Umowa powierzenia przetwarzania danych
Zawarta na podstawie art. 28 ust. 3 RODO. Stanowi integralną część Regulaminu i ma automatyczne zastosowanie do każdego klienta WorkAist Cloud.
Obowiązuje od: 2026-07-10
Niniejszy dokument jest publikowany w kilku językach. W przypadku jakichkolwiek rozbieżności wiążąca jest wersja angielska.
1. Strony i role
Niniejsza Umowa powierzenia przetwarzania danych („DPA”) zostaje zawarta między klientem wskazanym na koncie WorkAist („Administrator”) a ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 („Podmiot Przetwarzający”).
W odniesieniu do Danych Klienta przetwarzanych w WorkAist Cloud Administrator określa cele i sposoby przetwarzania, a Podmiot Przetwarzający przetwarza je w imieniu Administratora. Jeżeli Administrator sam jest podmiotem przetwarzającym na rzecz osoby trzeciej, oświadcza, że posiada upoważnienie do zawarcia niniejszej DPA i że wydawane przez niego polecenia odzwierciedlają polecenia tej osoby trzeciej.
Niniejsza DPA nie ma zastosowania do WorkAist Self-Hosted, w którym Dane Klienta nie trafiają do systemów Podmiotu Przetwarzającego, ani do danych, w odniesieniu do których Podmiot Przetwarzający sam jest administratorem — te reguluje Polityka prywatności.
2. Kolejność pierwszeństwa
W przypadku sprzeczności między niniejszą DPA a Regulaminem, w sprawach ochrony danych pierwszeństwo ma niniejsza DPA. W przypadku sprzeczności z indywidualnie wynegocjowanym formularzem zamówienia lub podpisaną umową powierzenia przetwarzania danych, pierwszeństwo ma ten dokument.
3. Przedmiot, czas trwania, charakter i cel
Przedmiotem jest świadczenie usługi WorkAist Cloud. Charakter i cel przetwarzania stanowią hosting, przechowywanie, przesyłanie i zautomatyzowane przetwarzanie Danych Klienta w celu umożliwienia działania skonfigurowanych przez Administratora agentów, connectorów i procesów, wraz z działaniami w zakresie wsparcia, bezpieczeństwa, pomiaru zużycia i rozliczeń niezbędnymi do świadczenia Usługi.
Przetwarzanie trwa przez cały okres obowiązywania umowy Administratora dotyczącej WorkAist Cloud, powiększony o okresy usunięcia danych określone w punkcie 11.
4. Kategorie osób, których dane dotyczą, oraz danych osobowych
Administrator decyduje, co przesyła. Zazwyczaj przetwarzanie dotyczy:
| Kategorie osób, których dane dotyczą | Kategorie danych osobowych |
|---|---|
| Pracownicy i upoważnieni użytkownicy Administratora | Imię i nazwisko, służbowy adres e-mail, rola, dane uwierzytelniające, wpisy w dzienniku audytu |
| Klienci, leady i kontakty Administratora | Imię i nazwisko, e-mail, numer telefonu, firma, korespondencja, dane CRM, dowolny identyfikator, który Administrator zdecyduje się synchronizować |
| Dostawcy i partnerzy Administratora | Dane kontaktowe, dane umów i faktur |
| Każda osoba, której dane dotyczą, występująca w dokumentach lub wiadomościach przetwarzanych przez Administratora | Wszelkie dane osobowe zawarte w plikach, e-mailach, transkrypcjach, obrazach lub wiadomościach przesyłanych przez Administratora do Usługi |
Szczególne kategorie danych osobowych w rozumieniu art. 9 RODO oraz dane osobowe dotyczące wyroków skazujących i naruszeń prawa w rozumieniu art. 10 RODO nie mogą być przetwarzane w Usłudze, chyba że strony uprzednio uzgodniły na piśmie dodatkowe zabezpieczenia.
