1Administrator danych — kto jest odpowiedzialny za Twoje dane
Expathia Sp. z o.o., ul. Bolesława Krzywoustego 8, 81-035 Gdynia, KRS 0001181411, NIP 5882532485 (“Expathia”, “my”) jest operatorem platformy OdbierzAI.
1.1 Dane klientów platformy (Operatorów)
W odniesieniu do danych klientów biznesowych (firm subskrybujących OdbierzAI — “Operatorów”), Expathia jest administratorem danych w rozumieniu art. 4 pkt 7 RODO.
1.2 Dane rozmówców (osób dzwoniących do firm)
W odniesieniu do danych osobowych osób, które dzwonią do firm korzystających z OdbierzAI (“Rozmówców”), to Operator (firma-klient) jest administratorem danych, zaś Expathia działa wyłącznie jako podmiot przetwarzający (procesor) na podstawie Umowy o Przetwarzanie Danych (DPA) zawartej z Operatorem.
1.3 Współadministrowanie
W przypadkach, gdy Expathia i Operator wspólnie decydują o celach i środkach przetwarzania (np. agregowane analizy jakości usług), mogą być współadministratorami w rozumieniu art. 26 RODO. Zasady współadministrowania określa DPA dostępna na żądanie pod adresem dpo@odbierz.ai.
Inspektor Ochrony Danych (IOD)
Kontakt z IOD: dpo@odbierz.ai
Ogólne sprawy prywatności: privacy@odbierz.ai
2Kategorie przetwarzanych danych osobowych
| Kategoria danych | Przykłady | Dotyczy |
| Dane identyfikacyjne Operatora | imię i nazwisko, nazwa firmy, adres, NIP/REGON | Operator |
| Dane kontaktowe Operatora | adres e-mail, numer telefonu | Operator |
| Dane rozliczeniowe | dane karty płatniczej (tokenizowane przez Stripe), historia faktur, adresy rozliczeniowe | Operator |
| Numery telefonów Rozmówców | numer CLI/ANI osoby dzwoniącej | Rozmówca |
| Nagrania audio rozmów | pliki audio całości lub części rozmowy | Rozmówca |
| Transkrypcje rozmów | tekstowe zapisy treści rozmowy | Rozmówca |
| Logi SMS | treść i metadane wysłanych wiadomości SMS (np. potwierdzenia wizyt) | Rozmówca |
| Tokeny dostępu do kalendarza | tokeny OAuth Google Calendar wydane przez Operatora | Operator |
| Tokeny dostępu do danych (Google Sheets / CRM) | tokeny OAuth wydane przez Operatora w celu dostępu AI do danych biznesowych | Operator |
| Próbki głosu (klon głosu) | nagrania głosu wyłącznie w planie Enterprise, za wyraźną pisemną zgodą | Operator / osoba trzecia |
| Dane techniczne i analityczne | adresy IP, user-agent, logi dostępu, czas trwania sesji | Operator / Rozmówca |
| Pliki cookies i dane analityczne | identyfikatory sesji, dane Google Analytics, Cookiebot CMP | Operator (użytkownik dashboardu) |
3Podstawy prawne przetwarzania (art. 6 RODO)
| Cel przetwarzania | Podstawa prawna | Art. RODO |
| Zawarcie i wykonanie umowy z Operatorem | Niezbędność do wykonania umowy | Art. 6 ust. 1 lit. b |
| Obsługa płatności i fakturowanie | Niezbędność do wykonania umowy; obowiązek prawny (prawo rachunkowe) | Art. 6 ust. 1 lit. b, c |
| Przechowywanie dokumentów finansowych (5 lat) | Obowiązek prawny (Ustawa o rachunkowości, Ordynacja podatkowa) | Art. 6 ust. 1 lit. c |
| Przetwarzanie rozmów w imieniu Operatora | Uzasadniony interes Operatora (jako administrator); umowa z Operatorem po stronie Expathia | Art. 6 ust. 1 lit. b/f |
| Nagrywanie rozmów (za zgodą) | Zgoda osoby (Rozmówcy) lub uzasadniony interes Operatora z zapewnieniem informacji | Art. 6 ust. 1 lit. a lub f |
| Wysyłanie SMS (potwierdzenia) | Wykonanie umowy lub uzasadniony interes Operatora | Art. 6 ust. 1 lit. b lub f |
| Bezpieczeństwo systemu i zapobieganie nadużyciom | Uzasadniony interes Expathia | Art. 6 ust. 1 lit. f |
| Marketing bezpośredni do Operatorów | Zgoda lub uzasadniony interes | Art. 6 ust. 1 lit. a lub f |
| Analityka i poprawa jakości usług (zagregowana, zanonimizowana) | Uzasadniony interes Expathia | Art. 6 ust. 1 lit. f |
4Dane szczególnej kategorii — zdrowie i dane biometryczne (art. 9 RODO)
4.1 Dane zdrowotne Rozmówców
Operator świadczący usługi medyczne jest zobowiązany do wdrożenia bramki DTMF zgody przed nagraniem — system wymaga od Rozmówcy wyrażenia wyraźnej zgody (naciśnięcie klawisza) przed rozpoczęciem nagrywania rozmowy. Podstawą prawną jest art. 9 ust. 2 lit. a RODO (wyraźna zgoda).
