AUTERA × Fix Forum

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (DPA)

Załącznik nr 4 do Umowy Ramowej nr [●] z dnia [●] r.

Draft do weryfikacji prawnej · pola [DO UZUPEŁNIENIA] do uzupełnienia danymi rejestrowymi

zawarta pomiędzy Administratorem (Zamawiający / Salon — jak w Umowie Ramowej i Przystąpieniu) a Przetwarzającym — Autera sp. z o.o. z siedzibą w ____________, ul. ____________, ____________, wpisaną do rejestru przedsiębiorców KRS pod nr ____________, NIP ____________, REGON ____________, kapitał zakładowy ____________ zł, reprezentowana przez ____________.

Powierzenie następuje na podstawie art. 28 RODO, w związku z realizacją Umowy Ramowej („Umowa Podstawowa”). Celem DPA jest określenie warunków, na jakich Przetwarzający przetwarza dane osobowe w imieniu Administratora.

§ 1. Przedmiot, charakter, cel i czas przetwarzania

1. Administrator powierza Przetwarzającemu przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usług Ekosystemu Autera.

2. Charakter i cel przetwarzania: obsługa i kwalifikacja leadów, kontakt z klientami (czat, telefon), umawianie jazd próbnych, rejestracja, transkrypcja i analiza rozmów, raportowanie skuteczności.

3. Zakres czynności obejmuje: zbieranie, utrwalanie, przechowywanie, przeglądanie, modyfikowanie, analizowanie, przekazywanie (Sub-procesorom) oraz usuwanie danych.

4. Czas przetwarzania: okres obowiązywania Umowy Podstawowej, z zastrzeżeniem § 11. Rodzaje danych — Załącznik nr 1; kategorie osób — Załącznik nr 2.

§ 2. Polecenia Administratora

1. Przetwarzający przetwarza dane wyłącznie na udokumentowane polecenie Administratora, którym jest również niniejsza DPA i Umowa Podstawowa, chyba że obowiązek przetwarzania nakłada prawo.

2. Przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.

3. Przetwarzający nie przetwarza danych w celach własnych ani w sposób wykraczający poza Umowę Podstawową.

§ 3. Obowiązki Przetwarzającego

zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi poufności;
wdraża i utrzymuje środki techniczne i organizacyjne zgodne z art. 32 RODO (Załącznik nr 4);
przestrzega warunków podpowierzenia (§ 4) oraz zasad transferu poza EOG (§ 7);
w miarę możliwości pomaga Administratorowi (odpowiednimi środkami) w realizacji żądań osób, których dane dotyczą (§ 6);
pomaga Administratorowi w wypełnieniu obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków DPIA, uprzednie konsultacje);
udostępnia informacje niezbędne do wykazania zgodności oraz umożliwia audyty (§ 9);
prowadzi rejestr kategorii czynności przetwarzania dokonywanych w imieniu Administratora (art. 30 ust. 2 RODO);
wyznacza punkt kontaktowy w sprawach ochrony danych: [DO UZUPEŁNIENIA: e-mail / IOD].

§ 4. Podpowierzenie (Sub-procesorzy)

1. Administrator wyraża ogólną zgodę na korzystanie przez Przetwarzającego z Sub-procesorów wymienionych w Załączniku nr 3.

2. O zamierzonych zmianach (dodaniu lub zastąpieniu Sub-procesora) Przetwarzający informuje Administratora z wyprzedzeniem, umożliwiając zgłoszenie uzasadnionego sprzeciwu w terminie 14 dni. W razie sprzeciwu Strony w dobrej wierze uzgodnią rozwiązanie; brak rozwiązania może uprawniać do wypowiedzenia usługi, której dotyczy Sub-procesor.

3. Przetwarzający zawiera z każdym Sub-procesorem umowę nakładającą obowiązki ochrony danych nie mniej rygorystyczne niż w niniejszej DPA i ponosi wobec Administratora pełną odpowiedzialność za działania i zaniechania Sub-procesorów.

§ 5. Bezpieczeństwo przetwarzania

Przetwarzający stosuje środki techniczne i organizacyjne adekwatne do ryzyka, uwzględniając stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres i cele przetwarzania, w szczególności wskazane w Załączniku nr 4. Przetwarzający okresowo testuje i ocenia skuteczność tych środków.

§ 6. Prawa osób, których dane dotyczą

Przetwarzający, biorąc pod uwagę charakter przetwarzania, wspiera Administratora odpowiednimi środkami technicznymi i organizacyjnymi w realizacji żądań osób (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw). Żądania kierowane bezpośrednio do Przetwarzającego są niezwłocznie przekazywane Administratorowi.

§ 7. Przekazywanie danych poza EOG

1. Część Sub-procesorów (dostawcy modeli AI, telefonii, transkrypcji) ma siedzibę w USA. Przekazywanie danych do tych podmiotów odbywa się na podstawie:

decyzji adekwatności / certyfikacji w ramach EU–US Data Privacy Framework (DPF) — o ile dany Sub-procesor jest certyfikowany; oraz/lub
standardowych klauzul umownych (SCC) przyjętych decyzją Komisji Europejskiej, wraz z oceną skutków transferu (TIA) i dodatkowymi zabezpieczeniami (m.in. szyfrowanie, minimalizacja).

