Umowa powierzenia przetwarzania danych osobowych (DPA)

Ostatnia aktualizacja: 29 maja 2026 r.

1. Strony umowy

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: "DPA" lub "Umowa") stanowi integralną część Regulaminu serwisu BrawoAI i jest zawierana pomiędzy:

  • Administratorem danych - Użytkownikiem serwisu BrawoAI (dalej: "Administrator"), który wprowadza dane klientów końcowych do Serwisu,
  • Podmiotem przetwarzającym - Eskulap s.c., pełna nazwa prawna: "ESKULAP" S.C. KATARZYNA LABOCHA, KONRAD LABOCHA, ul. Długa 135, 42-233 Wierzchowisko, NIP: 5732691259, REGON: 240600470, operator serwisu BrawoAI (dalej: "Procesor").

Kontakt w sprawach DPA: dane@brawoai.pl

2. Przedmiot umowy

2.1. Administrator powierza Procesorowi przetwarzanie danych osobowych klientów końcowych w celu realizacji usług Serwisu BrawoAI, zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

2.2. Przetwarzanie obejmuje następujące operacje: zbieranie, przechowywanie, organizowanie, wykorzystywanie (wysyłka SMS przez SMSAPI, integracja z Google Business Profile, generowanie odpowiedzi AI przez Claude/Anthropic), usuwanie danych.

2.3. Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora. Przetwarzanie wykraczające poza zakres niniejszej Umowy wymaga uprzedniej pisemnej zgody Administratora.

3. Zakres danych

Procesor przetwarza następujące kategorie danych osobowych klientów końcowych:

  • Imię i nazwisko
  • Numer telefonu komórkowego
  • Treść wiadomości SMS (wysłanych i otrzymanych)
  • Opinie Google (treść, data, ocena)
  • Odpowiedzi na opinie (w tym generowane przez AI Claude/Anthropic)
  • Metadane (data dodania, status, historia interakcji)

4. Obowiązki Procesora

Procesor zobowiązuje się do:

  • 4.1. Przetwarzania danych wyłącznie w zakresie i celu określonym w niniejszej Umowie oraz zgodnie z udokumentowanymi poleceniami Administratora.
  • 4.2. Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności.
  • 4.3. Wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania (art. 32 RODO).
  • 4.4. Przestrzegania warunków korzystania z usług podwykonawców przetwarzania (sub-procesorów) określonych w sekcji 6.
  • 4.5. Wspomagania Administratora w realizacji obowiązków wynikających z art. 32-36 RODO, w tym w realizacji praw osób, których dane dotyczą (art. 15-22 RODO), w zakresie technicznie możliwym.
  • 4.6. Usunięcia lub zwrotu danych po zakończeniu świadczenia usług, zgodnie z sekcją 9.
  • 4.7. Udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania zgodności z art. 28 RODO, w tym kopii Standardowych Klauzul Umownych (SCC) zawartych z sub-procesorami - na żądanie Administratora.

5. Środki bezpieczeństwa

Procesor stosuje następujące środki techniczne i organizacyjne:

5.1. Środki techniczne

  • Szyfrowanie danych w transmisji (TLS 1.2+)
  • Szyfrowanie danych w spoczynku (AES-256, Supabase)
  • Uwierzytelnianie wieloskładnikowe dla dostępu administracyjnego
  • Automatyczne kopie zapasowe (codziennie, Supabase)
  • Row Level Security (RLS) - izolacja danych między Użytkownikami
  • Monitorowanie i logowanie dostępu do danych
  • Automatyczne wykrywanie anomalii i alertowanie

5.2. Środki organizacyjne

  • Kontrola dostępu oparta na zasadzie najmniejszych uprawnień
  • Regularne przeglądy uprawnień dostępu
  • Procedury reagowania na incydenty bezpieczeństwa
  • Polityka czystego biurka i ekranu

6. Sub-procesorzy

6.1. Administrator wyraża ogólną zgodę na korzystanie z sub-procesorów przez Procesora.

6.2. Procesor informuje Administratora drogą e-mailową o zamierzonych zmianach dotyczących dodania lub zastąpienia sub-procesorów z 30-dniowym wyprzedzeniem, dając Administratorowi możliwość wniesienia sprzeciwu.

6.3. Aktualna lista sub-procesorów:

Sub-procesorCel i zakres danychLokalizacja
Supabase Inc.Hosting bazy danych, uwierzytelnianie. Dostęp: wszystkie dane klientów końcowych.EU (Frankfurt, Niemcy)
Cloudflare Inc.Hosting aplikacji (Workers), CDN, orkiestracja Workflows. Dostęp: dane w transmisji.Sieć globalna (węzły EU); w przypadku przetwarzania poza EOG - SCC 2021
SMSAPI sp. z o.o.Wysyłka wiadomości SMS. Dostęp: numer telefonu, treść SMS.Polska
Stripe Inc.Przetwarzanie płatności. Dostęp: dane rozliczeniowe (NIP, e-mail, adres).USA (SCC 2021, moduł Kontroler-Procesor)
Anthropic PBCGenerowanie odpowiedzi AI. Dostęp: treść opinii, ocena, nazwa firmy (BEZ danych osobowych klientów końcowych). Anthropic nie trenuje modeli na danych z API.USA (SCC 2021, moduł Procesor-Procesor)
Google LLCIntegracja Google Business Profile. Dostęp: opinie, odpowiedzi na opinie.USA (EU-US Data Privacy Framework)
Crisp IM SASCzat wsparcia technicznego (za zgodą). Dostęp: treść rozmów na czacie.Francja (EU)

6.4. Procesor zapewnia, że każdy sub-procesor jest związany umową zawierającą zobowiązania nie mniej rygorystyczne niż niniejsza DPA.

