Umowa powierzenia przetwarzania danych

Ostatnia aktualizacja: 30 marca 2026

Niniejsza Umowa powierzenia przetwarzania danych ("Umowa") stanowi część Regulamin zawartego pomiędzy Tobą ("Administrator", "Ty") a Piotr Zapolski Web Development, ul. Cybernetyki 2B/124, 02-677 Warsaw, Poland, NIP: 5811976789, REGON: 523629115 ("Podmiotem przetwarzającym", "my", "nas") i reguluje przetwarzanie danych osobowych przez Podmiot przetwarzający w imieniu Administratora zgodnie z art. 28 ogólnego rozporządzenia o ochronie danych (UE) 2016/679 ("RODO").

1. Przedmiot i zakres

Administrator korzysta z platformy Zoye.ai (dalej „Usługa”) w celu zarządzania komunikacją w ramach obsługi klienta. W trakcie świadczenia Usługi Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora. Niniejsza Umowa określa prawa i obowiązki obu stron w odniesieniu do takiego przetwarzania.

2. Kategorie osób, których dane dotyczą, i danych osobowych

Dane osobowe przetwarzane na podstawie niniejszej Umowy mogą obejmować:

• Osoby, których dane dotyczą: użytkownicy końcowi Administratora, klienci, odwiedzający stronę internetową oraz wszelkie osoby, których dane osobowe znajdują się w wiadomościach lub treściach przetwarzanych za pośrednictwem Usługi.
• Kategorie danych osobowych: dane kontaktowe (imiona i nazwiska, adresy e-mail, numery telefonów), treść wiadomości, numery zamówień, dane z integracji e-commerce oraz wszelkie inne dane osobowe zawarte w komunikacji przetwarzanej za pośrednictwem Usługi.

3. Cel i charakter przetwarzania

Podmiot przetwarzający przetwarza dane osobowe wyłącznie w celu świadczenia Usługi, co obejmuje: odbieranie i przechowywanie wiadomości z obsługi klienta; generowanie projektów odpowiedzi przy użyciu narzędzi opartych na sztucznej inteligencji; kierowanie rozmów; przechowywanie historii rozmów; oraz zapewnianie analityki i raportowania dotyczących interakcji w ramach obsługi.

Operacje przetwarzania obejmują: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, pobieranie, wykorzystywanie, ujawnianie poprzez przesłanie, dopasowywanie, łączenie, ograniczanie, usuwanie i niszczenie.

4. Obowiązki podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się:

• Przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego obowiązujące prawo. W takim przypadku Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym przed rozpoczęciem przetwarzania, o ile prawo tego nie zabrania.
• Zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
• Wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku, zgodnie z art. 32 RODO, w tym:
  • Hosting na serwerach zlokalizowanych na terenie Unii Europejskiej;
  • Szyfrowanie danych w trakcie przesyłania (TLS) oraz w spoczynku;
  • Izolacja danych w środowisku wielodostępnym (dane każdego Administratora są logicznie oddzielone od danych innych Administratorów);
  • Szyfrowane przechowywanie danych uwierzytelniających do integracji;
  • Mechanizmy kontroli dostępu i uwierzytelniania;
  • Regularne kopie zapasowe oraz procedury przywracania po awarii;
  • Regularne testy i oceny bezpieczeństwa;
  • Anonimizacja danych osobowych (PII) — dane osobowe są usuwane z treści wiadomości przed przetwarzaniem przez silnik AI, co zapewnia, że dane osobowe nie opuszczają infrastruktury UE w formie umożliwiającej identyfikację.
• Wspierać Administratora w odpowiadaniu na żądania osób, których dane dotyczą, korzystających z przysługujących im praw na mocy RODO (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw).
• Wspierać Administratora w zapewnieniu zgodności z obowiązkami wynikającymi z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków dla ochrony danych, uprzednie konsultacje).
• Według wyboru Administratora usunąć lub zwrócić wszystkie dane osobowe po zakończeniu świadczenia Usługi oraz usunąć istniejące kopie, chyba że obowiązujące prawo nakazuje ich przechowywanie. Po rozwiązaniu umowy obowiązuje 30-dniowy okres karencji, po którym wszystkie dane są trwale usuwane.
• Udostępniać Administratorowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwiać przeprowadzanie audytów, w tym inspekcji, prowadzonych przez Administratora lub innego audytora upoważnionego przez Administratora, a także przyczyniać się do nich.

