Umowa Powierzenia Przetwarzania Danych (DPA)

Ostatnia aktualizacja: 24 października 2025

Niniejsza Umowa Powierzenia Przetwarzania Danych („DPA") zostaje zawarta pomiędzy:

Klientem (zdefiniowanym w Głównej Umowie o Świadczenie Usług)
(dalej jako "Administrator")

Mental Balance sp. z o. o., z siedzibą przy ul. Prof. Władysława Szafera 1/14, 31-543, Kraków, Małopolskie, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0000998746.
(dalej jako "Procesor" lub "Boostedchat")

(Administrator i Procesor dalej łącznie jako "Strony", a każdy z osobna jako "Strona")

Niniejsza umowa DPA stanowi integralną część Głównej Umowy o Świadczenie Usług („Umowa Główna") zawartej między Stronami i reguluje zasady przetwarzania Danych Osobowych w związku z jej wykonywaniem.

1. Definicje

Terminy użyte w niniejszej DPA mają znaczenie nadane im przez RODO, o ile nie zdefiniowano ich inaczej.

RODO (GDPR): Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
Dane Osobowe: Wszelkie dane osobowe przetwarzane przez Procesora w imieniu Administratora w celu świadczenia Usług określonych w Umowie Głównej.
Usługi: Usługi świadczone przez Procesora na rzecz Administratora zgodnie z Umową Główną (platforma SaaS Boostedchat).
Naruszenie Ochrony Danych Osobowych: Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych.

2. Przedmiot i Cel Przetwarzania

2.1. Procesor zobowiązuje się przetwarzać Dane Osobowe wyłącznie w imieniu Administratora, na jego udokumentowane polecenie i w celu wykonania Usług określonych w Umowie Głównej.

2.2. Uznaje się, że polecenie Administratora obejmuje wszelkie czynności niezbędne do świadczenia Usług (w tym korzystanie z infrastruktury chmurowej, API, modeli AI itp.), zgodnie z funkcjonalnością platformy i konfiguracją wybraną przez Administratora.

2.3. Szczegółowy opis przedmiotu, celu, charakteru przetwarzania, kategorii danych oraz kategorii osób, których dane dotyczą, znajduje się w Załączniku 1 do niniejszej DPA.

3. Obowiązki Procesora (Boostedchat)

Procesor oświadcza i zobowiązuje się, że:

3.1. Przetwarza Dane Osobowe wyłącznie w zakresie i celu przewidzianym w niniejszej DPA i Umowie Głównej.

3.2. Zapewnia, że osoby upoważnione do przetwarzania Danych Osobowych (np. pracownicy, współpracownicy) zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

3.3. Wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, zgodnie z Art. 32 RODO. Opis wdrożonych środków znajduje się w Załączniku 2.

3.4. Uwzględniając charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw (zgodnie z Rozdziałem III RODO).

3.5. Wspiera Administratora w wywiązywaniu się z obowiązków określonych w Art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków).

3.6. Po zakończeniu świadczenia Usług, w zależności od decyzji Administratora, usuwa lub zwraca Administratorowi wszelkie Dane Osobowe. Zasady te szczegółowo opisuje polityka retencji określona w Załączniku 1.

4. Obowiązki Administratora (Klient)

Administrator oświadcza i zobowiązuje się, że:

4.1. Jest wyłącznym administratorem Danych Osobowych i ponosi pełną odpowiedzialność za zgodność ich przetwarzania z prawem, w tym za posiadanie odpowiedniej podstawy prawnej do ich przetwarzania.

4.2. Ponosi wyłączną odpowiedzialność za jakość, integralność i legalność Danych Osobowych wprowadzanych do platformy Procesora.

4.3. Ponosi wyłączną odpowiedzialność za konfigurację Usług, w tym za wszelkie automatyzacje, skrypty AI, prompty oraz działania marketingowe prowadzone przy użyciu platformy.

4.4. Zgody na przetwarzanie danych wrażliwych i biometrycznych: Administrator jest wyłącznie odpowiedzialny za zebranie wszelkich niezbędnych, wyraźnych zgód (zgodnie z Art. 9 RODO) od osób, których dane dotyczą, w przypadku przetwarzania danych o zdrowiu lub danych biometrycznych (w tym na potrzeby klonowania lub syntezy głosu).

