Umowa powierzenia przetwarzania danych (DPA)
Wersja robocza z 12.07.2026. Załącznik do Regulaminu — wiąże strony z chwilą akceptacji Regulaminu.
§1. Role stron
W zakresie danych osobowych, które Klient wgrywa na Platformę lub wpisuje do jej narzędzi (np. dane jego klientów, leadów, odbiorców treści), Klient jest administratorem, a Sosky Rafał Sobieszyński (NIP 7132875070) jest podmiotem przetwarzającym w rozumieniu art. 28 RODO.
§2. Przedmiot, charakter i cel przetwarzania
- Przedmiot: dane wgrywane przez Klienta w ramach korzystania z Platformy (profil marki, treści do generacji, dane w rozmowach z asystentami).
- Charakter: przechowywanie, porządkowanie, przekazywanie do modeli AI w celu generacji treści, wyświetlanie Klientowi.
- Cel: świadczenie usługi opisanej w Regulaminie.
- Kategorie osób: klienci, potencjalni klienci i odbiorcy treści Klienta. Kategorie danych: dane zwykłe (identyfikacyjne, kontaktowe, treść komunikacji). Klient zobowiązuje się nie wgrywać danych szczególnych kategorii (art. 9 RODO).
§3. Obowiązki przetwarzającego
- Przetwarzamy dane wyłącznie na udokumentowane polecenie Klienta — poleceniem jest korzystanie z funkcji Platformy.
- Dostęp do danych mają wyłącznie osoby zobowiązane do poufności.
- Stosujemy środki techniczne i organizacyjne opisane w §5.
- Pomagamy Klientowi realizować prawa osób, których dane dotyczą (dostęp, usunięcie, przenoszenie — m.in. eksport JSON i twarde usunięcie danych konta).
- Po zakończeniu umowy zwracamy dane (eksport) i trwale je usuwamy najpóźniej w ciągu 30 dni, chyba że prawo wymaga dłuższego przechowywania.
§4. Podpowierzenie
Klient wyraża ogólną zgodę na korzystanie z podprocesorów wymienionych w Polityce prywatności (pkt 4). O zamiarze dodania lub zmiany podprocesora informujemy z 14-dniowym wyprzedzeniem; sprzeciw uprawnia Klienta do wypowiedzenia umowy. Transfery poza EOG odbywają się na podstawie SCC/DPF.
§5. Środki techniczne i organizacyjne
- Szyfrowanie w tranzycie (TLS) i w spoczynku.
- Izolacja danych każdego konta na poziomie bazy (row level security) — potwierdzana automatycznym testem przy każdej zmianie kodu.
- Klucze serwisowe wyłącznie po stronie serwera; sekrety poza repozytorium kodu; klucze API klientów przechowywane wyłącznie w postaci zaszyfrowanej (AES-256-GCM).
- Dziennik zdarzeń wrażliwych (audit log).
- Kopie zapasowe z retencją 30 dni i testami odtworzenia.
§6. Naruszenia ochrony danych
O stwierdzonym naruszeniu ochrony danych powierzonych informujemy Klienta bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od wykrycia, podając zakres, możliwe skutki i podjęte środki.
§7. Audyt
Na wniosek Klienta udostępniamy informacje niezbędne do wykazania zgodności z art. 28 RODO. Audyt na miejscu wymaga uzgodnienia terminu z 14-dniowym wyprzedzeniem i odbywa się na koszt Klienta, nie częściej niż raz w roku, chyba że naruszenie uzasadnia częstszą kontrolę.
§8. Czas obowiązywania
Umowa obowiązuje przez czas korzystania z Platformy. Jej wygaśnięcie uruchamia obowiązki z §3 (zwrot i usunięcie danych).