Ostatnia aktualizacja: 13 maja 2026 r. | Wersja 2.0.
Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych („DPA”) stanowi część Master SaaS Agreement („Umowy Głównej”) zawartej pomiędzy:
Quantum Neuron Inc., spółką prawa stanu Delaware, Stany Zjednoczone Ameryki, z siedzibą pod adresem 169 Madison Ave STE 15768, New York, NY 10016, Stany Zjednoczone („Quantum Neuron”, „my”, „nas”);
oraz
podmiotem wskazanym jako „Klient” w Umowie Głównej („Klient”, „Ty”);
każdy z osobna „Strona”, a łącznie „Strony”, i jest do niej włączona przez odesłanie.
Niniejsza DPA reguluje przetwarzanie Danych Osobowych przez Quantum Neuron w imieniu Klienta w związku ze świadczeniem Usług na podstawie Umowy Głównej. Jej celem jest zapewnienie zgodności z Rozporządzeniem (UE) 2016/679 („RODO UE”), brytyjskim Ogólnym Rozporządzeniem o Ochronie Danych („UK GDPR”) oraz brytyjską ustawą Data Protection Act 2018 (łącznie „Przepisy o Ochronie Danych”).
2. Definicje
Pojęcia pisane wielką literą używane w niniejszej DPA mają znaczenie określone poniżej. Pojęcia nie zdefiniowane w niniejszej DPA mają znaczenie nadane im w Umowie Głównej, a w przypadku braku takiej definicji – znaczenie nadane im we właściwych Przepisach o Ochronie Danych.
„Anonimizacja” oznacza udokumentowany proces stosowany przez Quantum Neuron wobec Danych Osobowych Klienta, mający być nieodwracalny i z rozsądną pewnością uniemożliwiać wyodrębnienie, powiązanie lub wnioskowanie o jakiejkolwiek osobie, której dane dotyczą, zgodnie z kryteriami określonymi przez Europejską Radę Ochrony Danych (w szczególności w Opinii 05/2014 w sprawie technik anonimizacji), oraz podlegający udokumentowanej manualnej weryfikacji („human check”) przed jakimkolwiek dalszym wykorzystaniem.
„Dane Osobowe Klienta” oznaczają Dane Osobowe przetwarzane przez Quantum Neuron w imieniu Klienta na podstawie Umowy Głównej, z wyłączeniem danych przetwarzanych przez Quantum Neuron jako niezależnego administratora zgodnie z punktem 16 (Wyłączenia z zakresu).
„Administrator, Podmiot Przetwarzający, Osoba, której dane dotyczą, Dane Osobowe, Naruszenie Ochrony Danych Osobowych, Przetwarzanie oraz Szczególne Kategorie Danych Osobowych” mają znaczenie nadane im we właściwych Przepisach o Ochronie Danych.
„Użytkownik Końcowy” oznacza osobę fizyczną wchodzącą w interakcję z Personą AI wdrożoną przez Klienta za pośrednictwem jakiegokolwiek kanału komunikacji udostępnionego w ramach Usług.
„EU SCC” oznacza standardowe klauzule umowne zatwierdzone przez Komisję Europejską na podstawie decyzji wykonawczej (UE) 2021/914 z dnia 4 czerwca 2021 r., wraz z wszelkimi późniejszymi decyzjami zastępującymi lub zmieniającymi.
„Functional Scope Annex” ma znaczenie nadane mu w Umowie Głównej.
„High-Risk AI Use Case” ma znaczenie nadane mu w Umowie Głównej.
„Polecenia” oznaczają udokumentowane pisemne polecenia wydane przez Klienta wobec Quantum Neuron dotyczące Przetwarzania Danych Osobowych Klienta, w tym Umowę Główną, niniejszą DPA oraz wszelkie kolejne pisemne polecenia wydane przez Klienta w sposób uzasadniony w zakresie Usług.
„Lead Data” oznaczają Dane Osobowe dotyczące leadów, potencjalnych klientów, odbiorców, klientów lub potencjalnych klientów, importowane, przesyłane, ładowane, synchronizowane lub w inny sposób udostępniane przez Klienta lub w jego imieniu w celu wykorzystania w związku z Usługami, w tym do komunikacji przychodzącej lub wychodzącej.
„Formularz Zamówienia” ma znaczenie nadane mu w Umowie Głównej.
„Komunikacja Wychodząca” oznacza każdą komunikację marketingową, sprzedażową, handlową, telemarketingową, e-mail, SMS, WhatsApp, Messenger, Instagram, głosową, w mediach społecznościowych, w komunikatorach lub inną komunikację wychodzącą inicjowaną, automatyzowaną, wspomaganą lub wspieraną za pośrednictwem Usług.
„Security Annex” oznacza Quantum Neuron Security Annex – wewnętrzny dokument szczegółowo opisujący środki techniczne i organizacyjne wdrożone przez Quantum Neuron, udostępniany Klientowi na żądanie z zastrzeżeniem właściwych zobowiązań poufności.
„Usługi” oznaczają usługi świadczone przez Quantum Neuron na rzecz Klienta na podstawie Umowy Głównej.
„Subprocesor” oznacza dowolny podmiot trzeci zaangażowany przez Quantum Neuron do Przetwarzania Danych Osobowych Klienta w imieniu Klienta.
„Lista Subprocesorów” oznacza listę autoryzowanych Subprocesorów publikowaną i utrzymywaną przez Quantum Neuron pod adresem https://quantumneuron.ai/legal/m26/pl/subprocessors.
„Suppression Data” oznaczają rekordy opt-out, rekordy rezygnacji z subskrypcji, rekordy sprzeciwu, listy wykluczeń, preferencje komunikacyjne, oznaczenia do-not-contact oraz podobne dane wykorzystywane do uniemożliwienia lub ograniczenia komunikacji z Osobami, których dane dotyczą.
„UK Addendum” oznacza International Data Transfer Addendum do EU SCC wydany przez brytyjskiego Information Commissioner’s Office (wersja B1.0) na podstawie sekcji 119A Data Protection Act 2018.
2. Role i zakres
2.1 Role Stron
Strony przyjmują do wiadomości i uzgadniają, że w zakresie Przetwarzania Danych Osobowych Klienta na podstawie niniejszej DPA Klient działa jako Administrator, a Quantum Neuron jako Podmiot Przetwarzający. W przypadku, gdy sam Klient działa jako podmiot przetwarzający w imieniu administratora będącego podmiotem trzecim, Quantum Neuron uznaje się za dalszego podprzetwarzającego (sub-processor), a obowiązki określone w niniejszej DPA mają odpowiednio zastosowanie.
2.2 Zakres niniejszej DPA
Niniejsza DPA ma zastosowanie wyłącznie do Przetwarzania Danych Osobowych Klienta dokonywanego przez Quantum Neuron w imieniu Klienta w związku z Usługami. Nie ma zastosowania do kategorii czynności Przetwarzania opisanych w punkcie 16 (Wyłączenia z zakresu), w odniesieniu do których Quantum Neuron działa jako niezależny administrator zgodnie z własną klauzulą informacyjną.
2.3 Opis Przetwarzania
Przedmiot, charakter, cel, czas trwania, kategorie Osób, których dane dotyczą, oraz kategorie Danych Osobowych przetwarzanych na podstawie niniejszej DPA zostały określone w Załączniku I.
2.4 Współadministrowanie na platformach podmiotów trzecich
Klient przyjmuje do wiadomości, że niektóre integracje z platformami podmiotów trzecich (w tym między innymi z Messengerem, Instagramem, WhatsApp Business oraz Facebookiem należącymi do Meta) mogą prowadzić do powstania stosunków współadministrowania pomiędzy Klientem a takimi podmiotami trzecimi na podstawie art. 26 RODO UE, zgodnie z warunkami platformy danego dostawcy. Quantum Neuron nie jest stroną takich ustaleń współadministrowania. Strony przyjmują do wiadomości, że operacyjne wdrożenie takich ustaleń współadministrowania należy do obowiązków Klienta oraz danej platformy podmiotu trzeciego.
