Załącznik nr 1 do Regulaminu – Umowa powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

(dalej: „Umowa powierzenia”)

zawarta pomiędzy:

Usługodawcą (dalej także: „Podmiot przetwarzający”),

a

Usługobiorcą (dalej także: „Administrator”),

zwanymi dalej łącznie „Stronami”, a każde z osobna „Stroną”.

Preambuła

Zważywszy, że:

  1. pomiędzy Usługodawcą a Usługobiorcą biznesowym została zawarta Umowa o dostarczanie Usługi korzystania z Aplikacji (dalej: „Umowa główna”);

  2. świadczenie Usługi korzystania z Aplikacji wymaga przetwarzania przez Usługodawcę danych osobowych w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”), co rodzi obowiązek spełnienia wymogów wskazanych w art. 28 RODO, w tym zawarcia umowy określonej w tym przepisie;

Strony postanowiły, co następuje:

§ 1.

Powierzenie przetwarzania danych osobowych

  1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „Ogólne rozporządzenie o ochronie danych” lub „RODO”).

  2. Administrator oświadcza, że jest administratorem danych powierzanych Podmiotowi przetwarzającemu na mocy Umowy powierzenia lub podmiotem przetwarzającym upoważnionym do ich dalszego powierzenia Podmiotowi przetwarzającemu.

  3. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie określonym w § 2 Umowy powierzenia.

  4. Pisane wielką literą pojęcia stosowane w Umowie powierzenia mają znaczenie nadane im w Regulaminie lub RODO, chyba że szczególne postanowienie Umowy powierzenia stanowi inaczej.

§ 2.

Przedmiot, charakter, cel i czas przetwarzania danych

  1. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie na udokumentowane polecenie Administratora oraz wyłącznie w celu świadczenia Usług. Za „udokumentowane polecenie” Strony uznają w szczególności zawarcie Umowy o świadczenie Usług.

  2. Kategorie danych osobowych będących przedmiotem powierzenia (dalej: „powierzone dane osobowe”) oraz kategorie osób, których powierzone dane osobowe dotyczą, zostały wskazane w Załączniku nr 1 do Umowy.

  3. Powierzone dane osobowe mogą obejmować również dane szczególnej kategorii, o których mowa w art. 9 RODO, oraz dane dotyczące wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO – wyłącznie w zakresie, w jakim zostaną one przekazane Podmiotowi przetwarzającemu przez Administratora lub osoby, których dane dotyczą, w szczególności w treści rozmów telefonicznych, transkrypcjach lub materiałach wprowadzanych do Usługi.

  4. Usługa co do zasady nie jest przeznaczona do celowego przetwarzania danych, o których mowa w ust. 3. Administrator ponosi odpowiedzialność za posiadanie odpowiedniej podstawy prawnej do ich przetwarzania oraz za spełnienie wobec osób, których dane dotyczą, obowiązków wynikających z RODO.

  5. Jeżeli Administrator zamierza powierzać Podmiotowi przetwarzającemu dane, o których mowa w ust. 3, zobowiązuje się uprzednio poinformować o tym Podmiot przetwarzający oraz potwierdzić, że dysponuje odpowiednią podstawą prawną do takiego przetwarzania.

  6. Przetwarzanie powierzonych danych osobowych będzie odbywało się przy wykorzystaniu systemów informatycznych (w sposób zautomatyzowany) oraz w formie papierowej (w sposób niezautomatyzowany).

§ 3.

Obowiązki, prawa i oświadczenia Podmiotu przetwarzającego

  1. Podmiot przetwarzający zobowiązuje się do zabezpieczenia powierzonych danych osobowych poprzez wdrożenie (jeszcze przed przystąpieniem do przetwarzania) oraz utrzymywanie, środków technicznych i organizacyjnych odpowiednich do charakteru, zakresu, kontekstu i celu przetwarzania powierzonych danych, w tym środków wymaganych przez odpowiednie przepisy powszechnie obowiązującego prawa, by przetwarzanie powierzonych danych osobowych spełniało wymogi Ogólnego rozporządzenia o ochronie danych.

