Ostatnia aktualizacja: 17 września 2025 r. | Wersja 2.1.
1. POSTANOWIENIA WSTĘPNE
1.1. DPA oraz działania Quantum Neuron INC są zgodne ze standardami ochrony danych osobowych w Unii Europejskiej, a także w Wielkiej Brytanii oraz poszczególnych Stanach w USA.
1.2. Administrator: Klient Quatnum Neuron INC („Zlecający”).
1.3. Podmiot przetwarzający: Quantum Neuron Inc. („Quantum Neuron”). Adres kontaktowy Quantum Neuron: 169 Madison Ave, STE 15768, New York, NY 10016, e-mail contact@quantumneuron.ai
1.4. Polityka prywatności: dostępna na stronie Quantum Neuron.
1.5. Wykaz podwykonawców (Subprocessors): dostępny pod adresem: https://quantumneuron.ai/legal/pl/subprocessors
1.6. Na terenie Unii Europejskiej przedstawicielem Quantum Neuron na podstawie art. 27 RODO jest: QUANTUM NEURON S.A. Aktualne dane: https://quantumneuron.ai/legal/pl/gdpr-representative
2. CEL I ZAKRES DPA
2.1. Quantum Neuron przetwarza Dane Osobowe wyłącznie w celu świadczenia usług komunikacyjnych opartych na AI Personie oraz wykonania Umowy-Głównej zawartej ze Zlecającym.
2.2. Przetwarzanie odbywa się w zakresie niezbędnym do wdrożenia, utrzymania i rozwoju AI Persony, w tym w ramach niezbędnych integracji i wsparcia.
3. DEFINICJE
3,1. Dane Osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; na potrzeby DPA obejmują wszelkie dane, do których Quantum Neuron uzyskuje dostęp w związku z Umową-Główną oraz dokumentami powiązanymi.
3.2. Osoba, której dane dotyczą – zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna.
3.3. Przepisy o ochronie danych – przepisy prawne dotyczące ochrony danych osobowych, w szczególności RODO, UK GDPR, przepisy poszczególnych stanów w USA oraz właściwe przepisy krajowe.
3.4. Przetwarzanie – operacje na danych (zbieranie, utrwalanie, organizowanie, przechowywanie, modyfikowanie, udostępnianie, ograniczanie, usuwanie itd.).
3.5. RODO – ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
3.6. UK GDPR – stosowana na terenie Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej wersja RODO.
3.7. Quantum Neuron – podmiot przetwarzający działający na zlecenie Zlecającego.
3.8. DPA – niniejsza umowa powierzenia przetwarzania danych osobowych.
3.9. Umowa-Główna – zawarta pomiędzy Quantum Neuron a Zlecającym umowa dotycząca korzystania z AI Persony.
3.10. Zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna – zdefiniowana w art. 4 pkt 1) RODO.
3.11. Zlecający – administrator danych w rozumieniu RODO.
3.12. SCC – DECYZJA WYKONAWCZA KOMISJI (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.
4. STOSUNEK DO UMOWY-GŁÓWNEJ
4.1. W sprawach nieuregulowanych zastosowanie mają postanowienia Umowy-Głównej oraz załączników do Umowy-Głównej obowiązujących między Stronami.
5. PRZEDMIOT POWIERZENIA I CHARAKTER PRZETWARZANIA
5.1. Zlecający powierza Quantum Neuron przetwarzanie Danych Osobowych zgromadzonych w przedsiębiorstwie Zlecającego w celu wykonania Umowy-Głównej, w szczególności w celu ich przetwarzania przez AI Personę.
5.2. Zakres operacji przetwarzania: utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, dopasowywanie lub łączenie, usuwanie.
5.3. Czas trwania przetwarzania: okres obowiązywania Umowy-Głównej oraz 6 lat po jej zakończeniu, o ile przepisy prawa lub uzasadniony interes prawny nie wymagają innego okresu (z zastrzeżeniami pkt 15 i 16).
5.4. Dane przetwarzane są systematycznie, w formie elektronicznej.
6. KATEGORIE DANYCH I OSÓB
6.1. Rodzaj danych: dane „zwykłe”, w szczególności: numer protokołu, imię i nazwisko, nazwa firmy, numer telefonu, adres e-mail, informacje o zakupach i opiniach, materiały informacyjne Zlecającego (jeżeli zawierają dane), opisy procedur/know-how (jeżeli zawierają dane), informacje o urządzeniu, logi (rekordy), lokalizacja (region/miasto), adresy, roczny dochód (jeżeli jest przetwarzany), żargon branżowy.