7. Powiadomienie o naruszeniu

7.1. Procesor powiadomi Administratora o naruszeniu ochrony danych osobowych niezwłocznie, nie później niż w ciągu 24 godzin od momentu stwierdzenia naruszenia, w czasie umożliwiającym Administratorowi zachowanie 72-godzinnego terminu zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych zgodnie z art. 33 RODO.

7.2. Powiadomienie będzie zawierać co najmniej:

  • Opis charakteru naruszenia, w tym kategorie i przybliżoną liczbę osób
  • Dane kontaktowe osoby, od której można uzyskać więcej informacji
  • Opis prawdopodobnych konsekwencji naruszenia
  • Opis środków podjętych lub proponowanych w celu zaradzenia naruszeniu

7.3. Procesor będzie współpracował z Administratorem w zakresie dochodzenia, eliminacji i zgłoszenia naruszenia do organu nadzorczego (jeśli wymagane). Administrator jest zobowiązany do zgłoszenia naruszenia do PUODO w terminie 72 godzin od powzięcia informacji (art. 33 RODO).

8. Audyt

8.1. Administrator ma prawo do przeprowadzenia audytu zgodności Procesora z niniejszą Umową, po uprzednim powiadomieniu z 30-dniowym wyprzedzeniem.

8.2. Audyt może być przeprowadzony przez Administratora lub upoważnionego audytora.

8.3. Procesor udostępni niezbędne informacje i zapewni dostęp w zakresie wymaganym do przeprowadzenia audytu.

8.4. Audyt może być przeprowadzany nie częściej niż raz w roku kalendarzowym, z wyjątkiem audytów wymaganych przez organy nadzorcze lub przeprowadzanych po stwierdzeniu naruszenia ochrony danych osobowych, dla których ograniczenie częstotliwości nie obowiązuje.

8.5. Koszty przeprowadzenia audytu ponosi Administrator. Jeżeli audyt wykaże istotne naruszenie obowiązków Procesora wynikających z RODO lub niniejszej Umowy, koszty audytu pokrywa Procesor.

9. Usunięcie danych po zakończeniu umowy

9.1. Po zakończeniu świadczenia usług (wygaśnięcie lub rozwiązanie subskrypcji) Procesor:

  • Zapewni możliwość samoobsługowego eksportu danych w formacie CSV/JSON przez okres 30 dni od daty zakończenia subskrypcji (zgodnie z art. 23-25 Rozporządzenia UE 2023/2854 - Akt o Danych).
  • Po upływie 30-dniowego okresu eksportu trwale usunie wszystkie dane osobowe klientów końcowych, chyba że przepisy prawa wymagają ich dalszego przechowywania.
  • Na żądanie Administratora przedstawi potwierdzenie usunięcia danych.

10. Transfer danych poza EOG

10.1. W przypadku przekazywania danych poza Europejski Obszar Gospodarczy, Procesor zapewnia stosowanie odpowiednich zabezpieczeń:

  • Standardowe klauzule umowne (SCC) zgodnie z decyzją wykonawczą Komisji (UE) 2021/914 - dla Stripe, Anthropic, Cloudflare
  • EU-US Data Privacy Framework (decyzja wykonawcza Komisji UE 2023/1795) - dla Google LLC

11. Odpowiedzialność

11.1. Procesor ponosi odpowiedzialność za szkody wynikające z przetwarzania danych niezgodnie z niniejszą Umową lub RODO.

11.2. Odpowiedzialność Procesora za szkody inne niż naruszenia ochrony danych osobowych ograniczona jest do kwoty opłat uiszczonych przez Administratora na rzecz Procesora w ciągu ostatnich 12 miesięcy.

11.3. Ograniczenie odpowiedzialności z pkt 11.2 nie dotyczy szkód wynikających z naruszenia ochrony danych osobowych (art. 82 RODO), winy umyślnej lub rażącego niedbalstwa.

12. Czas trwania

12.1. Niniejsza Umowa obowiązuje przez cały okres korzystania z Serwisu BrawoAI przez Administratora oraz przez okres niezbędny do realizacji obowiązków wynikających z Umowy (w szczególności eksport i usunięcie danych).

13. Postanowienia końcowe

13.1. W sprawach nieuregulowanych niniejszą Umową zastosowanie mają przepisy RODO oraz prawa polskiego.

13.2. Wszelkie spory wynikające z Umowy będą rozstrzygane przez sąd właściwy dla siedziby Procesora.

13.3. Umowa wchodzi w życie z chwilą rozpoczęcia korzystania z Serwisu BrawoAI przez Administratora.