Umowa Powierzenia Przetwarzania Danych Osobowych - Usługi AI ChatLab

28 lutego 2026

Niniejszy Aneks dotyczący Powierzenia Przetwarzania Danych Osobowych (dalej „DPA”) stanowi uzupełnienie Regulaminu Świadczenia Usług (dalej „Umowa”) zawartego pomiędzy klientem podpisującym niniejsze DPA (dalej „Klient”) a CHATLAB Sp. z o.o. (dalej „Spółka”). Poprzez zawarcie DPA zgodnie z postanowieniem 11 niniejszego dokumentu lub poprzez akceptację Regulaminu Świadczenia Usług, który włącza niniejsze DPA, Klient akceptuje niniejsze DPA we własnym imieniu oraz - w zakresie wymaganym przez obowiązujące Przepisy o Ochronie Danych (zdefiniowane poniżej) - w imieniu swoich Podmiotów Powiązanych (zdefiniowanych poniżej), jeżeli takie istnieją. Niniejsze DPA uznaje się za zaakceptowane z chwilą rozpoczęcia korzystania przez Klienta z Usług lub akceptacji Umowy, bez konieczności składania odrębnego podpisu. Niniejsze DPA włącza warunki Umowy, a wszelkie pojęcia niezdefiniowane w niniejszym DPA mają znaczenie nadane im w Umowie.

Definicje

  • Eksporter Danych oznacza Klienta.
  • Transfer poza EOG (ex-EEA Transfer) oznacza przekazanie Danych Osobowych przetwarzanych zgodnie z RODO przez Eksportera Danych do Importera Danych (lub do jego siedziby) poza Europejski Obszar Gospodarczy (EOG), gdy taki transfer nie jest objęty decyzją stwierdzającą odpowiedni stopień ochrony wydaną przez Komisję Europejską na podstawie właściwych przepisów RODO.
  • Dane o Korzystaniu przez Spółkę (Company Usage Data) obejmują dane zbierane i przetwarzane przez Spółkę w związku ze świadczeniem Usług. Obejmuje to między innymi logi aktywności, dane służące do identyfikacji źródła i miejsca docelowego komunikacji oraz informacje wykorzystywane do optymalizacji wydajności usługi i zapobiegania nadużyciom.
  • Importer Danych oznacza Spółkę.
  • Standardowe Klauzule Umowne (SKU) oznaczają zarówno Unijne SKU, jak i Brytyjskie SKU.
  • Autoryzowany Podprzetwarzający oznacza dowolny podmiot trzeci, który wymaga dostępu do Danych Osobowych Klienta w celu umożliwienia Spółce wykonywania jej obowiązków wynikających z niniejszego DPA lub Umowy. Takie podmioty muszą (i) być wymienione w Załączniku B lub (ii) zostać następnie autoryzowane zgodnie z postanowieniem 4.2 niniejszego DPA.
  • Podmiot Powiązany oznacza dowolny podmiot, który (i) bezpośrednio lub pośrednio posiada co najmniej pięćdziesiąt procent (50%) akcji lub udziałów strony, (ii) w co najmniej pięćdziesięciu procentach (50%) jest własnością strony lub (iii) pozostaje pod wspólną kontrolą ze stroną poprzez fakt, że co najmniej pięćdziesiąt procent (50%) jego akcji lub udziałów jest własnością tej samej osoby lub podmiotu. Podmiot kwalifikuje się jako Podmiot Powiązany wyłącznie tak długo, jak istnieje opisana relacja własnościowa.
  • Przepisy o Ochronie Danych obejmują wszelkie właściwe przepisy prawa i regulacje dotyczące korzystania z Danych Osobowych lub ich przetwarzania w obowiązujących jurysdykcjach. Obejmują one między innymi:
    (i) Ogólne Rozporządzenie o Ochronie Danych (RODO) wraz z jego adaptacjami, takimi jak unijne RODO oraz brytyjskie RODO (UK GDPR);
    (ii) California Consumer Privacy Act (CCPA);
    (iii) Szwajcarską Federalną Ustawę o Ochronie Danych (FADP);
    (iv) UK Data Protection Act 2018;
    (v) Privacy and Electronic Communications (EC Directive) Regulations 2003.
    Pojęcia „administrator”, „podmiot przetwarzający”, „przetwarzanie”, „organ nadzorczy”, „osoba, której dane dotyczą”, „Dane Osobowe” oraz „Naruszenie Ochrony Danych Osobowych” mają znaczenie nadane im w RODO.
  • Dane Konta Spółki (Company Account Data) obejmują dane osobowe związane z relacją Spółki z Klientem. Obejmuje to imiona i nazwiska, dane kontaktowe osób upoważnionych do dostępu do konta Klienta, dane rozliczeniowe oraz inne dane niezbędne do weryfikacji tożsamości lub zapewnienia zgodności z obowiązującymi przepisami prawa.
  • Unijne SKU oznaczają standardowe klauzule umowne wydane przez Komisję Europejską w decyzji 2021/914 z dnia 4 czerwca 2021 r., dotyczące przekazywania danych do państw, w odniesieniu do których nie wydano decyzji stwierdzającej odpowiedni stopień ochrony na podstawie RODO. Klauzule te mogą podlegać aktualizacji i zmianom zgodnie z postanowieniem 6.2 niniejszego DPA.
  • Brytyjskie SKU oznaczają Unijne SKU zmienione Brytyjskim Załącznikiem (UK Addendum) na potrzeby przekazywania danych objętych UK GDPR oraz Data Protection Act 2018.
  • Transfer poza Wielką Brytanię (ex-UK Transfer) oznacza przekazanie Danych Osobowych podlegających UK GDPR oraz Data Protection Act 2018 przez Eksportera Danych do Importera Danych (lub do jego siedziby) poza Wielką Brytanię, gdy transfer ten nie jest objęty decyzją stwierdzającą odpowiedni stopień ochrony wydaną przez brytyjskiego Sekretarza Stanu (UK Secretary of State).
  • Usługi mają znaczenie nadane im w Umowie.

1. Stosunek Stron; Przetwarzanie Danych

  1. Strony zgadzają się, że w odniesieniu do przetwarzania Danych Osobowych Klient może występować jako administrator lub jako podmiot przetwarzający, podczas gdy Spółka pełni rolę podmiotu przetwarzającego, z wyjątkami wyraźnie wskazanymi w niniejszym DPA lub Umowie. Klient zobowiązany jest zawsze przetwarzać Dane Osobowe i wydawać polecenia ich przetwarzania zgodnie z obowiązującymi Przepisami o Ochronie Danych podczas korzystania z Usług. Klient odpowiada za zapewnienie, aby jego polecenia dotyczące przetwarzania Danych Osobowych nie powodowały naruszenia przez Spółkę Przepisów o Ochronie Danych. Klient ponosi wyłączną odpowiedzialność za prawidłowość, jakość i zgodność z prawem:
    1. Danych Osobowych przekazywanych Spółce przez Klienta lub w jego imieniu,
    2. środków, za pomocą których takie Dane Osobowe zostały pozyskane, oraz
    3. poleceń wydawanych Spółce w zakresie ich przetwarzania.
  2. Klient nie może dostarczać Spółce ani udostępniać jej Danych Osobowych, które naruszają Umowę lub które są nieodpowiednie ze względu na charakter Usług, oraz zobowiązuje się zwolnić Spółkę z odpowiedzialności za wszelkie roszczenia lub straty wynikające z takich działań.
  3. Spółka będzie przetwarzać Dane Osobowe wyłącznie: (a) w celach określonych w Umowie i Załączniku A; (b) zgodnie z udokumentowanymi poleceniami przekazanymi przez Klienta, w tym w odniesieniu do międzynarodowych transferów danych, chyba że jest to wymagane przez prawo lub Organ Nadzorczy, w którym to przypadku Spółka powiadomi Klienta, chyba że jest to prawnie zabronione ze względu na ważny interes publiczny; lub (c) zgodnie z obowiązującymi Przepisami o Ochronie Danych.
  4. Klient upoważnia Spółkę do przetwarzania Danych Osobowych w sposób opisany powyżej oraz w związku z korzystaniem przez Klienta z Usług. Szczegóły przetwarzania, w tym jego przedmiot, charakter, cel, czas trwania, kategorie Danych Osobowych oraz kategorie osób, których dane dotyczą, określono w Załączniku A do niniejszego DPA.
  5. Po zakończeniu Usług Spółka, na żądanie Klienta, zwróci lub usunie Dane Osobowe Klienta, chyba że dalsze ich przechowywanie jest wymagane lub dopuszczone przez prawo. Jeżeli usunięcie lub zwrot jest niewykonalny lub zabroniony, Spółka zablokuje dane przed dalszym przetwarzaniem, z wyjątkiem zakresu niezbędnego do zachowania zgodności z prawem lub regulacjami, oraz w dalszym ciągu będzie zabezpieczać dane w odpowiedni sposób. Jeżeli strony zawarły Standardowe Klauzule Umowne (SKU) na podstawie postanowienia 6, Spółka przedstawi - wyłącznie na żądanie Klienta - poświadczenie usunięcia danych wymagane na podstawie klauzul 8.1(d) i 8.5 Unijnych SKU.
  6. Strony zgadzają się, że - z wyjątkiem Danych Konta Spółki oraz Danych o Korzystaniu przez Spółkę - Spółka działa jako usługodawca w rozumieniu CCPA (w zakresie, w jakim ma to zastosowanie) podczas przetwarzania danych osobowych otrzymywanych od Klienta na potrzeby świadczenia Usług, co stanowi cel biznesowy. Spółka nie będzie sprzedawać ani udostępniać takich danych osobowych, ani nie będzie ich zachowywać, wykorzystywać lub ujawniać w celach innych niż niezbędne do świadczenia Usług określonych w Umowie lub w sposób inny dopuszczony przez CCPA. Pojęcia „personal information”, „service provider”, „sale”, „sell” oraz „share” mają znaczenie określone w sekcji 1798.140 CCPA. Spółka oświadcza, że rozumie i będzie przestrzegać tych ograniczeń w zakresie, w jakim CCPA ma zastosowanie do właściwego przetwarzania.

