PL
ENG
DE
ES
Login
Monitoruj widoczność w AI
PL
ENG
DE
ES
Login
Monitoruj widoczność w AI

DPA

1. Strony i role

1.1. Niniejsza Umowa powierzenia przetwarzania danych (“DPA”) stanowi integralną część Umowy o świadczenie usług PromptEye.

1.2. W zakresie, w jakim Klient wprowadza do Usługi dane osobowe, strony przyjmują, że:

    • Klient działa jako administrator danych osobowych w rozumieniu RODO,
    • PromptEye działa jako podmiot przetwarzający (procesor).

1.3. W relacji do danych osobowych Użytkowników Konta, danych rozliczeniowych, kontaktowych oraz danych marketingowych, PromptEye działa jako administrator – na zasadach określonych w Polityce prywatności.

2. Przedmiot, charakter i cel przetwarzania

2.1. Przedmiotem niniejszej DPA jest określenie zasad, na jakich PromptEye przetwarza dane osobowe w imieniu Klienta w związku ze świadczeniem Usługi.

2.2. Przetwarzanie obejmuje w szczególności:

    • Dane konta: imię, nazwisko (jeśli podane), e‑mail służbowy, nazwa i dane firmy, rola Użytkownika,
    • Dane techniczne: adres IP, dane o urządzeniu i przeglądarce, identyfikatory sesji, logi techniczne,
    • Dane biznesowe: prompty, nazwy marek, treści analityczne oraz inne dane wprowadzane do Usługi przez Klienta lub Użytkowników, w zakresie, w jakim zawierają dane osobowe.

2.3. Charakter operacji przetwarzania obejmuje m.in.: gromadzenie, organizowanie, przechowywanie, modyfikowanie, analizowanie, wykorzystywanie do generowania Raportów, udostępnianie Klientowi, usuwanie i anonimizację.

2.4. Celem przetwarzania jest świadczenie przez PromptEye Usługi na rzecz Klienta, w tym zapewnienie bezpieczeństwa, rozliczeń, wsparcia technicznego i rozwoju Usługi, zgodnie z Umową.

2.5. Dane osobowe będą przetwarzane wyłącznie na udokumentowane polecenie Klienta, chyba że obowiązek przetwarzania wynika z przepisów prawa Unii Europejskiej lub prawa państwa członkowskiego – wówczas PromptEye poinformuje Klienta o tym obowiązku przed przetwarzaniem, o ile prawo na to pozwala.

3. Czas trwania przetwarzania

3.1. Dane osobowe są przetwarzane przez PromptEye przez czas obowiązywania Umowy oraz przez dodatkowy okres niezbędny do:

    • realizacji obowiązków związanych z usunięciem/zwrotem danych,
    • zabezpieczenia roszczeń,
    • wypełnienia obowiązków prawnych (np. rachunkowych, podatkowych),

zgodnie z Polityką prywatności.

3.2. Co do zasady, Dane Klienta są usuwane z systemów produkcyjnych PromptEye w ciągu 30 dni od zakończenia Umowy, a kopie w systemach backupowych mogą być przechowywane do 60 dni od daty usunięcia z systemów produkcyjnych.

4. Kategorie osób, dane i podstawa przetwarzania

4.1. Usługa co do zasady nie jest przeznaczona do przetwarzania danych osobowych osób trzecich w dużej skali (np. masowych danych klientów końcowych), chyba że strony wyraźnie tak postanowią w Umowie i konfiguracji Usługi.

Kategorie osób, których dane mogą być przetwarzane:

    • pracownicy, współpracownicy i inni przedstawiciele Klienta,
    • inne osoby, których dane Klient wprowadza do Usługi.

4.2. Kategorie danych:

    • dane identyfikacyjne i kontaktowe (np. imię, nazwisko, e‑mail, stanowisko, dane firmy),
    • dane związane z korzystaniem z Platformy (logi, identyfikatory kont, ustawienia),
    • dane zawarte w promptach, raportach i treściach przekazywanych przez Klienta (w zależności od wykorzystania Usługi przez Klienta mogą one zawierać dane osobowe).

4.3. Klient oświadcza, że posiada odpowiednią podstawę prawną do przetwarzania danych osobowych i ich powierzenia PromptEye, zgodnie z RODO.

