Umowa Powierzenia Przetwarzania Danych (UPPD)

UMOWA POWIERZENIA

PRZETWARZANIA DANYCH OSOBOWYCH

(UPPD / DPA)

Załącznik nr 4 do Umowy o Świadczenie Usług Voice AI

Numer Umowy Głównej [NR UMOWY GŁÓWNEJ]

Data zawarcia UPPD [DD.MM.RRRR]

Wersja dokumentu 1.0

Załączniki 4 (kategorie danych, środki TOM, lista sub-procesorów, formularz audytu)

PREAMBUŁA

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: "UPPD" lub "Umowa") zostaje zawarta pomiędzy:

[PEŁNA NAZWA SPÓŁKI KLIENTA], z siedzibą w Poznaniu, ul. Solna 3/14, 61-735 Poznań, NIP [NIP], KRS spółka w organizacji - numer KRS zostanie uzupełniony po rejestracji, reprezentowaną przez [IMIĘ I NAZWISKO + FUNKCJA]

dalej "Administrator" lub "Klient",

a

Talknbot sp. z o.o., z siedzibą w Poznaniu, ul. Solna 3/14, 61-735 Poznań, NIP zostanie uzupełniony po rejestracji w KRS, KRS spółka w organizacji - numer KRS zostanie uzupełniony po rejestracji, reprezentowaną przez [IMIĘ I NAZWISKO + FUNKCJA]

dalej "Procesor" lub "Talknbot",

łącznie nazywanymi 'Stronami', a każda z osobna 'Stroną'.

Mając na uwadze, że:

1. Strony zawarły Umowę o Świadczenie Usług Voice AI nr [NUMER UMOWY] z dnia [DATA UMOWY] (dalej: 'Umowa Główna'), na podstawie której Talknbot świadczy na rzecz Klienta usługi w zakresie agentów głosowych AI, voicebotów inbound/outbound, dialerów AI, mikrokomputera GSM lub innych usług produktów Voice AI Talknbot;

2. W ramach świadczenia tych usług Talknbot przetwarza dane osobowe rozmówców i innych osób fizycznych, których administratorem jest Klient;

3. Strony zobowiązane są na podstawie art. 28 RODO do zawarcia umowy powierzenia przetwarzania danych;

4. Strony deklarują wolę zawarcia niniejszej UPPD w celu uregulowania wzajemnych obowiązków w zakresie ochrony danych osobowych;

Strony postanawiają, co następuje:

§ 1. Definicje

Pojęcia użyte w UPPD mają znaczenie nadane im w RODO, a ponadto:

Pojęcie Definicja

RODO Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

AI Act Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji. Art. 50 (transparentność) obowiązuje od 2 sierpnia 2026 r.

Dane Powierzone Dane osobowe przetwarzane przez Procesora w imieniu Administratora w ramach realizacji Umowy Głównej, których kategorie i zakres szczegółowo określa Załącznik nr 1.

Sub-procesor Dalszy podmiot przetwarzający, któremu Procesor powierza przetwarzanie Danych Powierzonych w ramach świadczenia usług (lista aktualna w Załączniku nr 3).

Voice AI Usługa Talknbot polegająca na obsłudze rozmów głosowych w sposób zautomatyzowany z wykorzystaniem systemów AI.

Naruszenie Naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO.

Środki TOM Środki techniczne i organizacyjne stosowane przez Procesora w celu zapewnienia ochrony Danych Powierzonych, opisane w Załączniku nr 2.

§ 2. Przedmiot powierzenia

1. Administrator powierza Procesorowi przetwarzanie Danych Powierzonych, a Procesor zobowiązuje się do ich przetwarzania zgodnie z postanowieniami niniejszej UPPD oraz przepisami prawa, w szczególności RODO i AI Act.

2. Procesor przetwarza Dane Powierzone wyłącznie w zakresie i celu określonym przez Administratora w Umowie Głównej, niniejszej UPPD oraz w udokumentowanych poleceniach Administratora.

3. Charakter powierzenia, kategorie osób, których dane dotyczą, kategorie Danych Powierzonych, cel powierzenia oraz okres przetwarzania określa szczegółowo Załącznik nr 1 do UPPD.

4. Procesor potwierdza, że NIE wykorzystuje Danych Powierzonych do własnych celów (np. trening modeli AI Talknbot lub jego sub-procesorów). Konfiguracja sub-procesorów w łańcuchu produkcyjnym (w szczególności Zero Retention Mode w ElevenLabs) wyklucza wykorzystywanie treści rozmów do celów innych niż realizacja usługi dla Administratora.

§ 3. Obowiązki Procesora

Procesor zobowiązuje się do:

1. Przetwarzania Danych Powierzonych wyłącznie na udokumentowane polecenie Administratora --- także w odniesieniu do przekazywania danych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki nakłada prawo Unii Europejskiej lub prawo państwa członkowskiego (art. 28 ust. 3 lit. a RODO).

2. Zapewnienia, że osoby upoważnione przez Procesora do przetwarzania Danych Powierzonych zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi zachowania tajemnicy (art. 28 ust. 3 lit. b RODO).

