Umowa powierzenia przetwarzania danych (AVV) zgodnie z art. 28 RODO
Stan na: 30 kwietnia 2026
Preambuła
Serdecznie witamy w Campcruisers GmbH! Cieszymy się bardzo, że zdecydowali się Państwo na Campsite OS i powierzyli nam wsparcie w cyfrowym zarządzaniu Państwa kempingiem. Ochrona danych i bezpieczeństwo danych są dla nas centralnym wyznacznikiem jakości naszego oprogramowania.
Niniejsza umowa powierzenia przetwarzania danych (AVV) stanowi transparentną i uczciwą podstawę prawną dla przetwarzania danych osobowych na Państwa zlecenie.
Strony umowy
Administrator (Klient): Państwa dane przedsiębiorstwa wynikają z umowy głównej (abonament na Campsite OS).
Podmiot przetwarzający: Campcruisers GmbH, Berliner Str. 21B, 14612 Falkensee, Niemcy. Daniel Bosch (CEO), Philipp André Marschall (prokurent). Sąd Rejonowy w Poczdamie, HRB 40180 P. Nr identyfikacji VAT: DE368000447.
Inspektor ochrony danych: Nie wyznaczony (§ 38 BDSG nie spełniony).
§ 1 Przedmiot, czas trwania i specyfikacja
1.1
Niniejsza umowa reguluje przetwarzanie danych osobowych w ramach świadczenia usługi Campsite OS. Uzupełnienie do Ogólnych Warunków Umowy i umowy głównej.
1.2
Czas trwania umowy wynika z umowy głównej. Obowiązki poufności i usuwania danych obowiązują nadal.
1.3
Przetwarzanie obejmuje: zbieranie, przechowywanie, modyfikację, odczytywanie, przekazywanie (np. do Channel Manager), usuwanie. Serwery: Holandia (IP: 34.91.84.25).
§ 2 Odpowiedzialność
2.1
Państwo są administratorem (art. 4 pkt 7 RODO). Państwo decydują o celach i środkach.
2.2
My jesteśmy podmiotem przetwarzającym (art. 4 pkt 8 RODO). Przetwarzanie wyłącznie zgodnie z Państwa instrukcjami. Brak własnego wykorzystania, brak sprzedaży.
§ 3 Rodzaj i cel przetwarzania
Cel: świadczenie usługi Campsite OS. Obejmuje: rezerwację i booking, zarządzanie gośćmi (w tym meldunek § 29 BMG), księgowość (ZUGFeRD), zarządzanie kanałami, wysyłkę e-maili, IoT & Smart Camp.
§ 4 Rodzaj danych osobowych
4.1 Kategorie danych
Dane podstawowe (imię i nazwisko, data urodzenia, narodowość) | Dane kontaktowe (adres, e-mail, telefon) | Dane rezerwacyjne (okres, kategoria, dodatki) | Dane KYC/meldunkowe (numery dowodów) | Dane pojazdu (numery rejestracyjne) | Dane płatnicze (tokenizowane przez Stripe) | Dane komunikacyjne (zgłoszenia, e-maile) | Dane systemowe (IP, logi, sesje)
4.2 Osoby, których dane dotyczą
Goście/klienci końcowi oraz ich współpodróżni | Państwa pracownicy (użytkownicy oprogramowania) | Usługodawcy/dostawcy
§ 5 Obowiązki podmiotu przetwarzającego
5.1 Przestrzeganie RODO, BDSG, TDDDG. | 5.2 Powiązanie z celem i związanie instrukcjami. | 5.3 Informowanie o niezgodnych z prawem instrukcjach. | 5.4 Przetwarzanie w UE (Holandia). Państwo trzecie tylko zgodnie z art. 44 i nast. RODO.
§ 6 Uprawnienia do wydawania instrukcji
6.1 Instrukcje określone w umowie i umowie głównej. | 6.2 Forma pisemna (e-mail na adres support@campsite-os.de) lub konfiguracja oprogramowania. | 6.3 Dokumentacja wszystkich instrukcji.
§ 7 Poufność i personel
7.1 Obowiązek zachowania poufności przez wszystkich pracowników (art. 28 ust. 3 lit. b RODO). | 7.2 Regularne szkolenia. | 7.3 Zasada need-to-know.
