobowe po zakończeniu świadczenia usług (Sekcja 11)
  • Udostępniaj wszelkie informacje niezbędne do wykazania zgodności oraz wspieraj przeprowadzanie audytów (Sekcja 12)

6. Podprzetwarzający

Podmiot przetwarzający korzysta obecnie z następujących podprzetwarzających, z których każdy działa na podstawie Umowy powierzenia przetwarzania danych oraz (w stosownych przypadkach) Standardowych Klauzul Umownych 2021:

PodprocesorCelLokalizacjaZabezpieczenia
Microsoft AzureHosting (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)EOG — Szwecja Centralna + Norwegia WschodniaMicrosoft Online Services DPA + EU SCCs, ISO 27001, SOC 2 Type II, ISO 27018, EU Data Boundary
StripeRozliczanie subskrypcji i przetwarzanie płatności (numery kart nie są przechowywane przez YARDtwin)Stripe Ireland (EOG), częściowe wsparcie w USAStripe DPA + EU SCCs + PCI DSS Level 1
ResendPoczta transakcyjna (powitania, przypomnienia o okresie próbnym, odpowiedzi na DSAR, powiadomienia o naruszeniach)USA (Delaware)Resend DPA + EU SCCs (weryfikacja środków uzupełniających FISA 702 w toku — zob. Polityka GDPR 11.6)
Google Cloud VisionOCR prawa jazdy (tylko jeśli Administrator włączy weryfikację dokumentów na bramie)Regiony UEGoogle Cloud DPA + EU SCCs, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)Tokeny tożsamości Single Sign-On dla użytkowników korzystających z SSOEOG (Microsoft Entra ID) / Global (Google Workspace)Microsoft / Google Cloud DPAs
AnthropicClaude API dla asystenta AI w produkcie oraz parsowanie tekstu OCR z prawa jazdyUSA (Kalifornia)Anthropic DPA + deklaracja zerowej retencji + EU SCCs (weryfikacja środków uzupełniających FISA 702 w toku)

Klienci są powiadamiani z co najmniej 30-dniowym wyprzedzeniem przed dodaniem nowego podprzetwarzającego, z prawem do sprzeciwu i rozwiązania umowy bez ponoszenia kary.

7. Środki bezpieczeństwa (Art. 32)

  • Szyfrowanie podczas transmisji: TLS 1.2+ na każdym punkcie końcowym; certyfikaty zarządzane przez Microsoft Azure (DigiCert)
  • Szyfrowanie w spoczynku: Przezroczyste szyfrowanie danych Azure Postgres Flexible Server; szyfrowanie Azure Blob Storage
  • Szyfrowanie na poziomie pól: AES-256-GCM dla danych biometrycznych (zdjęcia praw jazdy, obrazy podpisów); klucze przechowywane w Azure Key Vault
  • Haszowanie haseł: bcrypt, 12 rund
  • Uwierzytelnianie: Tokeny dostępu JWT (ważność 1 godzina) + tokeny odświeżania (ważność 7 dni, rotacja przy użyciu); SSO przez Google i Microsoft jako odpowiednik MFA
  • Izolacja dzierżawców: wymuszana na każdej trasie API; testowana regresyjnie za pomocą 25-wektorowego audytu międzydzierżawczego przy każdym wydaniu
  • Kontrola dostępu oparta na rolach: sześć ról (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin); oprogramowanie pośredniczące z zasadą najmniejszych uprawnień
  • Zapora aplikacji webowych: Azure Front Door + zarządzany WAF (zestaw reguł OWASP Core Rule Set, ochrona przed botami, L7 DDoS)
  • Ograniczanie liczby żądań: limity per trasa, bardziej restrykcyjne dla punktów końcowych uwierzytelniania; śledzenie prób w pamięci oraz z utrwalaniem
  • Ścieżka audytu: tylko do dołączania na warstwie aplikacji, retencja 6 lat, wpisy istotne dla GMP oznaczone osobno, pseudonimizowane (nie usuwane) przy realizacji prawa do usunięcia z Art. 17 na podstawie Art. 17(3)(b)
  • Ciągłe monitorowanie: Azure Application Insights, alert o dryfie schematu (okno 15-minutowe), sonda end-to-end /health/db-write, pracownik monitorowania naruszeń (skoki nieudanych logowań, ataki z wielu adresów IP, logowania ze zmienionych krajów, współczynnik 5xx)
  • Łańcuch dostaw oprogramowania: npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP przy każdym PR. Sekrety: Azure Key Vault dostępny przez tożsamość zarządzaną App Service; żadnych sekretów w kodzie, plikach env ani obrazach kontenerów

8. Powiadomienie o Naruszeniu Ochrony Danych Osobowych

Podmiot przetwarzający powiadamia administratora bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od powzięcia wiadomości o naruszeniu ochrony danych osobowych dotyczącym danych administratora (art. 33). Powiadomienie zawiera charakter naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą, prawdopodobne konsekwencje, podjęte lub proponowane środki oraz numer referencyjny w rejestrze naruszeń. Wykryte anomalie są kierowane do grupy akcji Azure Monitor Action Group yardtwin-breach-actions; potwierdzone incydenty są śledzone w tabeli rejestru naruszeń z 72-godzinnym odliczaniem DPC.