4.5. Zgody na nagrywanie i monitoring: Administrator jest wyłącznie odpowiedzialny za poinformowanie swoich pracowników i klientów końcowych oraz (jeśli jest to wymagane prawnie) zebranie od nich zgód na nagrywanie i analizowanie rozmów (głosowych i tekstowych) prowadzonych za pośrednictwem Usług.

4.6. Zgodność z AI Act: Administrator przyjmuje do wiadomości, że w świetle przyszłych regulacji (np. AI Act UE) pełni rolę "Wdrażającego" (Deployer) systemy AI i ponosi odpowiedzialność za ich wykorzystanie zgodnie z przeznaczeniem i obowiązującym prawem.

5. Dalsze Powierzenie (Podprocesorzy)

5.1. Administrator udziela Procesorowi ogólnej zgody na korzystanie z usług innych podmiotów przetwarzających („Podprocesorzy") w celu świadczenia Usług.

5.2. Lista aktualnie zatwierdzonych Podprocesorów znajduje się w Załączniku 3 do niniejszej DPA.

5.3. Procesor zobowiązuje się informować Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia Podprocesorów, dając Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Informacja będzie przekazywana poprzez e-mail lub panel w platformie, z co najmniej 14-dniowym wyprzedzeniem.

5.4. Procesor zapewnia, że umowy z Podprocesorami nakładają na nich obowiązki w zakresie ochrony danych nie mniejsze niż te określone w niniejszej DPA (zgodnie z Art. 28 ust. 4 RODO).

5.5. Jeżeli Podprocesor nie wywiąże się ze swoich obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego Podprocesora spoczywa na Procesorze.

6. Transfer Danych poza EOG

6.1. Administrator akceptuje, że świadczenie Usług może wiązać się z transferem Danych Osobowych poza Europejski Obszar Gospodarczy (EOG), w szczególności do USA, gdzie zlokalizowani są kluczowi Podprocesorzy (wymienieni w Załączniku 3).

6.2. Zasady i mechanizmy prawne regulujące takie transfery (w tym Data Privacy Framework i Standardowe Klauzule Umowne) są określone w Załączniku 4 (Moduł A).

7. Audyt

7.1. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Art. 28 RODO.

7.2. Procesor zezwala na audyty, w tym inspekcje, przeprowadzane przez Administratora lub upoważnionego przez niego audytora.

7.3. Strony uzgadniają, że w pierwszej kolejności Administrator będzie korzystał z dostarczanych przez Procesora raportów z audytów zewnętrznych (np. SOC 2, ISO 27001, jeśli są dostępne) lub odpowiedzi na kwestionariusze bezpieczeństwa.

7.4. Koszty audytu bezpośredniego ponosi Administrator. Audyt taki musi być zapowiedziany z co najmniej 30-dniowym wyprzedzeniem i nie może naruszać zobowiązań Procesora wobec innych klientów ani bezpieczeństwa jego infrastruktury.

8. Naruszenia Ochrony Danych Osobowych

8.1. Procesor zgłasza Administratorowi każde stwierdzone Naruszenie Ochrony Danych Osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od jego stwierdzenia.

8.2. Zgłoszenie będzie zawierać co najmniej informacje wymagane przez Art. 33 ust. 3 RODO.

9. Jurysdykcje Specjalne

9.1. W przypadku, gdy Administrator przetwarza dane podlegające szczególnym regulacjom jurysdykcyjnym (np. HIPAA, CCPA w USA), zastosowanie mają dodatkowe moduły zawarte w Załączniku 4.

ZAŁĄCZNIK 1: SZCZEGÓŁY PRZETWARZANIA

Niniejszy Załącznik opisuje szczegóły przetwarzania Danych Osobowych zgodnie z Art. 28 ust. 3 RODO.

A. Kategorie Osób, których dane dotyczą:

Klienci i pacjenci Administratora (firmy korzystającej z platformy).
Pracownicy Administratora (użytkownicy platformy).

B. Kategorie Danych Osobowych:

Dane Osobowe Zwykłe:

Dane identyfikacyjne (imię, nazwisko)
Dane kontaktowe (e-mail, nr telefonu)
Dane z profili w mediach społecznościowych (publiczny identyfikator)
Historia interakcji
Treść rozmów tekstowych
Dane z kampanii reklamowych (np. status leada)
Dane o aktywności w systemie CRM
Dane z monitoringu (nagrania głosowe rozmów)

Dane Osobowe Szczególnej Kategorii (Wrażliwe):

Dane dotyczące zdrowia (w tym informacje o stanie zdrowia, objawach, leczeniu, ujawniane podczas rozmów z AI lub pracownikami Administratora, wpisywane do CRM).
Dane biometryczne (dotyczące głosu, w tym na potrzeby syntezy, klonowania lub analizy głosu).