    1. Podmiot przetwarzający zobowiązuje się zapewnić, aby osoby upoważnione do przetwarzania danych osobowych powierzonych na podstawie Umowy powierzenia zobowiązane były do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

    2. Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy powierzenia, w miarę możliwości, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązku odpowiedzi na żądania osób, których dane dotyczą, w zakresie wykonywania przez te osoby praw wynikających z przepisów prawa powszechnie obowiązującego, w tym w rozdziale III Ogólnego rozporządzenia o ochronie danych.

  2. Podmiot przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora o:

    1. każdym naruszeniu ochrony powierzonych danych osobowych, przy czym przez „naruszenie ochrony powierzonych danych” należy rozumieć każde przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do powierzonych danych osobowych. Zawiadomienia, o którym mowa w niniejszym pkt 1 należy dokonać najpóźniej w ciągu 48 godzin od wykrycia naruszenia ochrony powierzonych danych

    2. każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie, do czasu otrzymania opinii Administratora. Zawiadomienia, o którym mowa w niniejszym pkt 2 należy dokonać najpóźniej w ciągu 48 godzin od otrzymania żądania

    3. każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia

    4. przeprowadzeniu przez Prezesa Urzędu Ochrony Danych Osobowych lub inny organ nadzorczy kontroli zgodności przetwarzania danych osobowych i jej wynikach oraz o innych czynnościach organów władzy publicznej dotyczących tych danych

  3. Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy powierzenia i dostępnymi mu informacjami, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązków wynikających z przepisów prawa powszechnie obowiązującego, w tym z art. 32-36 Ogólnego rozporządzenia o ochronie danych i dotyczących bezpieczeństwa przetwarzania danych osobowych, zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu i osobie, której dane te dotyczą, oceny skutków dla ochrony danych i związanych z tą oceną konsultacji z organem nadzorczym.

  4. Podmiot przetwarzający zobowiązuje się:

    1. udostępniać Administratorowi w terminie 14 dni od dnia otrzymania żądania, wszelkie informacje i dokumenty niezbędne do wykazania spełnienia przez Administratora ciążących na nim obowiązków określonych w przepisach prawa powszechnie obowiązującego;

    2. umożliwić Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, w tym inspekcji, i przyczyniać się do nich, na zasadach każdorazowo określonych przez Strony oraz z zastrzeżeniem postanowień niniejszego paragrafu.

  5. Audyt, o którym mowa w §3 ust. 4 pkt 2 powyżej może zostać przeprowadzony nie wcześniej niż 14 dni od dnia otrzymania przez Podmiot przetwarzający zapowiedzi jego przeprowadzenia, w terminie ustalonym przez Strony oraz po zawarciu pomiędzy Podmiot przetwarzający a Administratorem lub upoważnionym przez niego audytorem umowy o zachowaniu poufności.

  6. Po zakończeniu audytu, Strony sporządzą protokół w 2 egzemplarzach, które podpiszą upoważnieni przedstawiciele obu Stron. Podmiot przetwarzający może wnieść zastrzeżenia do protokołu w ciągu 5 Dni roboczych od dnia jego podpisania przez przedstawicieli Stron.

  7. Audyt lub inspekcja powinny w pierwszej kolejności przybrać formę zdalnej weryfikacji (remote) dokumentów, o których mowa w ust. 7 pkt 1, o ile taka forma jest wystarczająca do wykazania spełniania obowiązków wynikających z art. 28 RODO.

  8. Administrator może przeprowadzić audyt nie częściej niż raz w roku kalendarzowym, chyba że istnieje uzasadnione podejrzenie naruszenia obowiązków Podmiotu przetwarzającego w zakresie ochrony danych osobowych albo doszło do naruszenia ochrony danych osobowych dotyczącego powierzonych danych.

  9. Audyt nie może prowadzić do zakłócenia ciągłości świadczenia Usług ani naruszenia poufności danych innych klientów Podmiotu przetwarzającego; zakres audytu ogranicza się do informacji niezbędnych do wykazania zgodności z Umową powierzenia i art. 28 RODO. Podmiot przetwarzający może odmówić udostępnienia informacji stanowiących tajemnicę przedsiębiorstwa albo informacji, których ujawnienie mogłoby naruszyć bezpieczeństwo Usług, przy czym zapewni Administratorowi alternatywny sposób wykazania zgodności z Umową powierzenia i art. 28 RODO (np. poprzez udostępnienie dokumentów/raportów w zakresie niezbędnym i zanonimizowanym).
  10. W ramach audytu niedopuszczalne jest wykonywanie testów bezpieczeństwa infrastruktury (w tym testów penetracyjnych, skanów podatności lub obciążeniowych) bez uprzedniej pisemnej zgody Podmiotu przetwarzającego.
  11. W razie stwierdzenia w toku audytu uchybień mających wpływ na bezpieczeństwo przetwarzania powierzonych danych osobowych Podmiot przetwarzający zobowiązuje się dostosować do zaleceń sformułowanych przez Administratora lub upoważnionego przez niego audytora.