5. Obowiązki Administratora

Administrator zobowiązuje się:

• Zapewnić istnienie ważnej podstawy prawnej przetwarzania danych osobowych swoich użytkowników końcowych i klientów, zgodnie z art. 6 i 9 RODO, w zależności od przypadku.
• Informować swoich użytkowników końcowych i klientów o przetwarzaniu ich danych osobowych za pośrednictwem Usługi, w tym poprzez prowadzenie odpowiedniej polityki prywatności ujawniającej wykorzystanie zautomatyzowanych narzędzi obsługi klienta oraz wszelkie istotne udostępnianie danych.
• Zapewnić, aby wszelkie polecenia przekazywane Podmiotowi przetwarzającemu w zakresie przetwarzania danych osobowych były zgodne z obowiązującymi przepisami o ochronie danych.
• Odpowiadać na żądania osób, których dane dotyczą, oraz niezwłocznie powiadamiać Podmiot przetwarzający o wszelkich żądaniach lub skargach dotyczących czynności przetwarzania prowadzonych przez Podmiot przetwarzający.

6. Powiadomienie o naruszeniu danych osobowych

Podmiot przetwarzający powiadamia Administratora bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od stwierdzenia naruszenia ochrony danych osobowych, zgodnie z art. 33 RODO. Powiadomienie zawiera:

• Opis charakteru naruszenia, w tym kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz liczbę dotkniętych rekordów danych;
• Imię i nazwisko oraz dane kontaktowe punktu kontaktowego Podmiotu przetwarzającego;
• Opis możliwych konsekwencji naruszenia;
• Opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu, w tym środków mających na celu zminimalizowanie jego ewentualnych negatywnych skutków.

7. Podprzetwarzanie

Administrator udziela ogólnej zgody na korzystanie przez Podmiot przetwarzający z podmiotów podprzetwarzających. Podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podmiotów podprzetwarzających, dając Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian w terminie 14 dni. W przypadku sprzeciwu Administratora Podmiot przetwarzający dołoży uzasadnionych starań, aby zapewnić rozwiązanie alternatywne, a jeżeli żadne rozwiązanie alternatywne nie jest dostępne, Administrator może rozwiązać Usługę.

Obecni podprzetwarzający obejmują:

• Dostawcy infrastruktury chmurowej (serwery zlokalizowane w UE) — w zakresie hostingu i przechowywania danych;
• Dostawcy modeli AI (OpenAI, Anthropic, DeepSeek, xAI) — w zakresie przetwarzania wiadomości klientów w celu generowania odpowiedzi opartych na sztucznej inteligencji;
• Operatorzy płatności (Stripe) — w zakresie obsługi płatności;
• Dostawcy usług analitycznych — w zakresie analityki korzystania z Usługi.

Żaden podmiot podprzetwarzający nie otrzymuje danych osobowych w formie niezanonimizowanej. Podmiot przetwarzający stosuje środki anonimizacji danych osobowych (PII), aby zapewnić, że dostawcom modeli AI i innym podmiotom podprzetwarzającym udostępniane są wyłącznie dane zanonimizowane.

Podmiot przetwarzający nakłada na każdy podmiot podprzetwarzający, w drodze umowy, te same obowiązki w zakresie ochrony danych, jakie określono w niniejszej Umowie. Podmiot przetwarzający pozostaje w pełni odpowiedzialny wobec Administratora za wykonanie obowiązków każdego podmiotu podprzetwarzającego.