5. Obowiązki PromptEye jako procesora

5.1. PromptEye zobowiązuje się:

    • przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Klienta,
    • zapewnić, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub są objęte odpowiednim ustawowym obowiązkiem zachowania tajemnicy,
    • wdrożyć odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 RODO,
    • wspierać Klienta w realizacji obowiązków wobec osób, których dane dotyczą, w zakresie określonym w pkt 7,
    • wspierać Klienta w spełnianiu obowiązków wynikających z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, DPIA, konsultacje z organem), w rozsądnym zakresie i z uwzględnieniem charakteru przetwarzania i informacji dostępnych PromptEye,
    • po zakończeniu świadczenia usług przetwarzania, w zależności od wyboru Klienta, usunąć lub zwrócić mu wszystkie dane osobowe oraz usunąć ich kopie, z zastrzeżeniem obowiązków wynikających z prawa,
    • udostępnić Klientowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej DPA i w art. 28 RODO.

6. Środki bezpieczeństwa

6.1. PromptEye wdraża i utrzymuje środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku, obejmujące co najmniej:

    • szyfrowanie danych osobowych w tranzycie (TLS) i w spoczynku,
    • kontrolę dostępu opartą na rolach (RBAC),
    • wymóg stosowania silnych haseł i możliwość aktywacji uwierzytelniania wieloskładnikowego (MFA),
    • backupy i procedury odtwarzania po awarii,
    • monitoring i logowanie zdarzeń istotnych dla bezpieczeństwa,
    • kontrolę dostępu do infrastruktury (sieci, serwerownie, środowiska chmurowe),
    • regularne aktualizacje oprogramowania i zależności.

6.2. Szczegółowy opis aktualnych środków bezpieczeństwa może być udostępniany Klientowi w osobnym dokumencie lub na stronie PromptEye.

7. Prawa osób, których dane dotyczą

7.1. Mając na uwadze charakter przetwarzania, PromptEye, w miarę możliwości technicznych i organizacyjnych, pomaga Klientowi w realizacji obowiązków odpowiadania na żądania osób, których dane dotyczą, dotyczące w szczególności:

    • dostępu do danych,
    • sprostowania,
    • usunięcia (“prawo do bycia zapomnianym”),
    • ograniczenia przetwarzania,
    • przenoszenia danych,
    • sprzeciwu,
    • praw związanych z profilowaniem i zautomatyzowanym podejmowaniem decyzji.

7.2. W przypadku otrzymania przez PromptEye żądania dotyczącego danych przetwarzanych w imieniu Klienta, PromptEye, o ile będzie w stanie zidentyfikować takiego administratora, niezwłocznie przekaże to żądanie Klientowi, chyba że odrębne przepisy prawa nakazują PromptEye samodzielną odpowiedź.

7.3. Wsparcie PromptEye w realizacji praw osób, których dane dotyczą, może wiązać się z dodatkowymi kosztami po stronie Klienta, jeżeli żądania są nadmierne lub wykraczają poza standardowy zakres wsparcia.

8. Podprzetwarzający (subprocesorzy)

8.1. Klient udziela PromptEye ogólnej zgody na korzystanie z podprzetwarzających w celu świadczenia Usługi. Aktualna lista kluczowych subprocesorów obejmuje w szczególności dostawców modeli sztucznej inteligencji (LLM) oraz infrastruktury chmurowej i narzędzi, takich jak m.in. dostawcy modeli językowych (np. OpenAI – modele GPT, Perplexity, DeepSeek, dostawcy warstw agregujących odpowiedzi typu AI Overview) oraz dostawcy infrastruktury i narzędzi wspierających świadczenie Usługi (np. dostawcy chmury, usług bazodanowych, narzędzi komunikacyjnych i marketing automation). Lista subprocesorów może ulegać zmianie i obejmuje także innych dostawców modeli AI i infrastruktury wykorzystywanych w ramach Usługi, zgodnie z procedurą powiadamiania opisaną w niniejszej DPA.

8.2. PromptEye zapewnia, że każdy subprocesor jest związany umową, która nakłada na niego obowiązki nie mniej rygorystyczne niż wynikające z niniejszej DPA, w szczególności w zakresie bezpieczeństwa i poufności.

8.3. PromptEye poinformuje Klienta (np. poprzez stronę internetową lub e‑mail) o dodaniu, zastąpieniu lub usunięciu subprocesora. Klient może zgłosić uzasadniony sprzeciw wobec powierzenia danych konkretnemu subprocesorowi w rozsądnym terminie od otrzymania informacji.

8.4. W przypadku skutecznego sprzeciwu, strony podejmą w dobrej wierze negocjacje w celu znalezienia rozwiązania (np. wyłączenie określonej funkcjonalności, alternatywny subprocesor). Jeżeli nie będzie to możliwe, Klient może wypowiedzieć Umowę w części dotyczącej funkcjonalności zależnych od danego subprocesora, a w braku takiej możliwości – całą Umowę ze skutkiem na koniec bieżącego okresu rozliczeniowego.

