§ 1. Administrator danych osobowych

POLITYKA PRYWATNOŚCI

TalknBot --- Enterprise Voice AI

Wersja: [1.0] • Obowiązuje od: [DD.MM.RRRR]

INFORMACJA WPROWADZAJĄCA

+-----------------------------------------------------------------------+ | Niniejsza Polityka Prywatności dotyczy strony internetowej | | talknbot.pl, formularzy kontaktowych, demo voicebota w trybie | | testowym, korespondencji oraz działań marketingowych Talknbot. | | | | W przypadku korzystania z produkcyjnych usług Voice AI Talknbot | | świadczonych dla klientów B2B (agenci głosowi, voiceboty | | inbound/outbound, dialer AI, mikrokomputer GSM) szczegółowe zasady | | przetwarzania danych rozmówców są określane w Umowie Powierzenia | | Przetwarzania Danych (UPPD) zawieranej pomiędzy klientem | | (administratorem) a Talknbot (procesorem). W takim modelu | | administratorem danych rozmówców jest klient. | +=======================================================================+

+-----------------------------------------------------------------------+ | AI ACT --- TRANSPARENTNOŚĆ AI | | | | Talknbot stosuje obowiązki transparentności wynikające z | | Rozporządzenia (UE) 2024/1689 (AI Act), w szczególności art. 50 (od | | 2 sierpnia 2026 r.). Każda rozmowa z agentem głosowym Talknbot jest | | poprzedzona jednoznaczną informacją głosową, że rozmówca | | komunikuje się z systemem sztucznej inteligencji, a nie z | | człowiekiem. Wszystkie syntetyczne treści głosowe generowane przez | | Talknbot są oznaczane w sposób umożliwiający ich automatyczne | | wykrycie. | +=======================================================================+

1. Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest Talknbot sp. z o.o. z siedzibą w Poznań, przy ul. ul. Solna 3/14, 61-735 Poznań, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS [NUMER KRS], NIP zostanie uzupełniony po rejestracji w KRS, REGON REGON zostanie uzupełniony po rejestracji, o kapitale zakładowym kapitał zakładowy zostanie uzupełniony po rejestracji zł, dalej: "Talknbot" lub "Administrator".

2. Kontakt we wszystkich sprawach dotyczących ochrony danych osobowych:

• e-mail: kontakt@talknbot.pl

• telefon: +48 71 711 73 14

• korespondencja pisemna: ul. Solna 3/14, 61-735 Poznań

3. Inspektor Ochrony Danych (IOD): Administrator dokonał analizy przesłanek z art. 37 ust. 1 RODO. Z uwagi na charakter działalności (przetwarzanie danych głosowych na dużą skalę), wyznaczenie IOD jest planowane. Do czasu wyznaczenia IOD wszystkie sprawy ochrony danych obsługiwane są pod adresem kontakt@talknbot.pl.

§ 2. Zakres stosowania Polityki

1. Niniejsza Polityka dotyczy następujących obszarów przetwarzania danych:

• strona internetowa talknbot.pl --- odwiedziny, cookies, formularze kontaktowe, formularze demo, materiały do pobrania;

• komunikacja z Talknbot --- korespondencja e-mailowa, rozmowy telefoniczne, spotkania online;

• działania marketingowe --- newsletter, kampanie reklamowe, remarketing, social media;

• demo voicebota w trybie testowym --- rozmowa z agentem głosowym AI Talknbot prowadzona na stronie talknbot.pl lub na żądanie potencjalnego klienta w celu prezentacji usługi;

• obsługa relacji z klientami B2B --- przygotowanie i realizacja umów, kontakt z osobami kontaktowymi po stronie klientów, dokumentacja handlowa.

2. Niniejsza Polityka NIE dotyczy produkcyjnych usług Voice AI świadczonych klientom B2B (agenci głosowi, voiceboty inbound/outbound, dialer AI, mikrokomputer GSM/voice gateway). W tych przypadkach administratorem danych rozmówców jest klient B2B, a Talknbot działa jako podmiot przetwarzający (procesor) na podstawie odrębnej Umowy Powierzenia Przetwarzania Danych (UPPD). Klient B2B odpowiada za realizację obowiązku informacyjnego wobec rozmówców (art. 13 i 14 RODO).

§ 3. Kategorie przetwarzanych danych

W zależności od sposobu interakcji z Talknbot możemy przetwarzać następujące kategorie danych:

3.1. Dane identyfikacyjne i kontaktowe

Imię, nazwisko, stanowisko, nazwa firmy, NIP, e-mail służbowy, numer telefonu, adres korespondencyjny.

3.2. Dane techniczne (automatyczne)

Adres IP (zanonimizowany), typ przeglądarki, system operacyjny, identyfikatory cookies, dane o urządzeniu, czas i ścieżka nawigacji w serwisie, referer (strona, z której nastąpiło przekierowanie).

3.3. Dane komunikacyjne

Treść korespondencji e-mailowej, treść wiadomości z formularzy, notatki ze spotkań, informacje przekazane podczas rozmów telefonicznych z osobami z Talknbot.