Źródło danych
Dane Klienta trafiają do Usługi, ponieważ Administrator łączy systemy zewnętrzne, przesyła pliki lub poleca swoim agentom ich pobranie. Wyłącznie Administrator wybiera te źródła i decyduje, co jest importowane.
Administrator oświadcza, że posiada podstawę prawną wynikającą z art. 6 RODO — a w stosownych przypadkach z art. 9 — do zbierania tych danych osobowych i ich przekazywania Podmiotowi Przetwarzającemu oraz że wszelkie wymagane w systemie źródłowym informacje lub zgody zostały uzyskane. Podmiot Przetwarzający nie ma dostępu do systemów źródłowych Administratora, nie wybiera ich oraz nie weryfikuje ani nie jest w stanie zweryfikować, czy są one zgodne z przepisami o ochronie danych. Ustalenie tego należy do obowiązków Administratora jako administratora danych.
5. Przetwarzanie na udokumentowane polecenie
Podmiot Przetwarzający przetwarza Dane Klienta wyłącznie na udokumentowane polecenie Administratora, w tym w zakresie przekazywania danych do państw trzecich, chyba że obowiązek innego postępowania nakłada na niego prawo Unii lub państwa członkowskiego, któremu podlega. W takim przypadku Podmiot Przetwarzający informuje Administratora o tym wymogu prawnym przed rozpoczęciem przetwarzania, chyba że prawo to zakazuje takiego informowania z uwagi na ważny interes publiczny.
Regulamin, niniejsza DPA oraz konfiguracja i sposób korzystania z Usługi przez Administratora stanowią pełne udokumentowane polecenia Administratora. Każde dodatkowe polecenie musi mieć formę pisemną i, jeśli wymaga nakładu pracy wykraczającego poza standardową funkcjonalność Usługi, może podlegać uprzednio uzgodnionej rozsądnej opłacie.
Podmiot Przetwarzający informuje Administratora bez zbędnej zwłoki, jeżeli w jego ocenie polecenie narusza RODO lub inne przepisy o ochronie danych Unii lub państwa członkowskiego.
6. Poufność
Podmiot Przetwarzający zapewnia, że osoby upoważnione do przetwarzania Danych Klienta zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności oraz że dostęp mają wyłącznie osoby, którym jest on niezbędny do wykonania umowy.
7. Bezpieczeństwo przetwarzania
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, jak również ryzyko naruszenia praw i wolności osób fizycznych, Podmiot Przetwarzający wdraża następujące środki techniczne i organizacyjne zgodnie z art. 32 RODO.
Załącznik II — Środki techniczne i organizacyjne
| Środek | Realizacja |
|---|---|
| Szyfrowanie w trakcie przesyłania | Cały ruch do i z Usługi jest obsługiwany przez TLS z automatycznie odnawianymi certyfikatami. Wewnętrzny ruch między usługami nie opuszcza sieci hosta. |
| Szyfrowanie sekretów | Dane uwierzytelniające klienta i sekrety connectorów są szyfrowane w spoczynku przy użyciu AES-256-GCM, z kluczem przechowywanym poza bazą danych aplikacji. |
| Pseudonimizacja | Zapisy telemetrii i pomiaru zużycia odwołują się do klientów i agentów za pomocą identyfikatora, a nie nazwy czy adresu e-mail, wszędzie tam, gdzie identyfikator jest wystarczający. |
| Poufność — kontrola dostępu | Kontrola dostępu oparta na rolach w ramach każdej przestrzeni roboczej. Każdy agent jest ograniczony do własnego prefiksu magazynu i własnego schematu bazy danych; dostęp między klientami jest odrzucany już na poziomie danych, a nie tylko w interfejsie użytkownika. |
