Umowa powierzenia przetwarzania (DPA)

§ 1. Strony umowy

Administrator — Klient korzystający z Serwisu, zarejestrowany pod adresem e-mail podanym przy logowaniu Google OAuth, prowadzący działalność gospodarczą.

Podmiot Przetwarzający (Procesor):

§ 2. Definicje

• RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
• Dane Osobowe — dane osobowe w rozumieniu art. 4 pkt 1 RODO
• Podmiot Danych — osoba fizyczna, której dane dotyczą (Użytkownik Końcowy Klienta — lead, potencjalny klient)
• Przetwarzanie — operacje na Danych Osobowych w rozumieniu art. 4 pkt 2 RODO
• Naruszenie — naruszenie ochrony danych w rozumieniu art. 4 pkt 12 RODO
• Serwis — platforma Twój Prywatny Asystent (SETER)
• Podprzetwarzający (Subprocesor) — podmiot trzeci przetwarzający Dane Osobowe na zlecenie Procesora

§ 3. Przedmiot i cel przetwarzania

3.1 Przedmiot

Procesor przetwarza Dane Osobowe Podmiotów Danych w imieniu Administratora, wyłącznie w celu świadczenia usług SaaS określonych w Regulaminie Serwisu.

3.2 Charakter i cel przetwarzania

Przetwarzanie obejmuje w szczególności:

• Odbiór i zapisywanie wiadomości Podmiotów Danych kierowanych do konta Instagram Administratora
• Generowanie odpowiedzi przez model AI (Claude od Anthropic) w oparciu o konfigurację Administratora
• Wysyłanie odpowiedzi do Podmiotów Danych za pośrednictwem Instagram Graph API
• Przechowywanie historii rozmów w CRM Administratora
• Klasyfikację leadów (cold / warm / hot / unclassified) w oparciu o reguły Administratora
• Umawianie spotkań w Google Calendar Administratora (opcjonalnie)

3.3 Czas przetwarzania

Przez cały okres obowiązywania Umowy o świadczenie usług oraz przez 6 miesięcy po jej zakończeniu (okres grace na reklamacje). Po tym czasie Dane są usuwane, chyba że obowiązek prawny wymaga dłuższej retencji (np. logi bezpieczeństwa, dokumentacja podatkowa).

§ 4. Kategorie danych i Podmiotów

4.1 Kategorie Podmiotów Danych

• Użytkownicy Instagrama piszący do konta Administratora (leady, potencjalni klienci, aktualni klienci)
• Osoby, z którymi Administrator planuje spotkania przez kalendarz

4.2 Kategorie Danych Osobowych

• Identyfikator konta Instagram (Page-Scoped ID — PSID)
• Nazwa użytkownika Instagrama (IG username)
• Imię i nazwisko (jeśli udostępnione przez Podmiot Danych w rozmowie)
• Treści wiadomości wymienionych z botem (w tym potencjalnie: dane kontaktowe, preferencje, informacje o zdrowiu, sytuacji życiowej — przekazywane dobrowolnie przez Podmiot Danych w ramach rozmowy)
• Metadane rozmowy: znaczniki czasu, klasyfikacja leadu, tagi
• Adres e-mail i dane spotkania (gdy Podmiot Danych umawia spotkanie)

4.3 Szczególne kategorie danych

Procesor nie prosi o szczególne kategorie danych (art. 9 RODO). Jeśli Podmiot Danych dobrowolnie przekaże takie dane w rozmowie (np. informacje o stanie zdrowia przy rozmowie z trenerem personalnym), Administrator jest zobowiązany zapewnić odpowiednią podstawę prawną przetwarzania.

§ 5. Obowiązki Procesora

Procesor zobowiązuje się:

1. Przetwarzać Dane Osobowe wyłącznie na udokumentowane polecenie Administratora (w tym poprzez konfigurację ustawień Serwisu), chyba że obowiązek ten nakłada prawo UE lub PL
2. Zapewnić poufność Danych — osoby upoważnione do przetwarzania są zobowiązane do zachowania poufności lub podlegają ustawowemu obowiązkowi zachowania tajemnicy
3. Wdrożyć odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 RODO (szczegółowy opis w §8)
4. Pomagać Administratorowi w realizacji obowiązków wynikających z art. 32-36 RODO (bezpieczeństwo, DPIA, konsultacje z organem nadzorczym)
5. Pomagać Administratorowi w realizacji praw Podmiotów Danych (art. 15-22 RODO) — wniosek może być skierowany bezpośrednio na [EMAIL_RODO]
6. Po zakończeniu świadczenia usługi — usunąć lub zwrócić Dane Administratora, wg jego wyboru, oraz usunąć istniejące kopie, chyba że prawo wymaga przechowywania
7. Udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO
8. Niezwłocznie poinformować Administratora, jeśli polecenie stanowi naruszenie prawa UE lub PL

