Umowa powierzenia przetwarzania danych
Wzór DPA (art. 28 RODO) dla klientów biznesowych i planu Enterprise.
Ostatnia aktualizacja: 18 czerwca 2026
Uwaga: Ten dokument ma zastosowanie wyłącznie wtedy, gdy klient (np. firma korzystająca z planu Enterprise) powierza Usługodawcy przetwarzanie danych osobowych, których jest administratorem. W typowym, konsumenckim korzystaniu z aplikacji DomaAI to MADD jest administratorem danych Użytkownika (zob. Polityka prywatności), a niniejsza DPA nie ma zastosowania. Przed podpisaniem dokument należy uzupełnić i zweryfikować prawnie. W sprawie DPA i planu Enterprise: [email protected].
Strony
Administrator (Klient): dane Klienta (nazwa, adres, NIP, reprezentacja) - uzupełniane
indywidualnie w umowie.
Podmiot przetwarzający (Procesor): Marcin Kisieliński, prowadzący działalność gospodarczą
pod firmą MADD Marcin Kisieliński (marka MADD / DomaAI), adres do doręczeń: ul. Kajki 10-12,
Olsztyn, NIP 7422297084, REGON 545106682 (wpis w CEIDG), kontakt [email protected].
Niniejsza Umowa powierzenia („DPA") zawierana jest na podstawie art. 28 RODO i stanowi załącznik do umowy głównej o korzystanie z usługi DomaAI w planie Enterprise / biznesowym („Umowa Główna").
1. Przedmiot i charakter przetwarzania
1.1. Procesor przetwarza dane osobowe wyłącznie w celu świadczenia usługi DomaAI na rzecz Administratora i wyłącznie na jego udokumentowane polecenie (którym jest m.in. korzystanie z funkcji usługi zgodnie z Umową Główną).
1.2. Przedmiot: świadczenie usługi asystenta AI (czat, generowanie treści, narzędzia Agenta, integracje) na rzecz użytkowników Administratora.
1.3. Czas trwania: przez okres obowiązywania Umowy Głównej.
1.4. Charakter i cel: przechowywanie, organizowanie, przekazywanie do podprocesorów (dostawców modeli AI) wyłącznie w celu generowania odpowiedzi oraz udostępniania funkcji usługi.
2. Kategorie osób i danych
2.1. Kategorie osób: użytkownicy końcowi Administratora (np. pracownicy, współpracownicy).
2.2. Kategorie danych: dane konta (e-mail, identyfikatory), treści zapytań i odpowiedzi, przesłane pliki, dane integracji, dane techniczne. Administrator zobowiązuje się nie przekazywać do usługi szczególnych kategorii danych (art. 9 RODO), chyba że strony uzgodnią to odrębnie na piśmie.
3. Obowiązki Procesora
Procesor zobowiązuje się:
- przetwarzać dane wyłącznie na udokumentowane polecenie Administratora;
- zapewnić, że osoby upoważnione do przetwarzania zobowiązały się do poufności;
- stosować środki bezpieczeństwa adekwatne do ryzyka (art. 32 RODO) - m.in. szyfrowanie połączeń (TLS), hashowanie haseł, szyfrowanie kopii zapasowych, izolację środowiska wykonawczego, kontrolę dostępu, minimalizację danych w logach;
- nie wykorzystywać danych do trenowania modeli AI (zob. Polityka danych i trenowania);
- wspierać Administratora w realizacji żądań osób (art. 15-22 RODO) oraz w obowiązkach z art. 32-36 RODO;
- zgłaszać Administratorowi naruszenia ochrony danych bez zbędnej zwłoki po ich stwierdzeniu;
- po zakończeniu świadczenia usług - usunąć lub zwrócić dane, zgodnie z wyborem Administratora, z zastrzeżeniem przepisów wymagających dalszego przechowywania;
- udostępniać informacje niezbędne do wykazania zgodności oraz umożliwiać audyty na uzgodnionych zasadach.
4. Podpowierzenie (podprocesorzy)
4.1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z podprocesorów wymienionych w Liście podprocesorów.
4.2. Procesor zapewnia, że podprocesorzy są związani obowiązkami ochrony danych nie mniej rygorystycznymi niż w niniejszej DPA, i odpowiada za ich działania jak za własne.
4.3. Procesor informuje o planowanych zmianach listy podprocesorów; Administrator może wnieść uzasadniony sprzeciw.
5. Transfery poza EOG
Transfery danych poza Europejski Obszar Gospodarczy odbywają się na podstawie standardowych klauzul umownych (SCC) lub innego mechanizmu zgodnego z rozdz. V RODO. Lista lokalizacji dostawców: Lista podprocesorów.
6. Odpowiedzialność i postanowienia końcowe
6.1. Odpowiedzialność stron regulują Umowa Główna oraz przepisy RODO.
6.2. W sprawach nieuregulowanych stosuje się prawo polskie i RODO.
6.3. W razie sprzeczności między DPA a Umową Główną w zakresie ochrony danych pierwszeństwo ma DPA.
Załącznik A - Środki techniczne i organizacyjne: jak w pkt 3
ppkt 3 oraz Polityka prywatności (pkt 10).
Załącznik B - Lista podprocesorów: podprocesorzy.
Dokument wymaga uzupełnienia danych stron i przeglądu prawnego przed podpisaniem.