3.4. Dane głosowe i transkrypcje (demo voicebota)

Jeżeli korzystasz z demo voicebota Talknbot, przetwarzamy:

+-------------------------+--------------------------------------------+ | Kategoria danych | Opis | | głosowych | | +=========================+============================================+ | Numer telefonu | Numer telefonu, z którego nastąpiło | | rozmówcy | połączenie lub na który zostało nawiązane | | | demo | +-------------------------+--------------------------------------------+ | Metadane połączenia | Data, godzina, czas trwania rozmowy, | | | status połączenia, jakość transmisji | +-------------------------+--------------------------------------------+ | Nagranie rozmowy | Cyfrowy zapis przebiegu rozmowy demo. | | | | | | Nagrania mogą stanowić dane biometryczne | | | w rozumieniu art. 4 pkt 14 RODO, jeżeli | | | pozwalają na identyfikację osoby --- | | | szczegóły w § 6. | +-------------------------+--------------------------------------------+ | Transkrypcja | Automatyczna konwersja głosu na tekst | | rozmowy | (Speech-to-Text), wraz z metadanymi (czas | | | wypowiedzi, identyfikator mówcy, poziom | | | pewności rozpoznania) | +-------------------------+--------------------------------------------+ | Intencje i | Wynik analizy rozmowy: rozpoznane intencje | | klasyfikacje | rozmówcy, klasyfikacja sprawy, wynik | | | scenariusza | +-------------------------+--------------------------------------------+ | Treści przekazane w | Dane, które dobrowolnie podasz w trakcie | | rozmowie | rozmowy z voicebotem (np. imię, sprawa, | | | preferencje) | +-------------------------+--------------------------------------------+

3.5. Dane rozliczeniowe i kontraktowe (klienci B2B)

Dane osób kontaktowych po stronie klientów, dane do faktur, historia ustaleń handlowych, zakres wdrożenia, dane do umów.

3.6. Dane marketingowe

Zgody marketingowe, preferencje kontaktu, historia komunikacji marketingowej, interakcje z kampaniami (otwarcia e-maili, kliknięcia), źródło pozyskania kontaktu.

3.7. Dane z mediów społecznościowych

Publicznie dostępne dane profilu, komentarze, reakcje i wiadomości kierowane do profili Talknbot na LinkedIn, X/Twitter i innych platformach.

§ 4. Dane szczególnych kategorii i dane dzieci

1. Talknbot NIE dąży do pozyskiwania danych szczególnych kategorii w rozumieniu art. 9 RODO (dane o stanie zdrowia, pochodzeniu etnicznym, poglądach politycznych, przekonaniach religijnych, orientacji seksualnej, dane biometryczne służące identyfikacji, dane genetyczne) w ramach prowadzenia strony talknbot.pl i kontaktów handlowych.

2. Dane biometryczne (głos) --- szczegółowo opisane w § 6 niniejszej Polityki.

3. Wdrożenia produkcyjne dla branż wrażliwych (ochrona zdrowia, ubezpieczenia, windykacja, HR, sektor publiczny) --- w rozmowach prowadzonych przez voiceboty mogą pojawić się dane szczególne. Zakres takich danych, podstawa prawna, retencja, zasady dostępu oraz obowiązki informacyjne wobec rozmówców są ustalane indywidualnie z klientem B2B w UPPD i dokumentacji wdrożeniowej. Talknbot stosuje politykę minimalizacji --- scenariusze rozmów NIE powinny pozyskiwać danych szczególnych, jeżeli nie jest to absolutnie niezbędne.

4. Dane dzieci poniżej 16 roku życia --- strona talknbot.pl jest adresowana do osób pełnoletnich (klientów B2B). Talknbot nie kieruje świadomie usług do dzieci. W przypadku zidentyfikowania, że dane dotyczą dziecka poniżej 16 lat --- Administrator niezwłocznie usunie takie dane, chyba że uzyska zgodę osoby sprawującej władzę rodzicielską (art. 8 RODO + ustawa o ochronie danych osobowych).

§ 5. Cele i podstawy prawne przetwarzania

Każdy proces przetwarzania danych ma swoją podstawę prawną:

+-------------------------+--------------------+-----------------------+ | Cel przetwarzania | Podstawa prawna | Okres | | | RODO | przechowywania | +=========================+====================+=======================+ | Odpowiedź na | art. 6 ust. 1 | 12 miesięcy od | | zapytanie z formularza | lit. b RODO | ostatniego kontaktu | | kontaktowego, | | | | przygotowanie oferty | (działania przed | | | | zawarciem umowy) | | | | | | | | art. 6 ust. 1 | | | | lit. f RODO | | | | | | | | (komunikacja B2B) | | +-------------------------+--------------------+-----------------------+ | Zawarcie i wykonanie | art. 6 ust. 1 | Czas trwania umowy + | | umowy z klientem B2B | lit. b RODO | 6 lat (przedawnienie | | | | roszczeń) | | | (umowa) | | | | | | | | art. 6 ust. 1 | | | | lit. f RODO | | | | | | | | (dane osób | | | | kontaktowych | | | | klienta) | | +-------------------------+--------------------+-----------------------+ | Demo voicebota --- | art. 6 ust. 1 | 30 dni od | | prezentacja usługi, | lit. a RODO | zakończenia demo | | nagrania, | | | | transkrypcje | (zgoda przed | (nagrania) | | | rozpoczęciem | | | | rozmowy) | 90 dni (transkrypcje | | | | i metadane) | | | art. 6 ust. 1 | | | | lit. b RODO | | | | | | | | (działania na | | | | żądanie osoby) | | +-------------------------+--------------------+-----------------------+ | Marketing własnych | art. 6 ust. 1 | Do wycofania zgody, | | usług, newsletter | lit. a RODO | max 5 lat od | | | | ostatniej interakcji | | | (zgoda) | | | | | | | | art. 10 UŚUDE | | | | | | | | (komunikacja | | | | elektroniczna) | | +-------------------------+--------------------+-----------------------+ | Analityka strony, | art. 6 ust. 1 | Zgodnie z | | optymalizacja | lit. a RODO | ustawieniami | | | | narzędzia (max 14 mc | | | (zgoda na cookies) | dla GA4) | +-------------------------+--------------------+-----------------------+ | Bezpieczeństwo strony | art. 6 ust. 1 | 12 miesięcy (logi) | | i ochrona przed | lit. f RODO | | | nadużyciami | | | | | (uzasadniony | | | | interes --- | | | | bezpieczeństwo IT) | | +-------------------------+--------------------+-----------------------+ | Dokumentacja księgowa | art. 6 ust. 1 | 5 lat od końca roku | | i podatkowa | lit. c RODO | kalendarzowego | | | | (Ordynacja podatkowa) | | | (obowiązek prawny) | | +-------------------------+--------------------+-----------------------+ | Obrona przed | art. 6 ust. 1 | 6 lat od dnia | | roszczeniami | lit. f RODO | zdarzenia | | | | (przedawnienie z art. | | | (uzasadniony | 118 KC) | | | interes prawny) | | +-------------------------+--------------------+-----------------------+

§ 6. Dane głosowe i biometria

6.1. Charakter prawny danych głosowych

Głos człowieka, w określonych warunkach, może stanowić daną biometryczną w rozumieniu art. 4 pkt 14 RODO, który definiuje dane biometryczne jako "dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby".

Talknbot rozróżnia dwa modele przetwarzania głosu:

+-----------------------+-----------------------------------------------+ | Model | Charakter prawny i podstawa | | przetwarzania | | +=======================+===============================================+ | Model 1: | Głos jest przetwarzany w celu rozpoznania | | Przetwarzanie głosu w | treści wypowiedzi (transkrypcja | | celu rozumienia mowy | Speech-to-Text) i odpowiedzi w ramach | | (STT) i prowadzenia | rozmowy. Nagranie NIE jest wykorzystywane do | | rozmowy | identyfikacji osoby na podstawie cech głosu. | | | | | | Charakter prawny: dane zwykłe (art. 6 | | | RODO) | | | | | | Podstawa: zgoda (art. 6 ust. 1 lit. a) lub | | | działania przed umową (lit. b) | +-----------------------+-----------------------------------------------+ | Model 2: | Głos jest przetwarzany w celu jednoznacznej | | Identyfikacja lub | identyfikacji konkretnej osoby (głos jako | | uwierzytelnianie | biometria identyfikacyjna). | | osoby na podstawie | | | głosu (voice | Charakter prawny: dane szczególnej | | biometrics) | kategorii (art. 9 ust. 1 RODO) | | | | | | Podstawa: wymagana wyraźna zgoda (art. 9 ust. | | | 2 lit. a) lub inny wyjątek z art. 9 ust. 2 | | | RODO | | | | | | Talknbot NIE stosuje tego modelu w ramach | | | standardowych usług. Jeżeli klient B2B wymaga | | | wdrożenia voice biometrics, model jest | | | oddzielnie uregulowany w UPPD. | +-----------------------+-----------------------------------------------+

6.2. Klonowanie głosu (voice cloning)

Klonowanie głosu polega na utworzeniu cyfrowego modelu głosu osoby (voice model), który pozwala na syntezę dowolnych wypowiedzi w tej tonacji i barwie. Talknbot stosuje następujące zasady:

• Standardowo Talknbot NIE klonuje głosów rzeczywistych osób --- korzystamy z bibliotek głosów syntetycznych dostarczanych przez ElevenLabs Ltd. (w środowisku EU Isolated Environment), wytworzonych na podstawie zgody udzielonej przez osoby modelujące (voice actors).

• Klonowanie głosu konkretnej osoby (np. dyrektora medycznego placówki, ambasadora marki) jest możliwe wyłącznie:

• • na wyraźne żądanie klienta B2B,

• • po przedstawieniu pisemnej zgody osoby, której głos jest klonowany,

• • na ściśle określony zakres zastosowań i okres,

• • z prawem osoby do natychmiastowego cofnięcia zgody i usunięcia modelu głosu.

• Zakaz absolutny: Klonowanie głosu osoby publicznej, polityka, celebryty lub osoby zmarłej bez wyraźnej zgody tej osoby lub jej spadkobierców jest zakazane. Talknbot odmawia realizacji takich zleceń.