§ 6. Obowiązki Administratora

Administrator oświadcza i zobowiązuje się:

1. Posiadać właściwą podstawę prawną (art. 6 ust. 1 RODO) dla przetwarzania Danych Podmiotów Danych
2. Spełnić obowiązki informacyjne wobec Podmiotów Danych (art. 13-14 RODO), w szczególności poinformować ich o:
   • Automatyzacji odpowiedzi (AI)
   • Przetwarzaniu przez Procesora (SETER) i jego Podprzetwarzających
   • Transferach międzynarodowych (USA — SCC)
   • Retencji danych
3. Zapewnić Podmiotom Danych realizację ich praw wynikających z RODO
4. Nie wprowadzać do Serwisu danych, do których przetwarzania nie ma podstawy prawnej
5. Informować Procesora o zmianach podstaw prawnych mających wpływ na przetwarzanie

§ 7. Podprzetwarzający (Subprocesorzy)

7.1 Zgoda ogólna

Administrator wyraża ogólną zgodę (art. 28 ust. 2 RODO) na korzystanie przez Procesora z następujących Podprzetwarzających:

Podprzetwarzający	Rola	Lokalizacja	Podstawa transferu
Anthropic, PBC	Generowanie odpowiedzi AI (model Claude)	USA	SCC
Meta Platforms Ireland Ltd.	Integracja Instagram Graph API (odbiór i wysyłka wiadomości)	UE / USA	SCC
Google Ireland Ltd.	Autoryzacja OAuth, Calendar API (opcjonalnie)	UE / USA	SCC
OVH Sp. z o.o.	Hosting VPS (infrastruktura)	UE (Polska / Francja)	N/d (UE)
[OPERATOR_PLATNOSCI]	Obsługa płatności	UE	N/d (UE)

7.2 Zmiana Podprzetwarzających

Procesor informuje Administratora o zmianie Podprzetwarzających z wyprzedzeniem co najmniej 30 dni (przez e-mail lub aktualizację niniejszego DPA). Administrator ma prawo wnieść uzasadniony sprzeciw — w takim przypadku Procesor i Administrator wspólnie poszukają rozwiązania. Jeśli rozwiązanie nie zostanie osiągnięte, Administrator ma prawo rozwiązać Umowę.

7.3 Odpowiedzialność za Podprzetwarzających

Procesor zapewnia, że każdy Podprzetwarzający związany jest obowiązkami równoważnymi niniejszej DPA. Procesor odpowiada przed Administratorem za działania i zaniechania Podprzetwarzających jak za własne.

§ 8. Środki bezpieczeństwa

Procesor wdraża następujące środki techniczne i organizacyjne (art. 32 RODO):

8.1 Środki techniczne

• Szyfrowanie transmisji — TLS 1.2+ na wszystkich endpointach (HTTPS)
• Podpisywanie tokenów JWT z algorytmem HMAC-SHA256 (klucz rotowany)
• Weryfikacja webhooków Meta (HMAC-SHA256 z App Secret)
• Minimalizacja logów — bez zapisywania treści wiadomości w logach systemowych
• Izolacja danych — każdy Klient ma osobny katalog z plikami konfiguracyjnymi i CRM
• Kontrola dostępu — role i uprawnienia egzekwowane przez middleware autoryzacyjny
• Zabezpieczenie przed CSRF, XSS (Content Security Policy)
• Zabezpieczenie serwera — fail2ban, rate limiting, aktualizacje bezpieczeństwa

8.2 Środki organizacyjne

• Procedura reagowania na incydenty (IRP) z maks. 72-godzinnym czasem notyfikacji
• Szkolenie personelu z zakresu RODO i bezpieczeństwa danych
• Umowy o zachowaniu poufności (NDA) z osobami mającymi dostęp do Danych
• Regularne przeglądy konfiguracji bezpieczeństwa
• Kopie zapasowe + procedury odtwarzania

§ 9. Naruszenia ochrony danych (Data Breach)

1. W przypadku wykrycia Naruszenia ochrony danych, Procesor niezwłocznie (nie później niż w ciągu 72 godzin od wykrycia) informuje Administratora wysyłając wiadomość na adres e-mail wskazany jako kontakt RODO Administratora.
2. Informacja zawiera:
   • Charakter Naruszenia (kategorie i przybliżona liczba Podmiotów Danych)
   • Prawdopodobne konsekwencje
   • Środki zastosowane lub proponowane w celu zaradzenia Naruszeniu
   • Dane kontaktowe odpowiedzialnej osoby (Procesor RODO)
3. Procesor wspiera Administratora w wywiązaniu się z obowiązków wynikających z art. 33-34 RODO (notyfikacja organu nadzorczego i Podmiotów Danych).