W celu uniknięcia wątpliwości - w przypadku gdy Klient świadczy Usługi swoim użytkownikom końcowym:

  • (i) Klient działa jako Administrator danych w odniesieniu do danych osobowych użytkowników końcowych;
  • (ii) Spółka nie pozostaje w bezpośredniej relacji z użytkownikami końcowymi Klienta;
  • (iii) Spółka korzysta z usług AI dostarczanych przez podmioty trzecie (głównie OpenAI) jako Podprzetwarzających na potrzeby przetwarzania języka zamiast własnościowego uczenia maszynowego; oraz
  • (iv) Spółka stosuje architekturę RAG (Retrieval-Augmented Generation) bez trenowania modeli na danych Klienta.

2. Poufność

  1. Spółka zapewni, że każda osoba, którą upoważni do przetwarzania Danych Osobowych, zobowiąże się do ich ochrony zgodnie z obowiązkami zachowania poufności Spółki określonymi w Umowie. Klient przyjmuje do wiadomości, że Spółka może udostępniać Dane Osobowe swoim doradcom, audytorom lub innym podmiotom trzecim w zakresie zasadnie niezbędnym do wykonywania jej obowiązków wynikających z niniejszego DPA, Umowy lub świadczenia Usług na rzecz Klienta.

3. Autoryzowani Podprzetwarzający

  1. Klient potwierdza i wyraża zgodę, że Spółka może:

    1. Angażować swoje Podmioty Powiązane oraz Autoryzowanych Podprzetwarzających wymienionych na Liście Podprzetwarzających (zdefiniowanej poniżej) do uzyskiwania dostępu do Danych Osobowych i ich przetwarzania w związku z Usługami, oraz
    2. Okazjonalnie angażować dodatkowe podmioty trzecie do przetwarzania Danych Osobowych w zakresie wymaganym do świadczenia Usług.

    Niniejszym DPA Klient udziela Spółce ogólnego pisemnego upoważnienia do korzystania z podprzetwarzających w zakresie niezbędnym do świadczenia Usług.

4. Lista Autoryzowanych Podprzetwarzających

  1. Lista aktualnych Autoryzowanych Podprzetwarzających Spółki (dalej „Lista”) jest dostępna dla Klienta pod adresem https://www.chatlab.com/pl/subprocessors/. Spółka może okresowo aktualizować tę Listę.
  2. Przed udzieleniem dowolnemu podmiotowi trzeciemu - innemu niż istniejący Autoryzowani Podprzetwarzający - dostępu do Danych Osobowych lub możliwości ich przetwarzania, Spółka zaktualizuje Listę i powiadomi wszystkich zarejestrowanych użytkowników drogą e-mail na adresy e-mail przypisane do ich kont z wyprzedzeniem co najmniej trzydziestu (30) dni. Klienci, którzy chcą otrzymywać dodatkowe powiadomienia o zmianach podprzetwarzających, mogą skontaktować się z contact@chatlab.com w celu dodania ich do listy powiadomień.
  3. Klient może wnieść sprzeciw wobec zaangażowania nowego podprzetwarzającego, kontaktując się ze Spółką na adres contact@chatlab.com w terminie siedmiu (7) dni od otrzymania powiadomienia, pod warunkiem, że sprzeciw opiera się na uzasadnionych obawach dotyczących ochrony danych. Klient potwierdza jednak, że niektórzy podprzetwarzający mają krytyczne znaczenie dla świadczenia Usług, a sprzeciw wobec ich zaangażowania może uniemożliwić Spółce dalsze świadczenie Usług na rzecz Klienta. Jeżeli Klient wniesie uzasadniony sprzeciw wobec zaangażowania określonego w postanowieniu 4.2, a Spółka nie będzie w stanie zaproponować rozsądnej komercyjnie alternatywy w rozsądnym terminie, Klient może zaprzestać korzystania z dotkniętej Usługi, składając Spółce pisemne oświadczenie. Takie zakończenie nie zwalnia jednak Klienta z obowiązku uiszczenia opłat należnych Spółce na podstawie Umowy.
  4. Jeżeli Klient nie wniesie sprzeciwu wobec zaangażowania podmiotu trzeciego, jak opisano w postanowieniu 4.2, w terminie siedmiu (7) dni od otrzymania powiadomienia od Spółki, taki podmiot trzeci będzie uznany za Autoryzowanego Podprzetwarzającego w rozumieniu niniejszego DPA.
  5. Spółka zawrze pisemną umowę z każdym Autoryzowanym Podprzetwarzającym, zobowiązując Podprzetwarzającego do przestrzegania obowiązków w zakresie ochrony danych porównywalnych z określonymi w niniejszym DPA w odniesieniu do zabezpieczenia Danych Osobowych. W przypadku gdy Autoryzowany Podprzetwarzający nie wywiąże się ze swoich obowiązków wynikających z umowy, Spółka pozostanie odpowiedzialna wobec Klienta za wykonanie tych obowiązków przez Podprzetwarzającego.
  6. Awaryjne zastąpienie: W przypadkach pilnych (np. w celu zareagowania na incydent bezpieczeństwa lub przerwę w świadczeniu usługi) Spółka może zaangażować Podprzetwarzającego bez wcześniejszego powiadomienia, pod warunkiem, że powiadomi Klienta bez zbędnej zwłoki i zapewni 7-dniowe okno na wniesienie sprzeciwu. Jeżeli Klient wniesie uzasadniony sprzeciw, a żadna komercyjnie wykonalna alternatywa nie jest dostępna, Klient może zaprzestać korzystania z dotkniętej Usługi zgodnie z postanowieniem 4.3.
  7. Jeżeli Klient i Spółka uzgodnili Standardowe Klauzule Umowne (SKU) zgodnie z postanowieniem 6 (Transfery Danych Osobowych):
    1. Powyższe upoważnienia będą uznawane za uprzednią pisemną zgodę Klienta na podzlecanie przez Spółkę przetwarzania Danych Osobowych, jak wymagają tego SKU.
    2. Strony zgadzają się, że wszelkie kopie umów z Autoryzowanymi Podprzetwarzającymi, które należy przekazać Klientowi na podstawie klauzuli 9(c) Unijnych SKU, mogą zostać przez Spółkę zredagowane w zakresie informacji handlowych lub innych informacji niezwiązanych z istotą sprawy. Takie kopie zostaną udostępnione Klientowi wyłącznie na żądanie.

5. Bezpieczeństwo Danych Osobowych

  1. Uwzględniając stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, jak również ryzyko o różnym prawdopodobieństwie i wadze dla praw i wolności osób fizycznych, Spółka wdroży i utrzyma odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka związanego z przetwarzaniem Danych Osobowych. Bardziej szczegółowe informacje o stosowanych przez Spółkę środkach technicznych i organizacyjnych w zakresie bezpieczeństwa znajdują się w Załączniku C.

