TALKNBOT --- DOKUMENTACJA RODO + AI ACT
Materiał informacyjny dla działu zakupów / compliance
Talknbot (Talknbot sp. z o.o., ul. Augustyna Szamarzewskiego 21 lok. 2, 60-514 Poznań, KRS 0001252626, NIP 7812113896, REGON 545188786) to platforma Enterprise Voice AI dostarczająca agentów głosowych, voiceboty inbound/outbound, dialer AI z CRM oraz mikrokomputer GSM. Niniejszy dokument odpowiada na kluczowe pytania działu zakupów i compliance dotyczące zgodności Talknbot z RODO, AI Act i innymi przepisami o ochronie danych osobowych.
| USP | Opis |
|---|---|
| EU-first stack produkcyjny | Łańcuch przetwarzania danych głosowych w pełni w EOG: polski operator telefonii → Twilio EU Region → ElevenLabs EU Isolated Environment + Zero Retention Mode. Treści rozmów NIE są przechowywane na serwerach sub-procesorów ani transferowane do USA w głównym łańcuchu. |
| AI Act compliance from day one | Talknbot spełnia art. 50 AI Act (transparentność AI) zanim wejdzie w życie 2 sierpnia 2026 r.: komunikat głosowy o stosowaniu AI, znakowanie syntetycznej mowy (machine-readable), mechanizm human handoff. Rozgraniczenie ról provider/deployer w UPPD. |
| Brak voice biometrics w standardzie | Standardowa konfiguracja Voice AI NIE wykorzystuje identyfikacji biometrycznej. Głos przetwarzany jest wyłącznie w celu rozumienia mowy (STT) --- to dane zwykłe (art. 6 RODO), nie szczególnej kategorii (art. 9). Mniejsze ryzyko prawne dla Klienta. |
| Polityka Klonowania Głosu | Osobny, publiczny dokument na talknbot.pl/voice-cloning-policy. 7 kryteriów zgody (pisemna, świadoma, dobrowolna, konkretna, cofnięta w 7 dni, czasowa, z wynagrodzeniem). Absolutny zakaz klonowania osób publicznych, polityków, zmarłych, nieletnich, funkcjonariuszy publicznych. |
| UPPD jako gotowy załącznik | UPPD jest załącznikiem nr 4 do Umowy Głównej z każdym Klientem B2B --- zawiera 4 załączniki (kategorie danych, środki TOM, sub-procesorzy, formularz audytowy). Klient może zaakceptować bez negocjacji prawniczych --- 1-2 dni zamiast 4-6 tygodni. |
| Zgłoszenie incydentu w 36h | Talknbot zgłasza Klientowi naruszenie ochrony danych w terminie 36 godzin od stwierdzenia --- daje Klientowi 36h rezerwy na własne zgłoszenie do UODO w trybie 72h (art. 33 RODO). Lepsze niż standard branżowy 72h. |
2. Status dokumentacji RODO + AI Act
Talknbot dostarcza pełny pakiet dokumentacji compliance. Wszystkie dokumenty są dostępne dla Klienta przy podpisaniu Umowy lub na żądanie:
| Dokument | Typ | Dostępność |
|---|---|---|
| Polityka Prywatności (RODO + AI Act) | Publiczny | talknbot.pl/polityka-prywatnosci |
| Polityka Plików Cookies | Publiczny | talknbot.pl/polityka-cookies |
| Regulamin korzystania ze strony | Publiczny | talknbot.pl/regulamin |
| Zasady Dopuszczalnego Użycia (AUP) | Publiczny | talknbot.pl/zasady-uzycia |
| Polityka Klonowania Głosu | Publiczny | talknbot.pl/voice-cloning-policy |
| Lista sub-procesorów | Publiczny | talknbot.pl/podwykonawcy |
| UPPD (Umowa Powierzenia Przetwarzania) | Publiczny (wzór) | talknbot.pl/uppd --- wzór dostępny publicznie; wersja wiążąca jako Załącznik nr 4 do Umowy Głównej + 4 załączniki własne UPPD |