3. Wdrożenia i utrzymywania środków technicznych i organizacyjnych zapewniających odpowiedni do ryzyka poziom bezpieczeństwa, zgodnie z art. 32 RODO i opisem w Załączniku nr 2 do UPPD.

4. Pomocy Administratorowi w realizacji obowiązków wynikających z art. 32-36 RODO (bezpieczeństwo przetwarzania, zgłaszanie naruszeń, ocena skutków dla ochrony danych, uprzednie konsultacje z UODO).

5. Pomocy Administratorowi w realizacji żądań osób, których dane dotyczą (art. 12-22 RODO) --- Procesor przekaże Administratorowi wszelkie informacje i podejmie działania techniczne niezbędne do realizacji żądań w terminach określonych w RODO.

6. Po zakończeniu świadczenia usług --- zgodnie z decyzją Administratora, usunięcia lub zwrócenia wszelkich Danych Powierzonych oraz usunięcia wszelkich kopii, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych (art. 28 ust. 3 lit. g RODO). Procedura zakończenia opisana w § 12 UPPD.

7. Udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania wywiązania się z obowiązków określonych w art. 28 RODO oraz umożliwienia Administratorowi przeprowadzenia audytów (zasady audytu w § 11).

8. Niezwłocznego informowania Administratora o każdym poleceniu, które w opinii Procesora narusza RODO lub inne przepisy o ochronie danych --- przed jego wykonaniem.

§ 4. Obowiązki Administratora

Administrator zobowiązuje się do:

1. Wydawania Procesorowi udokumentowanych poleceń dotyczących przetwarzania Danych Powierzonych, zgodnych z RODO i innymi przepisami prawa.

2. Realizacji obowiązków informacyjnych wobec osób, których dane są przetwarzane przez Procesora w ramach świadczenia usług Voice AI --- w szczególności obowiązków z art. 13 i 14 RODO oraz art. 50 AI Act (informacja, że osoba komunikuje się z systemem AI).

3. Zapewnienia podstawy prawnej przetwarzania Danych Powierzonych zgodnej z art. 6 RODO (oraz art. 9 RODO w przypadku danych szczególnej kategorii). Administrator gwarantuje Procesorowi, że posiada odpowiednią podstawę prawną.

4. Konfiguracji scenariuszy rozmów Voice AI w sposób zapewniający zgodność z RODO, AI Act i innymi przepisami, w szczególności:

   a) zachowanie zasady minimalizacji --- scenariusze nie pozyskują danych nadmiernie ponad cel rozmowy;

   b) unikanie pozyskiwania danych szczególnej kategorii (art. 9 RODO), jeżeli nie jest to absolutnie niezbędne;

   c) zapewnienie zgodności scenariuszy z prawem branżowym (np. ustawa o prawach pacjenta, prawo bankowe, prawo windykacyjne);

   d) zapewnienie mechanizmu przekierowania rozmówcy do człowieka (human handoff) zgodnie z AI Act;

5. Realizacji obowiązków w zakresie AI Act jako deployer systemu AI (zgodnie z art. 26 i art. 50 AI Act): zapewnienie nadzoru ludzkiego nad systemem, monitorowanie działania, dokumentowanie incydentów, informowanie pracowników o stosowaniu systemu AI w miejscu pracy.

6. Terminowego informowania Procesora o zmianach w wymaganiach przetwarzania, w szczególności o zmianach zakresu danych, kategorii osób, celu, podstawy prawnej.

§ 5. Naruszenia ochrony danych

1. W przypadku stwierdzenia potencjalnego Naruszenia dotyczącego Danych Powierzonych, Procesor zobowiązuje się powiadomić Administratora bez zbędnej zwłoki, nie później niż w terminie 36 godzin od momentu stwierdzenia każdego zdarzenia.

2. Termin 36 godzin został wybrany świadomie --- pozwala Administratorowi spełnić własny obowiązek zgłoszenia Naruszenia do organu nadzorczego (Prezesa UODO) w terminie 72 godzin (art. 33 ust. 1 RODO), z zachowaniem rezerwy czasowej na analizę i przygotowanie zgłoszenia.

3. Powiadomienie Procesora o potencjalnym Naruszeniu zawiera co najmniej:

• opis charakteru incydentu, w tym kategorii i przybliżonej liczby osób oraz wpisów danych dotkniętych;

• imię, nazwisko i dane kontaktowe osoby udzielającej informacji po stronie Procesora;

• opis możliwych konsekwencji potencjalnego Naruszenia;

• opis środków podjętych lub proponowanych przez Procesora w celu zaradzenia potencjalnemu Naruszeniu lub zminimalizowania jego skutków.

4. Jeżeli pełne informacje nie są dostępne w terminie 36 godzin, Procesor przekazuje wstępne informacje w tym terminie i uzupełnia je bez zbędnej zwłoki.