9. Prawa Osób, Których Dane Dotyczą

Podmiot przetwarzający udostępnia administratorowi następujące punkty dostępu umożliwiające realizację praw osób, których dane dotyczą, w terminie 30 dni zgodnie z art. 12 ust. 3:

  • POST /api/v1/dsar/export/by-email — eksport w formacie nadającym się do odczytu maszynowego obejmujący art. 15 (dostęp) i art. 20 (przenoszalność)
  • POST /api/v1/dsar/erase/by-email — pseudonimizacja we wszystkich tabelach zawierających dane osobowe, z zachowaniem przechowywania dzienników audytu zgodnie z art. 17 ust. 3 lit. b
  • Portal samoobsługowych wniosków dostępny pod adresem /data-request

10. Przekazywanie Danych Międzynarodowych

Dane operacyjne są przechowywane na terenie Europejskiego Obszaru Gospodarczego (Microsoft Azure, Sweden Central + Norway East). Dalsze przekazywanie danych do podmiotów przetwarzających spoza EOG (Resend, Anthropic) odbywa się na podstawie Standardowych Klauzul Umownych z 2021 r. z udokumentowanymi ocenami wpływu transferu. Stripe działa za pośrednictwem Stripe Ireland (główny podmiot EOG).

11. Czas Trwania, Rozwiązanie Umowy i Zwrot Danych

Niniejsza DPA pozostaje w mocy przez czas trwania umowy o świadczenie usług. Po jej rozwiązaniu:

  • Administrator może wyeksportować wszystkie swoje dane w ciągu 30 dni za pomocą funkcji eksportu dostępnych w produkcie lub na wniosek
  • Po upływie 30 dni podmiot przetwarzający usunie wszystkie operacyjne dane osobowe administratora
  • Dzienniki audytu są przechowywane przez 6 lat od zdarzenia w formie pseudonimizowanej, zgodnie z wymogami 21 CFR Part 11 / EU GMP Annex 11 (nadrzędny obowiązek prawny wynikający z art. 17 ust. 3 lit. b)
  • Kopie zapasowe są usuwane w ciągu 7 dni od operacyjnego usunięcia danych, zgodnie z oknem odzyskiwania do określonego momentu w czasie

12. Prawa do Audytu

Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 GDPR. Klienci mogą żądać: kopii odpowiednich certyfikatów bezpieczeństwa i raportów z audytów (jeśli są dostępne), aktualnego rejestru podmiotów przetwarzających, najnowszego raportu z testów regresji izolacji najemców, najnowszego podsumowania zewnętrznych testów penetracyjnych (po ich wydaniu, zob. GDPR Policy 11.1) oraz odpowiedzi na kwestionariusz bezpieczeństwa dostawcy. Uzasadnione audyty stacjonarne lub zdalne mogą być przeprowadzane z co najmniej 30-dniowym wyprzedzeniem, przez administratora lub niezależną stronę trzecią zobowiązaną do zachowania poufności. Podmiot przetwarzający będzie traktować priorytetowo raporty ISO 27001 / SOC 2 Type II jako zastępcze dowody zgodności po uzyskaniu tych certyfikatów.

13. Odpowiedzialność i Prawo Właściwe

Odpowiedzialność wynikająca z niniejszej DPA podlega ograniczeniom określonym w dokumentach YARDtwin Warunki korzystania z usługi. Niniejsza DPA podlega prawu Irlandii oraz Ogólnemu Rozporządzeniu o Ochronie Danych Unii Europejskiej (GDPR). Wszelkie spory podlegają wyłącznej jurysdykcji sądów irlandzkich.

14. Kontakt

W przypadku pytań dotyczących niniejszej DPA, chęci uzyskania podpisanego egzemplarza lub skorzystania z któregokolwiek z powyższych praw, prosimy o kontakt pod adresem admin@yardtwin.com lub z Inspektorem Ochrony Danych pod adresem dpo@yardtwin.com. Trwa proces zatrudnienia zewnętrznego ułamkowego IOD (GDPR Policy 11.2); do czasu jego mianowania wiadomości wysyłane na adres dpo@yardtwin.com są przekierowywane na adres admin@yardtwin.com.

Akceptując, Klient zobowiązuje się przestrzegać niniejszej Umowy o przetwarzaniu danych v3.0 jako Administrator danych.

Cześć! Rozpocznij bezpłatny okres próbny w 2 minuty — pomogę Ci wszystko skonfigurować!