| Poufność — personel | Dostęp administracyjny zgodny z zasadą minimalnych uprawnień, przyznawany indywidualnie i weryfikowany przy zmianie roli. Wszystkie działania administracyjne są zapisywane w dzienniku audytu z możliwością wyłącznie dopisywania. |
| Integralność | Kompleksowa walidacja danych wejściowych i zapytania parametryzowane. Każda zmiana dokonana za pośrednictwem operacyjnego API zapisuje wiersz w dzienniku audytu identyfikujący osobę działającą. |
| Dostępność i odporność | Zarządzany hosting w centrum danych klasy Tier III w Niemczech. Automatyczne codzienne kopie zapasowe bazy danych, przechowywane w formie zaszyfrowanej i oddzielnie od środowiska produkcyjnego. |
| Przywracanie | Udokumentowana procedura przywracania z najnowszej kopii zapasowej; przywracanie jest testowane w ramach zmian infrastruktury. |
| Testowanie i ocena | Skanowanie podatności zależności w ramach ciągłej integracji, przegląd kodu przed scaleniem oraz okresowy przegląd tych środków co najmniej raz w roku i przy istotnych zmianach Usługi. |
| Minimalizacja danych już na etapie projektowania | Connectory synchronizują wyłącznie pola włączone przez Administratora. Administrator może w dowolnym momencie usunąć każdą zsynchronizowaną tabelę. |
Podmiot Przetwarzający może aktualizować te środki wraz z rozwojem technologii, pod warunkiem że poziom ochrony nie zostanie obniżony. Aktualna wersja jest zawsze publikowana na tej stronie.
8. Dalsi podmioty przetwarzający
Administrator udziela Podmiotowi Przetwarzającemu ogólnego pisemnego upoważnienia do korzystania z dalszych podmiotów przetwarzających. Podmiot Przetwarzający nakłada na każdy dalszy podmiot przetwarzający, w drodze umowy, obowiązki w zakresie ochrony danych nie mniej rygorystyczne niż określone w niniejszej DPA, i ponosi wobec Administratora pełną odpowiedzialność za działania dalszego podmiotu przetwarzającego.
Załącznik III — Zatwierdzeni dalsi podmioty przetwarzający
Poniżsi dalsi podmioty przetwarzający są zaangażowani w odniesieniu do każdego klienta WorkAist Cloud, ponieważ stanowią część infrastruktury, na której działa Usługa.
| Dalszy podmiot przetwarzający | Cel | Lokalizacja | Zabezpieczenie transferu |
|---|---|---|---|
| Hetzner Online GmbH | Hosting serwerów aplikacyjnych, bazy danych i kopii zapasowych | Niemcy (UE) | Nie dotyczy |
| Cloudflare, Inc. | DNS, reverse proxy, terminacja TLS, ochrona przed DDoS | Globalna sieć brzegowa, w tym UE | SCC; EU-US Data Privacy Framework |
| Stripe Payments Europe, Ltd. | Obsługa płatności i subskrypcji | Irlandia (UE) | SCC dla dalszych transferów wewnątrzgrupowych; EU-US Data Privacy Framework |
| Resend, Inc. | Dostarczanie wiadomości transakcyjnych e-mail | Stany Zjednoczone | SCC |
Dostawcy modeli
Dostawcy dużych modeli językowych są traktowani odmiennie, ponieważ to Administrator ich wybiera.
- Jeżeli Administrator dostarcza własne dane uwierzytelniające dostawcy, dostawca ten jest zaangażowany przez Administratora, na jego polecenie i na podstawie jego własnej umowy z tym dostawcą. Nie jest on dalszym podmiotem przetwarzającym Podmiotu Przetwarzającego. Podmiot Przetwarzający jedynie przekazuje zapytanie przy użyciu dostarczonych danych uwierzytelniających i nie udziela żadnej gwarancji co do bezpieczeństwa tego dostawcy, miejsca przetwarzania, praktyk w zakresie trenowania modeli ani zgodności z przepisami.