6. Transfery Danych Osobowych

  1. Strony zgadzają się, że Spółka może przekazywać Dane Osobowe objęte niniejszym DPA poza EOG, Wielką Brytanię lub Szwajcarię w zakresie niezbędnym do świadczenia Usług. Spółka przetwarza Dane Osobowe głównie w EOG; określone czynności przetwarzania mogą odbywać się poza EOG (np. w Stanach Zjednoczonych) w zakresie niezbędnym do korzystania z usług AI oraz dostawców infrastruktury podmiotów trzecich. Tam, gdzie nie ma zastosowania decyzja stwierdzająca odpowiedni stopień ochrony, Spółka wdraża odpowiednie zabezpieczenia zgodnie z Przepisami o Ochronie Danych (zob. postanowienia 6.2-6.6).
  2. Transfery poza EOG (Ex-EEA Transfers): Strony zgadzają się, że transfery Danych Osobowych z EOG podlegają Unijnym SKU, które uznaje się za włączone do niniejszego DPA i uzupełnione w następujący sposób:
    1. Moduł pierwszy (Administrator do Administratora) ma zastosowanie, gdy Spółka przetwarza Dane Osobowe jako administrator zgodnie z postanowieniem 9 niniejszego DPA.
    2. Moduł drugi (Administrator do Podmiotu Przetwarzającego) ma zastosowanie, gdy Klient jest administratorem, a Spółka przetwarza Dane Osobowe w imieniu Klienta zgodnie z postanowieniem 2 niniejszego DPA.
    3. Moduł trzeci (Podmiot Przetwarzający do Podprzetwarzającego) ma zastosowanie, gdy Klient jest podmiotem przetwarzającym, a Spółka przetwarza Dane Osobowe w imieniu Klienta jako podprzetwarzający.
  3. W odniesieniu do każdego mającego zastosowanie modułu: 4. Opcjonalna klauzula dokująca (docking clause) zawarta w klauzuli 7 nie ma zastosowania. 5. Klauzula 9 przyjmuje Opcję 2 (ogólne pisemne upoważnienie), a minimalny okres powiadomienia o zmianach podprzetwarzających określono w postanowieniu 4.2 niniejszego DPA. 6. Opcjonalne brzmienie zawarte w klauzuli 11 jest wyłączone. 7. Wszelkie nawiasy kwadratowe w klauzuli 13 zostają usunięte. 8. Klauzula 17 (Opcja 1) wskazuje, że prawem właściwym dla Unijnych SKU jest prawo irlandzkie. 9. Klauzula 18(b) wskazuje sądy w Irlandii jako właściwe do rozstrzygania sporów. 10. Załącznik B obejmuje informacje wymagane dla Aneksu I i Aneksu III Unijnych SKU. 11. Załącznik C zawiera szczegóły wymagane dla Aneksu II Unijnych SKU. 12. Akceptując niniejsze DPA, strony wyrażają zgodę na Unijne SKU wraz z ich Aneksami.
  4. Transfery poza Wielką Brytanię (Ex-UK Transfers): Transfery Danych Osobowych z Wielkiej Brytanii podlegają Brytyjskim SKU, które uznaje się za włączone do niniejszego DPA i zmienione Brytyjskim Załącznikiem (UK Addendum), załączonym jako Załącznik D do niniejszego DPA.
  5. Transfery ze Szwajcarii: Transfery ze Szwajcarii podlegają Unijnym SKU, z następującymi modyfikacjami: 13. Odniesienia do „Ogólnego Rozporządzenia o Ochronie Danych” lub „Rozporządzenia (UE) 2016/679” obejmują Szwajcarską Federalną Ustawę o Ochronie Danych (FADP) wraz z jej nowelizacjami. 14. Unijne SKU będą chronić dane osób prawnych do czasu wejścia w życie zrewidowanej FADP. 15. Klauzula 13 wskazuje Szwajcarskiego Federalnego Komisarza ds. Ochrony Danych i Informacji (FDPIC) jako organ właściwy dla transferów objętych FADP oraz odpowiedni organ nadzorczy UE dla transferów objętych RODO. 16. Pojęcie „państwo członkowskie UE” nie wyłącza szwajcarskich osób, których dane dotyczą, z możliwości wykonywania ich praw na podstawie klauzuli 18(c) Unijnych SKU.
  6. Środki uzupełniające: W odniesieniu do Transferów poza EOG lub poza Wielką Brytanię stosuje się następujące postanowienia:
  7. W dniu wejścia w życie niniejszego DPA Importer Danych nie otrzymał formalnych żądań od rządowych agencji wywiadowczych ani agencji bezpieczeństwa o udostępnienie Danych Osobowych Klienta (dalej „Żądania Agencji Rządowych”).
  8. Jeżeli Żądania Agencji Rządowych zostaną otrzymane po tej dacie, Spółka przekieruje takie żądania do Klienta i może udostępnić agencji żądającej podstawowe dane kontaktowe. Jeżeli Spółka będzie zmuszona ujawnić Dane Osobowe, powiadomi o tym Klienta (chyba że jest to prawnie zabronione) i będzie współpracować z Klientem w zakresie podjęcia środków ochronnych. Spółka nie będzie dobrowolnie ujawniać Danych Osobowych żadnym organom ścigania ani agencjom rządowym. Strony ocenią, czy w odpowiedzi na Żądania Agencji Rządowych transfery powinny zostać zawieszone.
  9. Eksporter Danych i Importer Danych będą współpracować w zakresie niezbędnym, aby:
  10. Ocenić, czy przepisy prawa jurysdykcji Importera Danych zapewniają odpowiednią ochronę Danych Osobowych osób, których dane dotyczą.
  11. Zidentyfikować dodatkowe środki w celu zapewnienia zgodności z Przepisami o Ochronie Danych.
  12. Ustalić, czy przekazywanie Danych Osobowych do Importera Danych pozostaje właściwe.
  13. Jeżeli Przepisy o Ochronie Danych wymagają zawarcia odrębnych Standardowych Klauzul Umownych dla określonych transferów, Importer Danych niezwłocznie je zawrze na żądanie Eksportera Danych, wprowadzając niezbędne zmiany odzwierciedlające szczegóły transferu i obowiązujące przepisy.
  14. Jeżeli którykolwiek z mechanizmów transferowych przewidzianych w niniejszym DPA stanie się nieważny lub będzie wymagał zawieszenia z polecenia organu nadzorczego, Importer Danych może - po uprzednim powiadomieniu - zmienić lub wdrożyć alternatywne rozwiązania w celu zachowania zgodności z Przepisami o Ochronie Danych.

7. Prawa osób, których dane dotyczą

  1. W zakresie dozwolonym przez prawo Spółka powiadomi Klienta o otrzymaniu jakiegokolwiek żądania od osoby, której dane dotyczą, dotyczącego wykonania praw przysługujących jej na mocy Przepisów o Ochronie Danych. Jeżeli Spółka otrzyma żądanie osoby, której dane dotyczą, bezpośrednio od użytkownika końcowego Klienta, Spółka: (i) nie odpowie bezpośrednio użytkownikowi końcowemu; (ii) przekaże takie żądanie Klientowi w terminie czterdziestu ośmiu (48) godzin; oraz (iii) skieruje użytkownika końcowego do kontaktu z Klientem. Klient ponosi wyłączną odpowiedzialność za udzielanie odpowiedzi na wszelkie żądania osób, których dane dotyczą.
  2. Na pisemne żądanie Klienta o udzielenie pomocy w obsłudze żądań osób, których dane dotyczą, Spółka udzieli odpowiedzi w terminie siedmiu (7) dni roboczych i wykona ekstrakcję lub usunięcie danych w terminie czternastu (14) dni, z zastrzeżeniem ograniczeń technicznych.

7.3. Przechowywanie i usuwanie danych w systemach przetwarzania AI

Klient potwierdza, że gdy dane osobowe są przetwarzane za pośrednictwem zewnętrznych usług AI (takich jak OpenAI i Google Gemini), takie dane są obsługiwane zgodnie z politykami przechowywania danych dostawcy AI oraz naszymi umowami z nimi:

  1. Przetwarzanie danych przez dostawców usług AI:

    • Trenowanie modeli: Spółka zrezygnowała z udostępniania danych klientów do trenowania modeli AI u wszystkich dostawców usług AI. Żadne dane osobowe, rozmowy ani zapytania (prompty) przesłane za pośrednictwem Usług nie są wykorzystywane do trenowania, dostrajania (fine-tuning) ani ulepszania modeli AI obsługiwanych przez naszych dostawców usług AI.
    • Przetwarzanie przez API: Dane Klienta przesyłane do dostawców AI są przetwarzane wyłącznie poprzez wywołania API w celu generowania odpowiedzi i są zazwyczaj przechowywane przez dostawców AI przez okres do 30 dni (zależnie od dostawcy) wyłącznie w celu monitorowania nadużyć i bezpieczeństwa, a następnie automatycznie usuwane.
    • Logi przetwarzania: Logi techniczne mogą być przechowywane przez dostawców AI w celach bezpieczeństwa, odzyskiwania systemu oraz zgodności przez ograniczone okresy określone w naszych umowach z dostawcami AI. Takie logi mogą zawierać ograniczony zakres danych osobowych (np. znaczniki czasu, identyfikatory żądań/odpowiedzi, skrócone adresy IP lub identyfikatory urządzeń) niezbędne do funkcjonowania systemu i monitorowania bezpieczeństwa, podlegających ograniczonemu czasowo przechowywaniu.

