PL
Umowa Powierzenia Przetwarzania Danych
Strony
Administrator Danych (Klient): Podmiot, który zgodził się na Regulamin Suunta.ai i korzysta z Usług.
Podmiot Przetwarzający (Suunta.ai): Y4 Works Oy, Numer rejestrowy: 2978296-6, Adres: Finlandia, E-mail: privacy@suunta.ai
1. Definicje
- Dane Osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej zgodnie z definicją w art. 4 ust. 1 RODO.
- Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na Danych Osobowych zgodnie z definicją w art. 4 ust. 2 RODO.
- Podmiot Danych oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną, której dotyczą Dane Osobowe.
- Podwykonawca oznacza każdą osobę trzecią zaangażowaną przez Suunta.ai do przetwarzania Danych Osobowych w imieniu Klienta.
- Usługi oznaczają platformę Suunta.ai i powiązane usługi zgodnie z opisem w Regulaminie.
- RODO oznacza Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady (Ogólne Rozporządzenie o Ochronie Danych).
- Standardowe Klauzule Umowne (SCC) oznaczają standardowe klauzule umowne dotyczące transferu danych osobowych do państw trzecich przyjęte przez Komisję Europejską.
- Incydent Bezpieczeństwa oznacza przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieautoryzowane ujawnienie lub dostęp do Danych Osobowych.
2. Zakres i Cel
2.1 Zakres Niniejsza DPA ma zastosowanie do całego Przetwarzania Danych Osobowych przez Suunta.ai w imieniu Klienta w związku z Usługami.
2.2 Role Klient działa jako Administrator Danych. Suunta.ai działa jako Podmiot Przetwarzający. Gdy Suunta.ai określa cele i środki Przetwarzania (np. dla analityki ulepszania usług), Suunta.ai działa jako niezależny Administrator i będzie przetwarzać takie dane zgodnie ze swoją Polityką Prywatności.
2.3 Cel Przetwarzania Suunta.ai przetwarza Dane Osobowe wyłącznie w celu świadczenia Usług zgodnie z opisem w Regulaminie, w tym:
- Zarządzanie kontami użytkowników i uwierzytelnianie
- Świadczenie funkcji strategicznego planowania opartych na AI
- Przetwarzanie i przechowywanie danych biznesowych przekazanych przez Użytkowników
- Generowanie analiz i rekomendacji wspomaganych przez AI
- Rozliczenia i zarządzanie subskrypcjami
- Wsparcie klienta
- Bezpieczeństwo usługi i zapobieganie nadużyciom
3. Kategorie Danych i Podmiotów Danych
3.1 Kategorie Podmiotów Danych
- Pracownicy i wykonawcy Klienta korzystający z Usług
- Inne osoby, których Dane Osobowe są przekazywane do Usług przez Klienta
3.2 Kategorie Danych Osobowych
| Kategoria | Elementy Danych | Cel |
|---|---|---|
| Dane Konta | Imię i nazwisko, e-mail, telefon (opcjonalnie), stanowisko, rola | Identyfikacja użytkownika i dostęp |
| Dane Uwierzytelniania | Hash hasła, identyfikatory SSO, dane sesji | Bezpieczny dostęp |
| Dane Organizacji | Nazwa organizacji, kraj, miasto, branża, wielkość | Dostosowanie usługi |
| Dane o Użytkowaniu | Adres IP, user agent, znaczniki czasu logowania, logi aktywności | Bezpieczeństwo i audyt |
| Dane Biznesowe | Dokumenty strategiczne, OKR, KPI, projekty, zadania | Podstawowe świadczenie usługi |
| Dane Komunikacyjne | Wiadomości czatowe, interakcje AI | Funkcje usługi |
| Dane Rozliczeniowe | Identyfikator klienta Stripe, szczegóły subskrypcji | Przetwarzanie płatności |
3.3 Szczególne Kategorie Danych Klient zgadza się nie przekazywać szczególnych kategorii Danych Osobowych (zgodnie z definicją w art. 9 RODO) do Usług bez uprzedniej pisemnej zgody Suunta.ai.
4. Zobowiązania Podmiotu Przetwarzającego
4.1 Instrukcje Przetwarzania Suunta.ai będzie przetwarzać Dane Osobowe wyłącznie na podstawie udokumentowanych instrukcji Klienta, informować Klienta, jeśli instrukcja narusza RODO, oraz zapewnić, że upoważnione osoby są związane poufnością.