- Jeżeli Administrator korzysta z zarządzanego rozliczania tokenów Podmiotu Przetwarzającego, to Podmiot Przetwarzający wybiera dostawcę, który staje się jego dalszym podmiotem przetwarzającym. Dostawcą aktualnie zaangażowanym w tym charakterze jest Anthropic PBC (Stany Zjednoczone), w zakresie wnioskowania dużych modeli językowych, na podstawie Standardowych klauzul umownych, umownie zobowiązany do niewykorzystywania przesyłanych mu danych do trenowania.
Administrator może w dowolnym momencie sprawdzić w Usłudze, z jakiego dostawcy modelu korzysta każdy z jego agentów, i zmienić go.
Zmiany dalszych podmiotów przetwarzających
Podmiot Przetwarzający powiadamia Administratora e-mailem z co najmniej 30-dniowym wyprzedzeniem przed dodaniem lub zastąpieniem dalszego podmiotu przetwarzającego. W tym 30-dniowym terminie Administrator może zgłosić sprzeciw z uzasadnionych przyczyn dotyczących ochrony danych. Jeżeli strony nie zdołają rozstrzygnąć sprzeciwu, Administrator może rozwiązać dotkniętą część Usługi bez kar umownych i otrzymać proporcjonalny zwrot opłat uiszczonych z góry.
9. Pomoc w realizacji praw osób, których dane dotyczą
Uwzględniając charakter przetwarzania, Podmiot Przetwarzający wspiera Administratora — za pomocą odpowiednich środków technicznych i organizacyjnych, w zakresie w jakim jest to możliwe — w wypełnianiu obowiązku Administratora dotyczącego odpowiadania na żądania realizacji praw osoby, której dane dotyczą, wynikających z rozdziału III RODO.
Usługa zapewnia Administratorowi bezpośredni dostęp do Danych Klienta, dzięki czemu może on samodzielnie zlokalizować, wyeksportować, poprawić i usunąć dane osobowe. Jeżeli żądanie mimo to wymaga zaangażowania Podmiotu Przetwarzającego, odpowiada on bez zbędnej zwłoki, a w każdym razie w ciągu 10 dni roboczych. Jeżeli osoba, której dane dotyczą, skontaktuje się bezpośrednio z Podmiotem Przetwarzającym w sprawie Danych Klienta, Podmiot Przetwarzający nie udziela odpowiedzi merytorycznej, lecz bez zbędnej zwłoki przekazuje żądanie Administratorowi.
10. Pomoc w zakresie art. 32–36
Podmiot Przetwarzający wspiera Administratora w zapewnieniu zgodności z obowiązkami wynikającymi z art. 32–36 RODO, uwzględniając charakter przetwarzania oraz informacje dostępne Podmiotowi Przetwarzającemu — w szczególności w zakresie bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych osobowych, zawiadamiania osób, których dane dotyczą, ocen skutków dla ochrony danych oraz uprzednich konsultacji.
Naruszenie ochrony danych osobowych
Podmiot Przetwarzający zawiadamia Administratora bez zbędnej zwłoki, a w każdym razie w ciągu 48 godzin od powzięcia wiadomości o naruszeniu ochrony danych osobowych dotyczącym Danych Klienta. Zawiadomienie opisuje charakter naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rekordów danych, których dotyczy naruszenie, prawdopodobne konsekwencje, podjęte lub proponowane środki oraz punkt kontaktowy. Jeżeli nie wszystkie informacje są dostępne od razu, są one przekazywane sukcesywnie, bez dalszej zbędnej zwłoki. Podmiot Przetwarzający nie zawiadamia organu nadzorczego ani osób, których dane dotyczą, w imieniu Administratora, chyba że otrzyma takie polecenie.
11. Usunięcie i zwrot Danych Klienta
Według wyboru Administratora, Podmiot Przetwarzający usuwa lub zwraca wszystkie Dane Klienta po zakończeniu świadczenia usług związanych z przetwarzaniem oraz usuwa istniejące kopie, chyba że prawo Unii lub państwa członkowskiego nakazuje przechowywanie danych osobowych.