§ 8 Środki techniczno-organizacyjne (TOMs)
8.1 Środki zgodnie z art. 32 RODO. | 8.2 Szyfrowanie (TLS, AES-256), MFA, RBAC, logowanie, 99% SLA, kopie zapasowe, ochrona przed DDoS. | 8.3 Dostosowanie do postępu technicznego. Szczegóły w Załączniku 1.
§ 9 Relacje z podwykonawcami
9.1 Ogólna zgoda (art. 28 ust. 2 RODO). | 9.2 Aktualni podwykonawcy przetwarzający dane w Załączniku 2. | 9.3 Informacja 14 dni przed zmianą. Prawo sprzeciwu. | 9.4 Takie same obowiązki dla podwykonawców.
§ 10 Prawa osób, których dane dotyczą
10.1 Wsparcie w zakresie art. 15-22 RODO (Self-Service w Campsite OS). | 10.2 Bezpośrednie zapytania są przekazywane Państwu.
§ 11 Obowiązki zgłaszania
11.1 Zgłaszanie naruszeń ochrony danych w ciągu 48 godzin. | 11.2 Treść: rodzaj naruszenia, osoby, których dotyczy, konsekwencje, podjęte środki. | 11.3 Wsparcie przy DSFA (art. 35/36 RODO).
§ 12 Prawa kontroli i audytów
12.1 Prawo do weryfikacji. | 12.2 Dokumentacja/certyfikaty w pierwszej kolejności; audyt na miejscu z 30-dniowym wyprzedzeniem. | 12.3 Koszty ponosi Klient (z wyjątkiem naruszenia).
§ 13 Usuwanie i zwrot danych
13.1 Przenośność danych: 30-dniowy okres eksportu (CSV, XML, JSON). | 13.2 Ostateczne usunięcie po 30 dniach. | 13.3 Potwierdzenie na żądanie.
§ 14 Odpowiedzialność
14.1 Odpowiedzialność zgodnie z art. 82 RODO. W stosunkach wewnętrznych tylko w przypadku naruszenia obowiązków wynikających z RODO lub instrukcji. | 14.2 Ograniczenie do rocznej opłaty w przypadku lekkiego niedbalstwa.
§ 15 Postanowienia końcowe
15.1 Forma pisemna dla zmian. | 15.2 Klauzula salwatoryjna. | 15.3 Prawo niemieckie, miejsce sądu Falkensee.
Załącznik 1: Środki techniczno-organizacyjne (TOMs)
1. Poufność
Kontrola dostępu: Serwery w centrach danych w Holandii (IP: 34.91.84.25). Ochrona 24/7, kontrola dostępu biometryczna, monitoring wideo.
Kontrola dostępu: Złożone hasła, MFA, ochrona przed atakami brute-force, VPN.
Kontrola uprawnień: RBAC w Campsite OS, zasada need-to-know, niszczenie dokumentów zgodnie z DIN 66399.
Kontrola separacji: Logiczna separacja klientów. Separacja środowisk deweloperskich/testowych/produkcyjnych.
2. Integralność
Kontrola przekazywania: TLS 1.2/1.3, AES-256 at rest, klucze API i uwierzytelnianie tokenowe.
Kontrola wprowadzania: Audit-Trail w Campsite OS, centralne logowanie serwera.
3. Dostępność
Codzienne kopie zapasowe (georedundantne, szyfrowane), UPS, ochrona przed DDoS, WAF, 99% SLA.
4. Ewaluacja
Regularne audyty, skanowanie podatności, plan reagowania na incydenty (zgłoszenie w ciągu 48h), Privacy by Default.
Załącznik 2: Zatwierdzeni podwykonawcy przetwarzający dane
| Dostawca usług | Siedziba | Cel | Transfer do państwa trzeciego |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Irlandia (UE) | Obsługa płatności | UE; ewentualnie SCC w przypadku wewnętrznego transferu do USA |
| Resend, Inc. | USA | Wysyłka transakcyjnych e-maili | Standardowe klauzule umowne UE (SCC) |
| Google Ireland Limited | Irlandia (UE) | Analytics & Ads | Głównie UE |
| Biscotti CMP | Niemcy (UE) | Zarządzanie cookies/consent | Wyłącznie UE |
| Dostawca hostingu | Holandia (UE) | Infrastruktura serwerowa (IP: 34.91.84.25) | Wyłącznie UE |