2.5 Klient działający jako podmiot przetwarzający
W przypadku, gdy Klient działa jako podmiot przetwarzający w imieniu administratora będącego podmiotem trzecim, w tym gdy Klient korzysta z Usług w celu komunikacji z leadami, potencjalnymi klientami lub klientami w imieniu własnego klienta, Klient oświadcza, że jest uprawniony do wyznaczenia Quantum Neuron jako dalszego podprzetwarzającego oraz do wydawania Poleceń określonych w niniejszej DPA. Klient zapewni, że właściwy administrator będący podmiotem trzecim został poinformowany o zaangażowaniu Quantum Neuron jako dalszego podprzetwarzającego oraz – tam, gdzie jest to wymagane – wyraził na to zgodę.
Polecenia dotyczące przetwarzania
3.1 Zgodność z prawem i Polecenia
Quantum Neuron Przetwarza Dane Osobowe Klienta wyłącznie na podstawie udokumentowanych Poleceń Klienta, w tym w odniesieniu do każdego przekazywania Danych Osobowych Klienta do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki nakłada na Quantum Neuron prawo Unii Europejskiej lub prawo państwa członkowskiego. W takim przypadku Quantum Neuron poinformuje Klienta o tym obowiązku prawnym przed Przetwarzaniem, chyba że prawo to zakazuje takiego informowania ze względu na ważny interes publiczny.
3.2 Niezgodne z prawem Polecenia
Quantum Neuron niezwłocznie poinformuje Klienta, jeżeli – w jego opinii – Polecenie narusza obowiązujące Przepisy o Ochronie Danych. W takim przypadku Quantum Neuron jest uprawnione do zawieszenia wykonywania danego Polecenia do czasu jego potwierdzenia lub zmiany przez Klienta. Dotyczy to między innymi Poleceń odnoszących się do niezgodnej z prawem Komunikacji Wychodzącej, niezgodnego z prawem wykorzystania Lead Data, przetwarzania bez wymaganej podstawy prawnej lub komunikacji z Osobami, których dane dotyczą, które zgłosiły sprzeciw lub wycofały zgodę.
3.3 Obowiązki Administratora
Klient oświadcza i zapewnia, że: (a) posiada ważną podstawę prawną na mocy art. 6 RODO UE (oraz, w stosownych przypadkach, art. 9 RODO UE) dla Przetwarzania Danych Osobowych Klienta przez Quantum Neuron; (b) zapewnił wszystkie wymagane klauzule informacyjne oraz uzyskał wszystkie zgody wymagane na podstawie właściwych Przepisów o Ochronie Danych, w tym wobec własnych klientów, pracowników i Użytkowników Końcowych w odniesieniu do Przetwarzania ich Danych Osobowych za pośrednictwem Usług; oraz (c) jego Polecenia wobec Quantum Neuron są zgodne z właściwymi Przepisami o Ochronie Danych.
W przypadku gdy Dane Osobowe Klienta obejmują Lead Data, listy kontaktów, dane odbiorców, numery telefonów, adresy e-mail, identyfikatory w mediach społecznościowych, Suppression Data lub inne dane wykorzystywane do Komunikacji Wychodzącej, Klient oświadcza i zapewnia, że dane te zostały zebrane, pozyskane, zaimportowane, przesłane i wykorzystane zgodnie z prawem oraz że Klient uzyskał i będzie utrzymywał wszystkie podstawy prawne, klauzule informacyjne, zgody, uprawnienia, rekordy opt-in, rekordy opt-out, listy wykluczeń oraz inne rekordy wymagane dla danej czynności przetwarzania, kanału komunikacji i jurysdykcji. Klient pozostaje wyłącznie odpowiedzialny za ustalenie, czy korzystanie z Usług w celu Komunikacji Wychodzącej jest zgodne z obowiązującymi przepisami o ochronie danych, ePrivacy, łączności elektronicznej, telemarketingu, anty-spamowymi, konsumenckimi oraz zasadami platform.
Szczególne Kategorie Danych Osobowych
Usługi nie są specjalnie zaprojektowane do Przetwarzania Szczególnych Kategorii Danych Osobowych w rozumieniu art. 9 RODO UE. Klient nie będzie przekazywał takich danych do Platformy, chyba że spełnione zostaną wszystkie poniższe warunki:
(a) Klient posiada ważną podstawę prawną na mocy art. 9 ust. 2 RODO UE oraz, w stosownych przypadkach, równoważnych przepisów UK GDPR lub prawa krajowego;
(b) Klient poinformował właściwe Osoby, których dane dotyczą, oraz uzyskał wszelkie zgody wymagane na podstawie właściwych Przepisów o Ochronie Danych;
(c) Klient aktywował odpowiedni poziom subskrypcji lub funkcjonalność u Quantum Neuron, o ile są one oferowane; oraz
(d) Strony zawarły wszelkie dodatkowe postanowienia, aneksy lub środki techniczne i organizacyjne w sposób uzasadniony wymagane przez Quantum Neuron w związku z przetwarzaniem takich danych.
Jeżeli przetwarzanie przez Klienta obejmuje Szczególne Kategorie Danych Osobowych w sposób regularny lub w istotnym zakresie, Strony mogą zawrzeć dodatkowy aneks dotyczący danych zdrowotnych lub wrażliwych, ustanawiający zaostrzone zabezpieczenia techniczne, organizacyjne i umowne. Klient ponosi pełną odpowiedzialność za zapewnienie, że jakiekolwiek Przetwarzanie Szczególnych Kategorii Danych Osobowych za pośrednictwem Usług jest zgodne z właściwymi Przepisami o Ochronie Danych.
Klient nie będzie wykorzystywał Usług do wnioskowania, targetowania, segmentowania ani prowadzenia Komunikacji Wychodzącej na podstawie Szczególnych Kategorii Danych Osobowych, chyba że spełnione zostaną warunki niniejszego punktu 4, a Strony uzgodnią dodatkowe postanowienia.
Poufność i personel
Quantum Neuron zapewni, że jego personel oraz wszelkie inne osoby upoważnione do Przetwarzania Danych Osobowych Klienta:
zostały zobowiązane do zachowania poufności, na podstawie umowy lub obowiązku ustawowego, który obowiązuje również po zakończeniu współpracy z Quantum Neuron;
Przetwarzają Dane Osobowe Klienta wyłącznie na Polecenia Klienta i wyłącznie w niezbędnym zakresie (need-to-know);
otrzymały odpowiednie szkolenie w zakresie obowiązków dotyczących ochrony Danych Osobowych; oraz
podlegają praktykom zarządzania dostępem użytkowników ograniczającym dostęp do Danych Osobowych Klienta do zakresu ściśle niezbędnego do wykonywania ich obowiązków.
6. Bezpieczeństwo przetwarzania
6.1 Środki techniczne i organizacyjne
Quantum Neuron wdroży i będzie utrzymywać odpowiednie środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa odpowiedni do ryzyka związanego z Przetwarzaniem, zgodnie z art. 32 RODO UE oraz równoważnymi przepisami UK GDPR. Podsumowanie takich środków zostało określone w Załączniku II. Bardziej szczegółowy opis zawiera Security Annex, udostępniany Klientowi na żądanie z zastrzeżeniem właściwych zobowiązań poufności.
6.2 Aktualizacje środków bezpieczeństwa
Quantum Neuron może okresowo aktualizować środki techniczne i organizacyjne, pod warunkiem że takie aktualizacje nie obniżają istotnie ogólnego poziomu ochrony Danych Osobowych Klienta.
6.3 Narzędzia diagnostyczne i monitorujące
W przypadku stosowania session replay, monitorowania błędów lub narzędzi diagnostycznych w związku z Usługami, Quantum Neuron skonfiguruje maskowanie, scrubbing lub równoważne mechanizmy kontroli dla wrażliwych pól formularzy i treści wprowadzanych przez użytkownika, w zakresie technicznie obsługiwanym przez dane narzędzie.