  2. Procedury usuwania danych przez Spółkę:

    • Spółka usunie wszystkie dane osobowe znajdujące się pod jej bezpośrednią kontrolą w terminie czternastu (14) dni od otrzymania żądania usunięcia.
    • Systemy kopii zapasowych: dane mogą być przechowywane w systemach kopii zapasowych przez okres do dziewięćdziesięciu (90) dni po usunięciu z systemów produkcyjnych.
    • Dostawcy usług AI: Spółka poleci wszystkim dostawcom usług AI usunięcie danych osobowych; takie usunięcie jest zazwyczaj realizowane w terminie trzydziestu (30) dni zgodnie z procedurami usuwania danych dostawcy.
    • Dane zagregowane i zanonimizowane (które nie stanowią danych osobowych w rozumieniu RODO) mogą być przechowywane bezterminowo do celów statystycznych i ulepszania usługi.

  3. Mechanizmy międzynarodowych transferów danych: Spółka wdraża odpowiednie mechanizmy transferowe dla dostawców usług AI mających siedzibę poza Europejskim Obszarem Gospodarczym, w tym certyfikację w ramach Ram ochrony danych UE-USA (DPF) tam, gdzie ma to zastosowanie, lub Unijne Standardowe Klauzule Umowne (SKU) w trybie indywidualnej oceny, w celu zapewnienia zgodnych z RODO transferów danych oraz odpowiednich zabezpieczeń dla danych osobowych.

  4. Potwierdzenie usunięcia: Po wykonaniu procedur usuwania Spółka przekaże Klientowi potwierdzenie usunięcia. Spółka dostarczy dowody usunięcia z systemów Spółki oraz potwierdzenie wykonania poleceń usunięcia przez wszystkich podprzetwarzających, w zakresie, w jakim takie dowody są dostępne od tych podprzetwarzających. W przypadku gdy Podprzetwarzający nie wystawia indywidualnych poświadczeń usunięcia, Spółka przedstawi zapewnienia umowne i wyciągi z polityk dokumentujące standardowe praktyki usuwania danych przez Podprzetwarzającego.

8. Czynności i Żądania Dostępu, Audyty

  1. Pomoc Spółki przy DPIA (Ocena Skutków dla Ochrony Danych): Uwzględniając charakter przetwarzania oraz informacje dostępne Spółce, Spółka udzieli Klientowi rozsądnej współpracy i pomocy w zakresie niezbędnym do wywiązania się przez Klienta z obowiązków wynikających z RODO dotyczących ocen skutków dla ochrony danych (DPIA) lub do wykazania zgodności, pod warunkiem, że Klient nie ma w inny sposób dostępu do potrzebnych informacji. Pomoc taka będzie udzielana zgodnie z warunkami niniejszego DPA i bez dodatkowych kosztów dla Klienta, z wyjątkiem przypadków, gdy wymagana pomoc wykracza poza rozsądny standardowy zakres obowiązków wynikających z art. 28 ust. 3 lit. f) RODO, w którym to przypadku dodatkowe koszty zostaną uzgodnione z wyprzedzeniem na piśmie.
  2. Pomoc w kontaktach z Organami Nadzorczymi: Uwzględniając charakter przetwarzania oraz informacje dostępne Spółce, Spółka zaoferuje Klientowi rozsądną współpracę i pomoc w zakresie kontaktów lub uprzednich konsultacji z dowolnym Organem Nadzorczym, jak wymaga tego RODO. Pomoc taka będzie udzielana bez dodatkowych kosztów dla Klienta w ramach obowiązków Spółki wynikających z niniejszego DPA, z wyjątkiem przypadków, gdy pomoc wykracza poza rozsądny standardowy zakres obowiązków, w którym to przypadku dodatkowe koszty zostaną uzgodnione z wyprzedzeniem na piśmie.
  3. Prowadzenie dokumentacji: Spółka prowadzić będzie dokumentację wystarczającą do wykazania zgodności z jej obowiązkami wynikającymi z niniejszego DPA i będzie przechowywać tę dokumentację przez okres trzech (3) lat po zakończeniu Umowy. Po przekazaniu rozsądnego powiadomienia Klient może przeglądać, audytować i kopiować taką dokumentację w siedzibie Spółki w godzinach pracy.
  4. Prawa audytowe: Na pisemne żądanie Klienta składane w rozsądnych odstępach czasu i z zastrzeżeniem rozsądnych zabezpieczeń poufności, Spółka albo (i) udostępni kopie certyfikatów lub raportów wykazujących zgodność Spółki z właściwymi standardami bezpieczeństwa danych w zakresie przetwarzania Danych Osobowych Klienta, albo (ii) jeżeli takie certyfikaty lub raporty są niewystarczające w świetle Przepisów o Ochronie Danych, umożliwi niezależnemu zewnętrznemu przedstawicielowi Klienta przeprowadzenie audytu lub inspekcji infrastruktury i procedur bezpieczeństwa danych Spółki w celu weryfikacji zgodności z Przepisami o Ochronie Danych. Audyty takie odbędą się wyłącznie pod warunkiem, że (a) Klient z rozsądnym wyprzedzeniem przekaże pisemne powiadomienie, a audyt nie zakłóci nadmiernie działalności Spółki; (b) audyt odbędzie się w godzinach pracy i nie częściej niż raz w roku kalendarzowym; oraz (c) audyt zostanie ograniczony do danych istotnych dla Klienta. Klient odpowiada za koszty takich audytów lub inspekcji, w tym za zwrot kosztów czasu, który Spółka poświęciła na ich umożliwienie. Jeżeli Klient i Spółka zawarły Standardowe Klauzule Umowne, jak opisano w postanowieniu 6 (Transfery Danych Osobowych), audyty opisane w klauzuli 8.9 Unijnych SKU będą przeprowadzane zgodnie z niniejszym postanowieniem 8.4. Pierwotną metodą audytu będą zdalne przeglądy raportów/certyfikatów; audyty na miejscu są dostępne wyłącznie wtedy, gdy takie materiały są niewystarczające w świetle obowiązujących Przepisów o Ochronie Danych.
  5. Powiadomienie o sprzecznych z prawem poleceniach: Spółka niezwłocznie poinformuje Klienta, jeżeli w jej rozsądnej ocenie którekolwiek z poleceń Klienta narusza Przepisy o Ochronie Danych lub wytyczne Organu Nadzorczego.
  6. Powiadomienie o Naruszeniu Ochrony Danych Osobowych: W przypadku wystąpienia Naruszenia Ochrony Danych Osobowych Spółka powiadomi Klienta w terminie czterdziestu ośmiu (48) godzin od powzięcia informacji o naruszeniu. Spółka przedstawi raport uzupełniający w terminie siedemdziesięciu dwóch (72) godzin, zawierający: (i) charakter i zakres naruszenia; (ii) kategorie i przybliżoną liczbę dotkniętych rekordów; (iii) prawdopodobne skutki; (iv) środki podjęte w celu zaradzenia naruszeniu; oraz (v) zalecenia dotyczące działań ograniczających skutki. Spółka podejmie kroki, które według jej wyłącznej oceny uzna za niezbędne i rozsądne w celu zaradzenia naruszeniu, w zakresie, w jakim takie działania pozostają w rozsądnej kontroli Spółki.
  7. Współpraca w przypadku Naruszenia: Uwzględniając charakter przetwarzania oraz informacje dostępne Spółce, Spółka udzieli Klientowi rozsądnej współpracy i pomocy niezbędnej do wywiązania się przez Klienta z obowiązków wynikających z RODO w zakresie informowania (i) właściwego Organu Nadzorczego oraz (ii) wszelkich osób, których dane dotyczą, o Naruszeniu Ochrony Danych Osobowych bez zbędnej zwłoki.
  8. Wyłączenia i Odpowiedzialność: Obowiązki określone w postanowieniach 8.6 i 8.7 nie mają zastosowania, jeżeli Naruszenie Ochrony Danych Osobowych wynika z własnych działań lub zaniechań Klienta. Obowiązek Spółki w zakresie powiadomienia lub innej reakcji na Naruszenie Ochrony Danych Osobowych opisany w postanowieniach 8.6 i 8.7 nie jest interpretowany jako uznanie winy lub odpowiedzialności Spółki w odniesieniu do takiego naruszenia.