Expathia jako podmiot przetwarzający zawiera z Operatorem stosowną Umowę o Przetwarzanie Danych (DPA) regulującą przetwarzanie danych zdrowotnych. Wzór DPA dostępny pod dpo@odbierz.ai.
4.2 Klonowanie głosu — dane biometryczne
Funkcja klonowania głosu dostępna wyłącznie w planie Enterprise. Próbki głosu są danymi biometrycznymi w rozumieniu art. 4 pkt 14 i art. 9 RODO. Przetwarzanie wymaga wyraźnej pisemnej zgody osoby, której głos jest klonowany (art. 9 ust. 2 lit. a RODO). Zgoda musi wskazywać zakres, cel i podmiot klonujący. Próbki głosu są usuwane na żądanie lub po rezygnacji z planu Enterprise.
5Ujawnienie systemu AI — EU AI Act art. 52
Przykładowy komunikat: “Dzień dobry, jestem wirtualnym asystentem [nazwa firmy]. Rozmowa jest obsługiwana przez AI. W czym mogę pomóc?”
W sektorach zdrowia i prawa system wyświetla dodatkowy komunikat dotyczący nagrywania i umożliwia Rozmówcy odmowę nagrywania bez utraty dostępu do usługi.
6Zgoda na nagrywanie rozmów
6.1 Sektor medyczny i prawny — bramka DTMF
Operatorzy z sektora ochrony zdrowia (kliniki, gabinety, przychodnie) oraz kancelarie prawne są zobowiązani do włączenia bramki zgody DTMF. Przed rozpoczęciem nagrywania system informuje Rozmówcę i czeka na potwierdzenie. Brak zgody nie przerywa rozmowy — AI nadal obsługuje połączenie, lecz nagranie nie jest tworzone.
6.2 Pozostałe sektory — informacja w powitaniu
Dla pozostałych branż informacja o możliwości nagrywania jest zawarta w powitaniu systemowym. Rozmówca może poprosić o wyłączenie nagrywania w trakcie rozmowy.
6.3 SMS
Wysyłanie SMS z potwierdzeniem wizyty odbywa się wyłącznie na numer telefonu, z którego inicjowane jest połączenie, i wyłącznie w celu wykonania usługi (potwierdzenie rezerwacji). Nie jest wymagana odrębna zgoda, gdyż wysyłka odbywa się w ramach uzasadnionego interesu lub wykonania zlecenia Rozmówcy.
