ZawszeOdbieram.pl
Zawsze Odbieram.pl

DPA

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (DPA)

ZawszeOdbieram - Dane Klientów Końcowych

Wersja: 1.0 | Data: 2026-02-14

1. Przedmiot Umowy

1.1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia przez Procesora usługi "ZawszeOdbieram" (B2B SaaS) zgodnie z Umową główną/Regulaminem.

1.2. Umowa zostaje zawarta w celu spełnienia wymogów art. 28 RODO.

1.3. Szczegółowy opis przetwarzania (przedmiot, czas trwania, charakter, cele, kategorie danych i osób) znajduje się w Załączniku A.

2. Oświadczenia i role

2.1. Administrator oświadcza, że posiada podstawę prawną do przetwarzania danych osobowych oraz do ich powierzenia Procesorowi, w tym w zakresie nagrywania rozmów (jeśli dotyczy) i stosowania automatyzacji/AI w obsłudze połączeń.

2.2. Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa Unii lub prawa państwa członkowskiego - w takim przypadku Procesor poinformuje Administratora o tym obowiązku, o ile prawo tego nie zabrania.

2.3. Procesor nie decyduje o celach i sposobach przetwarzania danych Klientów Końcowych poza zakresem niezbędnym do świadczenia Usługi. Administrator pozostaje administratorem danych Klientów Końcowych.

3. Obowiązki Procesora

3.1. Procesor zobowiązuje się:
(a) przetwarzać dane wyłącznie na polecenie Administratora i w granicach Umowy;
(b) zapewnić, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności;
(c) wdrożyć odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 RODO (opis ogólny w Załączniku B);
(d) przestrzegać warunków korzystania z dalszych podmiotów przetwarzających (Subprocesorów) zgodnie z pkt 4;
(e) pomagać Administratorowi w realizacji praw osób, których dane dotyczą, w zakresie możliwym technicznie i organizacyjnie;
(f) pomagać Administratorowi w realizacji obowiązków z art. 32-36 RODO (bezpieczeństwo, naruszenia, DPIA, konsultacje);
(g) po zakończeniu świadczenia usług - usunąć lub zwrócić dane zgodnie z pkt 7;
(h) udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwiać audyty na zasadach pkt 8.

4. Subprocesorzy

4.1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z Subprocesorów wskazanych w Załączniku C.

4.2. Procesor poinformuje Administratora o zamiarze dodania lub zastąpienia Subprocesora z wyprzedzeniem co najmniej 14 dni. Administrator ma prawo zgłosić uzasadniony sprzeciw w tym terminie. W razie sprzeciwu Strony uzgodnią rozwiązanie alternatywne; gdy nie będzie to możliwe, Administrator może rozwiązać Umowę główną w zakresie dotyczącym przetwarzania danych.

4.3. Procesor zapewni, aby Subprocesor był związany obowiązkami co najmniej równoważnymi z niniejszą Umową, w szczególności w zakresie poufności i bezpieczeństwa.

5. Transfer danych poza EOG

5.1. Jeżeli w związku ze świadczeniem Usługi dochodzi do transferu danych poza Europejski Obszar Gospodarczy (np. do USA), Procesor zapewni odpowiednią podstawę transferu zgodnie z rozdziałem V RODO, w szczególności poprzez standardowe klauzule umowne (SCC) lub - jeżeli ma zastosowanie - transfer do podmiotu objętego decyzją stwierdzającą odpowiedni stopień ochrony lub mechanizmem EU-US Data Privacy Framework.

5.2. Informacje o stosowanych zabezpieczeniach Procesor udostępni Administratorowi na wniosek.

6. Naruszenia ochrony danych

6.1. Procesor poinformuje Administratora bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych na mocy niniejszej Umowy.

6.2. Zgłoszenie będzie zawierać co najmniej informacje wymagane art. 33 ust. 3 RODO w zakresie, w jakim są one dostępne Procesorowi (opis naruszenia, kategorie i przybliżona liczba osób, możliwe konsekwencje, środki zaradcze, dane kontaktowe).