§ 4.

Obowiązki Administratora

  1. Administrator zobowiązany jest zapewnić, aby przez cały okres obowiązywania Umowy powierzenia dysponował prawną podstawą przetwarzania powierzanych danych osobowych i aby przysługiwały mu odpowiednie uprawnienia umożliwiające ich powierzenie na rzecz Podmiotu przetwarzającego. W razie utraty ww. podstawy prawnej lub uprawnień wobec określonych powierzanych danych osobowych, Administrator zobowiązany jest niezwłocznie przedsięwziąć kroki niezbędne do zaprzestania ich powierzania, w szczególności zawiadomić o tym Podmiot przetwarzający.

  2. Administrator zobowiązuje się nie wydawać Podmiotowi przetwarzającemu poleceń dotyczących przetwarzania powierzanych danych osobowych, które byłyby niezgodne z przepisami prawa powszechnie obowiązującego, postanowieniami Umowy powierzenia lub innymi zobowiązaniami umownymi.

  3. Administrator ponosi odpowiedzialność za zgodność przetwarzania danych osobowych w związku z korzystaniem z Usług z przepisami RODO, w tym w szczególności za posiadanie odpowiedniej podstawy prawnej przetwarzania oraz spełnienie obowiązków informacyjnych wobec osób, których dane dotyczą.

  4. Administrator zobowiązuje się zapewnić, aby osoby kontaktujące się z nim z wykorzystaniem Usługi otrzymały informację, że rozmowa jest prowadzona z wirtualnym asystentem/rozwiązaniem opartym o AI, a w przypadku uruchomienia funkcjonalności nagrywania – że rozmowa jest nagrywana. Podmiot przetwarzający może udostępniać Administratorowi funkcjonalności umożliwiające realizację tych komunikatów, jednak ich dobór, treść i uruchomienie pozostają po stronie Administratora.

  5. Administrator zobowiązuje się zapewnić, że powierzone dane osobowe są adekwatne, poprawne i aktualne w zakresie, w jakim jest to wymagane do realizacji celów Administratora.

  6. Administrator zobowiązuje się korzystać z Usług w sposób zgodny z prawem i niewydawanie Podmiotowi przetwarzającemu poleceń sprzecznych z RODO lub innymi przepisami powszechnie obowiązującego prawa.

§ 5.

Dalsze powierzenie danych osobowych

  1. Administrator wyraża ogólną zgodę na dokonywanie przez Podmiot przetwarzający dalszego powierzania przetwarzania danych osobowych (dalej: „podpowierzenie”) wybranym przez siebie podwykonawcom.

  2. Podmiot przetwarzający zobowiązuje się zapewnić, aby:

    1. podmiot, wobec których dokonuje podpowierzenia, stosował odpowiednie środki techniczne i organizacyjne w celu zagwarantowania przetwarzania powierzonych danych osobowych zgodnie z przepisami RODO;

    2. zakres obowiązków dalszego podmiotu przetwarzającego w zakresie ochrony danych odpowiadał obowiązkom Podmiotu przetwarzającego przewidzianych w Umowie powierzenia.

  3. Administrator przyjmuje do wiadomości, że w celu świadczenia Usług Podmiot przetwarzający może powierzać przetwarzanie powierzonych danych osobowych podmiotom trzecim będącym dostawcami usług niezbędnych do realizacji Usług, w szczególności w obszarach: telekomunikacji i obsługi połączeń (np. Twilio), infrastruktury chmurowej/hostingu (np. Railway), usług przetwarzania mowy i AI (np. ElevenLabs) oraz przetwarzania płatności online (np. Stripe).