6.3. Demo voicebota --- szczegółowa informacja

Jeżeli korzystasz z demo voicebota Talknbot:

1. Przed rozpoczęciem właściwej rozmowy odsłuchujesz komunikat informacyjny, w którym jest jasno wskazane: (a) że rozmawiasz z systemem AI, nie z człowiekiem, (b) że rozmowa może być nagrywana i transkrybowana, (c) cel rozmowy (demo prezentacja usługi), (d) link do niniejszej Polityki Prywatności.

2. Możesz w każdej chwili zakończyć rozmowę bez podawania przyczyny lub poprosić o kontakt z człowiekiem.

3. Nagrania demo są przechowywane przez okres maksymalnie 30 dni od dnia zakończenia rozmowy, transkrypcje i metadane przez 90 dni --- po czym są automatycznie usuwane.

4. Twoje dane głosowe z demo NIE są wykorzystywane do trenowania modeli AI Talknbot ani jego sub-procesorów. Konfiguracja ElevenLabs (Zero Retention Mode włączone) wyklucza przechowywanie treści rozmów na serwerach sub-procesora oraz wykorzystanie ich do treningu modeli.

5. Zgodnie z polskim prawem karnym (art. 267 KK), nagrywanie rozmów może wymagać zgody rozmówcy. Korzystając z demo voicebota i kontynuując rozmowę po wysłuchaniu komunikatu informacyjnego, wyrażasz zgodę na nagrywanie i transkrypcję rozmowy w celach opisanych w niniejszej Polityce. Możesz cofnąć zgodę w każdym momencie --- patrz § 11.

§ 7. Transparentność AI --- wymogi AI Act

7.1. Podstawa prawna obowiązków AI Act

Talknbot stosuje obowiązki transparentności wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji (AI Act), w szczególności art. 50 (transparentność systemów AI) obowiązującego od 2 sierpnia 2026 r.

7.2. Rola Talknbot w AI Act

+-----------------------+-----------------------------------------------+ | Kontekst | Rola Talknbot wg AI Act | +=======================+===============================================+ | Demo voicebota na | Talknbot występuje jednocześnie jako PROVIDER | | talknbot.pl | (dostawca systemu AI) i DEPLOYER (podmiot | | | stosujący system AI) --- odpowiada za pełną | | | zgodność z art. 50 AI Act. | +-----------------------+-----------------------------------------------+ | Wdrożenia | Talknbot występuje jako PROVIDER (dostawca | | produkcyjne dla | systemu AI) | | klientów B2B | | | | Klient B2B występuje jako DEPLOYER (podmiot | | | stosujący system AI) | | | | | | Obowiązki transparentności są realizowane | | | wspólnie: Talknbot dostarcza techniczne | | | mechanizmy (komunikat głosowy AI, | | | znakowanie), klient B2B odpowiada za | | | informację o stosowaniu AI w swoich procesach | | | i wobec swoich klientów. | +-----------------------+-----------------------------------------------+

7.3. Konkretne środki transparentności

Talknbot wdraża następujące środki transparentności:

1. Komunikat głosowy o charakterze AI --- przed rozpoczęciem właściwej rozmowy każdy rozmówca odsłuchuje komunikat wskazujący jednoznacznie, że rozmawia z systemem AI. Standardowy format: "Dzień dobry, mówi automatyczny asystent głosowy AI działający na zlecenie [nazwa klienta]. Rozmowa może być nagrywana w celu obsługi sprawy. Możesz w każdej chwili poprosić o kontakt z człowiekiem lub zakończyć rozmowę."

2. Znakowanie machine-readable --- wygenerowana mowa syntetyczna jest oznaczana technicznie (metadane audio, watermarki cyfrowe) w sposób umożliwiający automatyczne wykrycie, że treść jest syntetyczna. Specyfikacja techniczna zgodna z wytycznymi Komisji Europejskiej i Code of Practice on AI-generated content.

3. Prawo żądania rozmowy z człowiekiem --- rozmówca w każdym momencie rozmowy może zażądać przekierowania do człowieka. Scenariusze rozmów są projektowane tak, aby rozpoznać prośbę o human handoff i wykonać przekierowanie zgodnie z konfiguracją klienta.

4. Zakaz manipulacji i wprowadzania w błąd --- Talknbot nie projektuje scenariuszy rozmów, które miałyby przekonywać rozmówcę, że rozmawia z człowiekiem. Scenariusze muszą być etyczne i zgodne z Zasadami Dopuszczalnego Użycia.

7.4. Zakres ograniczeń AI

Talknbot NIE konfiguruje systemów AI w sposób, który: (a) podejmuje decyzje wyłącznie zautomatyzowane wywołujące skutki prawne lub w podobny sposób istotnie wpływające na osobę bez podstawy z art. 22 RODO i bez udziału człowieka; (b) prowadzi rozpoznawanie emocji w kontekście zatrudnienia lub edukacji (zabronione przez AI Act); (c) prowadzi biometryczną kategoryzację w celu wnioskowania o cechach chronionych (zabronione przez AI Act); (d) generuje deepfakes (manipulowane treści audio/video z udziałem rzeczywistych osób bez ich zgody).