9. Rola Spółki jako Administratora.

Strony potwierdzają, że w odniesieniu do Danych Konta Spółki oraz Danych o Korzystaniu przez Spółkę, Spółka działa jako niezależny administrator, a nie jako współadministrator wraz z Klientem. W szczególności Spółka przetwarza Dane Konta Spółki oraz Dane o Korzystaniu przez Spółkę w roli administratora w celach: (i) zarządzania relacją z Klientem; (ii) prowadzenia podstawowej działalności gospodarczej (w tym księgowości, audytu, przygotowania rozliczeń podatkowych oraz działań w zakresie zgodności); (iii) monitorowania, badania, wykrywania i zapobiegania oszustwom lub incydentom bezpieczeństwa oraz zapobiegania nadużywaniu Usług lub szkodom dla Klienta; (iv) weryfikacji tożsamości; (v) wywiązywania się z obowiązków prawnych lub regulacyjnych dotyczących przetwarzania i przechowywania Danych Osobowych; oraz (vi) w innych celach dopuszczonych przez Przepisy o Ochronie Danych i zgodnych z niniejszym DPA oraz Umową. Spółka może również przetwarzać Dane o Korzystaniu przez Spółkę w roli administratora w celu świadczenia, optymalizowania i utrzymywania Usług, w zakresie dopuszczonym przez Przepisy o Ochronie Danych. Wszelkie takie czynności przetwarzania prowadzone przez Spółkę w roli administratora odbywają się zgodnie z polityką prywatności Spółki dostępną pod adresem https://www.chatlab.com/pl/privacy/

10. Przetwarzanie AI i Segregacja Danych

  • Klient potwierdza, że Spółka:
    • (i) korzysta z usług AI dostarczanych przez podmioty trzecie, głównie OpenAI i Google Gemini, na potrzeby generowania tekstu;
    • (ii) nie trenuje własnościowych modeli na danych Klienta; oraz
    • (iii) zrezygnowała z udostępniania danych do trenowania modeli AI u wszystkich dostawców usług AI.
  • Klient zobowiązuje się nie przesyłać poprzez Usługi następujących rodzajów danych: numerów dokumentów tożsamości wydanych przez organy państwowe, danych kart płatniczych, dokumentacji medycznej, haseł lub danych uwierzytelniających, danych biometrycznych lub genetycznych, precyzyjnych danych geolokalizacyjnych, informacji o przynależności związkowej, jakichkolwiek szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO, ani danych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO). Spółka może usuwać, blokować lub anonimizować wszelkie takie dane oraz zawiesić przetwarzanie objętych nimi treści wejściowych w zakresie niezbędnym do zapewnienia zgodności z Przepisami o Ochronie Danych, bez odpowiedzialności wobec Klienta.
  • Spółka wdraża logiczną segregację danych pomiędzy Klientami poprzez: unikalne identyfikatory najemców (tenant identifiers), oddzielne konteksty przetwarzania oraz mechanizmy kontroli dostępu uniemożliwiające dostęp do danych innych klientów. Spółka przeprowadza kwartalne przeglądy mechanizmów separacji i wdraża rozsądne komercyjnie środki w celu egzekwowania obowiązków przeniesionych umownie na wszystkich podprzetwarzających w zakresie segregacji danych i środków bezpieczeństwa.

11. Konflikt.

W przypadku jakiegokolwiek konfliktu lub niespójności pomiędzy następującymi dokumentami obowiązuje następująca kolejność pierwszeństwa: (1) właściwe postanowienia Standardowych Klauzul Umownych; (2) niniejsze DPA; (3) Umowa; oraz (4) polityka prywatności Spółki. Wszelkie roszczenia wynikające z niniejszego DPA lub z nim związane podlegają warunkom (w tym między innymi wszelkim wyłączeniom i ograniczeniom) określonym w Umowie.

Załącznik A

Szczegóły Przetwarzania

Charakter i Cel Przetwarzania:

Spółka będzie przetwarzać Dane Osobowe Klienta w zakresie niezbędnym do świadczenia Usług na podstawie Umowy, w celach określonych w Umowie i niniejszym DPA oraz zgodnie z poleceniami Klienta wskazanymi w niniejszym DPA. Czynności przetwarzania obejmują między innymi:

  • Otrzymywanie danych, takie jak zbieranie, uzyskiwanie dostępu, pobieranie, rejestrowanie i wprowadzanie danych.
  • Ochronę danych, w tym stosowanie ograniczeń, szyfrowanie i przeprowadzanie testów bezpieczeństwa.
  • Przechowywanie danych, w tym ich składowanie, organizowanie i strukturyzowanie.
  • Usuwanie danych, w tym ich niszczenie i usuwanie.
  • Analizowanie danych, takie jak ocena sposobu korzystania z produktu.
  • Udostępnianie danych, w tym ujawnianie podprzetwarzającym w zakresie dopuszczonym niniejszym DPA.

Czas Trwania Przetwarzania:

Spółka będzie przetwarzać Dane Osobowe Klienta tak długo, jak jest to konieczne do:

  1. Świadczenia Usług na rzecz Klienta na podstawie Umowy;
  2. Zaspokojenia uzasadnionych potrzeb biznesowych Spółki; lub
  3. Zachowania zgodności z obowiązującymi przepisami prawa lub regulacjami.
    Przetwarzanie i przechowywanie Danych Konta Spółki oraz Danych o Korzystaniu przez Spółkę będzie odbywać się zgodnie z polityką prywatności Spółki.

Kategorie Osób, których Dane Dotyczą:

  • Pracownicy, konsultanci, wykonawcy i agenci Klienta
  • Osoby odwiedzające stronę internetową oraz użytkownicy końcowi usług Klienta
  • Kontakty biznesowe, potencjalni klienci i leady (w tym potencjalni klienci)
  • Wszelkie inne osoby, których dane są przesyłane przez Klienta za pośrednictwem Usług
  • Korespondenci e-mail (osoby, które wysyłają wiadomości do lub otrzymują wiadomości z podłączonych skrzynek pocztowych Klienta za pośrednictwem funkcji Email Copilot)

Kategorie Danych Osobowych:

Spółka przetwarza Dane Osobowe zawarte w Danych Konta Spółki, Danych o Korzystaniu przez Spółkę oraz wszelkie Dane Osobowe przekazywane przez Klienta lub gromadzone przez Spółkę na potrzeby świadczenia Usług. Mogą one obejmować Dane Osobowe gromadzone od użytkowników końcowych Klienta i przetwarzane za pośrednictwem Usług. Kategorie Danych Osobowych mogą obejmować:

  • Imię i nazwisko
  • Adres e-mail
  • Stanowisko
  • Nazwę użytkownika
  • Adresy IP
  • Treść i historię rozmów chatu
  • Logi systemowe i logi dostępu
  • Identyfikatory techniczne (identyfikatory użytkowników, tokeny sesji)
  • Treść wiadomości e-mail, metadane (nadawca, odbiorca, temat, znaczniki czasowe) oraz załączniki przetwarzane za pośrednictwem Email Copilot
  • Dane uwierzytelniające do serwera pocztowego (IMAP/POP3/SMTP), przechowywane w postaci zaszyfrowanej

Dane Wrażliwe lub Szczególne Kategorie Danych:

Klient nie może przesyłać szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO ani danych dotyczących wyroków skazujących i naruszeń prawa w rozumieniu art. 10 RODO.

Załącznik B

Poniższe informacje obejmują dane wymagane przez Aneks I i Aneks III Unijnych SKU oraz Tabelę 1, Aneks 1A i Aneks 1B Brytyjskiego Załącznika (UK Addendum).

Strony

Eksporter(zy) Danych:

  • Nazwa: Klient, w sposób wskazany i zdefiniowany we właściwym Zamówieniu (zgodnie z definicją w Umowie).
  • Nazwa handlowa (jeżeli inna):
  • Adres: zarejestrowany adres siedziby Klienta oraz dowolny adres przekazany ChatLab w momencie korzystania przez Klienta z Usług.
  • Oficjalny numer rejestracyjny (jeżeli istnieje) (numer KRS lub podobny identyfikator):
  • Imię i nazwisko, stanowisko oraz dane kontaktowe osoby do kontaktu: osobą do kontaktu Klienta na potrzeby SKU będzie osoba, która prawidłowo zaakceptuje Umowę i zwiąże nią Klienta, chyba że ChatLab otrzyma na piśmie informacje o innej osobie do kontaktu.
  • Działania istotne dla danych przekazywanych w ramach niniejszych Klauzul: przetwarzanie danych Klienta w architekturze RAG przy wykorzystaniu zewnętrznych usług AI (w tym OpenAI i Google Gemini) na potrzeby usług czatbota oraz analizy treści e-mail (sugestie odpowiedzi, tłumaczenia i podsumowania), bez trenowania własnościowych modeli, jak opisano w postanowieniu 2 DPA.
  • Podpis i data: Brytyjskie SKU oraz Unijne SKU uznaje się za zawarte z chwilą prawidłowej akceptacji Umowy przez Klienta.
  • Rola (administrator/podmiot przetwarzający): Administrator

Importer(zy) Danych:

  • Nazwa: CHATLAB Sp. z o.o.
  • Adres i dane kontaktowe: Zamknięta 10/1.5, 30-554 Kraków, Polska
  • Działania istotne dla danych przekazywanych w ramach niniejszych Klauzul: jak opisano w postanowieniu 2 DPA.
  • Podpis i data:
  • Rola (administrator/podmiot przetwarzający): jak opisano w postanowieniu 2 DPA.