§ 10. Audyty

1. Administrator ma prawo raz w roku kalendarzowym zażądać od Procesora informacji i dokumentacji potwierdzającej spełnienie obowiązków z art. 28 RODO.
2. Zamiast audytu on-site, Procesor może przedstawić aktualne certyfikaty, raporty niezależnych audytów lub odpowiedzi na kwestionariusz bezpieczeństwa.
3. Audyt on-site jest dopuszczalny, pod warunkiem:
   • Zawiadomienia z co najmniej 30-dniowym wyprzedzeniem
   • Zawarcia umowy o zachowaniu poufności (NDA)
   • Pokrycia przez Administratora kosztów audytu (czas pracy personelu Procesora, dostęp)
   • Przeprowadzenia audytu w godzinach pracy, bez zakłócania normalnej działalności

§ 11. Zakończenie przetwarzania

1. Po zakończeniu Umowy o świadczenie usług, Procesor — zgodnie z wyborem Administratora — zwróci Administratorowi lub usunie wszystkie Dane Osobowe.
2. Administrator ma 30 dni na eksport swoich danych po zakończeniu Umowy (format: JSON lub CSV). Po tym czasie dane są trwale usuwane.
3. Procesor usuwa także kopie zapasowe w terminie określonym w polityce retencji (maks. 30 dni od usunięcia danych produkcyjnych).
4. Wyjątek: Dane, które Procesor jest prawnie zobowiązany przechowywać (np. faktury — 5 lat), są przechowywane wyłącznie w tym celu i odseparowane.

§ 12. Odpowiedzialność

1. Każda ze stron odpowiada za szkody wyrządzone drugiej stronie w wyniku niewywiązania się z obowiązków wynikających z RODO.
2. Ograniczenia odpowiedzialności określone w §10 Regulaminu mają zastosowanie również do DPA, z wyjątkiem:
   • Szkód wyrządzonych umyślnie
   • Odpowiedzialności wynikającej z art. 82 RODO (która nie może być ograniczana umownie w stopniu naruszającym prawa Podmiotów Danych)
   • Kar administracyjnych nałożonych przez organ nadzorczy
3. Jeśli organ nadzorczy nałoży karę na jedną ze stron z powodu naruszenia przez drugą stronę obowiązków z niniejszej DPA, strona winna zwróci drugiej stronie pełną wysokość kary.

§ 13. Zmiany DPA

1. Procesor może wprowadzać zmiany w DPA (np. dodanie nowego Podprzetwarzającego, aktualizacja środków bezpieczeństwa).
2. O zmianach Administrator zostanie poinformowany e-mailem z wyprzedzeniem 30 dni.
3. Brak sprzeciwu w terminie 30 dni oznacza akceptację zmian.
4. W przypadku sprzeciwu uzasadnionego względami RODO, strony podejmą negocjacje. Jeśli nie dojdą do porozumienia, każda strona ma prawo rozwiązać Umowę o świadczenie usług.

§ 14. Postanowienia końcowe

1. DPA wchodzi w życie z momentem akceptacji Regulaminu przez Klienta i obowiązuje przez cały okres świadczenia usług oraz po jego zakończeniu — w zakresie obowiązków dotyczących usunięcia danych, poufności i audytu.
2. W sprawach nieuregulowanych DPA zastosowanie mają przepisy RODO, ustawy o ochronie danych osobowych z 10 maja 2018 r. oraz inne właściwe przepisy prawa polskiego i unijnego.
3. Prawem właściwym jest prawo polskie. Sądem właściwym — sąd właściwy dla siedziby Procesora.
4. Aktualna wersja DPA dostępna jest zawsze pod adresem https://twojprywatnyasystent.pl/dpa.
5. W razie sprzeczności pomiędzy DPA a innymi dokumentami (Regulamin, Polityka prywatności), w zakresie przetwarzania Danych Osobowych Podmiotów Danych Administratora — pierwszeństwo ma DPA.