7Czas przechowywania danych
| Kategoria danych | Okres przechowywania | Podstawa |
| Nagrania audio rozmów | 30 dni (domyślnie); możliwa zmiana przez Operatora w zakresie 1–365 dni | Uzasadniony interes Operatora |
| Transkrypcje rozmów | 90 dni (domyślnie); możliwa zmiana przez Operatora w zakresie 1–730 dni | Uzasadniony interes Operatora |
| Logi SMS | 90 dni | Uzasadniony interes |
| Dane konta Operatora | Czas trwania umowy + 30 dni po rozwiązaniu (okno eksportu) | Umowa |
| Dokumenty finansowe i faktury | 5 lat od końca roku podatkowego | Art. 74 Ustawy o rachunkowości; art. 70 Ordynacji podatkowej |
| Logi bezpieczeństwa i dostępu | 12 miesięcy | Uzasadniony interes |
| Próbki głosu (klon głosu) | Do wycofania zgody lub rezygnacji z planu Enterprise, nie dłużej niż 24 miesiące | Zgoda |
| Dane analityczne (zanonimizowane) | Bezterminowo — po anonimizacji nie stanowią danych osobowych | — |
Operator może skonfigurować krótsze okresy retencji w panelu zarządzania (zakładka Ustawienia > Prywatność).
8Przekazywanie danych poza EOG — podmioty przetwarzające i SCCs
Dane są przetwarzane przede wszystkim w Unii Europejskiej (GCP europe-west3, Frankfurt). Dla świadczenia usługi konieczne jest korzystanie z następujących podmiotów przetwarzających z siedzibą poza EOG, z którymi stosowane są Standardowe Klauzule Umowne (SCCs) zatwierdzone przez Komisję Europejską (decyzja 2021/914/EU):
| Podmiot przetwarzający | Rola | Lokalizacja danych / zabezpieczenie |
| Google Cloud Platform (GCP) | Hosting infrastruktury, bazy danych, Cloud Run | EU — europe-west3 (Frankfurt) — dane nie opuszczają EOG |
| ElevenLabs Inc. | Synteza mowy (TTS) — generowanie odpowiedzi głosowych AI | US — SCCs (art. 46 ust. 2 lit. c RODO) |
| Deepgram Inc. | Transkrypcja mowy (STT) — rozpoznawanie mowy Rozmówcy | US — SCCs (art. 46 ust. 2 lit. c RODO) |
| Google LLC (Gemini API / Vertex AI) | Model językowy AI (LLM) — przetwarzanie treści rozmowy | US/EU — SCCs; konfiguracja EU-region gdzie dostępna |
| Twilio Inc. | Infrastruktura telefoniczna (PSTN), SMS | US — SCCs (art. 46 ust. 2 lit. c RODO) |
| Stripe Inc. | Przetwarzanie płatności, zarządzanie subskrypcjami | US/EU — SCCs; serwer przetwarzania kart w EU |
| SendGrid (Twilio Inc.) | Wysyłka wiadomości e-mail transakcyjnych | US — SCCs (art. 46 ust. 2 lit. c RODO) |
| Cookiebot (Usercentrics A/S) | Zarządzanie zgodami na cookies (CMP) | EU (Dania) |
Aktualna lista podmiotów przetwarzających wraz z kopiami stosowanych zabezpieczeń dostępna jest pod adresem dpo@odbierz.ai. Operator zostanie niezwłocznie powiadomiony o wszelkich zmianach w liście podmiotów przetwarzających.
9Rezydencja i architektura danych
Podstawowe przetwarzanie danych odbywa się w EOG — serwery Google Cloud Platform, region europe-west3 (Frankfurt, Niemcy). Dane w spoczynku (baza danych Cloud SQL, pliki nagrań w Cloud Storage) nie są replikowane poza EOG.
Przetwarzanie głosu (STT/TTS): Audio rozmowy jest przesyłane do zewnętrznych dostawców API (Deepgram, ElevenLabs) wyłącznie w celu transkrypcji i syntezy głosu. Transmisja jest szyfrowana (TLS 1.3). Dostawcy zobowiązani są SCCs do nieretencji danych poza zakresem świadczonej usługi.
Szyfrowanie: Dane w spoczynku szyfrowane algorytmem AES-256. Dane w tranzycie szyfrowane TLS 1.3. Nagrania audio przechowywane z szyfrowaniem po stronie serwera (GCP CMEK).
10Prawa osób, których dane dotyczą
Każdej osobie, której dane są przetwarzane przez Expathia jako administratora, przysługują następujące prawa:
10.1 Prawo dostępu (art. 15 RODO)
Prawo do uzyskania potwierdzenia, czy dane są przetwarzane, oraz do kopii danych.