7. Inspektor Ochrony Danych i Przedstawiciele
7.1 Inspektor Ochrony Danych
Quantum Neuron wyznaczył Inspektora Ochrony Danych zgodnie z art. 37 RODO UE. Inspektorem Ochrony Danych jest Pan Krzysztof Kochanowski, kontakt: ido@quantumneuron.ai. Inspektor Ochrony Danych jest głównym punktem kontaktu w sprawach dotyczących Przetwarzania Danych Osobowych na podstawie niniejszej DPA, obok adresu privacy@quantumneuron.ai dla ogólnych zapytań dotyczących prywatności.
7.2 Przedstawiciel w UE (art. 27 RODO UE)
Quantum Neuron wyznaczyło na piśmie następującego Przedstawiciela w UE zgodnie z art. 27 RODO UE:
Quantum Neuron Sp. z o.o., ul. Żurawia 6/12/745, 00-503 Warszawa, Polska. Kontakt: ido@quantumneuron.ai.
7.3 Przedstawiciel w UK (art. 27 UK GDPR)
Quantum Neuron wyznaczyło na piśmie następującego Przedstawiciela w UK zgodnie z art. 27 UK GDPR:
Kochanowski Consulting Ltd, 151 Picton Road, Liverpool, Merseyside L15 4LG, Zjednoczone Królestwo. Kontakt: ido@quantumneuron.ai.
8. Subprocesorzy
8.1 Ogólne upoważnienie
Klient udziela Quantum Neuron ogólnego pisemnego upoważnienia do angażowania Subprocesorów w związku ze świadczeniem Usług. Aktualna lista autoryzowanych Subprocesorów znajduje się na Liście Subprocesorów publikowanej pod adresem https://quantumneuron.ai/legal/m26/pl/subprocessors.
8.2 Obowiązki nałożone na Subprocesorów
Quantum Neuron zawrze pisemną umowę z każdym Subprocesorem, zawierającą obowiązki w zakresie ochrony danych w istocie równoważne z tymi określonymi w niniejszej DPA. W przypadku gdy Subprocesor znajduje się poza Europejskim Obszarem Gospodarczym lub Zjednoczonym Królestwem, Quantum Neuron zapewni wdrożenie odpowiedniego mechanizmu transferu na podstawie Rozdziału V RODO UE lub UK GDPR, w tym, w stosownych przypadkach, EU SCC, UK Addendum lub stosownej decyzji o adekwatności.
8.3 Powiadomienie o zmianach
Quantum Neuron przekaże Klientowi pisemne powiadomienie z co najmniej trzydziestodniowym (30) wyprzedzeniem o każdej planowanej zmianie polegającej na dodaniu lub zastąpieniu Subprocesora. Powiadomienie takie zostanie przekazane poprzez wysłanie wiadomości e-mail do osoby kontaktowej Klienta ds. prywatności oraz poprzez aktualizację Listy Subprocesorów.
8.4 Prawo sprzeciwu
Klient może wnieść sprzeciw wobec proponowanej zmiany w terminie trzydziestu (30) dni od otrzymania powiadomienia, z uzasadnionych powodów związanych z ochroną danych. Strony w dobrej wierze podejmą starania w celu wypracowania wzajemnie akceptowalnego rozwiązania w terminie trzydziestu (30) dni od zgłoszenia sprzeciwu przez Klienta. Jeżeli rozwiązanie nie zostanie osiągnięte, Klient może – jako jedyny i wyłączny środek prawny: (a) zaprzestać korzystania z funkcji lub funkcjonalności, której dotyczy proponowana zmiana Subprocesora; lub (b) rozwiązać dotkniętą część Umowy Głównej za pisemnym wypowiedzeniem, z proporcjonalnym zwrotem wszelkich wcześniej zapłaconych i niewykorzystanych opłat przypadających na rozwiązaną funkcjonalność.
8.5 Odpowiedzialność za Subprocesorów
Quantum Neuron pozostaje odpowiedzialne wobec Klienta za działania i zaniechania swoich Subprocesorów w takim samym zakresie, jak gdyby takie działania lub zaniechania zostały dokonane przez samo Quantum Neuron, z zastrzeżeniem ograniczeń odpowiedzialności określonych w Umowie Głównej.
Międzynarodowe transfery danych
9.1 Podstawowa lokalizacja Przetwarzania
Podstawowe Przetwarzanie Danych Osobowych Klienta odbywa się w obrębie Europejskiego Obszaru Gospodarczego. Wszelkie transfery Danych Osobowych Klienta poza Europejski Obszar Gospodarczy lub Zjednoczone Królestwo są realizowane w oparciu o ważny mechanizm transferu na podstawie Rozdziału V RODO UE lub UK GDPR.
9.2 Standardowe Klauzule Umowne UE
W przypadku gdy Quantum Neuron Przetwarza Dane Osobowe Klienta podlegające RODO UE poza Europejskim Obszarem Gospodarczym w okolicznościach wymagających mechanizmu transferu na podstawie Rozdziału V RODO UE, EU SCC (Moduł Drugi: Administrator-do-Podmiotu Przetwarzającego lub – jeżeli sam Klient jest podmiotem przetwarzającym – Moduł Trzeci: Podmiot Przetwarzający-do-Podmiotu Przetwarzającego) zostają niniejszym włączone przez odesłanie do niniejszej DPA i uznane za zawarte pomiędzy Stronami. Dla celów Klauzuli 17 EU SCC Strony wybierają Opcję 1 oraz prawo Irlandii jako prawo właściwe. Dla celów Klauzuli 18(b) Strony wybierają sądy Irlandii. Załącznik I i Załącznik II niniejszej DPA pełnią odpowiednio funkcję Załącznika I i Załącznika II do EU SCC. Załącznik III do EU SCC zostaje uzupełniony poprzez odesłanie do Listy Subprocesorów.
9.3 UK International Data Transfer Addendum
W przypadku gdy Quantum Neuron Przetwarza Dane Osobowe Klienta podlegające UK GDPR poza Zjednoczonym Królestwem w okolicznościach wymagających mechanizmu transferu na podstawie Rozdziału V UK GDPR, UK Addendum zostaje niniejszym włączone przez odesłanie do niniejszej DPA i ma zastosowanie jako uzupełnienie EU SCC. Tabele 1–4 UK Addendum zostają uzupełnione poprzez odesłanie do odpowiednich informacji zawartych w niniejszej DPA oraz w Załączniku I i Załączniku II.
9.4 Ocena skutków transferu
W przypadku gdy Dane Osobowe Klienta są przekazywane do państwa nieobjętego decyzją o adekwatności na podstawie art. 45 RODO UE lub równoważnym przepisem UK GDPR, Quantum Neuron przeprowadziło lub przeprowadzi ocenę skutków transferu (Transfer Impact Assessment) zgodnie z Rekomendacjami Europejskiej Rady Ochrony Danych 01/2020 dotyczącymi środków uzupełniających narzędzia transferu, uwzględniając prawo i praktykę kraju docelowego oraz identyfikując odpowiednie dodatkowe środki techniczne, umowne i organizacyjne, gdzie jest to konieczne. Podsumowanie takiej oceny jest udostępniane Klientowi na żądanie, z zastrzeżeniem właściwych zobowiązań poufności.
9.5 Konflikt
W przypadku jakiegokolwiek konfliktu lub niezgodności pomiędzy niniejszą DPA a EU SCC lub UK Addendum w odniesieniu do danego transferu Danych Osobowych Klienta, postanowienia EU SCC lub UK Addendum (odpowiednio) mają pierwszeństwo.
9.6 Lokalizacja Subprocesorów i mechanizm transferu
Lista Subprocesorów wskazuje, w miarę dostępności, lokalizację oraz mechanizm transferu mający zastosowanie do każdego Subprocesora.
