Indywidualna umowa powierzenia przetwarzania danych

Dla klientów biznesowych chętnie przygotujemy umowę powierzenia przetwarzania danych z danymi Państwa firmy na życzenie.

Zapytaj

Umowa powierzenia przetwarzania danych | Safina AI

Ostatnia aktualizacja: 2025-04-26

Umowa powierzenia przetwarzania danych osobowych zgodnie z art. 28 RODO

Stan na: 26 kwietnia 2025

Niniejsza Umowa powierzenia przetwarzania danych osobowych (zwana dalej „UPP”) obowiązuje pomiędzy Użytkownikiem usługi Safina AI, który działa jako Administrator danych w rozumieniu art. 4 pkt 7 RODO (zwany dalej „Zleceniodawcą” lub „Klientem”),

a

DK Tech Solutions UG (haftungsbeschränkt) Schwanthalerstr. 141 80339 München (zwaną dalej „Zleceniobiorcą”).

Preambuła

Niniejsza UPP stanowi integralną część Warunków korzystania z usługi Safina AI i reguluje prawa oraz obowiązki stron w zakresie przetwarzania danych osobowych na zlecenie zgodnie z art. 28 RODO. Obowiązuje ona wszystkich Zleceniodawców, którzy korzystają z Usługi jako przedsiębiorcy i w związku z tym zlecają Zleceniobiorcy przetwarzanie danych osobowych. Niniejsza UPP wchodzi w życie z chwilą zaakceptowania przez Zleceniodawcę Warunków korzystania z Safina AI lub rozpoczęcia korzystania z Usługi.

W związku z powyższym strony uzgadniają, co następuje:

I. Przedmiot zlecenia, zakres zastosowania i odpowiedzialność

Przedmiot niniejszego zlecenia wynika z Warunków korzystania z Safina AI oraz opisu usługi.

Zleceniobiorca przetwarza dane osobowe na zlecenie Zleceniodawcy. Obejmuje to czynności określone w Warunkach korzystania oraz opisie usługi Safina AI. W szczególności dotyczy to udostępniania i obsługi sterowanej przez AI poczty głosowej / asystenta telefonicznego AI (Safina AI). Obejmuje to między innymi:

  • Odbieranie połączeń telefonicznych w imieniu Zleceniodawcy.
  • Nagrywanie rozmów telefonicznych (audio), o ile funkcja ta została wyraźnie aktywowana przez Zleceniodawcę (domyślnie wyłączona).
  • Transkrypcję rozmów telefonicznych.
  • Sporządzanie podsumowań i analiz połączeń (np. ocena nastroju, rozpoznawanie zadań do wykonania).
  • Rozpoznawanie i oznaczanie potencjalnych połączeń spamowych lub phishingowych.
  • Przechowywanie danych dotyczących połączeń (audio, transkrypcja, metadane, podsumowania).
  • Udostępnianie przetworzonych informacji Zleceniodawcy za pośrednictwem aplikacji Safina AI oraz konfigurowalnych powiadomień (np. push, e-mail).
  • Zarządzanie danymi kontaktowymi i ustawieniami konfiguracji Zleceniodawcy w ramach świadczenia usługi.

Zleceniodawca ponosi w ramach niniejszej umowy wyłączną odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych, w szczególności za zgodność przetwarzania danych z prawem (np. informowanie osób dzwoniących o nagrywaniu, uzyskiwanie wymaganych zgód) oraz za przekazywanie danych Zleceniobiorcy („Administrator” w rozumieniu art. 4 pkt 7 RODO).

Instrukcje są początkowo ustalane przez Warunki korzystania oraz konfigurację Usługi dokonaną przez Zleceniodawcę i mogą być następnie zmieniane, uzupełniane lub zastępowane przez Zleceniodawcę w formie pisemnej lub elektronicznej (forma tekstowa) w postaci instrukcji indywidualnych, o ile pozwala na to funkcjonalność Usługi. Instrukcje ustne należy niezwłocznie potwierdzić w formie pisemnej lub tekstowej.

II. Czas trwania zlecenia

Czas trwania niniejszego zlecenia (okres obowiązywania) jest powiązany z okresem korzystania z usługi Safina AI przez Zleceniodawcę zgodnie z zaakceptowanymi Warunkami korzystania (np. poprzez aktywną opłatę subskrypcji).

Umowa obowiązuje niezależnie od powyższego postanowienia tak długo, jak Zleceniobiorca przetwarza dane osobowe na zlecenie Zleceniodawcy (w tym systemowe kopie zapasowe).