5. Procesor współpracuje z Administratorem w zakresie:

• oceny wagi Naruszenia dla praw i wolności osób fizycznych;

• podjęcia działań ograniczających szkody;

• przygotowania zgłoszenia do UODO (art. 33 RODO);

• przygotowania zawiadomienia osób (art. 34 RODO) --- jeżeli wymagane.

6. Procesor prowadzi wewnętrzny Rejestr Incydentów, w którym dokumentuje wszelkie zdarzenia dotyczące Danych Powierzonych. Wpisy w rejestrze są udostępniane Administratorowi na żądanie.

§ 6. Sub-procesorzy

1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług sub-procesorów wskazanych w Załączniku nr 3 do UPPD (art. 28 ust. 2 zdanie drugie RODO).

2. Procesor zobowiązuje się zapewnić, aby każdy sub-procesor:

• zapewniał odpowiednie środki techniczne i organizacyjne, co najmniej równoważne tym wskazanym w Załączniku nr 2;

• podlegał obowiązkom nie mniej restrykcyjnym niż obowiązki Procesora wynikające z niniejszej UPPD;

• przetwarzał dane wyłącznie w celu wykonania zadań powierzonych przez Procesora.

3. O zamiarze dodania nowego sub-procesora lub zmiany istniejącego, Procesor informuje Administratora z 30-dniowym wyprzedzeniem (poprzez e-mail lub aktualizację listy na stronie talknbot.pl/podwykonawcy).

4. Administrator ma prawo zgłosić uzasadniony sprzeciw wobec zmiany sub-procesora w terminie 30 dni od otrzymania informacji. Strony podejmą rozmowy w celu znalezienia rozwiązania (np. zachowania dotychczasowego sub-procesora dla danego Administratora, jeśli technicznie wykonalne). Jeżeli kompromisu nie da się osiągnąć, Administrator ma prawo wypowiedzieć Umowę Główną z zachowaniem 60-dniowego okresu wypowiedzenia, bez konsekwencji finansowych.

5. Procesor odpowiada wobec Administratora za działania i zaniechania sub-procesorów jak za własne (art. 28 ust. 4 RODO).

§ 7. Transfer danych poza Europejski Obszar Gospodarczy

1. Procesor stosuje politykę EU-first dla głównego łańcucha przetwarzania danych głosowych. Główne komponenty stosu (operator polskiej telefonii, Twilio EU Region, ElevenLabs EU Isolated Environment z Zero Retention Mode) są skonfigurowane w EOG.

2. Procesor ujawnia incydentalne wyjątki w łańcuchu Voice AI, w których może wystąpić transfer poza EOG: wsparcie techniczne ElevenLabs spoza EOG, moderacja treści przez zespół ElevenLabs (USA), sub-procesorzy ElevenLabs spoza EOG. Mechanizm prawny dla tych wyjątków: Standardowe Klauzule Umowne (SCC) z decyzji KE 2021/914.

3. Szczegółowa lista transferów oraz mechanizmy prawne są określone w Załączniku nr 3 do UPPD.

4. Na żądanie Administratora Procesor udostępnia pełną Transfer Impact Assessment (TIA) zawierającą analizę ryzyk transferowych i środków dodatkowych.

5. W przypadku zmiany prawnej w zakresie mechanizmów transferowych (np. wygaśnięcie DPF, orzeczenie TSUE), Procesor niezwłocznie poinformuje Administratora i zaproponuje alternatywne mechanizmy.

§ 8. Realizacja praw osób, których dane dotyczą

1. Procesor pomaga Administratorowi, w miarę możliwości technicznych, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 12-22 RODO.

2. Jeżeli osoba zgłosi swoje żądanie bezpośrednio do Procesora, Procesor niezwłocznie:

• przekaże żądanie Administratorowi (w terminie 5 dni roboczych);

• nie odpowiada osobie merytorycznie, chyba że Administrator wyraźnie do tego upoważni;

• zachowa kopię żądania w celu udokumentowania.

3. W zakresie realizacji żądań Procesor zapewnia:

   a) Prawo dostępu (art. 15 RODO) --- udostępnia Administratorowi wyciąg danych dotyczących osoby w terminie 7 dni roboczych od żądania;

   b) Prawo do sprostowania (art. 16 RODO) --- wykonuje sprostowanie na polecenie Administratora;

   c) Prawo do usunięcia (art. 17 RODO) --- wykonuje usunięcie na polecenie Administratora w terminie 14 dni roboczych, z zastrzeżeniem § 12 UPPD;

   d) Prawo do ograniczenia (art. 18 RODO) --- wstrzymuje przetwarzanie na polecenie Administratora;

   e) Prawo do przenoszenia (art. 20 RODO) --- dostarcza dane w formacie strukturyzowanym (JSON, CSV);

   f) Prawo do sprzeciwu (art. 21 RODO) --- wstrzymuje przetwarzanie na polecenie Administratora.

4. Ograniczenia realizacji praw: z uwagi na konfigurację EU-first łańcucha produkcyjnego (Zero Retention Mode w ElevenLabs), realizacja prawa do usunięcia w odniesieniu do danych głosowych z produkcji jest co do zasady w pełni wykonalna w infrastrukturze EOG. Pełne usunięcie z logów technicznych sub-procesorów może wymagać dłuższego czasu w zakresie technicznie i prawnie możliwym.