6.2. Kategorie osób: klienci i potencjalni klienci Zlecającego, pracownicy, współpracownicy i podwykonawcy.
6.3. Uzupełnienia katalogu danych (jeżeli konieczne dla należytego wykonania Umowy-Głównej) Zlecający przekazuje w formie dokumentowej; nie stanowi to zmiany DPA lub Umowy-Głównej.
7. TRANSFERY DANYCH I PODWYKONAWCY
7.1. Transfery poza EOG opierają się na SCC, decyzjach stwierdzających odpowiedni poziom ochrony lub innych podstawach z rozdziału V RODO.
7.2. Zlecający wyraża zgodę na przetwarzanie w USA i innych państwach trzecich (art. 49 ust. 1 lit. a)-c) RODO) w celach niezbędnych do działania AI Persony i powiązanego oprogramowania zgodnie z Umową-Główną.
7.3. Quantum Neuron informuje Zlecającego o dodaniu/zmianie podwykonawcy z co najmniej siedmiodniowym wyprzedzeniem; Zlecający może zgłosić uzasadniony sprzeciw.
7.4. Quantum Neuron zapewnia, że każdy dalszy podmiot przetwarzający podlega obowiązkom co najmniej równoważnym z DPA.
8. ŚRODKI BEZPIECZEŃSTWA
8.1. Quantum Neuron stosuje odpowiednie środki techniczne i organizacyjne (art. 32 RODO), w tym: szyfrowanie w spoczynku i w transmisji, kontrolę dostępu opartą na rolach, regularne testy i audyty, ograniczoną retencję oraz kontrolowany dostęp do logów.
8.2. Dostęp do Danych Osobowych mają wyłącznie AI Persona i – w niezbędnym zakresie – upoważnione osoby związane poufnością i przeszkolone w zakresie ochrony danych.
9. INSTRUKCJE I WSPÓŁPRACA Z ADMINISTRATOREM
9.1. Quantum Neuron przetwarza dane zgodnie z udokumentowanymi, zgodnymi z prawem instrukcjami Zlecającego.
9.2. Quantum Neuron współpracuje ze Zlecającym przy realizacji obowiązków wynikających z RODO (realizacja praw osób, DPIA, konsultacje itp.), udostępniając niezbędne informacje i umożliwiając audyty z dziesięciodniowym wyprzedzeniem.
10. INCYDENTY I NIEŚCISŁOŚCI
10.1. Quantum Neuron zgłasza naruszenia ochrony danych Zlecającemu bez zbędnej zwłoki, nie później niż w ciągu 48 godzin roboczych od powzięcia informacji/podejrzenia.
10.2. Quantum Neuron niezwłocznie informuje o wykrytych błędach/nieścisłościach w danych oraz gdy polecenia Zlecającego naruszają przepisy.
10.3. Skuteczność środków bezpieczeństwa jest testowana, mierzona i oceniana nie rzadziej niż raz w roku.
11. KORYGOWANIE I OGRANICZANIE PRZETWARZANIA
11.1. Na wniosek Zlecającego Quantum Neuron koryguje lub uzupełnia dane w ciągu 48 godzin roboczych.
11.2. Quantum Neuron ogranicza przetwarzanie zgodnie z art. 18 RODO na wniosek Zlecającego w ciągu 48 godzin roboczych, informując o zmianach.
11.3. Wykonanie uprawnień nie może prowadzić do całkowitej niemożności korzystania z AI Persony, chyba że wynika to z przepisów prawa lub wiążących poleceń organu.
12. USUNIĘCIE I PRZENOSZENIE DANYCH
12.1. Na wniosek Zlecającego Quantum Neuron usuwa wskazane dane w ciągu 72 godzin roboczych, w tym z systemów podmiotów trzecich, o ile prawo nie wymaga przechowywania.
12.2. Po rozwiązaniu/wygaśnięciu Umowy-Głównej Quantum Neuron archiwizuje otrzymane dane i nie przetwarza ich dalej; potwierdza archiwizację e-mailem lub komunikatem w systemie.
12.3. Quantum Neuron zapewnia przenoszalność danych w ustrukturyzowanym, powszechnie używanym, maszynowo czytelnym formacie – na rzecz Zlecającego, osoby, której dane dotyczą, lub podmiotu wskazanego przez Zlecającego – jeżeli jest to technicznie wykonalne.
