← LegalisAI

Umowa Powierzenia Przetwarzania Danych (DPA)

Data obowiązywania: 2026-04-10 Wersja: 1.0

Strony:

  • Administrator (Klient): klient biznesowy korzystający z Usługi
  • Podmiot przetwarzający: LEGALISAI ANDREJS SMOĻAKS (jdg), NIP: 972137878, [OCZEKUJE NA KONFIGURACJĘ]

Niniejsza Umowa stanowi część Regulaminu Usługi pomiędzy Administratorem a Podmiotem przetwarzającym i jest zawierana na podstawie art. 28 RODO.

1. Przedmiot i czas trwania

Podmiot przetwarzający świadczy na rzecz Administratora usługę generowania szkiców dokumentów z wykorzystaniem AI przez czas obowiązywania umowy o świadczenie Usługi. Przetwarzanie danych trwa przez cały okres korzystania z Usługi przez Administratora.

2. Charakter i cel przetwarzania

Czynności przetwarzania obejmują:

  • obsługę Usługi i generowanie szkiców dokumentów na podstawie danych przekazanych przez Administratora;
  • logowanie bezpieczeństwa i zapobieganie nadużyciom;
  • wsparcie i rozwój Usługi;
  • rozliczenia i obsługę płatności (za pośrednictwem podprocesorów).

3. Rodzaje danych osobowych; kategorie osób, których dane dotyczą

Usługa jest zaprojektowana tak, aby unikać danych osobowych w treści odpowiedzi służących do generowania dokumentów, i stosuje w tym celu filtry. Dane osobowe mogą być mimo to przetwarzane incydentalnie, w tym:

  • identyfikatory kont (adres e-mail, imię i nazwisko) upoważnionych użytkowników Klienta;
  • techniczne dane logów (adresy IP, znaczniki czasu, informacje o urządzeniu/przeglądarce);
  • dane osobowe przypadkowo przekazane przez Klienta mimo działania filtrów.

Osobami, których dane dotyczą, mogą być pracownicy Klienta, upoważnieni przedstawiciele oraz użytkownicy końcowi usług Klienta.

4. Obowiązki Administratora

Administrator zobowiązany jest: (a) nie przekazywać danych osobowych w polach tekstowych służących do generowania dokumentów; (b) zapewnić istnienie podstawy prawnej dla wszelkich przekazanych danych osobowych; (c) wypełniać obowiązki informacyjne wobec własnych osób, których dane dotyczą; (d) zapewnić, że z Usługi w ramach konta Klienta korzystają wyłącznie osoby upoważnione.

5. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązany jest: (a) przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa Unii lub prawa państwa członkowskiego; (b) zapewnić, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; (c) wdrożyć odpowiednie techniczne i organizacyjne środki bezpieczeństwa zgodnie z art. 32 RODO; (d) pomagać Administratorowi w wypełnianiu obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO, uwzględniając charakter przetwarzania; (e) pomagać Administratorowi w wypełnianiu obowiązków wynikających z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków), biorąc pod uwagę charakter przetwarzania i dostępne mu informacje; (f) zgodnie z wyborem Administratora, po zakończeniu świadczenia Usługi usunąć lub zwrócić wszelkie dane osobowe oraz usunąć istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych; (g) udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwiać Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, w tym inspekcji, i przyczyniać się do nich, po uprzednim powiadomieniu z rozsądnym wyprzedzeniem i na koszt Administratora.

6. Podprocesorzy

Administrator udziela ogólnej zgody na korzystanie przez Podmiot przetwarzający z podprocesorów wymienionych na stronie /pl/legal/subprocessors, w tym dostawców modeli LLM i infrastruktury hostingowej.

Podmiot przetwarzający informuje Administratora o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia podprocesorów poprzez aktualizację listy podprocesorów z wyprzedzeniem co najmniej 30 dni. Administrator ma prawo sprzeciwić się takim zmianom. Brak sprzeciwu w terminie 30 dni oznacza akceptację zmiany.

Podmiot przetwarzający nakłada na podprocesorów te same obowiązki ochrony danych, co określone w niniejszej Umowie, w drodze stosownej umowy.

7. Transfery poza EOG

W przypadku gdy podprocesory przekazują dane osobowe poza EOG, Podmiot przetwarzający zapewnia odpowiednie zabezpieczenia, w tym:

  • Standardowe Klauzule Umowne (SCC) zgodnie z decyzją Komisji 2021/914/UE;
  • w stosownych przypadkach – unijno-amerykańskie ramy ochrony danych (EU-US Data Privacy Framework) dla podmiotów z USA posiadających certyfikat uczestnictwa.

Szczegóły mechanizmów transferu dla poszczególnych podprocesorów dostępne są na stronie /pl/legal/subprocessors.

8. Środki bezpieczeństwa

Podmiot przetwarzający wdraża co najmniej następujące techniczne i organizacyjne środki bezpieczeństwa:

  • kontrola dostępu i zasada minimalnych uprawnień dla wszystkich systemów produkcyjnych;
  • szyfrowanie transmisji (TLS 1.2+) dla wszystkich połączeń danych;
  • filtrowanie danych wejściowych w celu wykrywania i blokowania danych osobowych w żądaniach generowania dokumentów;
  • logowanie audytowe i monitorowanie dostępu do systemów produkcyjnych;
  • regularna weryfikacja poziomu bezpieczeństwa podprocesorów;
  • procedura reagowania na incydenty, w tym zgłaszanie naruszeń w ciągu 72 godzin od uzyskania informacji o naruszeniu.

Załącznik A – Lista podprocesorów

Zobacz /pl/legal/subprocessors.

Kontakt

Prawne: [email protected]

Prywatność: [email protected]