10.2 Prawo do sprostowania (art. 16 RODO)
Prawo do żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
10.3 Prawo do usunięcia (“prawo do bycia zapomnianym”, art. 17 RODO)
Prawo do żądania usunięcia danych. Operatorzy mogą usuwać nagrania i transkrypcje bezpośrednio w panelu zarządzania (zakładka Logi połączeń > Usuń). Wnioski dotyczące rozmówców należy kierować do Operatora (firmy-klienta) jako administratora danych rozmówców.
10.4 Prawo do ograniczenia przetwarzania (art. 18 RODO)
Prawo do żądania ograniczenia przetwarzania w przypadkach określonych w art. 18 RODO.
10.5 Prawo do przenoszenia danych (art. 20 RODO)
Prawo do otrzymania danych w formacie ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego. Eksprt danych dostępny w panelu (zakładka Ustawienia > Eksport danych) w formacie JSON/CSV.
10.6 Prawo do sprzeciwu (art. 21 RODO)
Prawo do wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie, w tym profilowania.
10.7 Prawo do niepodlegania zautomatyzowanemu przetwarzaniu (art. 22 RODO)
OdbierzAI nie podejmuje decyzji wywołujących skutki prawne wyłącznie na podstawie automatycznego przetwarzania. Rozmowy obsługiwane przez AI nie stanowią zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO.
Jak skorzystać z praw: Wnioski należy kierować na adres privacy@odbierz.ai. Odpowiedź udzielana jest w ciągu 30 dni. Wniosek jest bezpłatny.
11Obowiązki Operatora jako administratora danych rozmówców
Operator (firma korzystająca z OdbierzAI) jest zobowiązany do:
- Opublikowania własnej polityki prywatności informującej rozmówców o przetwarzaniu ich danych przez AI (OdbierzAI udostępnia wzór polityki prywatności dla rozmówców);
- Poinformowania rozmówców o nagrywaniu rozmów, w tym wdrożenia bramki DTMF w sektorach zdrowia i prawa;
- Zapewnienia zgodności z RODO w zakresie danych rozmówców, w tym obsługi wniosków o realizację praw;
- Nieprzetwarzania danych rozmówców w celach niezgodnych z celami, w jakich zostały zebrane;
- Niezwłocznego powiadomienia Expathia o naruszeniu ochrony danych dotyczącym rozmówców.
Wzór polityki prywatności dla rozmówców dostępny jest na żądanie pod adresem dpo@odbierz.ai.
12Umowa o Przetwarzanie Danych (DPA)
Każdy Operator, przed uruchomieniem produkcyjnym usługi, zawiera z Expathia Umowę o Przetwarzanie Danych (DPA) zgodną z art. 28 RODO. DPA reguluje:
- Zakres, charakter i cel przetwarzania danych rozmówców;
- Rodzaj przetwarzanych danych osobowych i kategorie osób;
- Obowiązki i prawa administratora (Operatora) oraz podmiotu przetwarzającego (Expathia);
- Listę podprocesorów (podpunkt 8 niniejszej Polityki);
- Środki techniczne i organizacyjne zapewniające bezpieczeństwo danych;
- Procedury obsługi naruszeń ochrony danych (72h notyfikacja);
- Warunki audytu i współpracy z organem nadzorczym.
DPA jest akceptowana przez Operatora w procesie onboardingu. Wzorzec DPA dostępny pod dpo@odbierz.ai.
13Klonowanie głosu — Enterprise
Funkcja klonowania głosu dostępna wyłącznie w planie Enterprise. Warunki:
- Wymagana wyraźna pisemna zgoda osoby, której głos jest klonowany (art. 9 ust. 2 lit. a RODO) — formularz zgody udostępniany przez Expathia;
- Zgoda musi wyraźnie wskazywać: tożsamość podmiotu klonującego, cel klonowania, czas trwania zgody oraz prawo do jej wycofania;
- Próbki głosu przechowywane są zaszyfrowane w GCP (region EU), nie są udostępniane podmiotom trzecim;
- Wycofanie zgody skutkuje natychmiastowym usunięciem próbek głosu i dezaktywacją klonu — wniosek należy złożyć na adres dpo@odbierz.ai;
- Operator ponosi odpowiedzialność za uzyskanie ważnej zgody od osoby, której głos jest klonowany.