§ 9. Zgodność z AI Act

1. Strony uznają, że Voice AI jest systemem sztucznej inteligencji w rozumieniu AI Act. W ramach UPPD:

• Procesor występuje jako PROVIDER (dostawca systemu AI) --- odpowiada za zgodność technologii AI z wymogami AI Act, w tym dostarczanie mechanizmów transparentności;

• Administrator występuje jako DEPLOYER (podmiot stosujący system AI) --- odpowiada za sposób wykorzystania systemu w swoich procesach, w tym informowanie swoich klientów/pracowników o stosowaniu AI.

2. Procesor zobowiązuje się do:

• Dostarczenia mechanizmów transparentności AI --- komunikat głosowy rozpoczynający rozmowę, znakowanie syntetycznej mowy (machine-readable);

• Konfiguracji scenariuszy umożliwiającej human handoff --- przekierowanie rozmówcy do człowieka na żądanie;

• Dokumentowania działania systemu AI --- logi systemowe, metadane rozmów, wskaźniki jakości;

• Niewdrażania scenariuszy zakazanych przez AI Act --- manipulowania emocjami, podszywania się pod człowieka, deepfake'ów osób bez zgody, oceny biometrycznej w celu wnioskowania o cechach chronionych.

3. Administrator zobowiązuje się do:

• Spełnienia obowiązku informacyjnego art. 50 AI Act wobec rozmówców --- zapewnienia, że komunikat głosowy o stosowaniu AI jest odtwarzany przed każdą rozmową;

• Zapewnienia nadzoru ludzkiego --- wskazania osoby/zespołu odpowiedzialnego za monitorowanie działania systemu;

• Informowania pracowników (jeżeli system jest stosowany w miejscu pracy) o stosowaniu systemu AI, zgodnie z art. 26 ust. 7 AI Act;

• Niewdrażania zakazanych praktyk AI --- social scoring, manipulacji emocjami wobec grup wrażliwych, biometrycznej kategoryzacji w celu wnioskowania o cechach chronionych.

§ 10. Dane biometryczne i dane szczególnej kategorii

1. Strony przyjmują, że nagrania głosu rozmówców mogą stanowić dane biometryczne w rozumieniu art. 4 pkt 14 RODO, jeżeli są przetwarzane w celu jednoznacznej identyfikacji osoby.

2. Standardowa konfiguracja Voice AI Talknbot NIE wykorzystuje danych głosowych w celu identyfikacji biometrycznej --- głos jest przetwarzany wyłącznie w celu rozumienia treści wypowiedzi (STT) i prowadzenia rozmowy. W tym modelu dane głosowe stanowią dane zwykłe (art. 6 RODO).

3. Jeżeli Administrator zamierza wykorzystać Voice AI w modelu obejmującym voice biometrics (identyfikacja lub uwierzytelnianie osoby na podstawie głosu), wówczas:

• dane głosowe są danymi szczególnej kategorii (art. 9 ust. 1 RODO);

• Administrator zobowiązuje się zapewnić odpowiednią podstawę prawną z art. 9 ust. 2 RODO (zwykle: wyraźna zgoda osoby);

• Strony zawierają aneks do UPPD określający dodatkowe środki ochrony adekwatne do podwyższonego ryzyka.

4. Klonowanie głosu konkretnych osób (np. dyrektora medycznego, ambasadora marki) jest możliwe wyłącznie:

• na pisemne żądanie Administratora;

• po przedstawieniu pisemnej zgody osoby, której głos jest klonowany, z prawem natychmiastowego cofnięcia;

• na ściśle określony zakres zastosowań i okres.

5. Procesor odmawia realizacji żądań klonowania głosu osób publicznych, polityków, celebrytów lub osób zmarłych bez wyraźnej zgody osoby lub jej spadkobierców.

§ 11. Prawo audytu

1. Administrator ma prawo do przeprowadzenia audytu Procesora w zakresie wywiązywania się z UPPD (art. 28 ust. 3 lit. h RODO).

2. Audyt może być przeprowadzony:

• Przez Administratora osobiście --- możliwie nie częściej niż raz w roku kalendarzowym, po uprzednim 30-dniowym powiadomieniu Procesora, w dni robocze, w godzinach 9:00-17:00, w siedzibie Procesora lub zdalnie;

• Przez audytora wskazanego przez Administratora --- pod warunkiem zawarcia umowy o poufności (NDA) z Procesorem oraz że audytor nie jest konkurentem Procesora;

• Samodzielnie przez Procesora --- Procesor może przedstawić raport audytowy zewnętrznego audytora (ISO 27001, SOC 2 lub inny standard branżowy), który zastępuje konieczność audytu przez Administratora.

3. Koszt audytu ponosi Administrator, chyba że audyt ujawni istotne naruszenie UPPD przez Procesora --- wówczas Procesor zwraca uzasadnione koszty audytu Administratorowi.