W przypadku gdy z innych umów między Zleceniodawcą a Zleceniobiorcą wynikają odmienne ustalenia dotyczące ochrony danych osobowych, niniejsza Umowa powierzenia przetwarzania ma pierwszeństwo, chyba że strony wyraźnie postanowiły inaczej.

III. Specyfikacja

Rodzaje danych

Przedmiotem zbierania, przetwarzania lub wykorzystywania danych osobowych w ramach świadczenia usługi Safina AI są następujące rodzaje/kategorie danych:

  • Dane komunikacyjne: numery telefonów (osób dzwoniących, Zleceniodawcy), adresy e-mail (Zleceniodawcy do powiadomień/logowania), metadane połączeń (data, godzina, czas trwania).
  • Dane audio: nagrania głosowe połączeń odebranych przez Safina AI (tylko po aktywacji przez Zleceniodawcę).
  • Dane dotyczące treści: transkrypcje rozmów, treść podsumowań połączeń, wyodrębnione informacje (np. zadania do wykonania, nazwiska, jeśli zostały wymienione w rozmowie).
  • Dane osobowe podstawowe: nazwiska osób dzwoniących (jeśli zostały wymienione w rozmowie lub przekazane), imiona i nazwiska oraz dane kontaktowe użytkowników Zleceniodawcy.
  • Dane analityczne i oceniające: wyniki analizy nastroju, klasyfikacja spamu.
  • Dane konfiguracyjne: ustawienia wybrane przez Zleceniodawcę (np. głos, tonacja, reguły przekierowań, preferencje powiadomień, status aktywacji nagrywania audio).
  • Dane kontaktowe Zleceniodawcy: ewentualnie dane kontaktowe zapisane lub zsynchronizowane przez Zleceniodawcę w Safina AI do zarządzania regułami połączeń.
  • Dane użytkownika Zleceniodawcy: dane logowania, ustawienia profilu użytkownika.

Kategorie osób, których dane dotyczą

Zakres osób, których dane osobowe są przetwarzane w ramach niniejszego zlecenia, obejmuje:

  • Osoby dzwoniące: osoby, które kontaktują się telefonicznie ze Zleceniodawcą, a ich połączenie jest odbierane przez Safina AI.
  • Pracownicy/użytkownicy Zleceniodawcy: osoby, które korzystają z usługi Safina AI i zarządzają nią w imieniu Zleceniodawcy.
  • Kontakty Zleceniodawcy: osoby, których dane kontaktowe Zleceniodawca ewentualnie zapisał lub zsynchronizował w Safina AI w celach konfiguracyjnych.

Miejsce przetwarzania i poufność

Przetwarzanie danych odbywa się wyłącznie na terytorium państwa członkowskiego Unii Europejskiej lub innego państwa będącego stroną Porozumienia o Europejskim Obszarze Gospodarczym (w szczególności w Niemczech). Przeniesienie przetwarzania do państwa trzeciego wymaga uprzedniej zgody Zleceniodawcy i może nastąpić wyłącznie po spełnieniu szczególnych warunków określonych w art. 44-50 RODO (np. poprzez standardowe klauzule umowne). Zleceniodawca nie może bezpodstawnie odmówić udzielenia takiej zgody.

Strony umowy zobowiązują się do zachowania poufności wszelkich tajemnic handlowych i służbowych drugiej strony, do ich ścisłego utajnienia i nieudostępniania osobom trzecim – chyba że druga strona udzieli wyraźnej uprzedniej zgody na piśmie lub istnieje ustawowy obowiązek ujawnienia. Obowiązek zachowania poufności dotyczy wszystkich informacji nieznanych publicznie, o których strony dowiadują się w ramach realizacji współpracy.

Zleceniobiorca przetwarza dane osobowe wyłącznie w zakresie instrukcji Zleceniodawcy i postanowień Warunków korzystania. Zleceniobiorcy zabrania się wykorzystywania danych w celach innych niż uzgodnione, w szczególności do analizowania ich na własne potrzeby lub udostępniania nieupoważnionym osobom trzecim. Zleceniobiorca zapewnia, że dane osobowe przetwarzane na zlecenie, w szczególności nagrania audio i transkrypcje, nie są wykorzystywane do trenowania własnych ani obcych modeli AI.

