Umowa powierzenia przetwarzania danych (DPA) — AI Recepcja
DPA

Umowa powierzenia przetwarzania danych

Ostatnia aktualizacja: 19 marca 2026

Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej „Umowa powierzenia" lub „DPA") stanowi integralną część Regulaminu świadczenia usług AI Recepcja i jest zawierana automatycznie z chwilą zawarcia umowy o świadczenie usługi (dalej „Umowa główna").

Umowa powierzenia określa zasady przetwarzania danych osobowych przez AI Recepcja (Procesor) w imieniu Klienta (Administrator) zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).

§1. Przedmiot umowy

  1. Administrator — Klient w rozumieniu Regulaminu, przedsiębiorca korzystający z usługi AI Recepcja, będący administratorem danych osobowych Rozmówców.
  2. Procesor — Mojakoja.pl Sp. z o.o., ul. Leśna 24, 42-270 Rzerzęczyce, NIP: 9492263967, REGON: 526503509, KRS: 0001061203, prowadząca serwis airecepcja.pl pod marką „AI Recepcja".
  3. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu określonym w niniejszej Umowie powierzenia.
  4. Procesor przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym w zakresie przekazywania danych do państw trzecich, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego.

§2. Zakres i cel przetwarzania

  1. Cel przetwarzania: Obsługa połączeń telefonicznych kierowanych do firmy Administratora przez AI agenta głosowego, w tym:
    • Prowadzenie rozmów telefonicznych w imieniu Administratora
    • Rozpoznawanie mowy (STT) i synteza mowy (TTS)
    • Generowanie odpowiedzi przez modele językowe AI
    • Nagrywanie i transkrypcja rozmów
    • Rezerwacja terminów i zbieranie danych kontaktowych
    • Wysyłka SMS-ów potwierdzających
    • Generowanie raportów i podsumowań rozmów
  2. Charakter przetwarzania obejmuje:
    • Zbieranie danych (od rozmówcy w trakcie połączenia)
    • Utrwalanie (nagrywanie rozmów)
    • Organizowanie i przechowywanie
    • Analizę (transkrypcja, generowanie podsumowań AI)
    • Usuwanie danych
  3. Czas trwania: Przetwarzanie trwa przez okres obowiązywania Umowy głównej oraz przez 30 dni po jej zakończeniu (okres na usunięcie/zwrot danych).

§3. Rodzaje danych i kategorie osób

  1. Rodzaje danych osobowych:
    • Numer telefonu rozmówcy
    • Nagranie głosu (dane biometryczne w rozumieniu art. 4 pkt 14 RODO — przetwarzane wyłącznie w celu identyfikacji treści wypowiedzi, nie w celu identyfikacji osoby)
    • Transkrypcja rozmowy (tekst)
    • Dane podane przez rozmówcę: imię, adres email, preferencje terminowe
    • Podsumowanie rozmowy wygenerowane przez AI
    • Metadane połączenia: data, czas trwania, identyfikator rozmowy
  2. Kategorie osób:
    • Klienci i potencjalni klienci firmy Administratora (Rozmówcy)
    • Osoby dzwoniące pod numer telefonu obsługiwany przez Agenta AI

§4. Obowiązki Procesora

Procesor zobowiązuje się do:

  1. Przetwarzania danych osobowych wyłącznie w zakresie i celu określonym w §2, na udokumentowane polecenie Administratora.
  2. Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub podlegają ustawowemu obowiązkowi zachowania tajemnicy.
  3. Wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku (art. 32 RODO) — szczegóły w §8.
  4. Przestrzegania warunków korzystania z podprocesorów określonych w §5.
  5. Wspomagania Administratora w realizacji praw osób, których dane dotyczą (§7).
  6. Wspomagania Administratora w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków, uprzednie konsultacje).
  7. Po zakończeniu Umowy głównej — usunięcia lub zwrotu danych, zgodnie z §11.
  8. Udostępniania Administratorowi informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwienia audytów (§10).
  9. Niezwłocznego informowania Administratora, jeżeli zdaniem Procesora polecenie narusza RODO lub inne przepisy o ochronie danych.