  4. Aktualny wykaz podmiotów, którym Podmiot przetwarzający podpowierza przetwarzanie (wraz z informacją o roli i – o ile dotyczy – transferach poza EOG) jest udostępniany Administratorowi w sposób ciągły: w Załączniku nr 2 do Umowy. Aktualizacja tej listy stanowi zawiadomienie, o którym mowa w ust. 7.

  5. Podmiot przetwarzający oraz jego podwykonawcy mogą przekazywać powierzone dane osobowe poza Europejski Obszar Gospodarczy wyłącznie, gdy istnieje ku temu zgodna z prawem podstawa, w szczególności gdy:

    1. odbiorca znajduje się w państwie objętym decyzją stwierdzającą odpowiedni stopień ochrony, lub

    2. przekazanie następuje na podstawie instrumentu spełniającego wymogi RODO dla transferów do państw trzecich, w tym w szczególności standardowych klauzul umownych (SCC).

  6. Na żądanie Administratora Podmiot przetwarzający udostępni (w zakresie, w jakim pozostaje to w jego dyspozycji) informacje niezbędne do wykazania, że transfer, o którym mowa w ust. 5, odbywa się z zastosowaniem odpowiednich zabezpieczeń.

  7. W przypadku zamiaru podpowierzenia przetwarzania danych osobowych danemu podwykonawcy, Podmiot przetwarzający zobowiązany jest zawiadomić o tym Administratora nie później niż na 7 (siedem) dni przed dokonaniem podpowierzenia (w szczególności poprzez aktualizację listy, o której mowa w ust. 4, oraz/lub wiadomość e-mail).

  8. Administrator może sprzeciwić się dokonaniu podpowierzenia w terminie 7 (siedmiu) dni od dnia otrzymania zawiadomienia.

  9. Po upływie terminu, o którym mowa w ust. 8, Podmiot przetwarzający może dokonać podpowierzenia przetwarzanych danych osobowych wybranemu podwykonawcy.

  10. W przypadku zgłoszenia sprzeciwu, o którym mowa w ust. 8 powyżej, Podmiot przetwarzający może odstąpić od Umowy głównej ze skutkiem natychmiastowym.

  11. Podpowierzenie, o którym mowa w ust. 3 powyżej, nie stanowi zmiany Umowy powierzenia.

§ 6.

Poufność

Strony zobowiązują się wykorzystać materiały, dane oraz wszelkie informacje pozyskane od drugiej Strony w celu wykonania Umowy powierzenia wyłącznie do jej realizacji oraz zachować te materiały, dane oraz informacje w tajemnicy, zarówno w czasie trwania Umowy powierzenia, jak i po jej rozwiązaniu.

§ 7.

Czas obowiązywania Umowy powierzenia

Umowa powierzenia zostaje zawarta na czas obowiązywania Umowy głównej i rozwiązuje się wraz z wypowiedzeniem, rozwiązaniem lub wygaśnięciem Umowy głównej.

§ 8.

Skutki rozwiązania Umowy powierzenia

  1. W przypadku rozwiązania Umowy powierzenia Podmiot przetwarzający, niezwłocznie, nie później niż w terminie 30 (trzydziestu) dni od dnia rozwiązania Umowy powierzenia, zobowiązuje się – według decyzji Administratora – zwrócić Administratorowi oraz usunąć z własnych systemów i nośników wszelkie dane osobowe, których przetwarzanie zostało mu powierzone.

  2. Podmiot przetwarzający może przechowywać dane osobowe w zakresie i przez czas wymagany przepisami powszechnie obowiązującego prawa (np. w związku z rozliczeniami).

  3. Administrator przyjmuje do wiadomości, że usunięcie danych z kopii zapasowych następuje w cyklu rotacji backupów i może potrwać do 30 dni, przy czym w tym okresie dane nie są wykorzystywane do celów operacyjnych Usługi, a dostęp do kopii zapasowych jest ograniczony.

§ 9.

Postanowienia końcowe

  1. Integralną częścią Umowy jest Załącznik nr 1 – Kategorie powierzonych danych osobowych oraz kategorie osób, których powierzone dane osobowe dotyczą.

  2. Do zmian Umowy powierzenia stosuje się odpowiednie postanowienia Regulaminu.

  3. Odpowiedzialność Stron w związku z Umową powierzenia podlega ograniczeniom przewidzianym w Umowie głównej, w zakresie dopuszczalnym przez prawo.