- Przez 30 dni po zakończeniu umowy Administrator może eksportować Dane Klienta z Usługi lub zażądać ich zwrotu w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.
- Podmiot Przetwarzający usuwa Dane Klienta z systemów produkcyjnych w ciągu 30 dni od zamknięcia tego okresu eksportu.
- Zaszyfrowane kopie zapasowe zawierające Dane Klienta są nadpisywane w ramach standardowej rotacji, a w każdym razie w ciągu 90 dni od usunięcia danych z systemów produkcyjnych.
- Na pisemny wniosek Podmiot Przetwarzający pisemnie potwierdza usunięcie danych.
12. Audyty i informacje
Podmiot Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwia przeprowadzanie audytów, w tym inspekcji, przez Administratora lub innego audytora upoważnionego przez Administratora, i współdziała przy nich.
W praktyce Podmiot Przetwarzający najpierw udostępnia swoją aktualną dokumentację środków technicznych i organizacyjnych, listę dalszych podmiotów przetwarzających oraz pisemne odpowiedzi na kwestionariusz bezpieczeństwa. Jeżeli nie jest to wystarczające do wykazania zgodności, Administrator może przeprowadzić audyt na miejscu lub zdalny, za 30-dniowym pisemnym wyprzedzeniem, nie częściej niż raz w roku kalendarzowym, chyba że doszło do naruszenia ochrony danych osobowych lub wymaga tego organ nadzorczy. Audyty odbywają się w godzinach pracy, nie mogą w nieuzasadniony sposób zakłócać działalności Podmiotu Przetwarzającego i podlegają zasadom poufności. Administrator ponosi własne koszty audytu; Podmiot Przetwarzający ponosi swoje własne, chyba że audyt wykaże istotne naruszenie niniejszej DPA.
13. Transfery międzynarodowe
Podmiot Przetwarzający przechowuje Dane Klienta w spoczynku w Niemczech. Transfery do dalszych podmiotów przetwarzających spoza Europejskiego Obszaru Gospodarczego, wymienionych w Załączniku III, odbywają się na podstawie Standardowych klauzul umownych Komisji Europejskiej (decyzja wykonawcza (UE) 2021/914), Moduł Trzeci, mający zastosowanie, gdy Podmiot Przetwarzający jako podmiot przetwarzający angażuje dalszy podmiot przetwarzający, uzupełnionych w razie potrzeby dodatkowymi zabezpieczeniami, a tam, gdzie odbiorca posiada odpowiedni certyfikat — na podstawie decyzji stwierdzającej odpowiedni stopień ochrony w ramach EU-US Data Privacy Framework.
Zawierając niniejszą DPA, Administrator upoważnia Podmiot Przetwarzający do zawarcia tych Standardowych klauzul umownych z każdym dalszym podmiotem przetwarzającym w imieniu i na rzecz Administratora.
14. Odpowiedzialność
Odpowiedzialność wynikająca z niniejszej DPA podlega ograniczeniu odpowiedzialności określonemu w Regulaminie, z zastrzeżeniem, że żadne postanowienie nie ogranicza odpowiedzialności żadnej ze stron wobec osoby, której dane dotyczą, na podstawie art. 82 RODO, ani wobec organu nadzorczego.
15. Okres obowiązywania, prawo właściwe i kontakt
Niniejsza DPA wchodzi w życie z chwilą rozpoczęcia obowiązywania umowy Administratora dotyczącej WorkAist Cloud i pozostaje w mocy przez cały okres, w którym Podmiot Przetwarzający przetwarza Dane Klienta. Podlega prawu Portugalii, a wyłączną jurysdykcję mają sądy w Lizbonie, bez uszczerbku dla art. 79 RODO.
Kontakt we wszystkich sprawach związanych z niniejszą DPA: [email protected].