§5. Podpowierzenie przetwarzania (sub-procesorzy)

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z podprocesorów wymienionych w aktualnej liście na stronie RODO — Podprocesorzy.
  2. Procesor informuje Administratora o planowanych zmianach w liście podprocesorów z 30-dniowym wyprzedzeniem, umożliwiając zgłoszenie sprzeciwu.
  3. W przypadku uzasadnionego sprzeciwu Administratora wobec nowego podprocesora, strony podejmą negocjacje w celu znalezienia rozwiązania. Jeżeli rozwiązanie nie zostanie osiągnięte w terminie 30 dni, Administrator może wypowiedzieć Umowę główną bez zachowania okresu wypowiedzenia.
  4. Procesor zawiera z każdym podprocesorem umowę nakładającą obowiązki ochrony danych nie mniejsze niż określone w niniejszej Umowie powierzenia.
  5. Procesor ponosi pełną odpowiedzialność wobec Administratora za działania podprocesorów w zakresie ochrony danych.
  6. Aktualna lista podprocesorów:
    Podmiot Rola Lokalizacja Podstawa transferu
    ElevenLabs, Inc.Przetwarzanie głosu (STT/TTS), AI agentUSASCC
    Twilio Inc.Telefonia, SMSUSAEU-US DPF
    Google LLCModel językowy (Gemini)USA/UEEU-US DPF
    OpenAI, Inc.Model językowy (GPT)USASCC
    Vercel Inc.HostingUSASCC
    Railway Corp.Baza danychUSASCC
    Cloudflare, Inc.CDN, antybotUSA/UEEU-US DPF
    Resend, Inc.EmailUSASCC
    Stripe Payments Europe Ltd.PłatnościIrlandiaUE
    Airtable Inc.Dane demo/leadówUSASCC

§6. Przekazywanie danych do państw trzecich

  1. Dane osobowe mogą być przekazywane do USA w związku z korzystaniem z podprocesorów wymienionych w §5.
  2. Transfer odbywa się na podstawie:
    • EU-US Data Privacy Framework (DPF) — dla podmiotów uczestniczących w programie certyfikacji
    • Standardowych klauzul umownych (SCC) — zatwierdzonych decyzją wykonawczą Komisji Europejskiej (UE) 2021/914
  3. Procesor zapewnia, że każdy podprocesor w państwie trzecim stosuje odpowiednie zabezpieczenia zgodne z rozdziałem V RODO.

§7. Prawa osób, których dane dotyczą

  1. Procesor wspomaga Administratora w realizacji żądań osób, których dane dotyczą, wynikających z art. 15–22 RODO (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw).
  2. W przypadku otrzymania żądania bezpośrednio od osoby, której dane dotyczą, Procesor niezwłocznie przekazuje je Administratorowi i nie podejmuje samodzielnych działań, chyba że Administrator postanowi inaczej.
  3. Procesor udziela odpowiedzi na żądanie Administratora dotyczące realizacji praw w terminie 10 dni roboczych.

§8. Bezpieczeństwo przetwarzania

Procesor wdraża następujące środki techniczne i organizacyjne (art. 32 RODO):

  • Szyfrowanie transmisji danych (TLS/SSL) na wszystkich połączeniach
  • Szyfrowanie danych w spoczynku w bazach danych
  • Hashowanie haseł użytkowników (bcrypt)
  • Kontrola dostępu oparta na rolach (RBAC)
  • Regularne kopie zapasowe z szyfrowanym przechowywaniem
  • Ochrona przed atakami DDoS (Cloudflare)
  • Ochrona przed botami (Cloudflare Turnstile)
  • Monitorowanie i logowanie dostępu do systemów
  • Regularne przeglądy bezpieczeństwa i aktualizacje oprogramowania
  • Szkolenie personelu w zakresie ochrony danych osobowych

§9. Naruszenie ochrony danych

  1. Procesor powiadamia Administratora o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia.
  2. Powiadomienie zawiera co najmniej:
    • Opis charakteru naruszenia, w tym kategorie i przybliżoną liczbę osób oraz rekordów dotkniętych naruszeniem
    • Dane kontaktowe osoby odpowiedzialnej za udzielanie informacji
    • Opis prawdopodobnych konsekwencji naruszenia
    • Opis podjętych lub proponowanych środków zaradczych
  3. Procesor wspomaga Administratora w zgłoszeniu naruszenia do PUODO (art. 33 RODO) oraz w powiadomieniu osób, których dane dotyczą (art. 34 RODO).
  4. Procesor dokumentuje wszystkie naruszenia ochrony danych, ich skutki oraz podjęte działania naprawcze.