  4. W sprawach nieuregulowanych w Umowie powierzenia mają zastosowanie postanowienia Regulaminu, przepisy RODO oraz odpowiednie przepisy prawa polskiego.

 

Załącznik nr 1 – Kategorie powierzonych danych osobowych oraz kategorie osób, których powierzone dane osobowe dotyczą

L.P.

KATEGORIE DANYCH OSOBOWYCH

KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄ

numery telefonów, imię i nazwisko (jeśli podane), adres e-mail (jeśli podany), dane identyfikacyjne/nazwowe firmy (jeśli podane), inne dane kontaktowe przekazane w trakcie rozmowy lub w CRM

rozmówcy, klienci i potencjalni klienci Administratora (osoby dzwoniące / osoby, których dane Administrator wprowadza do CRM).

metadane połączeń (data/godzina, czas trwania, status, identyfikatory połączeń, numery A/B), nagrania audio rozmów (jeśli włączone), transkrypcje, treść rozmów, notatki i podsumowania, tagi, wyniki analizy (np. intencja, lead score).

rozmówcy/klienci/potencjalni klienci Administratora.

dane dotyczące rezerwacji i obsługi sprawy (terminy, preferencje, zakres usługi, miejsce realizacji usługi, dodatkowe informacje przekazane w rozmowie).

rozmówcy/klienci/potencjalni klienci Administratora.

dane w module CRM Administratora (historia kontaktu, status leada, źródło pozyskania, tagi, notatki, ustalenia z rozmów, dane kontaktowe).

klienci, potencjalni klienci, kontrahenci oraz inne osoby, których dane Administrator utrzymuje w CRM

dane użytkowników po stronie Administratora (imię i nazwisko, służbowy e-mail, służbowy numer telefonu, rola/uprawnienia, identyfikator użytkownika, logi aktywności w panelu w zakresie związanym z Usługą).

pracownicy i współpracownicy Administratora (użytkownicy Konta).

 

 

Załącznik nr 2 – Wykaz podwykonawców (Subprocesorów) i transferów

 

Podwykonawca (Subprocesor) Rola / usługa Zakres powierzonych danych (przykładowo) Lokalizacja podmotu Lokalizacja przetwarzania / przechowywania Transfer poza EOG
Twilio Telekomunikacja / obsługa połączeń i SMS numery tel., metadane połączeń/SMS, (opcjonalnie) nagrania/strumienie mediów zależnie od konfiguracji USA USA / zgodnie z DPA Twilio (możliwy charakter globalny zależnie od usług) możliwy
Railway Corporation Hosting/infrastruktura aplikacji (serwery/DB/logi) dane aplikacyjne/CRM/transkrypcje przechowywane w bazie + logi systemowe USA EU West / Amsterdam możliwy
ElevenLabs Przetwarzanie mowy/AI (STT/TTS/agent/LLM) treść rozmów, transkrypcje, dane audio (jeśli wysyłane), metadane sesji USA USA możliwy

Stripe Payments Europe, Ltd. / właściwe podmioty z grupy Stripe zgodnie z DPA Stripe

Przetwarzanie płatności online, fakturowanie, zarządzanie subskrypcjami

Dane identyfikacyjne Administratora, dane rozliczeniowe (np. NIP/Adres do faktury), identyfikatory transakcji/subskrypcji; dane kartowe przetwarzane przez Stripe zgodnie z ich regulaminami

Irlandia

Irlandia / Globalnie (zgodnie z DPA Stripe)

możliwy

Google Ireland Limited (Google Analytics)

Analityka ruchu i zachowań użytkowników (Google Analytics)

Identyfikatory online (np. cookie/Client ID), informacje o urządzeniu i przeglądarce, zdarzenia i metadane sesji; (w zależności od konfiguracji) adres IP/parametry sieciowe.

Irlandia

Infrastruktura Google – przetwarzanie może mieć charakter globalny.

możliwy

Resend (Plus Five Five, Inc.)

subprocesor (wysyłka e-mail)

e-mail odbiorcy, metadane wysyłki; potencjalnie treść wiadomości (zależnie od trybu).

USA

Irlandia (EU)

możliwy