9. Transfery danych poza EOG

9.1. Dane osobowe mogą być przekazywane do państw trzecich (poza Europejski Obszar Gospodarczy), w szczególności do Stanów Zjednoczonych, w związku z korzystaniem z usług subprocesorów takich jak dostawcy modeli LLM i infrastruktury (np. OpenAI, Perplexity, DeepSeek, dostawcy warstw agregujących odpowiedzi typu AI Overview, dostawcy chmury i narzędzi marketing automation).

9.2. W takim przypadku PromptEye zapewni, że przekazywanie danych będzie odbywało się z zastosowaniem odpowiednich zabezpieczeń prawnych, zgodnie z rozdziałem V RODO, w szczególności poprzez:

    • zawarcie standardowych klauzul umownych (SCC) przyjętych przez Komisję Europejską, oraz/lub
    • korzystanie z dostawców uczestniczących w EU–US Data Privacy Framework (DPF), jeżeli ma to zastosowanie.

9.3. Na żądanie Klienta PromptEye może udostępnić ogólną informację o stosowanych zabezpieczeniach transferu (bez ujawniania treści, które stanowią tajemnicę przedsiębiorstwa lub objęte są NDA).

10. Zgłaszanie naruszeń ochrony danych

10.1. PromptEye niezwłocznie, bez zbędnej zwłoki, poinformuje Klienta o stwierdzonym naruszeniu ochrony danych osobowych, które dotyczy danych przetwarzanych na rzecz Klienta.

10.2. Komunikat będzie zawierał – w miarę dostępności – informacje wymagane przez art. 33 ust. 3 RODO, w szczególności:

    • opis charakteru naruszenia,
    • kategorie i przybliżoną liczbę osób, których dane dotyczą,
    • kategorie i przybliżoną liczbę rekordów danych,
    • opis możliwych konsekwencji naruszenia,
    • opis zastosowanych lub proponowanych środków zaradczych.

10.3. PromptEye będzie współpracować z Klientem przy spełnianiu obowiązków wobec organu nadzorczego i osób, których dane dotyczą, w rozsądnym zakresie, biorąc pod uwagę charakter naruszenia i odpowiednie obowiązki prawne stron.

11. Audyty i inspekcje

11.1. Na żądanie Klienta PromptEye udostępni informacje niezbędne do wykazania przestrzegania niniejszej DPA i art. 28 RODO, w szczególności w formie:

    • odpowiedzi na kwestionariusze bezpieczeństwa/RODO,
    • streszczeń raportów z audytów zewnętrznych lub certyfikacji (o ile istnieją),
    • opisów środków technicznych i organizacyjnych.

11.2. W uzasadnionych przypadkach Klient może przeprowadzić (lub zlecić niezależnemu audytorowi) audyt lub inspekcję na miejscu, po uprzednim pisemnym uzgodnieniu zakresu, terminu i warunków audytu oraz podpisaniu NDA.

11.3. Audyty na miejscu mogą odbywać się nie częściej niż raz na 12 miesięcy, chyba że doszło do istotnego naruszenia ochrony danych. Koszty audytu ponosi Klient, chyba że co innego wynika z przepisów prawa.

12. Zakończenie przetwarzania, usunięcie i zwrot danych

12.1. Po zakończeniu świadczenia usług przetwarzania danych na rzecz Klienta, PromptEye – zgodnie z wyborem Klienta zgłoszonym przed zakończeniem Umowy –:

    • usuwa dane osobowe z własnych systemów, lub
    • przekazuje Klientowi kopię danych w uzgodnionym formacie (np. eksport CSV/JSON), a następnie usuwa dane ze swoich systemów,

z zastrzeżeniem pkt 12.2.

12.2. PromptEye może zachować dane osobowe w takim zakresie i przez taki czas, jaki jest niezbędny do:

    • wypełnienia obowiązków prawnych (np. przepisy podatkowe, rachunkowe),
    • ustalenia, dochodzenia lub obrony przed roszczeniami.

12.3. Po upływie okresu retencji, o którym mowa w pkt 3.2, dane osobowe są trwale usuwane lub anonimizowane z systemów backupowych, w zakresie dozwolonym przez prawo i realnie możliwym technicznie.

13. Odpowiedzialność i stosunek do Umowy

13.1. Zasady odpowiedzialności stron w związku z niniejszą DPA są określone w Umowie oraz Regulaminie, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa.

13.2. W zakresie, w jakim postanowienia niniejszej DPA są bardziej szczegółowe niż Regulamin, DPA ma pierwszeństwo w sprawach dotyczących przetwarzania danych osobowych przez PromptEye jako procesora.