4.2 Środki Bezpieczeństwa
| Środek | Implementacja |
|---|---|
| Szyfrowanie w spoczynku | AES-256 (AWS RDS) |
| Szyfrowanie w transporcie | TLS 1.2+ |
| Kontrola dostępu | Dostęp oparty na rolach, izolacja organizacyjna |
| Uwierzytelnianie | Haszowanie hasła (PBKDF2-SHA256), zarządzanie sesją |
| Rejestrowanie audytowe | Kompleksowe rejestrowanie aktywności z politykami przechowywania |
| Kopia zapasowa | Automatyczne codzienne kopie zapasowe z odzyskiwaniem punktowym |
| Infrastruktura | AWS UE (Sztokholm, eu-north-1) |
4.3 Podprzetwarzanie Suunta.ai może angażować Podwykonawców z zastrzeżeniem warunków w Sekcji 6.
4.4 Pomoc Administratorowi Suunta.ai będzie pomagać Klientowi w odpowiadaniu na żądania Podmiotów Danych, zapewnianiu zgodności z art. 32-36 RODO oraz dostarczaniu informacji niezbędnych do wykazania zgodności.
4.5 Usunięcie i Zwrot Po zakończeniu Usług lub na żądanie Klienta: (a) Klient może zażądać eksportu Danych Klienta w ciągu 30 dni od zakończenia; (b) Suunta.ai usunie Dane Osobowe w ciągu 90 dni od zakończenia, chyba że przechowywanie jest wymagane przez prawo; (c) Eksport danych jest dostarczany w formatach JSON i CSV poprzez Usługi.
5. Obsługa Danych Specyficzna dla AI
5.1 Przetwarzanie AI Gdy Dane Klienta są przetwarzane przez funkcje AI: (a) prompty i odpowiedzi są przekazywane do Zewnętrznych Dostawców AI do przetwarzania; (b) Suunta.ai NIE przechowuje promptów AI ani odpowiedzi w swojej bazie danych; (c) rejestrowane są wyłącznie metadane użytkowania (tokeny, opóźnienie, model, koszt) dla rozliczeń i analityki; (d) historia rozmów czatowych jest przechowywana, aby umożliwić ciągłość rozmowy.
5.2 Brak Trenowania na Danych Klienta Suunta.ai NIE będzie używać Danych Klienta do trenowania, dostrajania lub ulepszania modeli AI bez wyraźnej pisemnej zgody. Suunta.ai konfiguruje Zewnętrznych Dostawców AI, aby wyłączyć przechowywanie danych, gdy jest dostępne, zrezygnować z użycia danych treningowych i stosować polityki zerowego przechowywania danych, gdy są wspierane.
5.3 Przetwarzanie Dokumentów RAG Przesłane dokumenty są przetwarzane w celu wyodrębnienia tekstu, konwertowane na osadzenia wektorowe, a surowy tekst dokumentu jest usuwany w ciągu 24 godzin po indeksowaniu. Zawartość fragmentów i osadzenia są zachowywane dla funkcjonalności usługi; przy usunięciu źródła wszystkie powiązane fragmenty i osadzenia są usuwane.
6. Podwykonawcy
6.1 Autoryzowani Podwykonawcy Klient udziela ogólnego upoważnienia Suunta.ai do angażowania Podwykonawców wymienionych w Załączniku A.
6.2 Wymagania dla Podwykonawców Suunta.ai zawrze pisemne umowy z Podwykonawcami nakładające zobowiązania dotyczące ochrony danych nie mniej ochronne niż niniejsza DPA, pozostanie odpowiedzialne za zgodność Podwykonawców i przeprowadzi odpowiednią należyta staranność.
6.3 Zmiany Podwykonawców Suunta.ai będzie utrzymywać aktualną listę Podwykonawców pod adresem https://suunta.ai/legal/subprocessors, powiadomi Klienta co najmniej 30 dni przed angażowaniem nowego Podwykonawcy i zapewni Klientowi możliwość sprzeciwu z uzasadnionych powodów ochrony danych.