10. Prawa Osób, których dane dotyczą
10.1 Pomoc dla Klienta
Biorąc pod uwagę charakter Przetwarzania, Quantum Neuron będzie wspierać Klienta poprzez odpowiednie środki techniczne i organizacyjne, w zakresie, w jakim jest to możliwe, w wykonywaniu obowiązku Klienta dotyczącego odpowiadania na żądania Osób, których dane dotyczą, korzystających ze swoich praw na podstawie Rozdziału III RODO UE lub Rozdziału III UK GDPR.
10.2 Wystąpienia od Osób, których dane dotyczą
Jeżeli Quantum Neuron otrzyma żądanie od Osoby, której dane dotyczą, dotyczące Danych Osobowych Klienta, nie odpowie na nie bezpośrednio (poza potwierdzeniem otrzymania lub przekierowaniem Osoby, której dane dotyczą, do Klienta) i przekaże takie żądanie Klientowi bez zbędnej zwłoki.
10.3 Czas odpowiedzi
Quantum Neuron odpowie na żądanie Klienta o pomoc w związku z żądaniem Osoby, której dane dotyczą, w terminie czternastu (14) dni od otrzymania żądania Klienta. W przypadku żądań skomplikowanych lub obejmujących istotny wolumen Danych Osobowych Klienta, Quantum Neuron może przedłużyć ten termin o odpowiedni dodatkowy okres, pod warunkiem że poinformuje Klienta o takim przedłużeniu w pierwotnym terminie czternastu dni.
10.4 Koszty
Pomoc w zakresie żądań Osób, których dane dotyczą, jest świadczona bez dodatkowych kosztów dla Klienta i jest objęta opłatami należnymi na podstawie Umowy Głównej, pod warunkiem że wolumen i częstotliwość takich żądań są rozsądne. Quantum Neuron zastrzega sobie prawo do pobrania rozsądnej opłaty za pomoc, która jest oczywiście nieuzasadniona, nadmierna lub powtarzalna, zgodnie z art. 12 ust. 5 RODO UE.
11. Powiadomienie o Naruszeniu Ochrony Danych Osobowych
11.1 Termin powiadomienia
Quantum Neuron powiadomi Klienta bez zbędnej zwłoki, a w każdym razie w terminie czterdziestu ośmiu (48) godzin od powzięcia wiedzy o Naruszeniu Ochrony Danych Osobowych dotyczącym Danych Osobowych Klienta. Dla celów niniejszej DPA „powzięcie wiedzy” oznacza moment, w którym Quantum Neuron z rozsądną pewnością – w oparciu o swoje wewnętrzne możliwości wykrywania i badania incydentów bezpieczeństwa – stwierdza wystąpienie Naruszenia Ochrony Danych Osobowych. Limit 48 godzin określony w niniejszym punkcie 11.1 ma zastosowanie do Naruszeń Ochrony Danych Osobowych w rozumieniu art. 4 pkt 12 RODO UE. W przypadku gdy Umowa Główna (lub dodatkowa umowa enterprise) zawiera Quantum Neuron Security Annex z krótszymi SLA powiadamiania w zależności od priorytetu incydentu (np. jedna (1) godzina robocza dla incydentów Priorytetu 1), takie krótsze terminy mają zastosowanie dodatkowo i mają pierwszeństwo przed limitem 48 godzin w odniesieniu do incydentów, których dotyczą.
11.2 Treść powiadomienia
Powiadomienie zawiera, w zakresie w jakim jest to w sposób uzasadniony dostępne w chwili powiadomienia:
(a) opis charakteru Naruszenia Ochrony Danych Osobowych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę Osób, których dane dotyczą, oraz przybliżoną liczbę dotkniętych rekordów;
(b) dane kontaktowe punktu kontaktowego Quantum Neuron ds. prywatności pod adresem privacy@quantumneuron.ai, Inspektora Ochrony Danych pod adresem ido@quantumneuron.ai lub innego wskazanego punktu kontaktowego w celu uzyskania dalszych informacji;
(c) opis możliwych konsekwencji Naruszenia Ochrony Danych Osobowych; oraz
(d) opis środków zastosowanych lub proponowanych do zastosowania przez Quantum Neuron w celu zaradzenia Naruszeniu Ochrony Danych Osobowych, w tym, w stosownych przypadkach, środków mających na celu zminimalizowanie jego ewentualnych negatywnych skutków.
11.3 Dalsza współpraca
Jeżeli – i o ile – udzielenie powyższych informacji w tym samym czasie nie jest możliwe, mogą one być udzielane w częściach, bez dalszej zbędnej zwłoki. Quantum Neuron będzie w dobrej wierze współpracować z Klientem w związku z własnymi obowiązkami Klienta dotyczącymi powiadamiania właściwych organów nadzorczych oraz, w stosownych przypadkach, Osób, których dane dotyczą, na podstawie art. 33 i 34 RODO UE lub równoważnych przepisów UK GDPR.
11.4 Brak uznania odpowiedzialności
Powiadomienie o Naruszeniu Ochrony Danych Osobowych przez Quantum Neuron nie stanowi uznania przez Quantum Neuron jakiejkolwiek winy lub odpowiedzialności w związku z Naruszeniem Ochrony Danych Osobowych.
12. Ocena skutków dla ochrony danych i uprzednie konsultacje
Biorąc pod uwagę charakter Przetwarzania oraz dostępne mu informacje, Quantum Neuron udzieli Klientowi rozsądnej pomocy w przeprowadzaniu ocen skutków dla ochrony danych zgodnie z art. 35 RODO UE oraz w konsultacjach z organami nadzorczymi zgodnie z art. 36 RODO UE, jeżeli Klient w sposób uzasadniony uzna, że takie oceny lub konsultacje są wymagane.
W przypadku gdy Klient wykorzystuje Usługi do Komunikacji Wychodzącej, aktywacji leadów na dużą skalę, połączeń głosowych, kampanii SMS, kampanii WhatsApp lub podobnej komunikacji, Klient pozostaje odpowiedzialny za ustalenie, czy ocena skutków dla ochrony danych, ocena prawnie uzasadnionego interesu, ocena ePrivacy, ocena zgodności telemarketingu lub równoważna ocena jest wymagana dla jego konkretnego przypadku użycia. Quantum Neuron udzieli Klientowi rozsądnej pomocy zgodnie z niniejszym punktem, biorąc pod uwagę charakter Przetwarzania oraz informacje dostępne Quantum Neuron.
13. Audyty i prawa do informacji
13.1 Prawa do informacji
Quantum Neuron udostępni Klientowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszej DPA oraz w obowiązujących Przepisach o Ochronie Danych, w tym:
(a) odpowiedzi na rozsądne pisemne kwestionariusze bezpieczeństwa i ochrony danych przedłożone przez Klienta;
(b) właściwe raporty audytów zewnętrznych, certyfikaty i atesty (w tym, w miarę dostępności, raporty ISO/IEC 27001 i SOC 2), z zastrzeżeniem właściwych zobowiązań poufności; oraz
(c) po zawarciu umowy o zachowaniu poufności – dostęp do Quantum Neuron Security Annex opisującego bardziej szczegółowo środki techniczne i organizacyjne.
13.2 Audyty on-site
Klient lub audytor wyznaczony przez Klienta może przeprowadzić audyt on-site czynności przetwarzania prowadzonych przez Quantum Neuron na podstawie niniejszej DPA, z zastrzeżeniem następujących warunków:
(a) nie częściej niż raz w roku kalendarzowym, z wyjątkiem sytuacji potwierdzonego Naruszenia Ochrony Danych Osobowych;
(b) za pisemnym powiadomieniem z co najmniej trzydziestodniowym (30) wyprzedzeniem;
(c) przeprowadzany w zwykłych godzinach pracy, bez nieuzasadnionych zakłóceń działalności Quantum Neuron;
(d) na wyłączny koszt Klienta, w tym rozsądnych opłat naliczanych przez Quantum Neuron z tytułu czasu pracy i wsparcia personelu, z wyjątkiem sytuacji potwierdzonego Naruszenia Ochrony Danych Osobowych dotykającego Klienta, w której to audyt jest przeprowadzany bezpłatnie i bez ograniczeń co do częstotliwości;
(e) z zastrzeżeniem zawarcia umowy o zachowaniu poufności pomiędzy Quantum Neuron a audytorem zewnętrznym, który nie może być konkurentem Quantum Neuron; oraz
(f) ograniczony zakresem do informacji i systemów w sposób uzasadniony niezbędnych do weryfikacji zgodności z niniejszą DPA.