C. Charakter i Cel Przetwarzania:

Charakter: Przetwarzanie ma charakter zautomatyzowany i odbywa się w ramach platformy SaaS. Obejmuje gromadzenie, przechowywanie, analizowanie (w tym przez AI), nagrywanie, syntetyzowanie (głos) oraz udostępnianie danych Administratorowi i jego użytkownikom.

Cel: Wyłącznie w celu świadczenia Usług określonych w Umowie Głównej, tj. zapewnienia Administratorowi dostępu i możliwości korzystania z platformy Boostedchat do zarządzania relacjami z klientami, automatyzacji marketingu i komunikacji.

D. Czas Trwania Przetwarzania i Polityka Retencji:

Dane Osobowe będą przetwarzane przez czas obowiązywania Umowy Głównej.
Po zakończeniu świadczenia Usług (wygaśnięciu/rozwiązaniu Umowy Głównej), Procesor będzie przechowywać Dane Osobowe w stanie zarchiwizowanym przez okres 180 (stu osiemdziesięciu) dni. W tym okresie Administrator może zażądać eksportu danych.
Po upływie 180 dni, Dane Osobowe zostaną trwale i nieodwracalnie usunięte, chyba że Administrator zażąda ich natychmiastowego usunięcia po zakończeniu Umowy, co Procesor wykona bez zbędnej zwłoki.

ZAŁĄCZNIK 2: ŚRODKI TECHNICZNE I ORGANIZACYJNE (ŚBiO)

Procesor wdrożył co najmniej następujące środki techniczne i organizacyjne (zgodnie z Art. 32 RODO), opisane na podstawie informacji z kwestionariusza:

Szyfrowanie:

Szyfrowanie danych w tranzycie (np. przy użyciu protokołów SSL/TLS).
Szyfrowanie danych w spoczynku (np. szyfrowanie baz danych i nośników pamięci masowej).

Kontrola Dostępu (Tożsamość i Uwierzytelnianie):

Wdrożenie mechanizmów silnego uwierzytelniania, w tym uwierzytelniania wieloskładnikowego (MFA) dla dostępu do systemów przetwarzających Dane Osobowe.
Wdrożenie systemu ról i uprawnień (RBAC) zapewniającego, że dostęp do Danych Osobowych jest ograniczony wyłącznie do osób, dla których jest to niezbędne (zasada "need-to-know").

Integralność i Odporność Systemów:

Prowadzenie regularnych kopii zapasowych (backup) Danych Osobowych.
Wdrożenie procedur odtwarzania po awarii (Disaster Recovery).
Utrzymanie systemów rejestrowania zdarzeń (logowania), w tym logowania dostępu do Danych Osobowych.

Testowanie i Ocena:

Prowadzenie regularnych testów penetracyjnych i/lub skanowania podatności infrastruktury.

Bezpieczeństwo Personelu:

Zapewnienie, że wszyscy pracownicy i współpracownicy mający dostęp do Danych Osobowych są przeszkoleni w zakresie ochrony danych i zobowiązani do zachowania poufności.

ZAŁĄCZNIK 3: PODPROCESORZY

Zgodnie z pkt 5.1 DPA, Administrator udziela Procesorowi ogólnej zgody na korzystanie z usług następujących Podprocesorów w celu świadczenia Usług:

Pełna Nazwa Prawna Podmiotu	Świadczona Usługa	Kraj Przetwarzania (Główny)
Google (Cloud/AI)	Infrastruktura chmurowa, modele AI	EOG / USA
Meta Platforms Ireland Ltd.	Integracja z mediami społ. (Instagram, FB, WA)	EOG / USA
Perplexity AI, Inc.	Wyszukiwanie informacji (Perplexity Search), Modele AI	USA
ElevenLabs Inc.	Synteza i klonowanie głosu AI	USA
Vonage	API (SMS / Głos)	USA
Stripe, Inc.	Przetwarzanie płatności	EOG / USA
LinkedIn	Integracja (np. reklamy, wiadomości)	EOG / USA

Procesor utrzymuje i udostępnia Administratorowi aktualną listę Podprocesorów.

