SZKIC — wersja robocza dokumentu. Obowiązująca wersja zostanie opublikowana przed udostępnieniem platformy klientom spoza programu testów.

Umowa powierzenia przetwarzania danych (DPA)

Wersja robocza z 12.07.2026. Załącznik do Regulaminu — wiąże strony z chwilą akceptacji Regulaminu.

§1. Role stron

W zakresie danych osobowych, które Klient wgrywa na Platformę lub wpisuje do jej narzędzi (np. dane jego klientów, leadów, odbiorców treści), Klient jest administratorem, a Sosky Rafał Sobieszyński (NIP 7132875070) jest podmiotem przetwarzającym w rozumieniu art. 28 RODO.

§2. Przedmiot, charakter i cel przetwarzania

  • Przedmiot: dane wgrywane przez Klienta w ramach korzystania z Platformy (profil marki, treści do generacji, dane w rozmowach z asystentami).
  • Charakter: przechowywanie, porządkowanie, przekazywanie do modeli AI w celu generacji treści, wyświetlanie Klientowi.
  • Cel: świadczenie usługi opisanej w Regulaminie.
  • Kategorie osób: klienci, potencjalni klienci i odbiorcy treści Klienta. Kategorie danych: dane zwykłe (identyfikacyjne, kontaktowe, treść komunikacji). Klient zobowiązuje się nie wgrywać danych szczególnych kategorii (art. 9 RODO).

§3. Obowiązki przetwarzającego

  • Przetwarzamy dane wyłącznie na udokumentowane polecenie Klienta — poleceniem jest korzystanie z funkcji Platformy.
  • Dostęp do danych mają wyłącznie osoby zobowiązane do poufności.
  • Stosujemy środki techniczne i organizacyjne opisane w §5.
  • Pomagamy Klientowi realizować prawa osób, których dane dotyczą (dostęp, usunięcie, przenoszenie — m.in. eksport JSON i twarde usunięcie danych konta).
  • Po zakończeniu umowy zwracamy dane (eksport) i trwale je usuwamy najpóźniej w ciągu 30 dni, chyba że prawo wymaga dłuższego przechowywania.

§4. Podpowierzenie

Klient wyraża ogólną zgodę na korzystanie z podprocesorów wymienionych w Polityce prywatności (pkt 4). O zamiarze dodania lub zmiany podprocesora informujemy z 14-dniowym wyprzedzeniem; sprzeciw uprawnia Klienta do wypowiedzenia umowy. Transfery poza EOG odbywają się na podstawie SCC/DPF.

§5. Środki techniczne i organizacyjne

  • Szyfrowanie w tranzycie (TLS) i w spoczynku.
  • Izolacja danych każdego konta na poziomie bazy (row level security) — potwierdzana automatycznym testem przy każdej zmianie kodu.
  • Klucze serwisowe wyłącznie po stronie serwera; sekrety poza repozytorium kodu; klucze API klientów przechowywane wyłącznie w postaci zaszyfrowanej (AES-256-GCM).
  • Dziennik zdarzeń wrażliwych (audit log).
  • Kopie zapasowe z retencją 30 dni i testami odtworzenia.

§6. Naruszenia ochrony danych

O stwierdzonym naruszeniu ochrony danych powierzonych informujemy Klienta bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od wykrycia, podając zakres, możliwe skutki i podjęte środki.

§7. Audyt

Na wniosek Klienta udostępniamy informacje niezbędne do wykazania zgodności z art. 28 RODO. Audyt na miejscu wymaga uzgodnienia terminu z 14-dniowym wyprzedzeniem i odbywa się na koszt Klienta, nie częściej niż raz w roku, chyba że naruszenie uzasadnia częstszą kontrolę.

§8. Czas obowiązywania

Umowa obowiązuje przez czas korzystania z Platformy. Jej wygaśnięcie uruchamia obowiązki z §3 (zwrot i usunięcie danych).