ZAŁĄCZNIK NR 1 DO REGULAMINU ŚWIADCZENIA USŁUG

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (DPA)

PREAMBUŁA

Niniejsza Umowa Powierzenia (dalej: „Umowa” lub „DPA”) stanowi integralną część Regulaminu świadczenia usług drogą elektroniczną w ramach serwisu „Dokum.ai”.

Umowa reguluje zasady przetwarzania danych osobowych zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: „RODO”).

Stronami niniejszej Umowy są:

  1. Klient – zwany w dalszej części Umowy „Administratorem”.
  2. Dostawca (Dokumind sp. z o.o.) – zwany w dalszej części Umowy „Procesorem”.

§ 1. PRZEDMIOT UMOWY

  1. Administrator powierza Procesorowi przetwarzanie danych osobowych w trybie art. 28 RODO, a Procesor zobowiązuje się do ich przetwarzania zgodnie z prawem i niniejszą Umową.
  2. Powierzenie przetwarzania obejmuje dane osobowe zawarte w plikach, dokumentach i treściach wprowadzanych przez Administratora do systemu Dokum.ai (dalej: „Dane Powierzone”).

§ 2. CEL, ZAKRES I CZAS TRWANIA PRZETWARZANIA

  1. Cel przetwarzania: Dane Powierzone będą przetwarzane wyłącznie w celu realizacji Usługi określonej w Regulaminie, tj. świadczenia usługi SaaS polegającej na automatycznym przetwarzaniu, OCR, analizie dokumentów oraz ich bezpiecznym przechowywaniu.
  2. Czas trwania: Przetwarzanie trwa przez okres obowiązywania Umowy o świadczenie usług, powiększony o okres migracyjny (Okres Przejściowy) określony w Regulaminie.
  3. Charakter danych: Dane osobowe zwykłe oraz (w zależności od zawartości dokumentów wgrywanych przez Administratora) inne kategorie danych.
  4. Kategorie osób, których dane dotyczą: Kontrahenci, pracownicy, współpracownicy Administratora oraz inne osoby fizyczne, których dane znajdują się w dokumentach przetwarzanych w ramach Usługi.

§ 3. OBOWIĄZKI PROCESORA

Procesor zobowiązuje się do:

  1. Przetwarzania Danych Powierzonych wyłącznie na udokumentowane polecenie Administratora. Za udokumentowane polecenie uznaje się akceptację Regulaminu oraz działania Administratora wewnątrz aplikacji (np. wgranie pliku, zlecenie eksportu).
  2. Dopuszczenia do przetwarzania danych wyłącznie osób, które zostały upoważnione do przetwarzania danych i zobowiązały się do zachowania tajemnicy.
  3. Podejmowania wszelkich środków wymaganych na mocy art. 32 RODO (bezpieczeństwo przetwarzania), w tym szyfrowania danych w transmisji i spoczynku.
  4. Wspierania Administratora w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą (RODO).
  5. Wspierania Administratora w zgłaszaniu naruszeń ochrony danych organowi nadzorczemu.
  6. Po stwierdzeniu naruszenia ochrony Danych Powierzonych – zgłoszenia tego faktu Administratorowi bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od wykrycia naruszenia.
  7. **** Procesor zobowiązuje się, że Dane Powierzone (w tym dane osobowe zawarte w dokumentach) nie będą wykorzystywane do trenowania, uczenia maszynowego ani ulepszania globalnych modeli sztucznej inteligencji Procesora ani jego podwykonawców, chyba że Administrator wyrazi na to odrębną zgodę (zgodnie z zasadami anonimizacji opisanymi w Regulaminie).

§ 4. PODPOWIERZENIE (SUB-PROCESORZY)

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług dalszych podmiotów przetwarzających (podwykonawców), w szczególności dostawców infrastruktury chmurowej oraz narzędzi OCR/AI.
  2. Aktualna lista kluczowych podwykonawców znajduje się w Polityce Prywatności Procesora.
  3. Procesor zapewnia, że nałoży na podwykonawców w drodze umowy tożsame obowiązki ochrony danych, jakie ciążą na Procesorze.
  4. Procesor informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podwykonawców. Administrator ma prawo wnieść sprzeciw wobec zmian w terminie 14 dni.

§ 5. PRAWO DO KONTROLI (AUDYT)

  1. Zgodnie z art. 28 ust. 3 lit. h RODO, Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej Umowie.
  2. Z uwagi na chmurowy model świadczenia usługi (SaaS), realizacja prawa do audytu następuje w pierwszej kolejności poprzez udostępnienie dokumentacji bezpieczeństwa i certyfikatów.
  3. Bezpośrednia inspekcja jest możliwa w przypadku uzasadnionego podejrzenia naruszenia przepisów, po wcześniejszym uzgodnieniu terminu i podpisaniu umowy o poufności.

§ 6. TRANSFER DANYCH POZA EOG

  1. Procesor przechowuje dane na serwerach znajdujących się na terenie Europejskiego Obszaru Gospodarczego (EOG).
  2. W przypadku konieczności przekazania danych do państwa trzeciego (np. USA), przekazanie to nastąpi wyłącznie w oparciu o:
    a) Decyzję Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony (np. Data Privacy Framework); lub
    b) Standardowe Klauzule Umowne (SCC).

§ 7. USUNIĘCIE DANYCH

  1. Procesor niezwłocznie po zakończeniu świadczenia usług usuwa wszelkie dane osobowe.
  2. Strony ustalają, że usunięcie danych następuje po upływie 30-dniowego Okresu Przejściowego opisanego w Regulaminie (chyba że Administrator zażąda ich natychmiastowego usunięcia wcześniej). Po tym terminie dane są usuwane trwale i bezpowrotnie.

§ 8. POSTANOWIENIA KOŃCOWE

  1. W sprawach nieuregulowanych niniejszą Umową zastosowanie mają przepisy RODO oraz postanowienia Regulaminu.
  2. Odpowiedzialność odszkodowawcza Procesora z tytułu niniejszej Umowy ograniczona jest na zasadach określonych w Rozdziale V Regulaminu.
  3. Niniejsza Umowa obowiązuje od momentu akceptacji Regulaminu przez Klienta do czasu zakończenia przetwarzania danych.