Umowa Powierzenia Przetwarzania Danych Osobowych
Ostatnia aktualizacja: Maj 2026 · Zgodna z art. 28 RODO (Rozporządzenie (UE) 2016/679)
1Strony Umowy
Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa" lub „DPA") zawierana jest pomiędzy:
Podmiot Przetwarzający: Expathia Sp. z o.o., ul. Bolesława Krzywoustego 8, 81-035 Gdynia, NIP: 5882532485, KRS: 0001181411 — operator platformy OdbierzAI (dalej: „Expathia")
Administrator: podmiot (osoba fizyczna, spółka, jednostka organizacyjna) korzystający z usługi OdbierzAI na podstawie Regulaminu — dalej: „Operator"
Umowa wchodzi w życie z chwilą akceptacji Regulaminu OdbierzAI przez Operatora i obowiązuje przez cały czas trwania subskrypcji.
2Zakres i cel powierzenia
Expathia przetwarza dane osobowe w imieniu Operatora wyłącznie w celu świadczenia usługi OdbierzAI — automatycznej obsługi połączeń telefonicznych przychodzących do placówki Operatora.
Zakres danych osobowych objętych powierzeniem:
| Kategoria danych | Opis | Cel |
|---|---|---|
| Numer telefonu dzwoniącego | Numer CLI/ANI przesyłany przez operatora telefonicznego | Identyfikacja rozmówcy, wysyłka SMS potwierdzającego |
| Nagranie audio rozmowy | Plik dźwiękowy całości lub części rozmowy (jeśli nagrywanie włączone) | Weryfikacja jakości, obsługa reklamacji, szkolenie |
| Transkrypcja rozmowy | Tekstowy zapis treści rozmowy generowany przez STT | Podsumowanie w panelu Operatora, wyszukiwanie |
| Dane podane przez rozmówcę | Imię i nazwisko, data wizyty, cel kontaktu — tylko dane przekazane w rozmowie | Rezerwacja wizyty, przekazanie Operatorowi |
| Metadane połączenia | Data, godzina, czas trwania, status (odebrane/nieodebrane) | Statystyki, billing minut, raporty |
Expathia nie przetwarza danych medycznych w rozumieniu art. 9 RODO (dokumentacji medycznej, diagnoz, wyników badań). Dane podane przez rozmówcę w rozmowie mogą zawierać ogólne informacje o zdrowiu (np. “ból zęba”) — są one traktowane jak dane zwykłe i nie są analizowane poza kontekstem rezerwacji.
3Obowiązki Expathia jako Podmiotu Przetwarzającego
Expathia zobowiązuje się do:
- Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora (Operatora) i wyłącznie w celach określonych w §2.
- Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
- Wdrożenia środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa (szyfrowanie danych w spoczynku AES-256, szyfrowanie transmisji TLS 1.3, kontrola dostępu oparta na UUID tenantów, logi dostępu).
- Przestrzegania warunków korzystania z usług podprzetwarzających (§5) i nieangażowania nowych podprzetwarzających bez uprzedniego poinformowania Operatora.
- Uwzględniania charakteru przetwarzania i udzielania Operatorowi pomocy w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą (art. 12–22 RODO).
- Usunięcia lub zwrotu wszystkich danych osobowych po zakończeniu świadczenia usług, zgodnie z §6.
- Udostępniania wszelkich informacji niezbędnych do wykazania spełnienia obowiązków wynikających z art. 28 RODO oraz umożliwienia przeprowadzenia audytów.
- Niezwłocznego (nie później niż w ciągu 72 godzin) informowania Operatora o każdym naruszeniu ochrony danych osobowych dotyczącym powierzonych danych.
4Obowiązki Operatora jako Administratora
Operator jako Administrator jest odpowiedzialny za:
- Posiadanie ważnej podstawy prawnej przetwarzania danych rozmówców (pacjentów, klientów) — w szczególności dla gabinetów medycznych: zgody RODO i spełnienie wymogów ustawy o prawach pacjenta.