| DPIA (Data Protection Impact Assessment) | Na żądanie | Udostępniany w due diligence --- kontakt@talknbot.pl |
| TIA (Transfer Impact Assessment) | Na żądanie | Udostępniany w due diligence --- kontakt@talknbot.pl |
| LIA (Legitimate Interest Assessment) | Na żądanie | Udostępniany w due diligence --- kontakt@talknbot.pl |
| Polityka Bezpieczeństwa Danych Osobowych | Na żądanie | Środki TOM, klasyfikacja danych |
| Polityka Retencji Danych | Na żądanie | Konkretne okresy per kategoria danych |
| Procedura reagowania na incydenty (72h/36h) | Na żądanie | 36h zgłoszenie Klientowi + 72h zgłoszenie UODO |
| Procedura realizacji praw osób | Na żądanie | Sprzeciw (art. 21), dostęp, sprostowanie, usunięcie |
3. Role prawne i podstawy przetwarzania
Talknbot precyzyjnie rozróżnia swoje role prawne w zależności od kontekstu:
| Kontekst | Rola Talknbot | Konsekwencje dla Klienta |
|---|---|---|
| Strona talknbot.pl, formularze, demo voicebota | Administrator (art. 4 pkt 7 RODO) | Klient nie ponosi odpowiedzialności za przetwarzanie danych przez Talknbot na własnej stronie. |
| Wdrożenia produkcyjne Voice AI dla Klienta B2B | Procesor (art. 4 pkt 8 RODO) | Klient jest administratorem danych rozmówców i odpowiada za podstawę prawną przetwarzania oraz obowiązek informacyjny. |
| System AI (provider/deployer wg AI Act) | PROVIDER (art. 3 pkt 3 AI Act) | Klient jest DEPLOYEREM --- odpowiada za sposób wykorzystania systemu, nadzór ludzki, informowanie pracowników (art. 26 AI Act). |
4. EU-first stack --- gdzie są nasze dane
Najczęstsze pytanie compliance officera klienta enterprise: "gdzie są nasze dane?" Talknbot odpowiada konkretnie:
| Komponent | Dostawca | Lokalizacja |
|---|---|---|
| Telefonia (terminacja) | Polski operator telekomunikacyjny | Polska / EOG |
| VoIP / SIP | Twilio Ireland Limited | EOG (EU Region --- Irlandia/Niemcy) |
| Speech-to-Text (STT) | ElevenLabs Ltd. (EU Isolated Environment) | EOG (isolated env) |
| LLM (rozumienie + generowanie) | Custom LLM hostowany przez ElevenLabs (OpenAI GPT) | EOG (Custom LLM ElevenLabs) |
| Text-to-Speech (TTS) | ElevenLabs Ltd. (EU Isolated Environment) | EOG |
| Zero Retention Mode | Konfiguracja ElevenLabs: treści rozmów nie są przechowywane | WŁĄCZONE |
| Hosting aplikacji Talknbot | Polski dostawca (EOG) | EOG (Polska/UE) |
4.1. Uczciwe ujawnienie wyjątków
Talknbot uczciwie ujawnia incydentalne wyjątki, w których może wystąpić transfer poza EOG:
-
Wsparcie techniczne ElevenLabs (zespół globalny) --- przy ticketach pomocowych personel spoza EOG może uzyskać dostęp;
-
Moderacja treści przez ElevenLabs (zespół bezpieczeństwa w USA) --- w celu egzekwowania ich Prohibited Use Policy;
-
Sub-procesorzy ElevenLabs spoza EOG (drobne komponenty infrastrukturalne).
Mechanizm prawny dla wyjątków: SCC 2021 Module 2+3, pre-inkorporowane w DPA ElevenLabs. To wyjątki, nie standardowe operacje.
4.2. Warstwa strony WWW i marketingu (osobna)
Niezależnie od EU-first w produkcji, strona internetowa talknbot.pl wykorzystuje narzędzia z transferem do USA (Google Analytics, Meta Pixel, LinkedIn Insight Tag, ewentualnie Mailchimp). Wszystkie z aktywną certyfikacją DPF + SCC fallback. NIE dotyczy danych rozmówców voicebota w produkcji.