ZAŁĄCZNIK 4: MODUŁY JURYSDYKCYJNE

Zastosowanie poniższych modułów zależy od lokalizacji Administratora i rodzaju przetwarzanych przez niego danych.

MODUŁ A: TRANSFERY MIĘDZYNARODOWE (UE)

W przypadku transferu Danych Osobowych objętych RODO do kraju trzeciego (poza EOG), który nie został objęty decyzją Komisji Europejskiej o adekwatności, Strony polegają na następujących mechanizmach:

Data Privacy Framework (DPF): W przypadku transferów do Podprocesorów w USA, którzy są certyfikowani w ramach DPF, mechanizm ten stanowi podstawę transferu.
Standardowe Klauzule Umowne (SCCs): W przypadku gdy Podprocesor nie jest certyfikowany w ramach DPF (lub gdy DPF zostanie unieważniony), Strony zgadzają się, że zastosowanie mają Standardowe Klauzule Umowne (SCCs) zatwierdzone przez Komisję Europejską (decyzja 2021/914), które zostają włączone do niniejszej DPA przez odniesienie.

MODUŁ B: HIPAA (BUSINESS ASSOCIATE AGREEMENT - USA)

Niniejszy Moduł ma zastosowanie wyłącznie wtedy, gdy Administrator jest „Podmiotem Objętym" (Covered Entity) lub „Partnerem Biznesowym" (Business Associate) w rozumieniu ustawy HIPAA (Health Insurance Portability and Accountability Act) i przetwarza „Chronione Informacje Zdrowotne" (PHI) za pośrednictwem Usług.

Definicje (HIPAA):

Terminy użyte w tym Module (np. "Business Associate", "Covered Entity", "PHI") mają znaczenie nadane im w przepisach 45 C.F.R. § 160.103.

Status Stron:

Administrator jest (Covered Entity/Business Associate), a Procesor (Boostedchat) jest jego "Business Associate".

Obowiązki Procesora (jako Business Associate):

(a) Procesor nie będzie wykorzystywał ani ujawniał PHI w sposób inny, niż jest to dozwolone lub wymagane przez niniejszą DPA lub przez prawo.

(b) Procesor wdroży zabezpieczenia administracyjne, fizyczne i techniczne, które w uzasadniony sposób chronią poufność, integralność i dostępność PHI.

(c) Procesor zgłosi Administratorowi (Covered Entity) każde użycie lub ujawnienie PHI niezgodne z niniejszą DPA, a także każde "Naruszenie Niezabezpieczonych PHI" (Breach of Unsecured PHI) bez zbędnej zwłoki.

(d) Procesor zapewni, że każdy Podprocesor (agent), któremu przekazuje PHI, zgodzi się na piśmie na te same ograniczenia i warunki, które dotyczą Procesora.

(e) Procesor udostępni PHI osobie fizycznej (Individual) na żądanie Administratora.

(f) Procesor udostępni swoje wewnętrzne praktyki, księgi i rejestry Sekretarzowi Departamentu Zdrowia i Usług Społecznych (HHS) w celu ustalenia zgodności z HIPAA.

Niniejsza umowa wygasa wraz z wygaśnięciem Umowy o Świadczenie Usług. Po wygaśnięciu, Business Associate zwróci lub zniszczy wszystkie PHI, jeśli jest to wykonalne.

MODUŁ C: CCPA/CPRA (KALIFORNIA - USA)

Niniejszy Moduł ma zastosowanie, gdy Administrator podlega przepisom California Consumer Privacy Act (CCPA) z poprawkami (CPRA).

Definicje:

Terminy "Business", "Service Provider", "Consumer", "Personal Information" mają znaczenie nadane im w CCPA.

Status Stron:

Administrator jest "Business", a Procesor (Boostedchat) jest jego "Service Provider".

Obowiązki Procesora (jako Service Provider):

(a) Procesor będzie gromadził, wykorzystywał, zatrzymywał lub ujawniał Dane Osobowe (Personal Information) wyłącznie w celu świadczenia Usług ("Business Purpose").

(b) Procesor nie będzie "sprzedawał" (Sell) ani "udostępniał" (Share) Danych Osobowych w rozumieniu CCPA.

(c) Procesor nie będzie łączyć Danych Osobowych otrzymanych od Administratora z danymi otrzymanymi od innych podmiotów, z wyjątkiem przypadków dozwolonych przez CCPA (np. w celu świadczenia Usług).