§ 8. Profilowanie i automatyczne podejmowanie decyzji

1. Talknbot wykorzystuje mechanizmy AI do rozpoznawania mowy (Speech-to-Text), klasyfikacji intencji rozmówcy, syntezy mowy (Text-to-Speech) i generowania odpowiedzi. Te procesy NIE stanowią automatycznego podejmowania decyzji o skutkach prawnych w rozumieniu art. 22 RODO.

2. Talknbot NIE prowadzi profilowania osób fizycznych w celu podejmowania decyzji o ich istotnych prawach (np. kwalifikacji do usługi, oceny kredytowej, kwalifikacji do zatrudnienia) wyłącznie w sposób zautomatyzowany.

3. Jeżeli klient B2B zamierza wykorzystać Talknbot w procesie, który może istotnie wpływać na sytuację osoby (np. kwalifikacja kandydata, obsługa reklamacji z decyzją finansową, windykacja, ocena ryzyka medycznego), klient zobowiązuje się --- na podstawie UPPD --- do: (a) zapewnienia podstawy prawnej z art. 22 ust. 2 RODO; (b) zapewnienia udziału człowieka w decyzji; (c) realizacji obowiązku informacyjnego wobec rozmówców; (d) udostępnienia procedury odwoławczej.

§ 9. Odbiorcy danych i sub-procesorzy

Talknbot stosuje politykę EU-first --- główne komponenty stosu technologicznego są skonfigurowane tak, aby przechowywanie i przetwarzanie danych głosowych odbywało się w Europejskim Obszarze Gospodarczym (EOG). Dane są udostępniane następującym kategoriom odbiorców:

9.1. Sub-procesorzy w łańcuchu produkcyjnym Voice AI

Łańcuch przetwarzania danych głosowych Talknbot (połączenia produkcyjne realizowane dla klientów B2B oraz demo voicebota):

+----------------------+-----------------------+--------------------------------+ | Sub-procesor | Funkcja w | Lokalizacja przetwarzania | | | łańcuchu | | +======================+=======================+================================+ | Operator polskiej | Inicjacja i | Polska, EOG | | telefonii | terminacja połączeń | | | | głosowych w sieciach | | | | polskich operatorów | | | | telekomunikacyjnych | | +----------------------+-----------------------+--------------------------------+ | Twilio Ireland | Operator VoIP/SIP --- | EOG (region EU Twilio) | | Limited | bramka pomiędzy | | | | siecią TDM/SS7 a | | | | stosem AI Talknbot. | | | | Wykorzystywany | | | | region: EU Region | | | | (Irlandia/Niemcy) | | +----------------------+-----------------------+--------------------------------+ | ElevenLabs Ltd. | Pełen stack | EOG (isolated environment) | | (EU Isolated | ElevenLabs Agents: | | | Environment) | | api.eu.residency.elevenlabs.io | | | • Speech-to-Text | | | | (rozumienie mowy) | Konfiguracja: Zero Retention | | | | Mode włączone --- treści | | | • Custom LLM | rozmów nie są przechowywane na | | | hostowany przez | serwerach ElevenLabs. | | | ElevenLabs | | | | (rozumienie i | | | | generowanie | | | | odpowiedzi) | | | | | | | | • Text-to-Speech | | | | (synteza mowy) | | +----------------------+-----------------------+--------------------------------+ | Dostawca | Hosting środowiska | [DOSTAWCA --- region | | infrastruktury | Talknbot --- | EOG] | | hostingowej | orkiestracja, | | | Talknbot | scenariusze, CRM, | | | | logi | | +----------------------+-----------------------+--------------------------------+

Stan na dzień publikacji niniejszej Polityki: konfiguracja ElevenLabs EU Enterprise jest w trakcie wdrożenia i będzie produkcyjnie aktywna przed dniem [DATA LAUNCHU PRODUKCYJNEGO]. Do czasu pełnego wdrożenia EU Residency, transfery do USA mogą występować w łańcuchu produkcyjnym --- szczegóły w § 10.4.

9.2. OpenAI jako sub-sub-procesor

OpenAI (GPT) jest wykorzystywany w łańcuchu Voice AI Talknbot wyłącznie pośrednio, poprzez integrację dostarczaną przez ElevenLabs w ramach platformy Agents. Talknbot NIE ma bezpośredniej relacji prawnej z OpenAI --- OpenAI występuje jako sub-procesor ElevenLabs, a nie Talknbot. Konfiguracja OpenAI w środowisku EU Residency ElevenLabs jest dostępna w ramach Custom LLM, zgodnie z polityką ElevenLabs i jej DPA z OpenAI.

