RODO i powierzenie przetwarzania danych

Ważne: Korzystając z haloagent, Twoja firma (Administrator) powierza nam (Operatorowi) przetwarzanie danych Klientów Końcowych. Niniejszy dokument formalizuje warunki tego powierzenia zgodnie z art. 28 RODO.

Spis treści

Strony umowy
Przedmiot powierzenia
Rodzaj danych i kategorie osób
Czas trwania
Obowiązki Operatora (Procesora)
Obowiązki Użytkownika (Administratora)
Podprocesorzy
Środki bezpieczeństwa
Naruszenie ochrony danych
Audyt i kontrola
Zakończenie umowy
Postanowienia końcowe

§1. Strony umowy

Operator (Procesor): haloagent sp. z o.o. — podmiot przetwarzający dane na zlecenie Użytkownika.

Użytkownik (Administrator): Przedsiębiorca korzystający z Serwisu haloagent — administrator danych osobowych Klientów Końcowych.

§2. Przedmiot powierzenia

1. Administrator powierza Procesorowi przetwarzanie danych osobowych w celu świadczenia usług określonych w Regulaminie haloagent.

2. Procesor zobowiązuje się przetwarzać dane wyłącznie na udokumentowane polecenie Administratora.

§3. Rodzaj danych i kategorie osób

Kategorie osób:

Klienci Końcowi (osoby dzwoniące pod numer telefonu Administratora)
Pracownicy Administratora korzystający z panelu CRM

Rodzaje danych:

Kategoria	Dane
Identyfikacyjne	numer telefonu, imię (jeśli podane)
Komunikacyjne	treść rozmowy, transkrypt, nagranie audio
Transakcyjne	data i godzina rezerwacji, rodzaj usługi, rozmiar felgi
Techniczne	czas połączenia, identyfikator sesji

Procesor nie przetwarza: danych szczególnych kategorii (zdrowie, religia, etc.), danych dotyczących wyroków skazujących, danych nieletnich.

§4. Czas trwania

Umowa powierzenia obowiązuje przez cały okres korzystania z Serwisu haloagent oraz do momentu zwrotu lub usunięcia wszystkich danych zgodnie z §11.

§5. Obowiązki Operatora (Procesora)

Procesor zobowiązuje się do:

Przetwarzania danych wyłącznie zgodnie z udokumentowanymi poleceniami Administratora
Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności
Wdrożenia odpowiednich środków technicznych i organizacyjnych zabezpieczających dane (art. 32 RODO)
Pomocy Administratorowi w realizacji praw osób, których dane dotyczą
Pomocy Administratorowi w wykonaniu obowiązków określonych w art. 32-36 RODO
Po zakończeniu świadczenia usług — usunięcia lub zwrotu danych zgodnie z wyborem Administratora
Udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w niniejszej umowie

§6. Obowiązki Użytkownika (Administratora)

Administrator zobowiązuje się do:

Posiadania ważnej podstawy prawnej do przetwarzania danych Klientów Końcowych
Spełnienia obowiązku informacyjnego wobec Klientów Końcowych (art. 13 RODO)
Aktualnego i prawdziwego prowadzenia rejestru czynności przetwarzania
Niezwłocznego informowania Procesora o żądaniach osób, których dane dotyczą
Niezwłocznego informowania Procesora o podejrzeniu naruszenia bezpieczeństwa

§7. Podprocesorzy

Administrator wyraża ogólną zgodę na korzystanie przez Procesora z następujących podprocesorów:

Podprocesor	Cel	Lokalizacja
Twilio Inc.	Telefonia VoIP, SMS	UE (Irlandia)
ElevenLabs Ltd.	Synteza i rozpoznawanie mowy	UE
OpenAI L.L.C.	Przetwarzanie języka naturalnego	USA — SCC (Standard Contractual Clauses)
Supabase Inc.	Baza danych, autoryzacja, hosting	UE (Frankfurt, Niemcy)
Stripe Payments Europe Ltd.	Płatności	UE (Irlandia)

Procesor zobowiązuje się do nakładania na podprocesorów obowiązków co najmniej równoważnych tym, do których jest sam zobowiązany niniejszą umową.

O zmianach na liście podprocesorów Procesor poinformuje Administratora z 30-dniowym wyprzedzeniem.

§8. Środki bezpieczeństwa

Procesor wdraża następujące środki techniczne i organizacyjne:

Środki techniczne:

Szyfrowanie danych w trakcie przesyłania (TLS 1.3)
Szyfrowanie danych spoczywających (AES-256)
Hashowanie haseł algorytmem bcrypt
Regularne kopie zapasowe z zaszyfrowanym przechowywaniem
Monitoring i logowanie dostępu
Firewall i ochrona przed atakami DDoS
Aktualizacje bezpieczeństwa systemu i bibliotek

Środki organizacyjne:

Polityka kontroli dostępu — zasada minimalnych uprawnień
Dwuskładnikowe uwierzytelnianie dla pracowników
Regularne szkolenia z ochrony danych
Plany ciągłości działania i odzyskiwania po awarii
Audyty bezpieczeństwa

§9. Naruszenie ochrony danych

1. W przypadku naruszenia ochrony danych Procesor zawiadomi Administratora bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia.

2. Powiadomienie zawiera:

Charakter naruszenia
Kategorie i przybliżoną liczbę osób, których dane dotyczą
Możliwe konsekwencje naruszenia
Środki podjęte w celu zapobieżenia skutkom

3. Procesor współpracuje z Administratorem w zakresie zgłoszenia naruszenia organowi nadzorczemu (PUODO).

§10. Audyt i kontrola

1. Administrator ma prawo do audytu Procesora w zakresie zgodności z niniejszą umową — z 30-dniowym wyprzedzeniem.

2. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków.

3. Audyty mogą być przeprowadzane raz w roku, chyba że istnieje uzasadnione podejrzenie naruszenia.

§11. Zakończenie umowy

1. Po zakończeniu świadczenia usług Administrator wybiera:

Usunięcie wszystkich danych w terminie 30 dni
Zwrot wszystkich danych w formie eksportu (JSON, CSV)

2. Procesor potwierdza pisemnie usunięcie danych po zakończeniu okresu retencji.

3. Procesor zachowuje wyłącznie dane wymagane przez prawo (np. faktury — 5 lat).

§12. Postanowienia końcowe

1. Niniejsza umowa stanowi integralną część Regulaminu haloagent.

2. W sprawach nieuregulowanych zastosowanie ma RODO oraz przepisy krajowe.

3. Akceptacja Regulaminu jest równoznaczna z zawarciem niniejszej umowy powierzenia.

4. Spory rozstrzyga sąd właściwy dla siedziby Operatora.

Pytania dotyczące RODO? Napisz na kontakt@haloagent.pl z dopiskiem „RODO" — odpowiadamy w ciągu 7 dni roboczych.

RODO — Umowa powierzeniaprzetwarzania danych osobowych