8. Prawa audytu

Administrator lub upoważniony audytor może przeprowadzać audyty i inspekcje w celu weryfikacji zgodności Podmiotu przetwarzającego z niniejszą Umową, z zastrzeżeniem następujących warunków:

• Administrator powiadamia o audycie na piśmie z co najmniej 14-dniowym wyprzedzeniem przed jego przeprowadzeniem;
• Audyty przeprowadzane są w normalnych godzinach pracy i nie mogą w nieuzasadniony sposób zakłócać działalności Podmiotu przetwarzającego;
• Koszty audytu ponosi Administrator;
• Wyniki audytu są traktowane przez obie strony jako poufne;
• Podmiot przetwarzający usuwa wszelkie stwierdzone uchybienia w rozsądnym terminie, nieprzekraczającym 30 dni.

9. Międzynarodowe transfery danych

Podmiot przetwarzający nie przekazuje danych osobowych do państwa spoza Europejskiego Obszaru Gospodarczego (EOG) bez zapewnienia odpowiednich zabezpieczeń, w tym:

• decyzje Komisji Europejskiej stwierdzające odpowiedni stopień ochrony;
• Standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską;
• Wiążących reguł korporacyjnych; lub
• Innych zatwierdzonych zabezpieczeń na mocy art. 46 RODO.

W przypadku korzystania z dostawców modeli AI mających siedzibę poza EOG Podmiot przetwarzający stosuje środki anonimizacji danych osobowych (PII), aby zapewnić, że poza UE nie są przekazywane żadne dane osobowe umożliwiające identyfikację.

10. Odpowiedzialność

Każda ze stron ponosi odpowiedzialność za szkody spowodowane przetwarzaniem naruszającym RODO, zgodnie z art. 82 RODO. Podmiot przetwarzający ponosi odpowiedzialność za szkody spowodowane przetwarzaniem wyłącznie w przypadku, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami Administratora bądź wbrew nim.

11. Okres obowiązywania i rozwiązanie

Niniejsza Umowa obowiązuje przez cały okres korzystania przez Administratora z Usługi. Akceptacja niniejszej Umowy następuje z chwilą rejestracji w Usłudze (forma elektroniczna, zgodnie z art. 28 RODO). Po rozwiązaniu Usługi Podmiot przetwarzający, według wyboru Administratora, usuwa lub zwraca wszystkie dane osobowe przetwarzane w imieniu Administratora w terminie 30 dni, chyba że obowiązujące prawo nakazuje ich dalsze przechowywanie.

Administrator może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, jeżeli Podmiot przetwarzający:

• Nie wywiązuje się ze swoich obowiązków wynikających z niniejszej Umowy i nie usunie tego uchybienia w terminie 14 dni od pisemnego powiadomienia;
• Przetwarza dane osobowe w sposób nieuprawniony;
• Korzysta z podmiotu podprzetwarzającego bez upoważnienia lub z naruszeniem punktu 7.

12. Zmiany niniejszej Umowy

Podmiot przetwarzający może okresowo aktualizować niniejszą Umowę w celu uwzględnienia zmian w wymogach prawnych lub w Usłudze. Administrator zostanie powiadomiony o wszelkich istotnych zmianach pocztą elektroniczną z co najmniej 30-dniowym wyprzedzeniem przed ich wejściem w życie. Dalsze korzystanie z Usługi po takim powiadomieniu stanowi akceptację zaktualizowanej Umowy.

13. Poufność

Wszelkie informacje wymieniane między stronami w związku z niniejszą Umową są traktowane jako poufne. Żadna ze stron nie ujawni takich informacji osobom trzecim, z wyjątkiem przypadków niezbędnych do wykonania niniejszej Umowy lub wymaganych przez obowiązujące prawo. Obowiązek ten obowiązuje również po rozwiązaniu niniejszej Umowy.

14. Prawo właściwe

Niniejsza Umowa podlega prawu Rzeczypospolitej Polskiej oraz RODO i jest zgodnie z nimi interpretowana. Wszelkie spory wynikające z niniejszej Umowy będą rozstrzygane przez sąd właściwy dla siedziby Podmiotu przetwarzającego.

15. Kontakt

W przypadku jakichkolwiek pytań dotyczących niniejszej Umowy prosimy o kontakt:

• Piotr Zapolski Web Development
• ul. Cybernetyki 2B/124, 02-677 Warsaw, Poland
• NIP: 5811976789 | REGON: 523629115
• Email: hi@zoye.ai