§10. Obowiązki Administratora

Administrator zobowiązuje się do:

  1. Zapewnienia podstawy prawnej przetwarzania danych osobowych Rozmówców.
  2. Spełnienia obowiązku informacyjnego wobec osób, których dane dotyczą, w szczególności poinformowania Rozmówców o nagrywaniu rozmów i wykorzystaniu sztucznej inteligencji (np. w komunikacie powitalnym agenta lub na stronie internetowej).
  3. Przekazywania Procesorowi wyłącznie danych zgodnych z prawem i niezbędnych do świadczenia Usługi.
  4. Niezwłocznego informowania Procesora o wszelkich zmianach wpływających na przetwarzanie danych.

§11. Audyt i kontrola

  1. Administrator ma prawo przeprowadzić audyt zgodności Procesora z niniejszą Umową powierzenia, po uprzednim uzgodnieniu terminu z 14-dniowym wyprzedzeniem.
  2. Audyt może być przeprowadzony przez Administratora lub upoważnionego audytora zewnętrznego, pod warunkiem zachowania poufności i podpisania stosownej umowy o zachowaniu poufności.
  3. Procesor udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO.
  4. Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenia — wówczas koszty ponosi Procesor.
  5. Audyty przeprowadzane są nie częściej niż raz w roku, chyba że zaistnieje uzasadnione podejrzenie naruszenia.

§12. Odpowiedzialność

  1. Każda ze stron odpowiada za naruszenia RODO zgodnie z art. 82 RODO.
  2. Procesor ponosi odpowiedzialność za szkody spowodowane przetwarzaniem wyłącznie w zakresie, w jakim nie dopełnił obowiązków nałożonych przez RODO na procesora lub działał poza zgodnymi z prawem instrukcjami Administratora.
  3. Procesor nie ponosi odpowiedzialności za działania Administratora niezgodne z prawem, w szczególności za brak spełnienia obowiązków informacyjnych wobec Rozmówców.

§13. Czas trwania i zakończenie

  1. Umowa powierzenia obowiązuje przez czas trwania Umowy głównej (Regulamin). Data zawarcia Umowy powierzenia odpowiada dacie akceptacji Regulaminu przez Klienta.
  2. Po zakończeniu Umowy głównej Procesor, w terminie 30 dni:
    • Usunie wszystkie dane osobowe przetwarzane w imieniu Administratora, lub
    • Zwróci dane Administratorowi w formacie nadającym się do odczytu maszynowego (CSV lub JSON) — na żądanie Administratora zgłoszone przed upływem terminu
  3. Po upływie 30-dniowego terminu Procesor trwale usuwa dane osobowe ze wszystkich systemów, w tym kopii zapasowych, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje dalsze przechowywanie.
  4. Procesor potwierdza usunięcie danych na piśmie lub drogą elektroniczną.

§14. Postanowienia końcowe

  1. Niniejsza Umowa powierzenia stanowi integralną część Regulaminu świadczenia usług AI Recepcja i jest zawierana automatycznie z chwilą zawarcia Umowy głównej.
  2. Na żądanie Klienta, Umowa powierzenia może zostać zawarta w formie pisemnej lub podpisana elektronicznie.
  3. W sprawach nieuregulowanych niniejszą Umową powierzenia zastosowanie mają przepisy RODO oraz polskiego prawa ochrony danych osobowych.
  4. Wszelkie zmiany niniejszej Umowy powierzenia wymagają formy pisemnej lub elektronicznej pod rygorem nieważności.
  5. Prawem właściwym jest prawo polskie. Spory rozstrzygane będą przez sąd właściwy dla siedziby Procesora.
  6. Niniejsza Umowa powierzenia jest uzupełniona o Politykę Prywatności oraz informacje na stronie RODO.
  7. Kontakt w sprawach dotyczących przetwarzania danych: kontakt@airecepcja.pl z dopiskiem „DPA".
Zamów darmowe demo