IV. Środki techniczne i organizacyjne

Zleceniobiorca w swoim zakresie odpowiedzialności podejmuje wszelkie wymagane środki techniczne i organizacyjne zgodnie z art. 32 RODO w celu zapewnienia odpowiedniej ochrony danych osobowych, z uwzględnieniem charakteru, zakresu, okoliczności i celów przetwarzania oraz różnego prawdopodobieństwa wystąpienia i dotkliwości ryzyka dla praw i wolności osób fizycznych. Opis aktualnych środków technicznych i organizacyjnych (TOM) zostanie udostępniony Zleceniodawcy na żądanie lub jako załącznik do niniejszej umowy.

Uzgodnione środki techniczne i organizacyjne podlegają postępowi technicznemu i dalszemu rozwojowi. W związku z tym Zleceniobiorca ma prawo wdrożyć alternatywne, adekwatne środki. Nie może przy tym obniżyć poziomu bezpieczeństwa określonego w uzgodnionych środkach. Istotne zmiany Zleceniobiorca udokumentuje i poinformuje o nich Zleceniodawcę na żądanie.

V. Prawa osób, których dane dotyczą

Zleceniobiorca wspiera Zleceniodawcę w jego zakresie odpowiedzialności i w miarę możliwości za pomocą odpowiednich środków technicznych i organizacyjnych w wypełnianiu obowiązków Zleceniodawcy w zakresie odpowiadania na wnioski osób, których dane dotyczą, o realizację ich praw (art. 12-23 RODO).

Zleceniobiorca nie może samodzielnie korygować, usuwać danych przetwarzanych na zlecenie ani ograniczać ich przetwarzania, lecz wyłącznie na podstawie udokumentowanej instrukcji Zleceniodawcy. Jeżeli osoba, której dane dotyczą (w szczególności osoba dzwoniąca), zwróci się bezpośrednio do Zleceniobiorcy, ten niezwłocznie przekaże takie żądanie Zleceniodawcy.

W zakresie, w jakim udzielanie informacji, usuwanie, ograniczanie lub przenoszenie danych wchodzi w zakres świadczonych usług i może być realizowane przez Zleceniodawcę za pośrednictwem funkcjonalności Safina AI, leży to w gestii Zleceniodawcy. W pozostałym zakresie Zleceniobiorca udziela wsparcia zgodnie z instrukcjami.

VI. Zapewnienie jakości i pozostałe obowiązki Zleceniobiorcy

Zleceniobiorca ma, oprócz przestrzegania postanowień niniejszej umowy, własne obowiązki ustawowe wynikające z RODO; w tym zakresie zapewnia w szczególności przestrzeganie następujących wymogów:

Zachowanie poufności zgodnie z art. 28 ust. 3 zd. 2 lit. b, art. 29, art. 32 ust. 4 RODO. Zleceniobiorca przy wykonywaniu prac zatrudnia wyłącznie pracowników zobowiązanych do zachowania poufności i uprzednio zapoznanych z obowiązującymi ich przepisami o ochronie danych. Zleceniobiorca i każda osoba podlegająca Zleceniobiorcy, mająca dostęp do danych osobowych, może przetwarzać te dane wyłącznie zgodnie z instrukcjami Zleceniodawcy, chyba że jest do przetwarzania zobowiązana na mocy prawa.

Zleceniodawca i Zleceniobiorca na żądanie współpracują z organem nadzorczym przy wykonywaniu jego zadań.

Niezwłoczne informowanie Zleceniodawcy o czynnościach kontrolnych i działaniach organu nadzorczego, o ile dotyczą one niniejszej umowy. Dotyczy to również sytuacji, gdy właściwy organ prowadzi dochodzenie w ramach postępowania w sprawie wykroczeń lub karnych w związku z przetwarzaniem danych osobowych w ramach przetwarzania na zlecenie.

W przypadku gdy Zleceniodawca sam podlega kontroli organu nadzorczego, postępowaniu w sprawie wykroczeń lub karnemu, roszczeniu osoby, której dane dotyczą, lub osoby trzeciej, bądź innemu roszczeniu w związku z przetwarzaniem na zlecenie przez Zleceniobiorcę, Zleceniobiorca wspiera go w miarę swoich możliwości w wymaganym zakresie.

Zleceniobiorca regularnie kontroluje wewnętrzne procesy oraz środki techniczne i organizacyjne w celu zapewnienia, że przetwarzanie w jego zakresie odpowiedzialności odbywa się zgodnie z wymogami obowiązującego prawa o ochronie danych oraz że prawa osób, których dane dotyczą, są chronione.