Opis Transferu

  • Osoby, których Dane Dotyczą: jak opisano w Załączniku A do DPA
  • Kategorie Danych Osobowych: jak opisano w Załączniku A do DPA
  • Szczególne Kategorie Danych Osobowych (jeżeli dotyczy): jak opisano w Załączniku A do DPA
  • Charakter Przetwarzania: jak opisano w Załączniku A do DPA
  • Cele Przetwarzania: jak opisano w Załączniku A do DPA
  • Czas Trwania Przetwarzania i Przechowywania (lub kryteria określenia takiego okresu): jak opisano w Załączniku A do DPA
  • Częstotliwość Transferu: w zakresie niezbędnym do wykonywania wszystkich obowiązków i praw dotyczących Danych Osobowych przewidzianych w Umowie lub DPA
  • Odbiorcy Danych Osobowych przekazywanych do Importera Danych: Spółka będzie utrzymywać listę Autoryzowanych Podprzetwarzających pod adresem: https://www.chatlab.com/pl/subprocessors/

Aneks III (Podprzetwarzający włączeni przez odniesienie): Lista Podprzetwarzających dostępna pod adresem https://www.chatlab.com/pl/subprocessors/ jest włączana do niniejszych Klauzul jako Aneks III. Lista zawiera pełną nazwę prawną, zarejestrowany adres, jurysdykcję, cel przetwarzania oraz właściwy mechanizm transferu (np. EU-US DPF lub SKU). Wersja obowiązująca w dniu akceptacji Umowy oraz wszelkie kolejne notyfikowane aktualizacje stanowią część niniejszych Klauzul.

Właściwy Organ Nadzorczy

  • Organem nadzorczym jest organ właściwy dla Eksportera Danych, ustalony zgodnie z klauzulą 13 Unijnych SKU.
  • Na potrzeby Brytyjskiego Załącznika (UK Addendum) organem nadzorczym jest brytyjski Information Commissioner's Office (ICO).

Domyślne Okresy Przechowywania:

O ile Klient nie wskaże inaczej na piśmie:

  • Logi rozmów chatu: 90 dni od utworzenia (użytkownik może dostosować okres przechowywania)
  • Dane kontaktowe użytkowników: do momentu zażądania przez Klienta usunięcia
  • Logi systemowe i techniczne: 180 dni
  • Dane funkcji Email Copilot: 1-10 dni od otrzymania (konfigurowalne przez klienta, domyślnie 1 dzień; maksymalnie 500 wiadomości na konto)
  • Dane kopii zapasowych: 90 dni po usunięciu z systemów produkcyjnych

Załącznik C

Opis Środków Technicznych i Organizacyjnych w zakresie Bezpieczeństwa Wdrożonych przez Importera Danych

Poniższe informacje obejmują dane wymagane przez Aneks II Unijnych SKU oraz Aneks II Brytyjskiego Załącznika (UK Addendum).

  • Środki pseudonimizacji i szyfrowania danych osobowych:
    • Spółka stosuje bezpieczne metody i protokoły transmisji informacji poufnych lub wrażliwych w sieciach publicznych.
    • Bazy danych zawierające wrażliwe dane klientów są szyfrowane „w spoczynku” (at rest) przy użyciu silnych algorytmów szyfrujących.
    • Cały ruch w tranzycie jest szyfrowany przy użyciu zalecanych bezpiecznych zestawów szyfrów i protokołów (TLS 1.2+).
  • Środki zapewniające ciągłą poufność, integralność, dostępność i odporność systemów oraz usług przetwarzania:
    • Spółka egzekwuje rygorystyczne obowiązki zachowania poufności poprzez umowy z klientami.
    • Wszyscy podprzetwarzający podpisują postanowienia o poufności równoważne z tymi zawartymi w umowach Spółki z klientami.
  • Środki zapewniające zdolność do szybkiego przywrócenia dostępności i dostępu do danych osobowych w przypadku incydentu fizycznego lub technicznego:
    • Regularne kopie zapasowe magazynów danych produkcyjnych są wykonywane codziennie, tygodniowo i miesięcznie.
    • Kopie zapasowe są okresowo testowane zgodnie z politykami bezpieczeństwa informacji i zarządzania danymi.
  • Środki identyfikacji i autoryzacji użytkowników:
    • Wdrożono bezpieczne protokoły dostępu i najlepsze praktyki branżowe w zakresie uwierzytelniania, takie jak Uwierzytelnianie Wieloskładnikowe (MFA) i Single Sign-On (SSO).
    • Dostęp do środowiska produkcyjnego wymaga uwierzytelniania dwuskładnikowego.
    • Infrastruktura sieciowa jest skonfigurowana w sposób blokujący nieuprawniony dostęp i zbędny ruch.
  • Środki ochrony danych podczas transmisji:
    • Do szyfrowania ruchu w tranzycie w sieciach publicznych stosowane są bezpieczne protokoły, takie jak TLS 1.2 lub nowsze.
  • Środki ochrony danych podczas przechowywania:
    • Szyfrowanie „w spoczynku” (at rest) jest realizowane automatycznie z wykorzystaniem przezroczystego szyfrowania dysków AWS, przy użyciu standardowego branżowo szyfrowania AES-256.
    • Klucze szyfrujące są w pełni zarządzane przez AWS.
  • Środki zapewniające bezpieczeństwo fizyczne lokalizacji, w których przetwarzane są dane osobowe:
    • Przetwarzanie odbywa się w fizycznych centrach danych zarządzanych przez AWS, jak opisano na stronie AWS Compliance.
  • Środki zapewniające rejestrowanie zdarzeń:
    • Dostęp do aplikacji, narzędzi i zasobów jest monitorowany.
    • Logi bezpieczeństwa są przeglądane i zarządzane przez zespoły bezpieczeństwa i inżynierii, z prowadzeniem postępowań i eskalacji w razie potrzeby.
  • Środki zapewniające konfigurację systemu, w tym konfigurację domyślną:
    • Zmiany w środowiskach produkcyjnych są zarządzane w ramach ustrukturyzowanego procesu zarządzania zmianą.
    • Zautomatyzowane narzędzia CI/CD zapewniają spójność konfiguracji.
  • Środki zapewniające minimalizację danych:
    • Klienci kontrolują dane, które przetwarzają za pośrednictwem Usług.
    • Usługi obejmują narzędzia samoobsługowe pozwalające klientom usuwać lub blokować dane.
  • Środki zapewniające jakość danych:
    • Jakość danych jest zapewniana poprzez testy jednostkowe, walidację schematu bazy danych, projektowanie API w podejściu schema-first oraz silne typowanie.
    • Stosowane są środki utrzymujące integralność danych od ich wprowadzenia po eksport.
  • Środki zapewniające ograniczone przechowywanie danych:
    • Klienci kontrolują przechowywanie danych za pośrednictwem narzędzi samoobsługowych.
    • W razie potrzeby Spółka usuwa Dane Osobowe na żądanie Klienta w terminie określonym w DPA i obowiązujących Przepisach o Ochronie Danych.
  • Środki zapewniające rozliczalność:
    • Spółka egzekwuje polityki ochrony danych i bezpieczeństwa informacji, przypisuje role w zakresie bezpieczeństwa informacji oraz przeprowadza regularne audyty zewnętrzne.
    • Naruszenia Ochrony Danych Osobowych są rejestrowane i zgłaszane zgodnie z wymaganiami.
  • Środki umożliwiające przenoszenie danych i zapewniające ich usuwanie:
    • Klienci mogą usuwać lub żądać usunięcia Danych Osobowych przesłanych do Usług.
    • Żądania przenoszenia danych są rozpatrywane indywidualnie, z uwzględnieniem stosowanej przez Spółkę zasady Privacy by Design oraz Minimalizacji Danych.
  • Środki techniczne i organizacyjne podprzetwarzających:
    • Spółka wymaga od Autoryzowanych Podprzetwarzających podpisania umów powierzenia przetwarzania danych z obowiązkami zasadniczo podobnymi do określonych w niniejszym DPA.