14Usługa nie jest skierowana do osób niepełnoletnich
OdbierzAI jest usługą przeznaczoną wyłącznie dla podmiotów prowadzących działalność gospodarczą (B2B). Usługa nie jest skierowana do osób, które nie ukończyły 18. roku życia i nie przetwarza świadomie danych osobowych osób niepełnoletnich w charakterze klientów platformy.
W przypadku, gdy rozmówcą dzwoniącym do firmy korzystającej z OdbierzAI jest osoba niepełnoletnia, przetwarzanie jej danych (numer telefonu, nagranie) odbywa się na podstawie uzasadnionego interesu Operatora w świadczeniu usługi i jest ograniczone do minimum niezbędnego do obsługi połączenia.
15Pliki cookies i technologie analityczne
W związku z korzystaniem z panelu zarządzania OdbierzAI oraz strony internetowej odbierz.ai, stosowane są następujące kategorie plików cookies:
| Kategoria | Cel | Podstawa |
| Cookies niezbędne (Essential) | Utrzymanie sesji, bezpieczeństwo CSRF, podstawowe funkcjonowanie aplikacji | Uzasadniony interes — brak możliwości rezygnacji |
| Cookies funkcjonalne (Functional) | Zapamiętanie preferencji językowych, ustawień interfejsu | Zgoda (Cookiebot CMP) |
| Cookies analityczne (Analytics) | Google Analytics 4 — pomiar ruchu, analiza korzystania z dashboardu (IP zanonimizowane) | Zgoda (Cookiebot CMP) |
Zarządzanie zgodami odbywa się poprzez platformę Cookiebot (GDPR Consent Mode v2). Użytkownik może w dowolnej chwili zmienić swoje preferencje dotyczące cookies, klikając przycisk “Ustawienia cookies” widoczny na stronie lub kontaktując się pod adresem privacy@odbierz.ai.
16Bezpieczeństwo danych
Expathia stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieuprawnionym dostępem, utratą, zniszczeniem lub ujawnieniem, w szczególności:
- Szyfrowanie danych w spoczynku (AES-256) i w tranzycie (TLS 1.3);
- Kontrola dostępu oparta na rolach (RBAC) z zasadą minimalnych uprawnień;
- Uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich kont administratorów;
- Automatyczne tworzenie kopii zapasowych baz danych z retencją 30 dni;
- Regularne przeglądy bezpieczeństwa i testy penetracyjne;
- Program zgłaszania podatności (Responsible Disclosure) — security@odbierz.ai.
W przypadku naruszenia ochrony danych osobowych Expathia powiadomi właściwy organ nadzorczy (UODO) w ciągu 72 godzin od wykrycia naruszenia (art. 33 RODO), a poszkodowane osoby — bez zbędnej zwłoki, gdy naruszenie może powodować wysokie ryzyko (art. 34 RODO).
17Organ nadzorczy — UODO
Organem nadzorczym właściwym dla Expathia Sp. z o.o. jest:
Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa
Tel.: 22 531 03 00
E-mail: kancelaria@uodo.gov.pl
Strona: uodo.gov.pl
Masz prawo złożyć skargę do UODO, jeżeli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO.
18Kontakt w sprawach prywatności
Inspektor Ochrony Danych
dpo@odbierz.aiSprawy prywatności ogólne
privacy@odbierz.aiSprawy prawne
legal@odbierz.aiWsparcie techniczne
support@odbierz.aiAdres korespondencyjny:
Expathia Sp. z o.o. — Inspektor Ochrony Danych
ul. Bolesława Krzywoustego 8
81-035 Gdynia
Polska
19Zmiany Polityki Prywatności
Expathia zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności w celu dostosowania jej do zmian przepisów prawa lub działalności. O wszelkich istotnych zmianach Operatorzy będą informowani za pośrednictwem poczty elektronicznej lub komunikatu w panelu zarządzania z co najmniej 30-dniowym wyprzedzeniem. Dalsze korzystanie z usługi po wejściu zmian w życie oznacza ich akceptację.
Poprzednie wersje Polityki Prywatności dostępne są pod adresem legal@odbierz.ai.