- Poinformowanie rozmówców o tym, że rozmowę odbiera system AI (obowiązek wynikający z art. 52 EU AI Act — OdbierzAI realizuje ten obowiązek przez komunikat powitalny).
- Konfigurację nagrywania rozmów zgodnie z obowiązującym prawem — dla gabinetów medycznych i kancelarii prawnych wymagane jest włączenie bramki zgody DTMF.
- Odpowiadanie na żądania osób, których dane dotyczą, w zakresie danych przetwarzanych przez OdbierzAI (Expathia udziela wsparcia technicznego na żądanie).
- Nieudostępnianie innym podmiotom danych osobowych uzyskanych za pośrednictwem OdbierzAI bez odrębnej podstawy prawnej.
5Podprzetwarzający (sub-processorzy)
Operator upoważnia Expathia do korzystania z następujących podprzetwarzających w celu świadczenia usługi:
| Podmiot | Rola | Lokalizacja | Podstawa transferu |
|---|---|---|---|
| Google LLC (Cloud Platform) | Hosting infrastruktury (Cloud Run, Cloud SQL, Cloud Storage) — region europe-central2 (Warszawa) / europe-west3 (Frankfurt) | UE/EOG | Standardowe Klauzule Umowne (SCC) |
| Google LLC (Vertex AI / Gemini API) | Model językowy AI — przetwarzanie treści rozmowy | UE/EOG (region EU konfigurowany) | SCC; konfiguracja EU-region |
| Deepgram Inc. | Zamiana mowy na tekst (STT) — transkrypcja audio rozmowy | USA | SCC; dane audio przesyłane strumieniowo, nieretencjonowane przez Deepgram |
| ElevenLabs Inc. | Synteza głosu (TTS) — generowanie odpowiedzi AI | USA | SCC; przesyłany tylko tekst odpowiedzi, brak danych rozmówcy |
| Twilio Inc. | Infrastruktura telefoniczna — PSTN, SMS | USA/UE | SCC; Twilio EU data residency dla numeru PL |
| SendGrid (Twilio Inc.) | Wysyłka e-mail (powiadomienia, raporty) | USA/UE | SCC |
Expathia zobowiązuje się do poinformowania Operatora o wszelkich planowanych zmianach dotyczących podprzetwarzających z 30-dniowym wyprzedzeniem, umożliwiając Operatorowi zgłoszenie sprzeciwu.
6Retencja i usuwanie danych
| Kategoria danych | Domyślny okres retencji | Możliwość skrócenia |
|---|---|---|
| Nagrania audio | 30 dni od daty rozmowy | Tak — Operator może usunąć w panelu lub przez API w dowolnym momencie |
| Transkrypcje | 90 dni od daty rozmowy | Tak — usuwane razem z nagraniem lub osobno |
| Metadane połączeń (data, czas, nr telefonu) | 12 miesięcy | Tak — na żądanie Operatora lub rozmówcy |
| Dane rezerwacji (imię, termin) | 12 miesięcy lub do usunięcia przez Operatora | Tak — Operator zarządza w panelu |
| Dane konta Operatora | Do rozwiązania umowy + 30 dni | Tak — na wniosek Operatora |
Po rozwiązaniu umowy z Operatorem wszystkie dane są usuwane w ciągu 30 dni, z wyjątkiem danych wymaganych przez przepisy prawa (np. dane finansowe — 5 lat).