9.3. Sub-procesorzy strony internetowej i działań marketingowych

Następujący odbiorcy są zaangażowani wyłącznie w zakresie strony talknbot.pl, formularzy kontaktowych, działań marketingowych i analityki --- NIE w łańcuchu produkcyjnym Voice AI:

Sub-procesor Funkcja Lokalizacja

Dostawca hostingu Hosting strony [DOSTAWCA --- region strony WWW talknbot.pl, formularze EOG] kontaktowe

Google Ireland Google Analytics 4, Irlandia + USA Limited / Google LLC Google Ads, Google Tag
Manager

Meta Platforms Facebook Pixel Irlandia + USA Ireland / Meta (śledzenie konwersji,
Platforms Inc. remarketing)

LinkedIn Ireland LinkedIn Insight Tag Irlandia + USA Unlimited / LinkedIn (śledzenie konwersji
Corporation B2B)

Dostawca narzędzia Wysyłka newslettera [Mailchimp --- USA / do newslettera marketingowego Brevo --- Francja]

System CRM Zarządzanie relacjami z [DOSTAWCA --- klientami B2B region]

9.4. Pozostali odbiorcy

Odbiorca Funkcja Lokalizacja

Biuro rachunkowe Obsługa księgowa i Polska, EOG podatkowa

Kancelarie prawne Obsługa prawna w Polska, EOG przypadku sporów

Organy publiczne Wyłącznie w przypadkach Polska, EOG przewidzianych prawem
(sądy, UODO, organy
ścigania, US/KIS)

Aktualna lista sub-procesorów wraz z linkami do ich polityk prywatności jest dostępna na stronie talknbot.pl/podwykonawcy i jest aktualizowana w ciągu 30 dni od zmiany.

§ 10. Transfer danych poza Europejski Obszar Gospodarczy

10.1. Polityka EU-first dla głównego łańcucha produkcyjnego

Talknbot świadomie wybrał konfigurację, w której główny łańcuch przetwarzania danych głosowych (operator polskiej telefonii → Twilio EU → ElevenLabs EU Enterprise z Zero Retention Mode) odbywa się w Europejskim Obszarze Gospodarczym. Treści rozmów, nagrania i transkrypcje są przechowywane i przetwarzane w EOG, bez systematycznego transferu poza EOG.

Konkretne komponenty łańcucha produkcyjnego:

Komponent Konfiguracja Talknbot Skutek prawny

Telefonia (warstwa Operator polskiej telefonii w Polska / EOG --- brak terminacyjna) sieciach krajowych transferu poza EOG

VoIP/SIP Twilio EU Region (Irlandia, EOG --- brak Niemcy) systematycznego transferu poza EOG

Speech-to-Text ElevenLabs EU Isolated Environment EOG --- bez transferu (STT) (api.eu.residency.elevenlabs.io) danych głosowych poza EOG

LLM (rozumienie i Custom LLM hostowany przez EOG --- bezpośrednia generowanie ElevenLabs w EU Isolated relacja Talknbot tylko z odpowiedzi) Environment (OpenAI GPT) ElevenLabs EU; OpenAI jako sub-procesor ElevenLabs w infrastrukturze EU

Text-to-Speech ElevenLabs EU Isolated Environment EOG --- modele TTS w (TTS) środowisku EU

Zero Retention Włączone --- ElevenLabs nie Minimalizacja ekspozycji Mode przechowuje treści rozmów na --- brak persystencji swoich serwerach treści u sub-procesora

10.2. Wyjątki --- incydentalne transfery w łańcuchu Voice AI

Talknbot uczciwie ujawnia ograniczenia konfiguracji EU Residency ElevenLabs, które mogą prowadzić do incydentalnych transferów danych poza EOG. Są to wyjątki, nie standardowe operacje:

• Wsparcie techniczne ElevenLabs spoza EOG --- w sytuacjach pomocy technicznej (ticket support, troubleshooting), personel ElevenLabs spoza EOG może uzyskać dostęp do danych konta Talknbot w celu rozwiązania problemu. Talknbot stara się ograniczać takie sytuacje i preferuje support w godzinach pracy zespołu EU ElevenLabs;

• Moderacja treści przez zespół ElevenLabs --- zespół bezpieczeństwa ElevenLabs (z siedzibą w USA) może uzyskać dostęp do treści rozmów w celu egzekwowania Prohibited Use Policy (np. weryfikacja zgłoszenia nadużycia, walka z deepfake'ami). Jest to wyjątek przewidziany w DPA ElevenLabs, oparty na uzasadnionym interesie zapewnienia bezpieczeństwa platformy;

• Sub-procesorzy ElevenLabs spoza EOG --- ElevenLabs korzysta z określonych sub-procesorów infrastrukturalnych, niektórzy z nich mogą operować poza EOG. Aktualna lista jest udostępniana przez ElevenLabs w ramach DPA.

Mechanizm prawny dla powyższych wyjątków: Standardowe Klauzule Umowne (SCC) z decyzji KE 2021/914 (Module 2 i 3), pre-inkorporowane w Master Subscription Agreement Talknbot-ElevenLabs oraz w DPA ElevenLabs.

10.3. Transfery w warstwie strony internetowej i marketingu

Niezależnie od EU-first w produkcji, strona internetowa talknbot.pl i działania marketingowe wykorzystują narzędzia z transferem do USA:

+--------------------+--------------------+---------------------------+ | Narzędzie / | Status DPF | Mechanizm prawny | | Dostawca | | | +====================+====================+===========================+ | Google LLC | Active (Non-HR | Primary: art. 45 RODO | | (Analytics, Ads, | Data) | (DPF) | | Tag Manager) | | | | | | Fallback: SCC 2021 Module | | | | 2 | | | | | | | | Dodatkowo: IP | | | | Anonymization, Consent | | | | Mode v2 | +--------------------+--------------------+---------------------------+ | Meta Platforms | Active (Non-HR | Primary: art. 45 RODO | | Inc. (Facebook | Data) | (DPF) | | Pixel) | | | | | | Fallback: SCC 2021 Module | | | | 2 | +--------------------+--------------------+---------------------------+ | LinkedIn | Active (Non-HR | Primary: art. 45 RODO | | Corporation | Data) | (DPF) | | | | | | | | Fallback: SCC 2021 Module | | | | 2 | +--------------------+--------------------+---------------------------+ | Mailchimp | Active (Non-HR | Primary: art. 45 RODO | | (Intuit Inc.) --- | Data) | (DPF) | | jeśli stosowany | | | | | | Fallback: SCC 2021 Module | | | | 2 | +--------------------+--------------------+---------------------------+

Te transfery dotyczą wyłącznie danych marketingowych (dane z formularzy WWW, cookies, listy mailingowe) --- NIE dotyczą danych głosowych rozmówców voicebota.

10.4. Okres przejściowy --- przed pełnym wdrożeniem EU Residency

Talknbot uczciwie ujawnia, że na dzień publikacji niniejszej Polityki konfiguracja EU Residency ElevenLabs jest w trakcie wdrożenia. Pełna konfiguracja EU-first dla łańcucha produkcyjnego będzie aktywna przed dniem [DATA LAUNCHU PRODUKCYJNEGO] (planowany termin uruchomienia komercyjnego).

W okresie przejściowym, dla demo voicebota na stronie talknbot.pl oraz pilotażowych wdrożeń, transfery do USA mogą występować w łańcuchu ElevenLabs (standardowa konfiguracja US). W tym okresie zastosowanie mają następujące mechanizmy zabezpieczające:

• DPF dla ElevenLabs (jeśli ElevenLabs Inc. posiada aktywną certyfikację) --- należy zweryfikować w dataprivacyframework.gov;

• SCC 2021 Module 2 --- jako mechanizm zastępczy lub główny;

• Zero Retention Mode włączone niezależnie od regionu;

• Wyłączenie wykorzystywania danych do treningu (no-training flag);

• Po wdrożeniu EU Residency niniejsza sekcja zostanie zaktualizowana --- Talknbot poinformuje o tym subskrybentów newslettera i klientów B2B.

10.5. Ryzyka transferu --- uczciwe ujawnienie

Transfery do USA, nawet w ograniczonym zakresie wyjątków i warstwy marketingowej, wiążą się ze znanymi ryzykami prawnymi:

• FISA Section 702 --- ustawa Foreign Intelligence Surveillance Act, sekcja 702, podlega okresowemu odnowieniu. Aktualne brzmienie obowiązuje do 20 kwietnia 2026 r. Po tej dacie zakres możliwego dostępu organów USA do danych może ulec zmianie. Talknbot monitoruje sytuację.

• Sprawa Latombe przed TSUE --- francuski poseł Philippe Latombe zaskarżył decyzję adekwatności KE 2023/1795 (DPF). Rozstrzygnięcie spodziewane w 2026 r. Negatywne dla DPF orzeczenie spowoduje konieczność przejścia na SCC + środki dodatkowe.

• Sprawa OpenAI vs The New York Times --- sąd USA nakazał OpenAI tymczasowe zachowanie logów rozmów. Z uwagi na architekturę Talknbot (OpenAI jako sub-sub-procesor przez ElevenLabs EU + Zero Retention Mode), bezpośredni wpływ tej sprawy na klientów Talknbot jest ograniczony --- ElevenLabs nie przekazuje treści rozmów do OpenAI w sposób, który podlegałby retencji w infrastrukturze OpenAI Inc., ponieważ przetwarzanie odbywa się w EU Custom LLM ElevenLabs.

Szczegółowa ocena ryzyk transferu (Transfer Impact Assessment, TIA) jest udostępniana klientom B2B na żądanie, w ramach due diligence przed podpisaniem umowy.

§ 11. Twoje prawa

W związku z przetwarzaniem Twoich danych przysługują Ci następujące prawa wynikające z RODO:

• prawo dostępu do danych (art. 15 RODO);

• prawo do sprostowania danych (art. 16 RODO);

• prawo do usunięcia danych (art. 17 RODO) --- z zastrzeżeniem prawa Talknbot do zachowania danych wymaganych przepisami prawa (np. księgowość) lub niezbędnych do obrony przed roszczeniami;

• prawo do ograniczenia przetwarzania (art. 18 RODO);

• prawo do przenoszenia danych (art. 20 RODO) --- w zakresie przetwarzania na podstawie zgody lub umowy;

• prawo do sprzeciwu (art. 21 RODO) --- wobec przetwarzania opartego na uzasadnionym interesie, w tym marketingu bezpośredniego;

• prawo do wycofania zgody w każdym momencie --- bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem;

• prawo wniesienia skargi do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa, kancelaria@uodo.gov.pl).

11.1. Realizacja praw

Wniosek o realizację praw można złożyć przez: kontakt@talknbot.pl lub pisemnie na adres siedziby Administratora.

Standardowy termin odpowiedzi: 1 miesiąc (z możliwością przedłużenia o 2 miesiące w sprawach skomplikowanych).