7. Zwrot lub usunięcie danych

7.1. Po zakończeniu świadczenia usług, Procesor - wedle wyboru Administratora - zwróci Administratorowi dane w ustrukturyzowanym formacie lub je usunie, chyba że prawo wymaga dalszego przechowywania.

7.2. Usunięcie nastąpi w terminie 30 dni od zakończenia Umowy, z zastrzeżeniem logów bezpieczeństwa przechowywanych zgodnie z uzasadnionym interesem Procesora, o ile nie będą zawierały treści rozmów (lub będą odpowiednio zminimalizowane).

8. Audyt i dokumentacja

8.1. Administrator ma prawo przeprowadzić audyt zgodności przetwarzania danych z niniejszą Umową, nie częściej niż raz w roku, z co najmniej 14-dniowym wyprzedzeniem, w godzinach pracy Procesora, w sposób niezakłócający świadczenia Usługi.

8.2. Procesor może spełnić obowiązek audytu poprzez udostępnienie aktualnych raportów i certyfikatów (np. ISO 27001/SOC2) lub wypełnionych kwestionariuszy bezpieczeństwa, o ile w rozsądnym zakresie odpowiadają potrzebom Administratora.

9. Postanowienia końcowe

9.1. Umowa obowiązuje przez czas świadczenia Usługi przez Procesora na rzecz Administratora.

9.2. W sprawach nieuregulowanych stosuje się RODO oraz prawo polskie.

9.3. Umowa stanowi Załącznik do Umowy głównej/Regulaminu. W razie sprzeczności pierwszeństwo mają postanowienia niniejszej Umowy w zakresie ochrony danych.

Załącznik A - Opis przetwarzania

1) Przedmiot przetwarzania: obsługa połączeń przychodzących do Użytkownika przez Asystenta AI, nagrywanie rozmów (opcjonalnie), transkrypcja, generowanie podsumowań, rezerwacja terminów, przekazywanie leadów.

2) Czas trwania: okres świadczenia Usługi oraz okresy retencji przewidziane w Umowie głównej/ustawieniach.

3) Charakter i cele przetwarzania: automatyzacja obsługi telefonicznej Użytkownika, rezerwacja wizyt, obsługa zapytań, przekazywanie informacji i leadów.

4) Kategorie osób, których dane dotyczą: Klienci Końcowi Użytkownika (osoby dzwoniące), osoby umawiane na wizytę, ewentualnie osoby trzecie wymienione w rozmowie.

5) Kategorie danych: numer telefonu (Caller ID), nagranie audio i treść rozmowy, transkrypcja, imię i nazwisko (dobrowolnie podane), dane umawianej wizyty (termin, rodzaj usługi), dane przedmiotowe zależne od branży (np. model auta).

6) Szczególne kategorie danych: co do zasady nie powinny być przetwarzane; mogą zostać podane dobrowolnie przez rozmówcę (np. dane o zdrowiu). Użytkownik powinien wdrożyć komunikaty i konfiguracje ograniczające takie ryzyko.

Załącznik B - Środki techniczne i organizacyjne (ogólny opis)

  • Szyfrowanie transmisji (TLS) pomiędzy Aplikacją a backendem.
  • Kontrola dostępu oparta o role i uwierzytelnianie (np. Firebase Auth).
  • Segmentacja środowisk (produkcyjne/testowe) - o ile stosowane.
  • Logowanie zdarzeń i monitoring bezpieczeństwa.
  • Procedury kopii zapasowych i odtwarzania (zależne od dostawcy chmury).
  • Zasada minimalizacji dostępu dla personelu (need-to-know).
  • Zarządzanie podatnościami i aktualizacje komponentów.

Uwaga: Administrator może żądać doprecyzowania środków w formularzu bezpieczeństwa.

Załącznik C - Subprocesorzy

  • Google Cloud / Firebase - infrastruktura chmurowa i uwierzytelnianie.
  • Vapi.ai - orkiestracja Voice AI.
  • OpenAI - model językowy wykorzystywany do obsługi rozmów.
  • Microsoft Azure - transkrypcja mowy (speech-to-text).
  • ElevenLabs - synteza mowy (text-to-speech).
  • Twilio / Vonage - infrastruktura telekomunikacyjna (numeracja i powiązane usługi, w zależności od konfiguracji).