4. Audyt nie może zakłócać normalnego funkcjonowania Procesora ani naruszać tajemnicy handlowej innych klientów Procesora.

5. Procesor zobowiązuje się do dostarczenia Administratorowi, na żądanie, dokumentacji compliance: DPIA, TIA, polityki bezpieczeństwa, procedury reagowania na incydenty, raporty z audytów wewnętrznych --- w zakresie niezbędnym do wykazania zgodności z UPPD.

6. W formularz audytowy (Załącznik nr 4) zawiera standardowy zestaw pytań compliance, który Procesor może wypełnić bez konieczności fizycznego audytu --- co znacząco upraszcza i przyspiesza proces.

§ 12. Zakończenie świadczenia usług

1. Po zakończeniu świadczenia usług na podstawie Umowy Głównej (z jakiejkolwiek przyczyny), Procesor --- zgodnie z decyzją Administratora --- w terminie 30 dni od dnia zakończenia Umowy Głównej:

• zwróci Administratorowi wszystkie Dane Powierzone w formacie strukturyzowanym (np. JSON, CSV) --- eksport zawiera nagrania, transkrypcje, metadane, dane konfiguracji; LUB

• trwale usunie wszystkie Dane Powierzone oraz wszelkie kopie.

2. Wybór sposobu zakończenia (zwrot lub usunięcie) Administrator dokonuje pisemnie najpóźniej 14 dni przed zakończeniem Umowy Głównej. W braku wyraźnego wyboru --- Procesor automatycznie usuwa dane po 30 dniach od zakończenia.

3. Usunięcie obejmuje również wszelkie kopie zapasowe --- niezwłocznie lub w terminie standardowej rotacji kopii zapasowych (max 30 dni od trwałego usunięcia z bazy produkcyjnej).

4. Procesor zachowuje prawo do przechowywania Danych Powierzonych w zakresie, w jakim jest do tego zobowiązany przepisami prawa (np. księgowość, podatki, obrona przed roszczeniami). W takim przypadku Procesor informuje Administratora o zakresie i okresie przechowywania.

5. Procesor wystawia Administratorowi pisemne potwierdzenie wykonania zakończenia (zwrotu lub usunięcia) w terminie 7 dni od jego zakończenia.

§ 13. Odpowiedzialność

1. Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie w związku z naruszeniem UPPD na zasadach ogólnych Kodeksu cywilnego oraz na podstawie art. 82 RODO.

2. Limit odpowiedzialności Procesora wobec Administratora z tytułu wszelkich roszczeń wynikających z UPPD określa Umowa Główna (§ 11 Umowy Głównej). Niniejsza UPPD nie zmienia limitu odpowiedzialności ustalonego w Umowie Głównej.

3. Procesor i Administrator ponoszą odpowiedzialność wobec osób fizycznych z tytułu naruszenia ich praw wynikających z RODO, zgodnie z art. 82 RODO. Wzajemne rozliczenia Stron następują w trybie regresowym po wypłacie odszkodowania osobie fizycznej.

4. Limit odpowiedzialności nie obejmuje:

• szkód wyrządzonych z winy umyślnej;

• naruszeń poufności (na zasadach określonych w Umowie Głównej);

• odpowiedzialności wobec osób trzecich wynikającej z art. 82 RODO;

• kar nałożonych przez organy nadzorcze (każda Strona ponosi własne kary).

§ 14. Obowiązywanie UPPD

1. UPPD obowiązuje od dnia jej zawarcia do dnia zakończenia świadczenia usług na podstawie Umowy Głównej oraz przez okres wskazany w §12 ust. 1 powyżej.

2. Niezależnie od zakończenia, obowiązki Procesora w zakresie: poufności, zwrotu/usunięcia Danych Powierzonych, pomocy w realizacji praw osób --- pozostają w mocy do czasu ich pełnej realizacji.

3. UPPD może być wypowiedziana przez którąkolwiek ze Stron w przypadku istotnego naruszenia jej postanowień przez drugą Stronę, niewyeliminowanego w terminie 30 dni od pisemnego wezwania.

4. Zmiany UPPD wymagają formy pisemnej pod rygorem nieważności (z zastrzeżeniem aktualizacji Załączników, opisanej w § 15).

§ 15. Załączniki

Integralną częścią UPPD są następujące załączniki:

5. Załącznik nr 1 --- Kategorie osób, kategorie danych, cele i okresy przetwarzania;

6. Załącznik nr 2 --- Środki techniczne i organizacyjne (środki TOM) Procesora;

7. Załącznik nr 3 --- Lista sub-procesorów i mechanizmów transferowych;

8. Załącznik nr 4 --- Standardowy formularz audytowy compliance.

Aktualizacja Załączników nr 2 i 3 nie wymaga aneksu --- Procesor informuje Administratora o zmianach z 30-dniowym wyprzedzeniem, a Administrator zachowuje prawo sprzeciwu zgodnie z § 6.