Możliwość wykazania podjętych środków technicznych i organizacyjnych wobec Zleceniodawcy w ramach jego uprawnień kontrolnych zgodnie z pkt VIII niniejszej umowy (np. poprzez odpowiednie certyfikaty, atesty, raporty lub samooceny).

Zleceniobiorca wspiera Zleceniodawcę w wypełnianiu obowiązków wynikających z art. 33 i 34 RODO (zgłaszanie naruszeń ochrony danych). Zleceniobiorca zgłasza naruszenia ochrony danych osobowych przetwarzanych w ramach niniejszego zlecenia niezwłocznie Zleceniodawcy po powzięciu o nich wiadomości. Zgłoszenie zawiera co najmniej informacje wymagane na mocy art. 33 ust. 3 RODO.

Zleceniobiorca wspiera Zleceniodawcę w wypełnianiu obowiązków informacyjnych wobec osób, których dane dotyczą, i udostępnia mu niezbędne informacje dotyczące przetwarzania dokonywanego przez Zleceniobiorcę.

W zakresie, w jakim Zleceniodawca jest zobowiązany do przeprowadzenia oceny skutków dla ochrony danych zgodnie z art. 35 RODO w odniesieniu do korzystania z Safina AI, Zleceniobiorca wspiera go dostępnymi mu niezbędnymi informacjami. To samo dotyczy ewentualnego obowiązku konsultacji z organem nadzorczym zgodnie z art. 36 RODO.

Niniejsza umowa nie zwalnia Zleceniobiorcy z przestrzegania pozostałych wymogów RODO.

VII. Podwykonawstwo

Zleceniobiorca jest uprawniony do korzystania z usług podwykonawców (dalsze powierzenie przetwarzania) w celu świadczenia usług objętych umową. Za podwykonawstwo w rozumieniu niniejszego postanowienia uważa się takie usługi, które są bezpośrednio związane ze świadczeniem usługi głównej (Safina AI). Obejmuje to np. dostawców hostingu, dostawców modeli AI do transkrypcji lub analizy, dostawców usług komunikacyjnych.

Zleceniobiorca informuje Zleceniodawcę o każdym planowanym zaangażowaniu lub zmianie podwykonawcy. Aktualna lista podwykonawców ze wskazaniem ich siedziby i zakresu świadczonych usług zostanie udostępniona Zleceniodawcy odrębnie (np. na stronie internetowej Zleceniobiorcy lub jako załącznik). Zleceniodawca ma prawo sprzeciwić się zaangażowaniu lub zmianie podwykonawcy z ważnych powodów związanych z ochroną danych. Sprzeciw należy zgłosić w formie pisemnej lub tekstowej w ciągu 14 dni od otrzymania informacji. Jeżeli Zleceniodawca nie wniesie sprzeciwu w terminie, zaangażowanie podwykonawcy uważa się za zatwierdzone.

Zleceniobiorca zapewnia, że z każdym podwykonawcą zostanie zawarta umowa zgodna z art. 28 ust. 2-4 RODO, odpowiadająca co do istoty obowiązkom wynikającym z niniejszej umowy, w szczególności w zakresie środków technicznych i organizacyjnych oraz poufności.

Przekazanie danych osobowych Zleceniodawcy podwykonawcy oraz rozpoczęcie jego działalności jest dopuszczalne dopiero po zobowiązaniu podwykonawcy zgodnie z art. 28 ust. 4 RODO.

Jeżeli podwykonawca świadczy uzgodnione usługi poza UE/EOG, Zleceniobiorca zapewnia dopuszczalność prawną przetwarzania poprzez odpowiednie gwarancje zgodnie z art. 44 i nast. RODO (np. standardowe klauzule umowne UE), o ile nie istnieje decyzja stwierdzająca odpowiedni stopień ochrony. Zleceniobiorca regularnie weryfikuje przestrzeganie obowiązków przez podwykonawcę.

Dalsze podzlecanie przez podwykonawcę (dalsze podpowierzenie) wymaga uprzedniej zgody Zleceniobiorcy oraz, w razie potrzeby, poinformowania Zleceniodawcy zgodnie z opisaną powyżej procedurą.

VIII. Uprawnienia kontrolne Zleceniodawcy

Zleceniodawca ma prawo kontrolować przestrzeganie przepisów o ochronie danych i postanowień umownych przez Zleceniobiorcę w wymaganym zakresie, samodzielnie lub za pośrednictwem wskazanych w danym przypadku audytorów.