13. DANE ANONIMIZOWANE – TRENOWANIE AI (DPIA)
13.1. Zakres: sesje AI Persony oznaczone przez Zlecającego lub w interfejsie jako „pomocne” lub „zakończone” mogą zostać trwale zanonimizowane i wykorzystane do trenowania modeli AI w celach: (a) poprawy dokładności, (b) zwiększenia bezpieczeństwa odpowiedzi, (c) poprawy wskaźników realizacji zadań, (d) usprawnienia wydajności w określonych domenach.
13.2. Skutek prawny: po skutecznej anonimizacji dane nie stanowią Danych Osobowych w rozumieniu RODO lub innych przepisów prawa i nie podlegają obowiązkom usunięcia/przenoszenia (pkt 13 stosuje się wyłącznie do danych osobowych).
13.3. Schemat przepływu: Sesja AI Persony → decyzja/oznaczenie (pomocne/zakończone) → anonimizacja → pipeline treningowy.
13.4. Podstawa i DPIA: Strony uznają, że dla przetwarzania prowadzącego do anonimizacji oraz wykorzystywania wynikowych danych anonimowych Zlecający może oprzeć się na: zgodzie (art. 6 ust. 1 lit. a) RODO), niezbędności do wykonania umowy (art. 6 ust. 1 lit. b) RODO) lub uzasadnionym interesie (art. 6 ust. 1 lit. f) RODO) – zgodnie z przyjętym modelem prawno-organizacyjnym Zlecającego. Strony współpracują przy ocenie skutków (DPIA), jeżeli jest wymagana.
13.5. Ryzyka i środki zaradcze:
13.5.1. Ryzyka: potencjalna re-identyfikacja z wektorów osadzeń, inwersja wektorów, ekspozycja przez podwykonawców.
13.5.2. Środki: usuwanie identyfikatorów skryptami, brak surowych logów w zbiorach treningowych, kontrolowany dostęp do logów, ograniczona retencja do okresu istotności dla trenowania, środki kryptograficzne i kontraktowe ograniczenia użycia.
13.5.3. Quantum Neuron prowadzi i utrzymuje dokumentację procedury anonimizacji, w tym testy skuteczności i ryzyka re-identyfikacji.
14. ODPOWIEDZIALNOŚĆ I SIŁA WYŻSZA
14.1. Strony informują się wzajemnie o okolicznościach wpływających na wykonywanie DPA obowiązków RODO.
14.2. Quantum Neuron nie odpowiada za powierzenie do przetwarzania danych, które Zlecający przekazał bez podstawy prawnej.
14.3. Strony nie odpowiadają za niewykonanie/nienależyte wykonanie spowodowane siłą wyższą (zdarzenie zewnętrzne, nadzwyczajne i niemożliwe do zapobieżenia z należytą starannością), w tym m.in. katastrofy naturalne, wojny, rozruchy, epidemie, zaawansowane ataki hakerskie przełamujące rynkowe zabezpieczenia co najmniej średniego poziomu.
14.4. Pkt 14.1–14.3 stosuje się odpowiednio do operatorów chmurowych i innej technologii, z której korzysta Quantum Neuron.
14.5. Strona dotknięta siłą wyższą informuje niezwłocznie drugą Stronę (co najmniej e-mail).
15. OKRES OBOWIĄZYWANIA I ROZWIĄZANIE
15.1. DPA wchodzi w życie z dniem zawarcia Umowy-Głównej i obowiązuje przez czas jej trwania.
15.2. Rozwiązanie Umowy-Głównej powoduje automatyczne rozwiązanie DPA i odwrotnie, chyba że Strony uzgodnią inaczej w zakresie niezbędnym do wykonania obowiązków prawnych.
15.3. Każda ze Stron może rozwiązać DPA ze skutkiem natychmiastowym z ważnych powodów, w tym w razie konieczności zmiany modelu przetwarzania.
15.4. Zlecający może rozwiązać DPA natychmiast, jeżeli Quantum Neuron: (a) wykorzystał dane niezgodnie z DPA, (b) powierzył dane dalszemu podmiotowi bez wymaganej informacji/zgody, (c) pomimo notyfikacji nie zaprzestał niewłaściwego przetwarzania.