Załącznik D

Brytyjski Załącznik (UK Addendum)

Międzynarodowy Załącznik o Transferze Danych do Standardowych Klauzul Umownych Komisji UE

Część 1: Tabele

Tabela 1: Strony

  • Data wejścia w życie: Niniejszy Brytyjski Załącznik wchodzi w życie z tym samym dniem co DPA.
  • Strony:
    • Eksporter: Klient
    • Importer: Spółka
  • Dane Stron:
    • Dane Eksportera: Klient
    • Dane Importera: Spółka
  • Główna Osoba Kontaktowa:
    • Eksporter: zob. Załącznik B do niniejszego DPA
    • Importer: zob. Załącznik B do niniejszego DPA

Tabela 2: Wybrane SKU, Moduły i Wybrane Klauzule

  • Unijne SKU: Wersja Zatwierdzonych Unijnych SKU, do której załączony jest niniejszy Brytyjski Załącznik, jak określono w DPA i uzupełniono w postanowieniach 6.2 i 6.3 DPA.

Tabela 3: Informacje z Załączników (Appendix Information)

  • Informacje z Załączników” oznaczają informacje wymagane dla wybranych modułów określonych w Załączniku do Zatwierdzonych Unijnych SKU (z wyłączeniem Stron) i są określone na potrzeby niniejszego Brytyjskiego Załącznika w następujący sposób:
    • Aneks 1A: Lista Stron: zob. Tabelę 1 powyżej.
    • Aneks 1B: Opis Transferu: zob. Załącznik B do niniejszego DPA.
    • Aneks II: Środki techniczne i organizacyjne, w tym środki zapewniające bezpieczeństwo danych: zob. Załącznik C do niniejszego DPA.
    • Aneks III: Lista Podprzetwarzających (wyłącznie Moduły 2 i 3): zob. Załącznik B do niniejszego DPA.

Tabela 4: Rozwiązanie niniejszego Brytyjskiego Załącznika z powodu zmian w Zatwierdzonym Brytyjskim Załączniku

[ZAZNACZ OPCJĘ]
Uwaga: Postanowienie to umożliwia wybranej stronie (jeżeli dotyczy) rozwiązanie Brytyjskiego Załącznika, jeżeli zmiany wprowadzone przez ICO w zatwierdzonym Brytyjskim Załączniku spowodują istotny, nieproporcjonalny i wykazany wzrost (a) bezpośrednich kosztów strony związanych z wykonywaniem obowiązków wynikających z Brytyjskiego Załącznika lub (b) ryzyka strony wynikającego z Brytyjskiego Załącznika.

  • Opcja Rozwiązania:
    • x Importer
    • x Eksporter
    • ☐ Żadna ze Stron

Zawarcie niniejszego Brytyjskiego Załącznika

  1. Każda ze stron zgadza się być związana warunkami niniejszego Brytyjskiego Załącznika w zamian za zgodę drugiej strony na podobne związanie.
  2. Mimo iż Aneks 1A i klauzula 7 Zatwierdzonych Unijnych SKU wymagają podpisów Stron, na potrzeby umożliwienia Transferów poza Wielką Brytanię Strony mogą zawrzeć niniejszy Brytyjski Załącznik dowolną prawnie wiążącą metodą zapewniającą egzekwowalność praw osób, których dane dotyczą, jak określono w niniejszym Brytyjskim Załączniku. Zawierając niniejszy Brytyjski Załącznik, Strony zgadzają się, że będzie on miał taki sam skutek prawny jak podpisanie Zatwierdzonych Unijnych SKU oraz wszelkich powiązanych ich części.

Wykładnia niniejszego Brytyjskiego Załącznika

  • Pojęcia Zdefiniowane w Zatwierdzonych Unijnych SKU:
    • Pojęcia użyte w niniejszym Brytyjskim Załączniku, które są zdefiniowane w Zatwierdzonych Unijnych SKU, mają to samo znaczenie co w Zatwierdzonych Unijnych SKU.
  • Definicje Dodatkowe:
    • Brytyjski Załącznik (UK Addendum): oznacza niniejszy Międzynarodowy Załącznik o Transferze Danych włączający Unijne SKU, dołączony do DPA jako Załącznik D.
    • Unijne SKU: oznaczają wersję(e) Zatwierdzonych Unijnych SKU, do której(ych) załączony jest niniejszy Brytyjski Załącznik, jak określono w Tabeli 2, wraz z Informacjami z Załączników.
    • Informacje z Załączników: jak określono w Tabeli 3 niniejszego Brytyjskiego Załącznika.
    • Odpowiednie Zabezpieczenia: oznaczają standard ochrony wymagany na podstawie brytyjskich Przepisów o Ochronie Danych dla danych osobowych i praw osób, których dane dotyczą, w przypadku Transferu poza Wielką Brytanię realizowanego z wykorzystaniem standardowych klauzul ochrony danych na podstawie art. 46 ust. 2 lit. d) UK GDPR.
    • Zatwierdzony Brytyjski Załącznik (Approved UK Addendum): oznacza wzorcowy Załącznik wydany przez ICO i przedłożony Parlamentowi zgodnie z s119A Data Protection Act 2018 w dniu 2 lutego 2022 r., zaktualizowany na podstawie postanowienia 18 Brytyjskiego Załącznika.
    • Zatwierdzone Unijne SKU: oznaczają standardowe klauzule umowne zatwierdzone przez Komisję Europejską w decyzji Komisji 2021/914 z dnia 4 czerwca 2021 r., dotyczące przekazywania danych osobowych do państw nieuznawanych przez Komisję Europejską za zapewniające odpowiedni stopień ochrony danych (z późniejszymi zmianami i aktualizacjami).
    • ICO: oznacza Komisarza ds. Informacji Wielkiej Brytanii (Information Commissioner of the United Kingdom).
    • Transfer poza Wielką Brytanię (ex-UK Transfer): w znaczeniu zdefiniowanym w DPA.
    • UK: oznacza Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej.
    • Brytyjskie Przepisy o Ochronie Danych: oznaczają wszelkie obowiązujące w Wielkiej Brytanii przepisy dotyczące ochrony danych, przetwarzania danych osobowych, prywatności i komunikacji elektronicznej, w tym UK GDPR oraz Data Protection Act 2018.
    • UK GDPR: w znaczeniu zdefiniowanym w DPA.
  1. Brytyjski Załącznik musi być zawsze interpretowany w sposób zgodny z brytyjskimi Przepisami o Ochronie Danych oraz w sposób zapewniający, że Strony wywiążą się ze swojego obowiązku zapewnienia Odpowiednich Zabezpieczeń.
  2. Jeżeli którekolwiek z postanowień Brytyjskiego Załącznika modyfikują Zatwierdzone Unijne SKU w sposób niedopuszczalny na podstawie Zatwierdzonych Unijnych SKU lub Zatwierdzonego Brytyjskiego Załącznika, takie modyfikacje nie zostaną włączone do Brytyjskiego Załącznika. Zamiast tego zastosowanie znajdą równoważne postanowienia Zatwierdzonych Unijnych SKU.
  3. W przypadku konfliktu lub niespójności pomiędzy brytyjskimi Przepisami o Ochronie Danych a Brytyjskim Załącznikiem, brytyjskie Przepisy o Ochronie Danych mają pierwszeństwo.
  4. Jeżeli znaczenie Brytyjskiego Załącznika jest niejasne lub dopuszcza więcej niż jedną interpretację, zastosowanie znajdzie interpretacja najbardziej zbieżna z brytyjskimi Przepisami o Ochronie Danych.
  5. Wszelkie odniesienia do aktów prawnych (lub konkretnych przepisów aktów prawnych) zawarte w Brytyjskim Załączniku należy rozumieć jako odniesienia do takich aktów prawnych (lub przepisów) w brzmieniu ich kolejnych zmian, konsolidacji, ponownego uchwalenia lub zastąpienia, również po wykonaniu Brytyjskiego Załącznika.