§ 16. Postanowienia końcowe

9. W sprawach nieuregulowanych UPPD zastosowanie mają przepisy RODO, AI Act, Kodeksu cywilnego oraz innych przepisów prawa polskiego i europejskiego.

10. Prawem właściwym dla UPPD jest prawo polskie.

11. Spory wynikające z UPPD Strony zobowiązują się rozwiązywać polubownie. W razie braku porozumienia, spory rozstrzygane są przez sąd właściwy miejscowo dla siedziby Procesora.

12. Niniejsza UPPD zastępuje wszelkie wcześniejsze ustalenia Stron w zakresie przetwarzania danych osobowych. W razie sprzeczności postanowień UPPD i Umowy Głównej, w odniesieniu do przetwarzania danych osobowych pierwszeństwo ma UPPD.

13. UPPD sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

14. UPPD wchodzi w życie z dniem jej podpisania przez obie Strony.

PODPISY STRON

+----------------------------------------------------------------+----------------------------------------------------------------+ | ADMINISTRATOR | PROCESOR (Talknbot) | | | | | _______________________________ | _______________________________ | | | | | imię i nazwisko, funkcja | imię i nazwisko, funkcja | | | | | data i miejsce | data i miejsce | +================================================================+================================================================+

ZAŁĄCZNIK NR 1

do UPPD --- Kategorie osób, kategorie danych, cele i okresy

1. Charakter i cel powierzenia

Procesor przetwarza Dane Powierzone w celu świadczenia na rzecz Administratora usług Voice AI określonych w Umowie Głównej, w szczególności:

• [KONKRETNY ZAKRES --- np. obsługa rozmów inbound do call center, kampanie outbound, dialer AI z CRM, weryfikacja kontaktu, umawianie wizyt, etc.]

2. Kategorie osób, których dane dotyczą

Powierzeniem objęte są dane następujących kategorii osób:

• Rozmówcy --- osoby fizyczne, z którymi prowadzona jest rozmowa przez Voice AI (klienci Administratora, kontrahenci, kandydaci, pacjenci, dłużnicy --- zależnie od scenariusza wdrożenia);

• Osoby kontaktowe Administratora --- pracownicy lub współpracownicy Administratora wskazani w konfiguracji systemu (admin panel, przełączenie do człowieka, eskalacja);

• Inne osoby --- których dane mogą się pojawić w treści rozmów (osoby trzecie wspomniane przez rozmówcę).

3. Kategorie danych

+----------------------+-----------------------------------------------+ | Kategoria danych | Opis | +======================+===============================================+ | Dane | Imię, nazwisko, ewentualne dane | | identyfikacyjne | identyfikacyjne (np. numer klienta, numer | | | sprawy) | +----------------------+-----------------------------------------------+ | Dane kontaktowe | Numer telefonu, ewentualnie e-mail, adres | +----------------------+-----------------------------------------------+ | Dane głosowe | Nagranie rozmowy (audio) | | | | | | Transkrypcja rozmowy (tekst) | | | | | | Metadane (czas trwania, jakość, status) | | | | | | Charakter prawny: dane zwykłe (art. 6 RODO) | | | w standardowym modelu STT. | +----------------------+-----------------------------------------------+ | Treści rozmowy | Dane przekazane przez rozmówcę w trakcie | | | rozmowy (np. sprawa, preferencje, dane | | | sytuacji) | +----------------------+-----------------------------------------------+ | Intencje i | Rozpoznane intencje rozmówcy, klasyfikacja | | wyniki | sprawy, wynik scenariusza (np. umówienie | | | wizyty, eskalacja) | +----------------------+-----------------------------------------------+ | Dane szczególnej | Tylko jeśli scenariusze rozmów Administratora | | kategorii (art. 9 | przewidują pozyskiwanie takich danych --- | | RODO) | wymaga osobnego aneksu i adekwatnej podstawy | | | z art. 9 RODO. | | | | | | Domyślnie: Procesor nie przetwarza danych | | | szczególnej kategorii. | +----------------------+-----------------------------------------------+

4. Okres przetwarzania

Procesor przetwarza Dane Powierzone przez okres obowiązywania Umowy Głównej. Konkretne okresy przechowywania poszczególnych kategorii danych:

Kategoria danych Okres Uwagi

Nagranie rozmowy [DOMYŚLNIE 30 Konfigurowalne przez dni] Administratora w zakresie 7-180 dni

Transkrypcja rozmowy [DOMYŚLNIE 90 Konfigurowalne przez dni] Administratora w zakresie 30-365 dni

Metadane i wyniki [DOMYŚLNIE 12 Statystyki i raporty dla miesięcy] Administratora

Konfiguracja Czas Umowy Głównej Konfiguracja, scenariuszy scenariusze, integracje

Po zakończeniu Umowy 30 dni Eksport danych przez Administratora; po tym terminie trwałe usunięcie

ZAŁĄCZNIK NR 2

do UPPD --- Środki techniczne i organizacyjne (TOM)

1. Środki techniczne

Procesor stosuje następujące środki techniczne (art. 32 RODO):

1.1. Bezpieczeństwo infrastruktury

• Hosting w EOG (operator polskiej telefonii, Twilio EU Region, ElevenLabs EU Isolated Environment, hosting Talknbot);

• Szyfrowanie at-rest: AES-256 dla wszystkich baz danych i nagrań;

• Szyfrowanie in-transit: TLS 1.2+ (HTTPS) dla wszystkich komunikacji;

• Segregacja sieciowa: produkcja oddzielona od środowisk deweloperskich;

• Regularne aktualizacje bezpieczeństwa systemów operacyjnych i oprogramowania;

• Monitorowanie podatności (vulnerability scanning) --- co najmniej raz w miesiącu.