13.3 Raporty z audytu
Klient niezwłocznie przekaże Quantum Neuron kopię raportu z audytu i będzie traktował raport oraz wszelkie informacje uzyskane w toku audytu jako informacje poufne Quantum Neuron.
14. Trenowanie modeli AI i środowiska testowe
14.1 Brak wykorzystania Danych Osobowych Klienta do trenowania
Quantum Neuron nie wykorzystuje Danych Osobowych Klienta w formie umożliwiającej identyfikację do trenowania, dostrajania (fine-tuning) ani innego ulepszania modeli AI leżących u podstaw Usług. Quantum Neuron wykorzystuje do takich celów wyłącznie dane uprzednio poddane udokumentowanemu procesowi nieodwracalnej Anonimizacji. Po skutecznej Anonimizacji powstałe dane nie stanowią już Danych Osobowych w rozumieniu obowiązujących Przepisów o Ochronie Danych i tym samym pozostają poza materialnym zakresem RODO UE i UK GDPR oraz poza zakresem niniejszej DPA.
14.2 Domyślny pipeline anonimizacji
Domyślnie Quantum Neuron przetwarza wybrane Dane Osobowe Klienta w ramach udokumentowanego procesu nieodwracalnej Anonimizacji w następujących celach:
(a) dostrajania (fine-tuning) i ulepszania modeli AI leżących u podstaw Usług; oraz
(b) wykorzystania wybranych danych produkcyjnych, po Anonimizacji, w środowiskach testowych nieprodukcyjnych obsługiwanych przez Quantum Neuron.
Proces Anonimizacji został zaprojektowany jako nieodwracalny i jest weryfikowany przez udokumentowany manualny krok weryfikacyjny przed jakimkolwiek dalszym wykorzystaniem, zgodnie z kryteriami określonymi przez Europejską Radę Ochrony Danych (Opinia 05/2014). Powstałe Zanonimizowane zbiory danych nie zawierają surowych logów rozmów ani nie są powiązane z żadnym identyfikatorem Klienta, identyfikatorem tenanta, identyfikatorem konta ani innym odniesieniem łączącym dane z konkretnym Klientem lub identyfikowalną osobą fizyczną.
14.3 Opt-out
Klient może w dowolnym momencie zrezygnować (opt-out) z przetwarzania opisanego w punkcie 14.2 poprzez pisemne zawiadomienie wysłane na adres privacy@quantumneuron.ai z kopią do legal@quantumneuron.ai. Klient może również dokonać opt-outu bezpośrednio w odpowiednim Formularzu Zamówienia, w którym to przypadku opt-out obowiązuje od początku odpowiedniego okresu subskrypcji. Po otrzymaniu takiego zawiadomienia Quantum Neuron zaprzestanie dalszego przetwarzania nowo pozyskanych Danych Osobowych Klienta w swoim pipeline anonimizacji w rozsądnym terminie nieprzekraczającym piętnastu (15) dni. Dla uniknięcia wątpliwości opt-out działa wyłącznie na przyszłość i nie wpływa na dane, które zostały już poddane Anonimizacji przed datą wejścia w życie opt-outu, ponieważ takie dane nie stanowią już Danych Osobowych.
14.4 Obowiązki Administratora
Klient potwierdza, że posiada – lub będzie posiadał przed przeprowadzeniem odpowiedniego Przetwarzania – ważną podstawę prawną dla Przetwarzania opisanego w niniejszym punkcie 14, oraz że poinformuje własnych klientów, pracowników i Użytkowników Końcowych o takim Przetwarzaniu, jeżeli jest to wymagane przez obowiązujące Przepisy o Ochronie Danych.
14.5 Modele bazowe (foundation models)
Dane Osobowe Klienta nie są udostępniane zewnętrznym deweloperom modeli bazowych (foundation models), w tym między innymi OpenAI, Anthropic i Google, ani nie są wykorzystywane do trenowania, dostrajania lub innego ulepszania takich modeli bazowych poza własnymi wdrożeniami Quantum Neuron. Quantum Neuron korzysta z modeli bazowych za pośrednictwem usług chmurowych klasy enterprise (obecnie Microsoft Azure oraz, w ograniczonym i opcjonalnym zakresie, Google Cloud Vertex AI) na warunkach umownych zakazujących wykorzystywania danych klienta do trenowania, dostrajania lub ulepszania takich modeli bazowych przez danego dostawcę chmury.
Konkretne komponenty infrastruktury AI oraz orkiestracji modeli wykorzystywane w danym wdrożeniu u Klienta mogą się różnić w zależności od funkcjonalności, kanałów komunikacji, regionu, konfiguracji i integracji wybranych w ramach odpowiedniego Formularza Zamówienia i odzwierciedlonych na Liście Subprocesorów. Quantum Neuron nie zezwoli dostawcom modeli AI będącym podmiotami trzecimi na wykorzystywanie Danych Osobowych Klienta do trenowania, dostrajania lub ulepszania ich modeli ogólnego przeznaczenia lub modeli bazowych, chyba że zostanie to wyraźnie uzgodnione na piśmie z Klientem.
15. Zwrot i usunięcie Danych Osobowych Klienta
15.1 Retencja w okresie obowiązywania
Quantum Neuron będzie przechowywać Dane Osobowe Klienta przez okres trwania subskrypcji na podstawie Umowy Głównej lub do wcześniejszego usunięcia na Polecenie Klienta. Klient odpowiada za konfigurację odpowiednich ustawień retencji dostępnych w ramach Usług oraz za wydawanie Poleceń usunięcia danych zgodnie z obowiązującymi Przepisami o Ochronie Danych.
15.2 Zwrot lub usunięcie po rozwiązaniu
Po rozwiązaniu lub wygaśnięciu Umowy Głównej Quantum Neuron – według wyboru Klienta – zwróci lub usunie wszystkie Dane Osobowe Klienta będące w jego posiadaniu w terminie trzydziestu (30) dni od daty wejścia w życie rozwiązania, a usunie takie dane z systemów kopii zapasowych w terminie kolejnych dziewięćdziesięciu (90) dni, chyba że obowiązujące prawo wymaga dalszego przechowywania.
15.3 Wyjątek Anonimizacji
Przed usunięciem dokonywanym na podstawie punktu 15.2, i o ile Klient nie dokonał opt-outu na podstawie punktu 14.3 ani nie wniósł innego pisemnego sprzeciwu, Quantum Neuron może zastosować swój udokumentowany proces nieodwracalnej Anonimizacji do wybranych Danych Osobowych Klienta. Dane, które zostały skutecznie Zanonimizowane, nie stanowią już Danych Osobowych w rozumieniu obowiązujących Przepisów o Ochronie Danych i nie podlegają obowiązkom usunięcia określonym w niniejszym punkcie 15. Dla uniknięcia wątpliwości Zanonimizowane zbiory danych zatrzymane przez Quantum Neuron na podstawie niniejszego punktu 15.3 nie są powiązane z Klientem, z żadnym identyfikatorem tenanta lub konta Klienta ani z jakimkolwiek innym identyfikatorem umożliwiającym powiązanie danych z konkretnym Klientem lub identyfikowalną osobą fizyczną, po rozwiązaniu Umowy Głównej. Klient może w dowolnym momencie pisemnie sprzeciwić się takiej Anonimizacji, w którym to przypadku odpowiednie Dane Osobowe Klienta zostaną usunięte zgodnie z punktem 15.2 bez poddania ich procesowi Anonimizacji.
Jeżeli Klient dokonał opt-outu w odpowiednim Formularzu Zamówienia, Quantum Neuron nie zastosuje procesu Anonimizacji opisanego w niniejszym punkcie 15.3 do nowo pozyskanych Danych Osobowych Klienta objętych takim opt-outem.