6.4 Proces Sprzeciwu Jeśli nie zostanie osiągnięte rozwiązanie w ciągu 30 dni, Klient może zakończyć dotknięte Usługi bez kary. Takie zakończenie jest jedynym środkiem zaradczym Klienta dla sprzeciwów dotyczących Podwykonawców.
7. Prawa Podmiotów Danych
7.1 Pomoc Suunta.ai będzie pomagać Klientowi w odpowiadaniu na żądania Podmiotów Danych dotyczące wykonywania ich praw zgodnie z Rozdziałem III RODO, w tym dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia danych i sprzeciwu.
7.2 Żądania Podmiotów Danych Jeśli Suunta.ai otrzyma żądanie bezpośrednio od Podmiotu Danych, Suunta.ai niezwłocznie powiadomi Klienta, nie odpowie bezpośrednio, chyba że jest upoważnione lub wymagane przez prawo, oraz zapewni rozsądną pomoc.
7.3 Funkcje Samoobsługowe Usługi obejmują funkcje samoobsługowe umożliwiające Użytkownikom:
- Przeglądanie i eksportowanie swoich Danych Osobowych
- Korygowanie informacji o koncie
- Usuwanie swojego konta użytkownika
- Żądanie eksportu danych organizacji
- Żądanie usunięcia organizacji
8. Incydenty Bezpieczeństwa
8.1 Powiadomienie Suunta.ai powiadomi Klienta o każdym Incydencie Bezpieczeństwa bez zbędnej zwłoki i w każdym przypadku w ciągu 72 godzin od uzyskania wiedzy, dostarczając opis incydentu, dotkniętych podmiotów danych i zapisów, punkt kontaktowy, prawdopodobne konsekwencje i podjęte środki.
8.2 Współpraca Suunta.ai będzie współpracować z dochodzeniem Klienta, podejmie rozsądne kroki w celu złagodzenia skutków, dostarczy aktualizacje i pomoże w powiadomieniach do organów nadzorczych i Podmiotów Danych.
8.3 Zapisy Suunta.ai utrzymuje niezmienny log audytowy zgodności dla zdarzeń związanych z bezpieczeństwem z przedłużonym przechowywaniem.
9. Transfery Międzynarodowe
9.1 Lokalizacje Przetwarzania Podstawowe przetwarzanie danych odbywa się w UE (AWS eu-north-1, Sztokholm). Niektóre przetwarzanie może odbywać się w USA przez Zewnętrznych Dostawców AI.
9.2 Mechanizmy Transferów W przypadku transferów do krajów bez decyzji o adekwatności UE, Suunta.ai polega na Standardowych Klauzulach Umownych (Moduł 2: Administrator do Podmiotu Przetwarzającego, Moduł 3: Podmiot Przetwarzający do Podmiotu Przetwarzającego), środkach uzupełniających oraz certyfikacjach Podwykonawców, gdy dotyczy.
9.3 Ocena Wpływu Transferu Suunta.ai przeprowadziło oceny wpływu transferu dla transferów do USA, uwzględniając:
- Charakter przekazywanych danych (głównie prompty/zapytania, nie masowe Dane Osobowe)
- Środki techniczne (szyfrowanie, konfiguracje zerowego przechowywania danych)
- Ramę prawną kraju docelowego
- Ochrony umowne z Podwykonawcami
10. Prawa Audytowe
10.1 Informacje Audytowe Na pisemne żądanie Klienta (nie więcej niż raz w roku), Suunta.ai dostarczy podsumowanie środków bezpieczeństwa, wyników audytów osób trzecich (z zastrzeżeniem poufności), potwierdzenia zgodności Podwykonawców oraz zapisów Incydentów Bezpieczeństwa wpływających na Dane Klienta.
10.2 Audyty Na Miejscu Audyty na miejscu wymagają 30-dniowego uprzedniego pisemnego powiadomienia, są przeprowadzane w godzinach pracy z minimalnym zakłóceniem, na koszt Klienta, w warunkach poufności i ograniczone do zgodności z DPA.
10.3 Certyfikacje Suunta.ai dąży do certyfikacji SOC 2 Type II i ISO 27001. Po osiągnięciu, raporty audytowe będą dostępne dla Klientów pod NDA.