16. DANE SZCZEGÓLNYCH KATEGORII
16.1. Przetwarzanie danych, o których mowa w art. 9 ust. 1 RODO, wymaga uprzedniego aneksu w formie dokumentowej pod rygorem nieważności.
17. ZMIANY FORMY I DOKUMENTACJA
17.1. DPA zawierana i zmieniana jest w formie przewidzianej dla Umowy-Głównej.
18. WZAJEMNE INFORMOWANIE O PRZETWARZANIU DANYCH (ADMINISTRATOR–ADMINISTRATOR)
18.1. Strony informują, że są wobec siebie administratorami w zakresie danych swoich reprezentantów, pracowników i współpracowników.
18.2. Jeżeli Strona wyznaczyła IOD, udostępnia jego dane przy zawieraniu Umowy.
18.3. Cel: zawarcie i wykonanie umowy, utrzymanie kontaktów biznesowych.
18.4. Podstawy prawne: art. 6 ust. 1 lit. b) i c) RODO względem Strony-osoby fizycznej; względem reprezentantów/pracowników/współpracowników – art. 6 ust. 1 lit. b) lub art. 6 ust. 4 (przetwarzanie w innym celu, np. dane z publicznych rejestrów).
18.5. W zakresie wymaganym przepisami przetwarzanie jest obligatoryjne, w pozostałym dobrowolne.
18.6. Odbiorcy: podmioty współpracujące ze Stronami w związku z wykonywaniem Umowy-Głównej.
18.7. Okres przetwarzania zgodny z powyższym postanowieniami DPA.
18.8. Prawa Strony: dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie, cofnięcie zgody; prawo skargi do właściwego organu sprawującego nadzór nad przestrzeganiem zasad ochrony danych osobowych.
18.9. Brak możliwości przetwarzania danych może ograniczyć współpracę lub skutkować jej zakończeniem.
19. POSTANOWIENIA DODATKOWE DOT. TRENOWANIA NA DANYCH ANONIMIZOWANYCH
19.1. Strony potwierdzają, że obowiązki usunięcia, ograniczenia oraz przenoszenia danych nie dotyczą danych w pełni zanonimizowanych powstałych zgodnie z pkt 13 (trwałe usunięcie możliwości identyfikacji osoby).
19.2. Quantum Neuron zapewnia, że zbiory treningowe nie zawierają surowych logów identyfikujących osoby; dostęp do infrastruktury treningowej jest kontrolowany i rejestrowany.
20. DANE KONTAKTOWE I KOMUNIKACJA
20.1. Komunikacja operacyjna (incydenty, wnioski, audyty) odbywa się na adresy ustalone w Umowie-Głównej; forma co najmniej e-mail, chyba że przepisy wymagają innej formy.
21. KLAUZULA ZGODNOŚCI Z SCC
21.1. Strony zgodnie oświadczają, że w zakresie, w jakim w ramach DPA dochodzi do przekazywania danych osobowych do państwa trzeciego w rozumieniu Rozdziału V RODO, zastosowanie znajdują SCC.
21.2. Strony wskazują, że właściwym modułem SCC jest Moduł 2 (Administrator → Podmiot przetwarzający), a zatem postanowienia tego modułu znajdują pełne zastosowanie do relacji pomiędzy Zlecającym jako administratorem danych osobowych a Quantum Neuron jako podmiotem przetwarzającym.
21.3. Strony potwierdzają, że tekst SCC w aktualnym brzmieniu przyjętym przez Komisję Europejską dostępny jest w Dzienniku Urzędowym Unii Europejskiej dostępnym pod adresem: https://eur-lex.europa.eu/, ale jednocześnie poczytywany jest za Załącznik nr 1 do DPA i stanowi integralną część DPA. Treść SCC nie została w żaden sposób zmieniona ani ograniczona, a wszelkie dodatkowe postanowienia DPA należy interpretować jako uzupełniające, nie zaś zastępujące lub modyfikujące SCC.
21.4. Strony zgodnie potwierdzają, że w przypadku sprzeczności pomiędzy postanowieniami DPA a postanowieniami SCC, pierwszeństwo mają w każdym przypadku SCC.
21.5. Strony zobowiązują się do stosowania się do wszystkich obowiązków wynikających z SCC, w szczególności:
21.5.1. Przekazywania danych osobowych wyłącznie w zakresie i celu opisanym w Załączniku nr 2 do DPA.
21.5.2. Stosowania odpowiednich środków technicznych i organizacyjnych określonych w Załączniku nr 3 do DPA, zapewniających poziom ochrony wymagany przez art. 32 RODO.