15.4 Potwierdzenie
Na pisemne żądanie Klienta Quantum Neuron przekaże pisemne potwierdzenie wykonania obowiązków określonych w niniejszym punkcie 15.
16. Wyłączenia z zakresu
Niniejsza DPA nie reguluje następujących czynności Przetwarzania, w odniesieniu do których Quantum Neuron działa jako niezależny administrator zgodnie ze swoją klauzulą informacyjną dostępną pod adresem https://quantumneuron.ai/legal/m26/pl/privacy:
(a) Przetwarzanie danych rozliczeniowych, płatniczych oraz administracyjnych konta Klienta w celach wykonania umowy, fakturowania oraz zgodności z obowiązkami finansowymi i podatkowymi;
(b) Przetwarzanie komunikacji wsparcia (support) inicjowanej przez Klienta lub jego upoważniony personel (w tym zgłoszeń wsparcia, korespondencji e-mail oraz załączników przekazywanych w związku z taką komunikacją) w celu świadczenia wsparcia, rozwiązywania problemów oraz poprawy jakości usług;
(c) Przetwarzanie telemetrii bezpieczeństwa, logów dostępu, logów audytowych oraz powiązanych danych operacyjnych w celu ochrony bezpieczeństwa, integralności i dostępności Usług, zapobiegania i wykrywania nadużyć i oszustw oraz wypełniania prawnych i regulacyjnych obowiązków Quantum Neuron; oraz
(d) Przetwarzanie zagregowanych, zdeidentyfikowanych lub technicznych analityk produktowych w celu prowadzenia, utrzymywania i ulepszania Usług.
W zakresie, w jakim takie Przetwarzanie obejmuje Dane Osobowe, Quantum Neuron Przetwarza takie dane zgodnie z obowiązującymi Przepisami o Ochronie Danych oraz w oparciu o właściwą podstawę prawną na mocy art. 6 RODO UE. W zakresie, w jakim jakiekolwiek Przetwarzanie na podstawie niniejszego punktu 16 zostanie uznane przez właściwy organ nadzorczy lub sąd za wykraczające poza rolę Quantum Neuron jako administratora w odniesieniu do konkretnego Klienta, obowiązki podmiotu przetwarzającego określone w niniejszej DPA stosuje się do takiego Przetwarzania odpowiednio (mutatis mutandis).
17. Zgodność z AI Act
17.1 Zakres odniesień do AI Act
Odniesienia do Rozporządzenia (UE) 2024/1689 („AI Act”) w niniejszej DPA mają zastosowanie wyłącznie w zakresie, w jakim dane wykorzystanie, wdrożenie, rezultat (output), wprowadzenie do obrotu lub obowiązek prawny mieszczą się w terytorialnym lub eksterytorialnym zakresie zastosowania AI Act. W odniesieniu do Klientów z siedzibą w Zjednoczonym Królestwie lub poza Unią Europejską takie odniesienia nie stanowią uznania, że AI Act ma automatyczne zastosowanie do wszystkich sposobów korzystania z Usług. Ograniczenia dotyczące High-Risk AI Use Cases mogą jednak mieć zastosowanie jako umowny standard bezpieczeństwa na podstawie Umowy Głównej.
17.2 Role providera i deployera
W zakresie, w jakim AI Act ma zastosowanie, Quantum Neuron działa jako „provider” systemu AI, a Klient działa jako „deployer” systemu AI w rozumieniu AI Act. Usługi są klasyfikowane w swojej konfiguracji domyślnej jako system AI o ograniczonym ryzyku (limited-risk) na gruncie AI Act. Klient odpowiada za zgodność z wszelkimi obowiązkami deployera mającymi zastosowanie do korzystania z Usług na podstawie AI Act, w stosownych przypadkach, oraz z wszelkimi równoważnymi regulacjami AI, ochrony danych, ochrony konsumenta, sektorowymi, bezpieczeństwa lub zasadami platform mającymi zastosowanie do korzystania z Usług przez Klienta.
17.3 Transparentność i ujawnianie AI
Quantum Neuron udostępnia funkcjonalność techniczną oraz rekomendowane ustawienia domyślne umożliwiające ujawnienie systemu AI, jeżeli jest to wymagane. Klient – jako podmiot wdrażający Personę AI we własnym kontekście biznesowym, kanałach komunikacji oraz relacji z Użytkownikiem Końcowym – odpowiada za zapewnienie, że Użytkownicy Końcowi otrzymują wszystkie wymagane prawem klauzule informacyjne, ujawnienia oraz informacje dotyczące transparentności, chyba że Strony wyraźnie uzgodnią inaczej w Formularzu Zamówienia lub w aneksie Enterprise AI compliance.
17.4 High-Risk AI Use Cases
Klient nie będzie wykorzystywał Usług do żadnego High-Risk AI Use Case, z wyjątkiem przypadków zgodnych z Umową Główną oraz Enterprise High-Risk AI Addendum zawartym przez Strony.
18. Odpowiedzialność
18.1 Ograniczenie odpowiedzialności
Odpowiedzialność każdej ze Stron wynikająca z lub związana z niniejszą DPA, jakiegokolwiek rodzaju, czy to umowna, deliktowa (w tym z tytułu niedbalstwa) czy inna, podlega zbiorczym ograniczeniom odpowiedzialności określonym w Umowie Głównej. Dla uniknięcia wątpliwości, niniejsza DPA nie zwiększa ani nie rozszerza takich ograniczeń odpowiedzialności poza zakres określony w Umowie Głównej.
18.2 Administracyjne kary pieniężne
Administracyjne kary pieniężne nałożone na Stronę przez właściwy organ nadzorczy na podstawie Przepisów o Ochronie Danych obciążają Stronę, na którą zostały nałożone, z wyjątkiem zakresu, w jakim druga Strona spowodowała lub w istotny sposób przyczyniła się – poprzez naruszenie niniejszej DPA lub obowiązujących Przepisów o Ochronie Danych – do okoliczności stanowiących podstawę nałożenia kary.
19. Czas trwania i rozwiązanie
Niniejsza DPA wchodzi w życie w dniu wejścia w życie Umowy Głównej i obowiązuje przez okres obowiązywania Umowy Głównej oraz przez taki dalszy okres, w którym Quantum Neuron Przetwarza Dane Osobowe Klienta po rozwiązaniu, w tym przez okresy retencji określone w punkcie 15.
20. Zmiany niniejszej DPA
Quantum Neuron może okresowo aktualizować niniejszą DPA, pod warunkiem że:
(a) zmiany nieistotne (w tym zmiany redakcyjne, wyjaśniające lub techniczne, które nie obniżają istotnie praw Klienta ani obowiązków Quantum Neuron wynikających z niniejszej DPA) mogą być wprowadzane przez publikację zaktualizowanej wersji pod adresem https://quantumneuron.ai/legal/m26/pl/dpa i wchodzą w życie z chwilą publikacji;
(b) zmiany istotne wchodzą w życie nie wcześniej niż trzydzieści (30) dni po przekazaniu Klientowi przez Quantum Neuron powiadomienia, w którym to okresie Klient może wnieść sprzeciw wobec takich zmian zgodnie z procedurą zmiany Subprocesora określoną w punkcie 8.4, stosowaną odpowiednio (mutatis mutandis). Powiadomienie o zmianach istotnych zostanie przesłane pocztą elektroniczną na adres głównego kontaktu administracyjnego Klienta.
Wszystkie wersje niniejszej DPA są utrzymywane w systemie kontroli wersji, a wcześniejsze wersje pozostają dostępne dla Klienta na żądanie.