Hierarchia

  1. Mimo iż klauzula 5 Zatwierdzonych Unijnych SKU stanowi, że Zatwierdzone Unijne SKU mają pierwszeństwo przed wszelkimi powiązanymi umowami między stronami, strony zgadzają się, że w odniesieniu do Transferów poza Wielką Brytanię obowiązywać będzie hierarchia określona w postanowieniu 10 poniżej.
  2. W razie konfliktu lub niespójności pomiędzy Zatwierdzonym Brytyjskim Załącznikiem a Unijnymi SKU pierwszeństwo ma Zatwierdzony Brytyjski Załącznik. Jeżeli jednak sprzeczne lub niespójne postanowienia Unijnych SKU zapewniają wyższy poziom ochrony osobom, których dane dotyczą, takie postanowienia mają pierwszeństwo przed Zatwierdzonym Brytyjskim Załącznikiem.
  3. Jeżeli niniejszy Brytyjski Załącznik włącza Unijne SKU zawarte w celu zabezpieczenia Transferów poza UE objętych RODO, strony zgadzają się, że Brytyjski Załącznik nie zmienia ani nie wpływa na warunki tych Unijnych SKU.

Włączenie i Zmiany Unijnych SKU:

  1. Niniejszy Brytyjski Załącznik włącza Unijne SKU, zmienione w zakresie niezbędnym do zapewnienia, że:
  2. Działają skutecznie w odniesieniu do transferów danych od eksportera danych do importera danych, w zakresie, w jakim brytyjskie Przepisy o Ochronie Danych mają zastosowanie do przetwarzania prowadzonego przez eksportera danych na potrzeby tych transferów. Zapewniają Odpowiednie Zabezpieczenia dla takich transferów danych.
  3. Postanowienia 9-11 Brytyjskiego Załącznika mają pierwszeństwo przed klauzulą 5 (Hierarchia) Unijnych SKU.
  4. Brytyjski Załącznik, wraz z włączonymi do niego Unijnymi SKU: 1. Podlega prawu Anglii i Walii. 2. Podlega rozstrzyganiu sporów przez sądy Anglii i Walii.
  5. Jeżeli strony nie uzgodnią alternatywnych zmian spełniających wymogi postanowienia 12 Brytyjskiego Załącznika, zastosowanie znajdą postanowienia opisane w postanowieniu 15 Brytyjskiego Załącznika.
  6. Nie są dopuszczalne żadne zmiany Zatwierdzonych Unijnych SKU, z wyjątkiem zmian wprowadzanych w celu spełnienia wymogów postanowienia 12 Brytyjskiego Załącznika.
  7. W Unijnych SKU wprowadza się następujące zmiany na potrzeby postanowienia 12 Brytyjskiego Załącznika.
  8. Odniesienia do „Klauzul” należy rozumieć jako odniesienia do niniejszego Brytyjskiego Załącznika, który włącza Unijne SKU.
  9. W klauzuli 2 skreśla się następujący tekst:
    „a w odniesieniu do przekazywania danych przez administratorów do podmiotów przetwarzających lub przez podmioty przetwarzające do innych podmiotów przetwarzających - standardowe klauzule umowne zgodne z art. 28 ust. 7 Rozporządzenia (UE) 2016/679.”
  10. Klauzula 6 (Opis transferu(ów)) zostaje zastąpiona następującym brzmieniem:
    „Szczegóły transferu(ów), w tym kategorie przekazywanych danych osobowych oraz cel(e) transferu, są określone w Aneksie I.B w przypadku, gdy brytyjskie Przepisy o Ochronie Danych mają zastosowanie do przetwarzania prowadzonego przez eksportera danych na potrzeby takiego transferu.”
  11. Klauzula 8.7(i) Modułu 1 zostaje zastąpiona następującym brzmieniem:
    „Jest to państwo objęte regulacjami stwierdzającymi odpowiedni stopień ochrony na podstawie sekcji 17A UK GDPR, które obejmują dalszy transfer.”
  12. Klauzula 8.8(i) Modułów 2 i 3 zostaje zastąpiona następującym brzmieniem:
    „Dalszy transfer odbywa się do państwa objętego regulacjami stwierdzającymi odpowiedni stopień ochrony na podstawie sekcji 17A UK GDPR, które obejmują ten dalszy transfer.”
  13. Odniesienia do „Rozporządzenia (UE) 2016/679”,
    „Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych)” oraz „tego Rozporządzenia” zastępuje się odniesieniami do „brytyjskich Przepisów o Ochronie Danych”. Odniesienia do konkretnych artykułów „Rozporządzenia (UE) 2016/679” zastępuje się równoważnym artykułem lub sekcją brytyjskich Przepisów o Ochronie Danych.
  14. Odniesienia do Rozporządzenia (UE) 2018/1725 zostają usunięte.
  15. Odniesienia do „Unii Europejskiej”, „Unii”, „UE”, „państwa członkowskiego UE”, „państwa członkowskiego” oraz „UE lub państwa członkowskiego” zastępuje się odniesieniami do „Wielkiej Brytanii”.
  16. Odniesienie do „klauzuli 12(c)(i)” w klauzuli 10(b)(i) Modułu 1 zastępuje się odniesieniem do „klauzuli 11(c)(i)”.
  17. Klauzuli 13(a) ani Części C Aneksu I nie stosuje się.
  18. Odniesienia do „właściwego organu nadzorczego” oraz „organu nadzorczego” zastępuje się odniesieniem do „Komisarza ds. Informacji (Information Commissioner)”.
  19. W klauzuli 16(e) podpunkt (i) zostaje zastąpiony następującym brzmieniem:
    „Sekretarz Stanu wydaje regulacje na podstawie sekcji 17A Data Protection Act 2018, które obejmują transfer danych osobowych objęty niniejszymi klauzulami.”
  20. Klauzulę 17 zastępuje się następującym brzmieniem:
    „Niniejsze Klauzule podlegają prawu Anglii i Walii.”
  21. Klauzulę 18 zastępuje się następującym brzmieniem:
    „Wszelkie spory wynikające z niniejszych Klauzul są rozstrzygane przez sądy Anglii i Walii. Osoba, której dane dotyczą, może również wnieść postępowanie przeciwko eksporterowi danych lub importerowi danych przed sądy dowolnego państwa Wielkiej Brytanii. Strony zgadzają się poddać jurysdykcji takich sądów.”
  22. Przypisy do Zatwierdzonych Unijnych SKU nie stanowią części Brytyjskiego Załącznika, z wyjątkiem przypisów 8, 9, 10 i 11.

Zmiany Brytyjskiego Załącznika

  1. Strony mogą uzgodnić zmianę klauzul 17 lub 18 Unijnych SKU w celu odniesienia ich do prawa lub sądów Szkocji albo Irlandii Północnej.
  2. Jeżeli strony chcą zmodyfikować format informacji zawartych w Części 1: Tabele Zatwierdzonego Brytyjskiego Załącznika, mogą to uczynić za obopólną pisemną zgodą, pod warunkiem, że zmiany takie nie pomniejszają Odpowiednich Zabezpieczeń.
  3. Okresowo ICO może wydać zaktualizowany Zatwierdzony Brytyjski Załącznik, który:
  4. Wprowadza rozsądne i proporcjonalne zmiany do Zatwierdzonego Brytyjskiego Załącznika, w tym poprawki błędów.
  5. Odzwierciedla aktualizacje brytyjskich Przepisów o Ochronie Danych.

Zaktualizowany Zatwierdzony Brytyjski Załącznik określi datę wejścia w życie zmian i wskaże, czy strony powinny dokonać przeglądu niniejszego Brytyjskiego Załącznika, w tym Informacji z Załączników. Od wskazanej daty wejścia w życie niniejszy Brytyjski Załącznik zostaje automatycznie zmieniony zgodnie z zaktualizowanym Zatwierdzonym Brytyjskim Załącznikiem.

  1. Jeżeli ICO wyda zaktualizowany Zatwierdzony Brytyjski Załącznik na podstawie postanowienia 18 niniejszego Brytyjskiego Załącznika, a strona doświadczy - w bezpośrednim wyniku zmian:
  2. Istotnego, nieproporcjonalnego i wykazanego wzrostu jej bezpośrednich kosztów wykonywania obowiązków wynikających z Brytyjskiego Załącznika; lub
  3. Istotnego, nieproporcjonalnego i wykazanego wzrostu jej ryzyka wynikającego z Brytyjskiego Załącznika,
  4. strona ta może rozwiązać niniejszy Brytyjski Załącznik, składając drugiej stronie pisemne oświadczenie. Rozwiązanie wymaga zachowania rozsądnego okresu wypowiedzenia, a oświadczenie należy złożyć przed datą wejścia w życie zaktualizowanego Zatwierdzonego Brytyjskiego Załącznika, pod warunkiem, że strona uprzednio podjęła rozsądne kroki w celu ograniczenia tych kosztów lub ryzyka, aby zapobiec ich istotnemu i nieproporcjonalnemu wzrostowi.
  5. Strony mogą wprowadzać zmiany do niniejszego Brytyjskiego Załącznika bez zgody jakiegokolwiek podmiotu trzeciego, jednak wszelkie takie zmiany muszą być zgodne z warunkami Brytyjskiego Załącznika.