11.2. Sprzeciw wobec marketingu i wycofanie zgody

• Newsletter: kliknij link "Wypisz się" / "Unsubscribe" w każdej wiadomości lub wyślij e-mail na kontakt@talknbot.pl;

• Cookies: kliknij link "Ustawienia cookies" w stopce strony talknbot.pl;

• Demo voicebota: możesz w każdej chwili zakończyć rozmowę; pełne usunięcie nagrania i transkrypcji następuje po wniosku o art. 17 RODO.

11.3. Realizacja prawa do usunięcia --- szczegóły

Z uwagi na konfigurację EU-first łańcucha produkcyjnego Talknbot (ElevenLabs EU Enterprise + Zero Retention Mode), realizacja prawa do usunięcia w odniesieniu do danych głosowych z produkcji jest co do zasady w pełni wykonalna w infrastrukturze EOG. Zero Retention Mode zapewnia, że treści rozmów nie są persystowane w infrastrukturze ElevenLabs po zakończeniu sesji.

Ograniczenia mogą wystąpić w następujących obszarach:

• Logi techniczne ElevenLabs (metadane, nie treści) --- przechowywane przez sub-procesora przez czas określony w jego polityce, w zakresie wymaganym przepisami prawa USA;

• Dane marketingowe (Google, Meta, LinkedIn) --- realizacja w trybie standardowym przez te narzędzia, ze znanymi ograniczeniami art. 17 dla danych przetwarzanych w USA;

• Sprawa OpenAI vs NYT --- ma ograniczone znaczenie dla klientów Talknbot z uwagi na architekturę: OpenAI nie ma bezpośredniej relacji z Talknbot, a przetwarzanie LLM odbywa się w infrastrukturze EU Custom LLM ElevenLabs;

• Dane przetwarzane przez Talknbot na podstawie obowiązku prawnego (księgowość, podatki, obrona przed roszczeniami) --- nie podlegają usunięciu do czasu wygaśnięcia obowiązku prawnego.

§ 12. Bezpieczeństwo danych

Talknbot stosuje środki techniczne i organizacyjne adekwatne do ryzyka (art. 32 RODO):

12.1. Środki techniczne

• szyfrowanie połączeń --- TLS 1.2+ (HTTPS);

• szyfrowanie danych w spoczynku --- AES-256;

• uwierzytelnianie wieloskładnikowe (MFA) dla kont administracyjnych;

• kontrola dostępu oparta na rolach (RBAC);

• regularne aktualizacje bezpieczeństwa, monitoring podatności;

• kopie zapasowe szyfrowane (rotacja 30 dni);

• logi systemowe, monitoring nadużyć, segregacja środowisk produkcyjnych od testowych.

12.2. Środki organizacyjne

• upoważnienia do przetwarzania danych dla wszystkich osób z dostępem;

• zobowiązania do poufności;

• szkolenia RODO i AI Act;

• procedura reagowania na incydenty (72h zgodnie z art. 33 RODO; 36h dla klientów B2B);

• procedury realizacji praw osób;

• polityka retencji danych;

• polityka zarządzania sub-procesorami (due diligence, DPA/UPPD).

§ 13. Zmiany Polityki

1. Administrator zastrzega prawo do dokonywania zmian w Polityce w przypadku zmian przepisów prawa (RODO, AI Act, UŚUDE, Prawo Telekomunikacyjne), zmian technologii lub dostawców, dodania nowych usług lub innych istotnych okoliczności.

2. O istotnych zmianach Polityki Administrator informuje poprzez baner na stronie talknbot.pl oraz e-mail do subskrybentów newslettera i klientów B2B.

3. Aktualna wersja Polityki jest dostępna pod adresem talknbot.pl/polityka-prywatnosci. Wersje archiwalne udostępniamy na żądanie skierowane na kontakt@talknbot.pl.

§ 14. Dokumenty powiązane

Niniejsza Polityka stanowi część kompleksowej dokumentacji ochrony danych Talknbot. Dokumenty publicznie dostępne:

• Polityka Cookies --- talknbot.pl/polityka-cookies

• Regulamin korzystania z serwisu --- talknbot.pl/regulamin

• Zasady Dopuszczalnego Użycia (AUP) --- talknbot.pl/zasady-uzycia

• Lista sub-procesorów --- talknbot.pl/podwykonawcy

• Polityka klonowania głosu --- talknbot.pl/voice-cloning-policy

Dokumenty udostępniane klientom B2B w ramach due diligence (na żądanie skierowane na kontakt@talknbot.pl):

• Wzór Umowy Powierzenia Przetwarzania Danych (UPPD);

• Transfer Impact Assessment (TIA) dla transferów do USA;

• Data Protection Impact Assessment (DPIA);

• Legitimate Interest Assessment (LIA);

• Polityka Bezpieczeństwa Danych Osobowych;

• Procedura reagowania na incydenty (72h).

Niniejsza Polityka obowiązuje od dnia [DD.MM.RRRR] i pozostaje aktualna do czasu opublikowania jej nowszej wersji.

TalknBot --- Enterprise Voice AI

Talknbot sp. z o.o., NIP zostanie uzupełniony po rejestracji w KRS

kontakt@talknbot.pl • talknbot.pl • +48 71 711 73 14