21. Pierwszeństwo
W przypadku jakiegokolwiek konfliktu lub niezgodności:
(a) pomiędzy niniejszą DPA a Umową Główną – niniejsza DPA ma pierwszeństwo w sprawach dotyczących prywatności, ochrony danych i Przetwarzania Danych Osobowych, a Umowa Główna ma pierwszeństwo we wszystkich pozostałych sprawach;
(b) pomiędzy niniejszą DPA a EU SCC lub UK Addendum w odniesieniu do transferu regulowanego tymi instrumentami – pierwszeństwo mają EU SCC lub UK Addendum (odpowiednio);
(c) pomiędzy niniejszą DPA a dowolnym innym dokumentem włączonym przez odesłanie – niniejsza DPA ma pierwszeństwo, chyba że wyraźnie postanowiono inaczej.
Dla uniknięcia wątpliwości niniejsza DPA reguluje Przetwarzanie Danych Osobowych Klienta. Umowa Główna oraz Formularz Zamówienia regulują warunki handlowe, opłaty, limity wykorzystania, zakres produktu, wybrane kanały, ograniczenia funkcjonalne, dostępność usługi oraz sprawy nie dotyczące ochrony danych.
22. Postanowienia różne
22.1 Prawo właściwe
Niniejsza DPA podlega prawu stanu Delaware, Stany Zjednoczone Ameryki, i będzie zgodnie z nim interpretowana, w sposób spójny z prawem właściwym dla Umowy Głównej. Niezależnie od powyższego, bezwzględnie obowiązujące przepisy właściwych Przepisów o Ochronie Danych jurysdykcji Klienta mają zastosowanie tam, gdzie jest to wymagane, a prawo właściwe i jurysdykcja EU SCC oraz UK Addendum są takie, jak określone w tych instrumentach oraz w punkcie 9 niniejszej DPA. Strony mogą uzgodnić pisemnie w Formularzu Zamówienia lub w dodatkowej umowie enterprise zastosowanie prawa jurysdykcji Klienta (lub innej wzajemnie uzgodnionej jurysdykcji) do niniejszej DPA.
22.2 Klauzula salwatoryjna
Jeżeli jakiekolwiek postanowienie niniejszej DPA zostanie uznane za nieważne, niezgodne z prawem lub niewykonalne, pozostałe postanowienia pozostają w pełnej mocy. Strony w dobrej wierze wynegocjują ważne i wykonalne postanowienie zastępcze, które w największym możliwym stopniu odzwierciedla pierwotny zamiar Stron.
22.3 Zawiadomienia
Zawiadomienia na podstawie niniejszej DPA są przekazywane zgodnie z postanowieniami dotyczącymi zawiadomień zawartymi w Umowie Głównej. W sprawach dotyczących ochrony danych zawiadomienia do Quantum Neuron są dodatkowo wysyłane na adres privacy@quantumneuron.ai oraz do Inspektora Ochrony Danych pod adresem ido@quantumneuron.ai, z kopią do legal@quantumneuron.ai.
22.4 Akceptacja elektroniczna
Klient akceptuje niniejszą DPA poprzez zawarcie Umowy Głównej, do której niniejsza DPA jest włączona przez odesłanie. Podpisany egzemplarz niniejszej DPA może zostać sporządzony przez Strony na żądanie Klienta; jednakże akceptacja elektroniczna poprzez Umowę Główną jest w pełni wiążąca i skuteczna zgodnie z obowiązującym prawem.
Załącznik I - Opis Przetwarzania
A. Wykaz Stron
Eksporter Danych (Administrator): Klient, zgodnie z identyfikacją w Umowie Głównej.
Importer Danych (Podmiot Przetwarzający): Quantum Neuron Inc., spółka prawa stanu Delaware, z siedzibą pod adresem 169 Madison Ave STE 15768, New York, NY 10016, Stany Zjednoczone.
Punkt kontaktowy w sprawach ochrony danych (Importer Danych):
Kontakt ds. prywatności: privacy@quantumneuron.ai
Inspektor Ochrony Danych (art. 37 RODO UE): Krzysztof Kochanowski, ido@quantumneuron.ai
Przedstawiciel w UE (art. 27 RODO UE): Quantum Neuron Sp. z o.o., ul. Żurawia 6/12/745, 00-503 Warszawa, Polska
Przedstawiciel w UK (art. 27 UK GDPR): Kochanowski Consulting Ltd, 151 Picton Road, Liverpool, Merseyside L15 4LG, Zjednoczone Królestwo
B. Opis transferu / Przetwarzania
Kategorie Osób, których dane dotyczą:
Pracownicy, wykonawcy i inny upoważniony personel Klienta, którzy uzyskują dostęp do Usług poprzez konto w panelu (dashboard).
Klienci, potencjalni klienci, leady i inni Użytkownicy Końcowi wchodzący w interakcję z Personą AI Klienta za pośrednictwem jakiegokolwiek kanału tekstowego lub głosowego udostępnionego w ramach Usług.
Kontakty, korespondenci i inne osoby zidentyfikowane w systemach zintegrowanych z Usługami zgodnie z konfiguracją Klienta (w tym między innymi systemy poczty e-mail, kalendarza oraz CRM).
Odbiorcy Komunikacji Wychodzącej, w tym leady, potencjalni klienci, klienci, potencjalni klienci, kontakty biznesowe oraz inne osoby, których dane kontaktowe lub identyfikatory są przekazywane przez Klienta lub w jego imieniu do Usług.
Kategorie Danych Osobowych:
Dane identyfikacyjne i kontaktowe, w tym imię i nazwisko, adres e-mail, numer telefonu oraz podobne identyfikatory.
Treść komunikacji, w tym wiadomości tekstowe, strumienie audio głosu, nagrania głosowe – gdy nagrywanie jest włączone i z zastrzeżeniem podstawy prawnej Klienta, klauzul informacyjnych i właściwych wymogów zgody – transkrypcje rozmów oraz historia rozmów.
Metadane zgody głosowej, gdy są zbierane w ramach przepływu zgody na nagrywanie interakcji głosowej.
Dane uwierzytelniania i konta, w tym zahaszowane dane uwierzytelniające, identyfikatory sesji oraz dane konfiguracji konta.
Dane techniczne, w tym adres IP, user agent, informacje o urządzeniu oraz dane z logów generowane w wyniku korzystania z Usług.
Treści bazy wiedzy dostarczone przez Klienta przesłane przez Klienta do wykorzystania w ramach Usług, w zakresie, w jakim zawierają Dane Osobowe.
Dane z systemów zintegrowanych z Usługami (na przykład rekordy CRM, treść wiadomości e-mail, wydarzenia kalendarza), zgodnie z konfiguracją Klienta, w zakresie, w jakim takie dane zawierają Dane Osobowe.
Lead Data, dane potencjalnych klientów, dane odbiorców, dane list kontaktów, numery telefonów, adresy e-mail, identyfikatory w mediach społecznościowych, identyfikatory komunikatorów, preferencje komunikacyjne, metadane zgody, rekordy opt-in, rekordy opt-out, listy wykluczeń, oznaczenia do-not-contact, metadane kampanii, metadane statusu doręczenia, metadane odpowiedzi, metadane połączeń, metadane SMS, metadane szablonów WhatsApp oraz inne metadane dotyczące komunikacji przychodzącej lub wychodzącej.
Szczególne Kategorie Danych Osobowych: Zwykle nieprzetwarzane. W przypadku, gdy Klient przekazuje Szczególne Kategorie Danych Osobowych, mają zastosowanie warunki punktu 4 DPA.
Częstotliwość Przetwarzania: Ciągła przez okres obowiązywania Umowy Głównej.
Charakter i cel Przetwarzania:
Świadczenie platformy Persony AI w zakresie zautomatyzowanej komunikacji za pośrednictwem kanałów tekstowych i głosowych.
Przetwarzanie z wykorzystaniem retrieval-augmented (RAG) treści bazy wiedzy dostarczonej przez Klienta na potrzeby odpowiedzi Persony AI.
Integracja z systemami komunikacyjnymi, produktywnościowymi i CRM Klienta zgodnie z konfiguracją Klienta.
Wsparcie operacyjne, świadczenie usług, rozliczenia oraz takie inne cele, jakie są w sposób uzasadniony niezbędne do dostarczenia Usług.