1.2. Kontrola dostępu

• Uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich kont administracyjnych;

• Haszowanie haseł: bcrypt lub argon2 (brak przechowywania haseł w plaintext);

• Kontrola dostępu oparta na rolach (RBAC);

• Zasada minimalnych uprawnień;

• Polityka silnych haseł: min. 12 znaków, znaki specjalne, rotacja co 90 dni dla kont admin.

1.3. Logi i monitoring

• Logi dostępu: zdarzenia uwierzytelniania, dostępu do danych, modyfikacji konfiguracji --- retencja 12 miesięcy;

• Monitoring nadużyć: alerty na nietypowe wzorce aktywności;

• Logi systemu telefonicznego: nagrania, transkrypcje, metadane;

• SIEM (Security Information and Event Management) --- planowane wdrożenie.

1.4. Kopie zapasowe

• Codzienne automatyczne kopie zapasowe baz danych;

• Szyfrowane kopie zapasowe;

• Retencja: 30 dni rotacji;

• Test odtwarzania: minimum raz w roku.

1.5. Bezpieczeństwo aplikacji

• Ochrona przed OWASP Top 10;

• Walidacja wszystkich danych wejściowych;

• Bezpieczne zarządzanie sesją, tokeny z TTL;

• Code review dla każdej zmiany w kodzie produkcyjnym.

1.6. Specyfika Voice AI

• Zero Retention Mode w ElevenLabs: treści rozmów nie są przechowywane przez sub-procesora poza obsługą sesji;

• Konfiguracja no-training: dane nie są wykorzystywane do treningu modeli AI;

• Komunikat głosowy AI Act (art. 50): jednoznaczne informowanie rozmówcy o stosowaniu AI;

• Znakowanie syntetycznej mowy (machine-readable) zgodnie z AI Act art. 50;

• Mechanizm human handoff: przekierowanie rozmówcy do człowieka na żądanie.

2. Środki organizacyjne

2.1. Upoważnienia i poufność

• Pisemne upoważnienia dla wszystkich osób z dostępem do Danych Powierzonych;

• Zobowiązania do poufności (NDA) --- obowiązują również po zakończeniu współpracy;

• Cofnięcie upoważnienia niezwłocznie po zakończeniu współpracy lub zmianie zakresu obowiązków;

• Rejestr upoważnień prowadzony przez Procesora.

2.2. Szkolenia

• Szkolenie wstępne RODO i AI Act przed uzyskaniem dostępu do Danych Powierzonych;

• Szkolenia okresowe --- minimum raz w roku;

• Dokumentacja szkoleń (uczestnik, data, zakres).

2.3. Polityki i procedury

• Polityka Bezpieczeństwa Danych Osobowych;

• Polityka Retencji Danych;

• Procedura reagowania na incydenty (72h dla UODO, 36h dla Administratora);

• Procedura realizacji praw osób;

• Procedura zarządzania sub-procesorami (due diligence).

2.4. Audyty wewnętrzne

• Roczne przeglądy compliance RODO i AI Act;

• Audyty bezpieczeństwa systemów IT;

• Audyty zewnętrzne (ISO 27001, SOC 2) --- planowane wdrożenie 2026-2027.

3. Klasyfikacja danych

Klasa Opis Środki ochrony

K1 --- Dane operacyjne, Szyfrowanie at-rest i Wewnętrzne konfiguracja systemów in-transit, RBAC, MFA, logi

K2 --- Wrażliwe Nagrania rozmów, K1 + dodatkowo: Zero (Dane transkrypcje, dane Retention u sub-procesora, Powierzone) rozmówców krótka retencja, zaszyfrowane backupy

K3 --- Dane szczególnej Domyślnie NIE przetwarzane Krytyczne kategorii (art. 9 --- wymaga aneksu do UPPD i RODO), dane dodatkowych środków biometryczne
identyfikujące

ZAŁĄCZNIK NR 3

do UPPD --- Sub-procesorzy i transfery

1. Sub-procesorzy w łańcuchu produkcyjnym Voice AI

Sub-procesor Funkcja Lokalizacja Mechanizm

[OPERATOR Polska telefonia, Polska / EOG EOG --- brak PL] terminacja potrzeby mechanizmu połączeń transferowego

Twilio Ireland VoIP / SIP, bramka EOG (region EU) EOG --- Twilio EU Limited pomiędzy siecią Region; SCC TDM a stosem AI fallback dla wyjątków

ElevenLabs Ltd. STT, LLM (Custom), EOG (isolated EOG --- main (EU Isolated) TTS w EU Isolated env) processing; SCC dla Environment + Zero wyjątków (support, Retention Mode moderation)

[HOSTING Infrastruktura EOG EOG --- brak TALKNBOT] aplikacyjna potrzeby mechanizmu Talknbot

Aktualna lista sub-procesorów wraz z ich politykami prywatności jest dostępna na stronie talknbot.pl/podwykonawcy i jest aktualizowana w ciągu 30 dni od zmiany.