5. AI Act --- wyprzedzenie 2 sierpnia 2026
AI Act (Rozporządzenie 2024/1689), art. 50 (transparentność AI), wchodzi w życie 2 sierpnia 2026 r. Kary: do 15 mln EUR lub 3% globalnego obrotu. Talknbot wdraża wymogi już teraz:
✓ Jednoznaczny komunikat głosowy o AI --- każda rozmowa rozpoczyna się informacją, że rozmówca komunikuje się z systemem AI;
✓ Znakowanie machine-readable syntetycznej mowy --- pozwala na automatyczne wykrycie, że treść jest generowana przez AI;
✓ Human handoff --- rozmówca może w każdym momencie poprosić o przekierowanie do człowieka;
✓ Brak zakazanych praktyk AI (art. 5 AI Act) --- Talknbot nie wdraża social scoringu, manipulacji emocjami, biometrycznej kategoryzacji cech chronionych;
✓ Rozgraniczenie ról provider/deployer w UPPD --- Talknbot jako PROVIDER, Klient jako DEPLOYER, z konkretnymi obowiązkami obu stron.
6. Bezpieczeństwo i odpowiedzialność
6.1. Środki techniczne
-
Szyfrowanie at-rest: AES-256 dla baz danych i nagrań;
-
Szyfrowanie in-transit: TLS 1.2+ dla wszystkich komunikacji;
-
MFA dla kont administracyjnych, RBAC, haszowanie haseł (bcrypt/argon2);
-
Kopie zapasowe szyfrowane z rotacją 30 dni;
-
Logi systemowe z retencją 12 miesięcy + monitoring nadużyć;
-
Zero Retention Mode u sub-procesora AI --- treści rozmów nie są persystowane.
6.2. Procedura incydentów
Talknbot zgłasza Klientowi naruszenie ochrony danych w terminie 36 godzin od stwierdzenia, z pełnymi informacjami wymaganymi przez art. 33 ust. 3 RODO. Daje Klientowi rezerwę 36 godzin na własne zgłoszenie do UODO w trybie 72h.
6.3. Audyt klienta
Klient ma prawo audytu zgodności z UPPD (max raz w roku). UPPD zawiera gotowy formularz audytowy (Załącznik nr 4) --- Klient może zaakceptować wypełniony formularz zamiast organizować fizyczny audyt. Oszczędność miesiąca pracy obu stron.
7. Najczęstsze pytania compliance
Czy nasze dane głosowe trafiają do USA?
Standardowo NIE --- łańcuch produkcyjny w pełni w EOG (Twilio EU + ElevenLabs EU Isolated + Zero Retention). Wyjątki incydentalne (support, moderation ElevenLabs) ujawniamy uczciwie.
Czy używacie OpenAI? Co to oznacza prawnie?
OpenAI GPT jest wykorzystywany pośrednio, przez Custom LLM hostowany przez ElevenLabs w ich EU Isolated Environment. Talknbot NIE ma bezpośredniej relacji z OpenAI --- OpenAI jest sub-sub-procesorem ElevenLabs. Pełen łańcuch przetwarzania w EOG.
Czy przetwarzacie dane biometryczne (głos)?
Standardowo NIE. Głos jest przetwarzany wyłącznie w celu rozumienia mowy (STT). To dane zwykłe (art. 6 RODO), nie szczególnej kategorii (art. 9). Jeżeli Klient potrzebuje voice biometrics (identyfikacji osoby), wymaga to osobnego aneksu do UPPD z adekwatną podstawą z art. 9 RODO.
Czy spełniacie AI Act art. 50?
Tak --- wdrażamy wymogi już teraz, przed wejściem w życie 2 sierpnia 2026. Komunikat głosowy AI, znakowanie machine-readable, human handoff. UPPD rozgraniczа role provider (Talknbot) / deployer (Klient).
Co z klonowaniem głosu? Czy ryzykujemy deepfake?
Standardowo nie klonujemy głosu konkretnych osób. Klonowanie wymaga pisemnej zgody osoby modelującej + 5-etapowej weryfikacji + watermarkingu audio. Absolutny zakaz klonowania osób publicznych, polityków, zmarłych, nieletnich. Pełna polityka: talknbot.pl/voice-cloning-policy.
Co jeśli rozmówca wniesie sprzeciw lub żądanie usunięcia?
Klient (administrator) realizuje żądanie zgodnie z RODO; Talknbot pomaga technicznie w terminach: dostęp w 7 dni roboczych, usunięcie w 14 dni roboczych. Zero Retention Mode oznacza, że treści rozmów u sub-procesora nie są persystowane --- realizacja art. 17 RODO jest w pełni wykonalna w EOG.
Co z danymi po zakończeniu umowy?