21.5.3. Przekazywania danych osobowych dalszym podwykonawcom wyłącznie na zasadach określonych w SCC i w DPA, z zastosowaniem odpowiednich „flow-down obligations” gwarantujących równoważny poziom ochrony.
21.5.4. Informowania Zlecającego o wszelkich prawnie wiążących żądaniach dostępu ze strony organów publicznych, o ile prawo nie zakazuje przekazania takiej informacji, oraz podejmowania starań w celu uchylenia zakazu informowania.
21.5.5. Dokumentowania działań podejmowanych w związku z żądaniami organów publicznych i udostępniania ich Zlecającemu w zakresie niezbędnym do oceny zgodności.
21.5.6. Usuwania lub zwracania danych osobowych po zakończeniu świadczenia usług zgodnie z wyborem Zlecającego, chyba że prawo wymaga ich dalszego przechowywania, przy czym obowiązek ten jest wykonywany w sposób odpowiadający klauzuli 8.5 SCC.
21.5.7. Udostępniania na żądanie osobom, których dane dotyczą, kopii SCC w zakresie wymaganym przez prawo, z możliwością zredagowania informacji stanowiących tajemnicę handlową lub inne poufne informacje, zgodnie z klauzulą 8.3 SCC.
21.5.8. Umożliwienia egzekwowania praw osobom, których dane dotyczą, jako beneficjentom klauzul stron trzecich (third-party beneficiary rights), w zakresie przewidzianym przez SCC.
21.6. Strony potwierdzają, że właściwym prawem dla interpretacji i stosowania SCC jest prawo polskie, które dopuszcza skuteczność praw osób trzecich wynikających z SCC, a właściwymi sądami do rozpoznawania sporów wynikających z SCC są sądy polskie. Powyższa klauzula obowiązuje tylko w zakresie SCC oraz DPA i jest niezależna od klauzul prawa właściwego i jurysdykcji określonych w Umowie-Głównej.
21.7. Strony przyjmują, że wszelkie dodatkowe postanowienia DPA, które wykraczają poza treść SCC, obowiązują w zakresie, w jakim nie pozostają w sprzeczności z SCC, i służą zapewnieniu zgodności z RODO oraz krajowymi przepisami o ochronie danych osobowych.
22. ZAŁĄCZNIKI
22.1. ZAŁĄCZNIK NR 1 – Standardowe Klauzule Umowne (SCC). Pełny tekst SCC 2021/914/UE (Moduł 2: Administrator → Podmiot przetwarzający), przyjęty Decyzją Wykonawczą Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. dostępne pod adresem: https://eur-lex.europa.eu/
22.2. ZAŁĄCZNIK NR 2 – Informacje dotyczące transferu
22.2.1. Eksporter: Zlecający (Administrator).
22.2.2. Importer: Quantum Neuron Inc. (Podmiot przetwarzający).
22.2.3. Cel transferu: wdrożenie i obsługa AI Persony.
22.2.4. Kategorie osób: klienci, potencjalni klienci, pracownicy, współpracownicy, podwykonawcy.
22.2.5. Kategorie danych: imię, nazwisko, firma, telefon, e-mail, dane zakupowe, logi systemowe, lokalizacja, adresy, roczny dochód, inne dane zwykłe.
22.2.6. Czas trwania: okres obowiązywania Umowy-Głównej.
22.2.7. Dane szczególnych kategorii: brak.
22.3, ZAŁĄCZNIK NR 3 – Środki techniczne i organizacyjne (Załącznik II SCC)
22.3.1. Szyfrowanie danych w spoczynku i transmisji.
22.3.2. Kontrola dostępu oparta na rolach.
22.3.3. Autoryzacja wieloskładnikowa.
22.3.4. Regularne testy penetracyjne i audyty.
22.3.5. Retencja ograniczona do okresu istotności.
22.3.6. Procedury anonimizacji i pseudonimizacji.
22.3.7. Monitorowanie i rejestrowanie dostępu.
22.3.8. Zobowiązania poufności i szkolenia pracowników.
22.4. ZAŁĄCZNIK NR 4 – Lista podwykonawców (Załącznik III SCC)
22.4.1. Aktualna lista podwykonawców publikowana jest na stronie: https://quantumneuron.ai/legal/pl/subprocessors