11. Przechowywanie Danych
11.1 Okresy Przechowywania
| Kategoria Danych | Okres Przechowywania | Uwagi |
|---|---|---|
| Dane aktywnego konta | Czas trwania Usług | Usuwane przy usunięciu konta |
| Usunięte konta użytkowników | Anonimizowane natychmiast | 90-dniowe przechowywanie kopii zapasowych |
| Metadane użytkowania AI | 365 dni | Liczba tokenów, koszty |
| Logi audytowe (standardowe) | 24 miesiące | Operacje CRUD |
| Logi audytowe (krytyczne) | 36 miesięcy | Usunięcia, zdarzenia bezpieczeństwa |
| Logi audytowe zgodności | 7 lat | Niezmienne, regulacyjne przechowywanie |
| Zapisy rozliczeniowe | 6 lat | Prawo księgowe fińskie |
| Kopie zapasowe | 30 dni | Automatyczna rotacja |
11.2 Proces Usuwania Usunięcie organizacji następuje zgodnie ze strukturalnym procesem: żądanie usunięcia z potwierdzeniem hasła; 30-dniowy okres karencji (możliwy do anulowania); anulowanie subskrypcji Stripe; systematyczne usunięcie wszystkich danych organizacji; niezmienny wpis logu audytowego zgodności.
12. Odpowiedzialność
Odpowiedzialność każdej ze stron na podstawie niniejszej DPA podlega ograniczeniom określonym w Regulaminie. Każda ze stron odszkoduje drugą za straty wynikające z naruszenia niniejszej DPA lub obowiązujących przepisów o ochronie danych przez stronę odszkodowującą.
13. Okres Trwania i Zakończenie
Niniejsza DPA pozostaje w mocy przez czas trwania Regulaminu. Sekcje 5 (Obsługa Danych Specyficzna dla AI), 8 (Incydenty Bezpieczeństwa), 11 (Przechowywanie Danych) i 12 (Odpowiedzialność) przetrwają zakończenie.
14. Prawo Właściwe
Niniejsza DPA podlega prawu Finlandii. Spory będą rozstrzygane zgodnie z postanowieniami dotyczącymi rozstrzygania sporów w Regulaminie.
15. Kontakt
W sprawach dotyczących ochrony danych: Y4 Works Oy (Suunta.ai), E-mail: privacy@suunta.ai
Załącznik A: Autoryzowani Podwykonawcy
Ostatnia aktualizacja: 27 stycznia 2025. Zobacz pełną listę pod adresem https://suunta.ai/legal/subprocessors.
Załącznik B: Środki Techniczne i Organizacyjne
1. Kontrola Dostępu
- Kontrola dostępu oparta na rolach (RBAC)
- Izolacja danych na poziomie organizacji (architektura wielodostępowa)
- Unikalne konta użytkowników z bezpiecznym uwierzytelnianiem
- Zarządzanie sesją z konfigurowalnymi limitami czasu
- Ochrona przed atakami brute-force z blokadą konta
2. Szyfrowanie
- Dane w spoczynku: szyfrowanie AES-256 (AWS RDS)
- Dane w transporcie: TLS 1.2+ dla wszystkich połączeń
- Przechowywanie hasła: haszowanie PBKDF2-SHA256
3. Dostępność i Odporność
- Infrastruktura AWS z wysoką dostępnością
- Automatyczne codzienne kopie zapasowe z odzyskiwaniem punktowym
- Procedury odzyskiwania po awarii
4. Monitorowanie i Rejestrowanie
- Kompleksowe rejestrowanie audytowe aktywności użytkowników
- Śledzenie użytkowania AI (tylko metadane)
- Monitorowanie zdarzeń bezpieczeństwa
- Przechowywanie logów zgodnie z Sekcją 11
5. Reagowanie na Incydenty
- Udokumentowane procedury reagowania na incydenty
- Zobowiązanie do powiadomienia o naruszeniu w ciągu 72 godzin
- Niezmienny ślad audytowy zgodności
6. Personel
- Zobowiązania do poufności dla całego personelu
- Szkolenia z zakresu świadomości bezpieczeństwa
- Zasada najmniejszych uprawnień
7. Zarządzanie Dostawcami
- Należyta staranność dotycząca Podwykonawców
- Wymagania umowne dotyczące ochrony danych
- Regularny przegląd zgodności Podwykonawców