Zleceniobiorca zobowiązuje się udostępnić Zleceniodawcy na jego pisemne żądanie w rozsądnym terminie wszelkie informacje i dowody niezbędne do przeprowadzenia kontroli. Może to obejmować w szczególności przedstawienie odpowiednich certyfikatów, atestów, raportów niezależnych podmiotów, samoocen lub stosownych certyfikacji.

Inspekcje na miejscu u Zleceniobiorcy są możliwe po uprzednim powiadomieniu (z reguły co najmniej 10 dni roboczych wcześniej) w zwykłych godzinach pracy i bez zakłócania toku działalności. Zleceniobiorca jest uprawniony do żądania odpowiedniego zwrotu kosztów, chyba że inspekcja wynika z konkretnego podejrzenia naruszenia ochrony danych przez Zleceniobiorcę.

IX. Prawo do wydawania instrukcji przez Zleceniodawcę

Zleceniobiorca przetwarza dane osobowe wyłącznie w ramach postanowień niniejszej umowy i na podstawie udokumentowanych instrukcji Zleceniodawcy, chyba że jest zobowiązany do przetwarzania na mocy prawa Unii lub państw członkowskich (art. 28 ust. 3 zd. 2 lit. a RODO). Instrukcje początkowe wynikają z Warunków korzystania oraz użytkowania/konfiguracji Safina AI przez Zleceniodawcę.

Zleceniobiorca niezwłocznie informuje Zleceniodawcę, jeżeli uważa, że instrukcja narusza RODO lub inne przepisy o ochronie danych Unii lub państw członkowskich. Zleceniobiorca jest uprawniony do wstrzymania wykonania danej instrukcji do czasu jej potwierdzenia lub zmiany przez Zleceniodawcę.

X. Usunięcie i zwrot danych osobowych

Po zakończeniu korzystania z Usługi przez Zleceniodawcę (np. w wyniku wypowiedzenia subskrypcji) lub w każdym czasie na instrukcję Zleceniodawcy, Zleceniobiorca jest zobowiązany – według wyboru Zleceniodawcy – usunąć w sposób zgodny z przepisami o ochronie danych lub zwrócić Zleceniodawcy wszelkie dane osobowe będące przedmiotem niniejszej Umowy powierzenia przetwarzania, które znajdują się w jego dyspozycji, o ile nie stoją temu na przeszkodzie ustawowe obowiązki przechowywania lub uzasadnione interesy Zleceniobiorcy.

Usunięcie obejmuje również wszelkie istniejące kopie, w tym systemowe kopie zapasowe (backup), przy czym usunięcie z kopii zapasowych następuje w ramach możliwości technicznych i zwykłych cykli backupowych.

Zleceniobiorca potwierdza Zleceniodawcy na żądanie dokonane usunięcie lub zwrot danych na piśmie.

XI. Odpowiedzialność

W zakresie odpowiedzialności stron za naruszenia ochrony danych obowiązują przepisy ustawowe, w szczególności art. 82 RODO. Zleceniodawca i Zleceniobiorca ponoszą odpowiedzialność wobec osób, których dane dotyczą, zgodnie z postanowieniami art. 82 RODO.

XII. Wymóg formy pisemnej, klauzula salwatoryjna

Zmiany i uzupełnienia niniejszej Umowy powierzenia przetwarzania danych oraz wszystkich jej składników wymagają formy pisemnej (wystarczająca jest forma tekstowa zgodnie z § 126b BGB). Dotyczy to również odstąpienia od tego wymogu formy. Ustne ustalenia dodatkowe nie istnieją.

Niniejsza Umowa powierzenia przetwarzania danych podlega prawu niemieckiemu z wyłączeniem Konwencji Narodów Zjednoczonych o umowach międzynarodowej sprzedaży towarów (CISG).

Jeżeli poszczególne postanowienia niniejszej Umowy powierzenia przetwarzania danych są lub staną się w całości lub w części bezskuteczne, nie narusza to ważności pozostałych postanowień. Strony zobowiązują się zastąpić bezskuteczne postanowienie postanowieniem skutecznym, które jest najbliższe celowi gospodarczemu postanowienia bezskutecznego. Powyższe stosuje się odpowiednio do ewentualnych luk w umowie.

W imieniu Zleceniobiorcy:

München

DK Tech Solutions UG (haftungsbeschränkt) David Schemm & Karsten Kreh, Dyrektorzy Zarządzający

Wersja wiążąca

Niniejszy dokument stanowi tłumaczenie udostępnione wyłącznie w celach informacyjnych. W przypadku rozbieżności między niniejszym tłumaczeniem a niemieckim oryginałem, rozstrzygająca jest wersja niemiecka.