2. Transfer poza EOG --- uczciwe ujawnienie wyjątków

Główny łańcuch produkcyjny działa w EOG. Incydentalne wyjątki, w których może wystąpić transfer:

• Wsparcie techniczne ElevenLabs (zespół globalny) --- przy ticketach pomocowych personel spoza EOG może uzyskać dostęp do danych konta Procesora;

• Moderacja treści przez ElevenLabs --- zespół bezpieczeństwa (USA) może mieć dostęp do treści w celu egzekwowania Prohibited Use Policy;

• Sub-procesorzy ElevenLabs spoza EOG --- niektórzy sub-procesorzy infrastrukturalni mogą operować poza EOG.

Mechanizm prawny: Standardowe Klauzule Umowne (SCC 2021) Module 2 + 3, pre-inkorporowane w DPA ElevenLabs.

3. Sub-procesorzy w pozostałych obszarach

Następujący sub-procesorzy są zaangażowani wyłącznie w obszarach pomocniczych (strona WWW Procesora, marketing, księgowość), NIE w łańcuchu produkcyjnym Voice AI:

• Biuro rachunkowe (księgowość Procesora) --- Polska, EOG;

• Kancelaria prawna (obsługa prawna Procesora) --- Polska, EOG;

• System CRM (relacje Procesora z klientami) --- [DOSTAWCA]

ZAŁĄCZNIK NR 4

do UPPD --- Formularz audytowy compliance

Niniejszy formularz może być wypełniony przez Procesora i przedłożony Administratorowi w odpowiedzi na żądanie audytu, zastępując konieczność fizycznego audytu w siedzibie Procesora (§ 11 ust. 2 lit. c UPPD).

Sekcja 1 --- Status compliance RODO

Pytanie audytowe Odpowiedź / Status

Czy Procesor posiada aktualny RCPD (Rejestr TAK / NIE czynności przetwarzania)?

Czy Procesor wyznaczył IOD (Inspektora Ochrony TAK / NIE / Nie Danych)? dotyczy

Czy Procesor przeprowadził DPIA (ocenę skutków) TAK / NIE dla usługi Voice AI?

Czy Procesor posiada Politykę Bezpieczeństwa TAK / NIE Danych?

Czy Procesor posiada Procedurę Reagowania na TAK / NIE Incydenty?

Czy w ciągu ostatnich 12 miesięcy wystąpiły TAK / NIE --- jeżeli Naruszenia ochrony danych? TAK, opisać

Sekcja 2 --- Środki techniczne i bezpieczeństwa

Pytanie audytowe Odpowiedź

Szyfrowanie at-rest baz danych TAK --- AES-256

Szyfrowanie in-transit (TLS) TAK --- TLS 1.2+

MFA dla kont administracyjnych TAK --- wymagane

RBAC (kontrola dostępu oparta na rolach) TAK

Logi systemowe i monitoring TAK --- retencja 12 mc

Backup szyfrowany z rotacją 30 dni TAK

Test odtwarzania backup'u (min. raz w roku) TAK

Vulnerability scanning systemów TAK --- co miesiąc

Sekcja 3 --- Konfiguracja Voice AI

Pytanie audytowe Status

Czy łańcuch produkcyjny Voice AI działa w EOG? TAK

ElevenLabs EU Isolated Environment TAK

Zero Retention Mode w ElevenLabs TAK

No-training flag dla sub-procesorów AI TAK

Twilio EU Region TAK

Komunikat głosowy AI Act art. 50 TAK

Znakowanie syntetycznej mowy (machine-readable) TAK

Mechanizm human handoff (przekierowanie do TAK człowieka)

Sekcja 4 --- Dokumenty udostępniane Administratorowi

Procesor udostępnia Administratorowi na żądanie:

• Polityka Prywatności Talknbot

• Polityka Bezpieczeństwa Danych Osobowych

• Polityka Retencji Danych

• Procedura Reagowania na Incydenty

• Procedura Realizacji Praw Osób

• DPIA (Data Protection Impact Assessment)

• TIA (Transfer Impact Assessment)

• LIA (Legitimate Interest Assessment)

• RCPD (Rejestr Czynności Przetwarzania) --- wyciąg dla danej usługi

• Lista sub-procesorów wraz z ich politykami

• Raport z ostatniego audytu wewnętrznego (jeśli wykonany)

Wypełnił: [IMIĘ I NAZWISKO PROCESORA] Data: [DD.MM.RRRR]