30 dni na eksport przez Klienta + trwałe usunięcie. UPPD § 12 określa szczegółową procedurę. Pisemne potwierdzenie zakończenia w 7 dni od zakończenia.
Czy Talknbot podlega kontrolom UODO?
Tak. Talknbot jako polski podmiot przetwarzający dane osobowe podlega Prezesowi UODO. Brak postępowań kontrolnych ani sankcji wobec Talknbot na dzień sporządzenia niniejszego dokumentu.
Czy macie ISO 27001 / SOC 2?
Talknbot nie posiada obecnie certyfikatów ISO 27001 / SOC 2 (planowane wdrożenie 2026-2027). Sub-procesor ElevenLabs Ltd. posiada certyfikat SOC 2 Type II --- co stanowi formalne zabezpieczenie najistotniejszego elementu łańcucha (przetwarzanie AI w EU Isolated Environment).
8. Branżowe scenariusze użycia
Talknbot rozumie specyfikę różnych branż i dostosowuje konfigurację Voice AI do ich wymogów:
| Branża | Typowe zastosowania | Specjalne zabezpieczenia |
|---|---|---|
| Medycyna i opieka zdrowotna | Umawianie wizyt, przypomnienia, badania ankietowe, koordynacja transportu | Brak porad medycznych. Komunikat: 'W sprawach pilnych --- 112'. Wsparcie danych z art. 9 RODO przez aneks. |
| Hotele i hospitality | Rezerwacje, check-in, FAQ, obsługa skarg, upselling | Wielojęzyczność, integracja z PMS, brak windykacji bez zgody klienta. |
| Administracja publiczna | Przypomnienia o terminach, informacje proceduralne, koordynacja spraw | Tylko rutynowe komunikaty. Zakaz klonowania głosu osób pełniących funkcje publiczne. Polski operator telefonii. |
| HR i rekrutacja | Wstępna kwalifikacja, umawianie rozmów, ankiety satysfakcji | Brak decyzji wyłącznie automatycznych o zatrudnieniu. Brak rozpoznawania emocji w kontekście pracy (AI Act art. 5). |
| Finanse i windykacja | Przypomnienia o płatnościach, weryfikacja kontaktu, soft windykacja | Zgodność z przepisami windykacyjnymi. Zakaz nadmiernej presji emocjonalnej. Brak decyzji kredytowych wyłącznie automatycznych. |
9. Talknbot w kontekście rynku Voice AI
Na polskim rynku Voice AI standardem niestety nie jest pełna dokumentacja RODO + AI Act. Talknbot wyróżnia się publicznie dostępną i kompletną dokumentacją:
| Element compliance | Talknbot | Konkurent A | Konkurent B |
|---|---|---|---|
| Polityka Prywatności obejmująca Voice AI (nie tylko WWW) | ✓ | częściowo | --- |
| UPPD jako gotowy załącznik do umowy | ✓ | --- | --- |
| EU-first stack (treści rozmów w EOG) | ✓ | --- | --- |
| AI Act compliance wdrożone (art. 50) | ✓ | --- | --- |
| Polityka Klonowania Głosu (publiczna) | ✓ | --- | --- |
| Zasady Dopuszczalnego Użycia z mechanizmem egzekwowania | ✓ | --- | --- |
| Zgłoszenie incydentu Klientowi w 36h (rezerwa 36h na 72h UODO) | ✓ | 72h | 72h |
| DPIA / TIA / LIA / RCPD udostępniane na żądanie | ✓ | --- | --- |
| Brak voice biometrics w standardowej konfiguracji | ✓ | ? | ? |
Konkurenci A i B reprezentują obecnych liderów polskiego rynku Voice AI. Analiza została przeprowadzona na podstawie publicznie dostępnych regulaminów i polityk prywatności obu podmiotów (stan na 2026 r.).
Kontakt w sprawach compliance
E-mail: kontakt@talknbot.pl
Telefon: +48 71 711 73 14
W tytule prosimy o wskazanie: "Talknbot --- due diligence RODO/AI Act"
Talknbot sp. z o.o., ul. Augustyna Szamarzewskiego 21 lok. 2, 60-514 Poznań KRS 0001252626 · NIP 7812113896 · REGON 545188786
Wersja dokumentu: 29.06.2026 • Aktualizowany kwartalnie