2. Status i mechanizm transferu dla każdego Sub-procesora wskazuje Załącznik nr 3. Administrator, akceptując Załącznik nr 3, poleca i akceptuje opisany w nim transfer.

3. Brak zgody na transfer poza EOG może uniemożliwić świadczenie niektórych funkcji opartych na AI; Strony uzgodnią wówczas zakres usług możliwy do realizacji wyłącznie w EOG.

§ 8. Naruszenia ochrony danych

Przetwarzający zgłasza Administratorowi naruszenie ochrony danych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od jego stwierdzenia, przekazując informacje niezbędne do wykonania przez Administratora obowiązków z art. 33–34 RODO (charakter naruszenia, kategorie i przybliżona liczba osób oraz rekordów, prawdopodobne konsekwencje, podjęte i proponowane środki).

§ 9. Audyt

1. Administrator ma prawo do audytu (w tym inspekcji) zgodności przetwarzania, samodzielnie lub przez upoważnionego audytora zobowiązanego do poufności.

2. Audyt poprzedza zawiadomienie z wyprzedzeniem co najmniej 14 dni; audyt odbywa się w Dni Robocze, w sposób niezakłócający działalności Przetwarzającego, nie częściej niż raz w roku (poza przypadkiem naruszenia lub żądania organu). Koszty własne audytu ponosi Administrator.

§ 10. Odpowiedzialność

Każda ze Stron odpowiada za szkody wyrządzone przetwarzaniem niezgodnym z RODO w zakresie, w jakim naruszyła obowiązki nałożone na nią przepisami lub niniejszą DPA. Zasady i ograniczenia odpowiedzialności określone w Umowie Podstawowej stosuje się odpowiednio.

§ 11. Czas obowiązywania i zakończenie

DPA obowiązuje przez czas obowiązywania Umowy Podstawowej. Po jej zakończeniu Przetwarzający — według wyboru Administratora wyrażonego w terminie 30 dni — usuwa lub zwraca dane oraz usuwa istniejące kopie, chyba że prawo nakazuje dalsze przechowywanie; usunięcie potwierdza na żądanie.

§ 12. Postanowienia końcowe

W sprawach nieuregulowanych stosuje się RODO oraz przepisy prawa polskiego. W razie sprzeczności DPA z Umową Podstawową w kwestiach ochrony danych pierwszeństwo ma DPA. Załączniki 1–4 stanowią integralną część DPA.

Załącznik nr 1 — Rodzaje danych osobowych

dane identyfikacyjne i kontaktowe: imię, nazwisko, numer telefonu, adres e-mail;
dane dotyczące zapytania: marka/model pojazdu, budżet, preferencje, forma finansowania, treść korespondencji i rozmów;
nagrania i transkrypcje rozmów telefonicznych oraz metadane połączeń (czas, numer, czas trwania);
dane techniczne: adres IP, identyfikatory urządzenia/sesji, pliki cookie;
dane służbowe handlowców i koordynatorów (imię, nazwisko, numer służbowy) — na potrzeby analizy rozmów i raportowania.

Nie przewiduje się przetwarzania danych szczególnych kategorii (art. 9 RODO); Administrator zobowiązuje się nie wprowadzać takich danych do Ekosystemu.

Załącznik nr 2 — Kategorie osób, których dane dotyczą

klienci i potencjalni klienci (leady) Salonów;
osoby kontaktujące się z Salonem (telefonicznie, przez czat lub formularz);
pracownicy i współpracownicy Salonów (handlowcy, koordynatorzy) — w zakresie służbowym.

Załącznik nr 3 — Lista Sub-procesorów

OpenAI (siedziba: USA) — modele AI: czat, asystent głosowy, analiza/transkrypcja pomocnicza. Transfer: EU–US DPF / SCC.
Twilio (USA / UE) — telefonia, połączenia i nagrywanie rozmów. Transfer: SCC / DPF; wykorzystanie regionów UE tam, gdzie dostępne.
AssemblyAI (USA) — transkrypcja rozmów na potrzeby analizy. Transfer: SCC.
Dostawca hostingu/infrastruktury [DO UZUPEŁNIENIA, np. OVH] — hosting aplikacji i przechowywanie danych. Lokalizacja: EOG.

Dla czatbota (Radziborz) silnikiem AI jest OpenAI. Dla asystenta głosowego: Twilio (telefonia/nagrywanie) + OpenAI (przetwarzanie) + AssemblyAI (transkrypcja). Lista aktualizowana w trybie § 4.

Załącznik nr 4 — Środki techniczne i organizacyjne

szyfrowanie transmisji danych (TLS) oraz szyfrowanie danych wrażliwych w spoczynku tam, gdzie ma to zastosowanie;
kontrola dostępu i uwierzytelnianie, dostęp wg zasady wiedzy koniecznej (least privilege), role i uprawnienia;
rejestrowanie zdarzeń i dostępów (logi), monitorowanie bezpieczeństwa;
kopie zapasowe i procedury odtwarzania po awarii; rozdzielenie środowisk (produkcja/testy);
zarządzanie podatnościami i aktualizacjami; pseudonimizacja/minimalizacja danych tam, gdzie to możliwe;
umowy poufności z personelem oraz umowy powierzenia z Sub-procesorami; procedura obsługi naruszeń.

Administrator: ____________________

Przetwarzający (Autera): ____________________