7Bezpieczeństwo danych
Expathia wdrożyła następujące środki techniczne i organizacyjne:
- Szyfrowanie danych w spoczynku: AES-256-GCM (Cloud SQL, Cloud Storage)
- Szyfrowanie transmisji: TLS 1.3 dla wszystkich połączeń API i WebSocket
- Izolacja danych: każdy Operator ma unikalny UUID tenant — dane różnych Operatorów nigdy nie są mieszane
- Kontrola dostępu: JWT z czasem ważności, role (admin/user), oddzielne klucze per środowisko
- Sekrety: wszystkie klucze API i hasła przechowywane w GCP Secret Manager, nie w kodzie
- Monitorowanie: Sentry (logi błędów), Cloud Logging (logi dostępu), alerty na anomalie
- Kopie zapasowe: automatyczne backupy Cloud SQL co 24h, retencja 7 dni
- Testy bezpieczeństwa: testy jednostkowe obejmujące scenariusze ataków (SQL injection, XSS, IDOR)
8Prawa osób, których dane dotyczą
W przypadku żądania osoby dzwoniącej (rozmówcy) dotyczącego jej danych (prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia — art. 15–20 RODO):
- Rozmówca kieruje żądanie do Operatora (gabinetu, firmy) — to Operator jest administratorem danych rozmówcy.
- Operator realizuje żądanie korzystając z panelu OdbierzAI (usunięcie nagrań, transkrypcji) lub przekazuje je do Expathia.
- Expathia odpowiada na żądania przekazane przez Operatora w ciągu 5 dni roboczych.
- W wyjątkowych przypadkach rozmówca może kontaktować się bezpośrednio z Expathia pod adresem: dpo@odbierz.ai
9Naruszenia ochrony danych
W przypadku stwierdzenia naruszenia ochrony danych osobowych dotyczącego powierzonych danych Expathia zobowiązuje się:
- Poinformować Operatora bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od wykrycia.
- Przekazać co najmniej: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób, możliwe konsekwencje, podjęte środki zaradcze.
- Udzielić Operatorowi pomocy w realizacji obowiązku zgłoszenia naruszenia do UODO (art. 33 RODO) i powiadomienia osób (art. 34 RODO), jeśli jest wymagane.
Kanał zgłoszeń bezpieczeństwa dla Operatorów: security@odbierz.ai
10Inspektor Ochrony Danych
Expathia nie ma ustawowego obowiązku powołania Inspektora Ochrony Danych (IOD/DPO) na podstawie art. 37 RODO (mała firma, brak przetwarzania na dużą skalę danych szczególnych kategorii).
W sprawach ochrony danych osobowych Operator może kontaktować się z wyznaczonym punktem kontaktowym ds. RODO: dpo@odbierz.ai
11Audyty i kontrole
Operator ma prawo do przeprowadzenia audytu zgodności Expathia z niniejszą Umową, nie częściej niż raz na 12 miesięcy, pod warunkiem:
- Pisemnego powiadomienia Expathia z co najmniej 30-dniowym wyprzedzeniem.
- Prowadzenia audytu w godzinach pracy, bez naruszania działalności operacyjnej.
- Podpisania przez audytora zobowiązania do zachowania poufności.
Expathia udostępnia na żądanie certyfikaty bezpieczeństwa, wyniki testów penetracyjnych i polityki bezpieczeństwa w zakresie nienaruszającym tajemnicy handlowej.
12Rozwiązanie umowy i postanowienia końcowe
Niniejsza Umowa wygasa automatycznie z chwilą rozwiązania umowy o świadczenie usługi OdbierzAI. Po wygaśnięciu Expathia usuwa wszystkie powierzone dane zgodnie z §6.
W sprawach nieuregulowanych niniejszą Umową zastosowanie mają przepisy RODO oraz prawa polskiego. Sądem właściwym jest sąd właściwy dla siedziby Expathia (Gdynia).
Niniejsza Umowa stanowi integralną część Regulaminu OdbierzAI dostępnego pod adresem odbierz.ai/regulamin.
Kontakt w sprawach ochrony danych
Expathia Sp. z o.o.
ul. Bolesława Krzywoustego 8, 81-035 Gdynia
NIP: 5882532485 | KRS: 0001181411
E-mail RODO: dpo@odbierz.ai
E-mail bezpieczeństwo: security@odbierz.ai