Przetwarzanie Lead Data i danych odbiorców w celu umożliwienia Klientowi prowadzenia, zarządzania, automatyzacji, monitorowania i analizowania komunikacji przychodzącej i wychodzącej za pośrednictwem Usług, z zastrzeżeniem zgodnych z prawem poleceń Klienta, wybranych kanałów komunikacji, Formularza Zamówienia, Functional Scope Annex oraz obowiązującego prawa.
Czas trwania Przetwarzania: Przez okres obowiązywania Umowy Głównej oraz przez okresy retencji i usunięcia po rozwiązaniu określone w punkcie 15 DPA.
C. Właściwy organ nadzorczy
Dla celów Klauzuli 13 EU SCC właściwym organem nadzorczym jest organ nadzorczy państwa członkowskiego Europejskiego Obszaru Gospodarczego, w którym znajdują się właściwe Osoby, których dane dotyczą, lub – jeżeli Klient ma siedzibę w Europejskim Obszarze Gospodarczym – organ nadzorczy państwa członkowskiego głównej siedziby Klienta. W odniesieniu do Klientów podlegających UK GDPR właściwym organem nadzorczym jest brytyjski Information Commissioner’s Office.
Załącznik II - Środki techniczne i organizacyjne
Quantum Neuron wdrożyło i utrzymuje następujące środki techniczne i organizacyjne mające na celu zapewnienie odpowiedniego poziomu bezpieczeństwa Danych Osobowych Klienta, zgodnie z art. 32 RODO UE oraz równoważnymi przepisami UK GDPR. Środki opisane poniżej są przedstawione w formie podsumowania; bardziej szczegółowy opis znajduje się w Quantum Neuron Security Annex, udostępnianym Klientowi na żądanie z zastrzeżeniem właściwych zobowiązań poufności.
1. Kontrola dostępu i uwierzytelnianie
Dostęp do systemów przetwarzających Dane Osobowe Klienta jest ograniczony zgodnie z zasadą need-to-know poprzez kontrolę dostępu opartą na rolach (RBAC), zasady najmniejszych uprawnień (least privilege) oraz logiczną separację na poziomie tenanta. Uwierzytelnianie do środowisk produkcyjnych wymaga uwierzytelniania wieloskładnikowego (MFA). Konta użytkowników są zakładane, weryfikowane i odbierane zgodnie z udokumentowanymi procedurami. Dostęp wsparcia i onboardingu do środowisk Klienta podlega dedykowanej kontroli dostępu oraz uprawnieniom ograniczonym czasowo tam, gdzie ma to zastosowanie.
2. Szyfrowanie
Dane Osobowe Klienta są szyfrowane w tranzycie za pomocą standardowych branżowo mechanizmów szyfrowania warstwy transportowej (TLS 1.2 lub wyższe) oraz w spoczynku za pomocą standardowego branżowo szyfrowania symetrycznego (AES-256 lub równoważnego) na woluminach pamięci masowej, pamięci obiektowej oraz w systemach kopii zapasowych. Klucze kryptograficzne są zarządzane przy użyciu scentralizowanej usługi zarządzania kluczami z udokumentowanymi politykami rotacji.
3. Bezpieczeństwo sieci i aplikacji
Systemy produkcyjne są odseparowane od środowisk nieprodukcyjnych i chronione mechanizmami bezpieczeństwa warstwy sieciowej, w tym firewallami, filtracją ruchu oraz monitoringiem. Aplikacje podlegają praktykom bezpiecznego rozwoju, zarządzaniu zależnościami oraz skanowaniu pod kątem podatności.
4. Logowanie, monitoring i ścieżki audytu
Zdarzenia istotne dla bezpieczeństwa, w tym dostęp do Danych Osobowych Klienta, zdarzenia uwierzytelniania oraz działania administracyjne, są rejestrowane i przechowywane zgodnie z wewnętrznymi politykami retencji Quantum Neuron. Logi dostępu oraz ścieżki audytu są utrzymywane dla działań wykonywanych na Danych Osobowych Klienta. Logi są monitorowane pod kątem anomalii przy użyciu mechanizmów automatycznej detekcji.
5. Kopie zapasowe, retencja i ciągłość działania
Dane Osobowe Klienta podlegają regularnym, szyfrowanym kopiom zapasowym, przechowywanym w obrębie Europejskiego Obszaru Gospodarczego. Quantum Neuron utrzymuje procedury ciągłości działania oraz odtwarzania po awarii (disaster recovery) mające na celu przywrócenie dostępności i dostępu do Danych Osobowych Klienta w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego. Mechanizmy retencji, kopii zapasowych i przepływów usunięcia są udokumentowane i prowadzone zgodnie z niniejszą DPA oraz obowiązującymi Przepisami o Ochronie Danych.
6. Zarządzanie incydentami
Quantum Neuron utrzymuje procedurę reagowania na incydenty obejmującą detekcję, triage, ograniczenie, eliminację, przywrócenie oraz przegląd poincydentalny. Role i odpowiedzialności w zakresie reagowania na incydenty są udokumentowane i regularnie weryfikowane.
7. Bezpieczeństwo personelu, poufność i szkolenia
Personel podlega wewnętrznym zobowiązaniom do zachowania poufności obowiązującym również po zakończeniu współpracy oraz otrzymuje regularne szkolenia z zakresu ochrony danych i bezpieczeństwa informacji odpowiednie do pełnionych ról.
8. Zarządzanie Subprocesorami
Subprocesorzy podlegają opartemu na ryzyku due diligence przed zaangażowaniem, kontroli dostępu po stronie subprocesora oraz bieżącemu monitoringowi. Każdy Subprocesor jest związany obowiązkami z zakresu ochrony danych w istocie równoważnymi z tymi określonymi w niniejszej DPA.
9. Bezpieczeństwo fizyczne
Bezpieczeństwo fizyczne obiektów przetwarzania danych jest zapewniane przez dostawców hostingu infrastruktury Quantum Neuron, którzy utrzymują uznane branżowo środki bezpieczeństwa fizycznego dla swoich centrów danych (w tym potwierdzone atestami ISO/IEC 27001, SOC 2 oraz ISAE 3402).
10. Minimalizacja danych, pseudonimizacja i obsługa pól wrażliwych
Quantum Neuron stosuje zasady minimalizacji danych w projektowaniu Usług oraz, w stosownych przypadkach, techniki pseudonimizacji lub anonimizacji w celu zmniejszenia ryzyka nieuprawnionej ponownej identyfikacji. Maskowanie lub scrubbing pól wrażliwych jest stosowane tam, gdzie jest to technicznie obsługiwane przez dany komponent.
11. Mechanizmy kontroli treści komunikacyjnych i kanałów wychodzących
Do nagrań głosowych, transkrypcji, treści SMS, treści WhatsApp, treści e-mail, metadanych połączeń oraz logów komunikacji generowanych za pośrednictwem Usług stosowane są specyficzne środki kontroli, w tym ograniczenia dostępu, mechanizmy kontroli retencji oraz przepływy usuwania dopasowane do niniejszej DPA i konfiguracji Klienta.
12. Narzędzia diagnostyczne, monitorowania błędów i session replay
W przypadku stosowania session replay, monitorowania błędów lub narzędzi diagnostycznych w związku z Usługami, Quantum Neuron konfiguruje maskowanie, scrubbing lub równoważne mechanizmy kontroli dla wrażliwych pól formularzy i treści wprowadzanych przez użytkownika, w zakresie technicznie obsługiwanym przez dane narzędzie.
Załącznik III - Autoryzowani Subprocesorzy
Lista Subprocesorów autoryzowanych na podstawie punktu 8 niniejszej DPA jest utrzymywana i publikowana przez Quantum Neuron pod adresem:
https://quantumneuron.ai/legal/m26/pl/subprocessors
Lista Subprocesorów uznawana jest – przez odesłanie – za stanowiącą Załącznik III do EU SCC oraz równoważną listę subprocesorów w ramach UK Addendum.
