DPA

Umowa powierzenia przetwarzania danych

Wzór DPA (art. 28 RODO) dla klientów biznesowych i planu Enterprise.

Ostatnia aktualizacja: 18 czerwca 2026

Wersja 2026-07-03-v2 · wzór dla klientów biznesowych / planu Enterprise

Uwaga: Ten dokument ma zastosowanie wyłącznie wtedy, gdy klient (np. firma korzystająca z planu Enterprise) powierza Usługodawcy przetwarzanie danych osobowych, których jest administratorem. W typowym, konsumenckim korzystaniu z aplikacji DomaAI to MADD jest administratorem danych Użytkownika (zob. Polityka prywatności), a niniejsza DPA nie ma zastosowania. Przed podpisaniem dokument należy uzupełnić i zweryfikować prawnie. W sprawie DPA i planu Enterprise: [email protected].

Strony

Administrator (Klient): dane Klienta (nazwa, adres, NIP, reprezentacja) - uzupełniane indywidualnie w umowie.
Podmiot przetwarzający (Procesor): Marcin Kisieliński, prowadzący działalność gospodarczą pod firmą MADD Marcin Kisieliński (marka MADD / DomaAI), adres do doręczeń: ul. Kajki 10-12, Olsztyn, NIP 7422297084, REGON 545106682 (wpis w CEIDG), kontakt [email protected].

Niniejsza Umowa powierzenia („DPA") zawierana jest na podstawie art. 28 RODO i stanowi załącznik do umowy głównej o korzystanie z usługi DomaAI w planie Enterprise / biznesowym („Umowa Główna").

1. Przedmiot i charakter przetwarzania

1.1. Procesor przetwarza dane osobowe wyłącznie w celu świadczenia usługi DomaAI na rzecz Administratora i wyłącznie na jego udokumentowane polecenie (którym jest m.in. korzystanie z funkcji usługi zgodnie z Umową Główną).

1.2. Przedmiot: świadczenie usługi asystenta AI (czat, generowanie treści, narzędzia Agenta, integracje) na rzecz użytkowników Administratora.

1.3. Czas trwania: przez okres obowiązywania Umowy Głównej.

1.4. Charakter i cel: przechowywanie, organizowanie, przekazywanie do podprocesorów (dostawców modeli AI) wyłącznie w celu generowania odpowiedzi oraz udostępniania funkcji usługi.

2. Kategorie osób i danych

2.1. Kategorie osób: użytkownicy końcowi Administratora (np. pracownicy, współpracownicy).

2.2. Kategorie danych: dane konta (e-mail, identyfikatory), treści zapytań i odpowiedzi, przesłane pliki, dane integracji, dane techniczne. Administrator zobowiązuje się nie przekazywać do usługi szczególnych kategorii danych (art. 9 RODO), chyba że strony uzgodnią to odrębnie na piśmie.

3. Obowiązki Procesora

Procesor zobowiązuje się:

  1. przetwarzać dane wyłącznie na udokumentowane polecenie Administratora;
  2. zapewnić, że osoby upoważnione do przetwarzania zobowiązały się do poufności;
  3. stosować środki bezpieczeństwa adekwatne do ryzyka (art. 32 RODO) - m.in. szyfrowanie połączeń (TLS), hashowanie haseł, szyfrowanie kopii zapasowych, izolację środowiska wykonawczego, kontrolę dostępu, minimalizację danych w logach;
  4. nie wykorzystywać danych do trenowania modeli AI (zob. Polityka danych i trenowania);
  5. wspierać Administratora w realizacji żądań osób (art. 15-22 RODO) oraz w obowiązkach z art. 32-36 RODO;
  6. zgłaszać Administratorowi naruszenia ochrony danych bez zbędnej zwłoki po ich stwierdzeniu;
  7. po zakończeniu świadczenia usług - usunąć lub zwrócić dane, zgodnie z wyborem Administratora, z zastrzeżeniem przepisów wymagających dalszego przechowywania;
  8. udostępniać informacje niezbędne do wykazania zgodności oraz umożliwiać audyty na uzgodnionych zasadach.

4. Podpowierzenie (podprocesorzy)

4.1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z podprocesorów wymienionych w Liście podprocesorów.

4.2. Procesor zapewnia, że podprocesorzy są związani obowiązkami ochrony danych nie mniej rygorystycznymi niż w niniejszej DPA, i odpowiada za ich działania jak za własne.

4.3. Procesor informuje o planowanych zmianach listy podprocesorów; Administrator może wnieść uzasadniony sprzeciw.

5. Transfery poza EOG

Transfery danych poza Europejski Obszar Gospodarczy odbywają się na podstawie standardowych klauzul umownych (SCC) lub innego mechanizmu zgodnego z rozdz. V RODO. Lista lokalizacji dostawców: Lista podprocesorów.

6. Odpowiedzialność i postanowienia końcowe

6.1. Odpowiedzialność stron regulują Umowa Główna oraz przepisy RODO.

6.2. W sprawach nieuregulowanych stosuje się prawo polskie i RODO.

6.3. W razie sprzeczności między DPA a Umową Główną w zakresie ochrony danych pierwszeństwo ma DPA.

Załącznik A - Środki techniczne i organizacyjne: jak w pkt 3 ppkt 3 oraz Polityka prywatności (pkt 10).
Załącznik B - Lista podprocesorów: podprocesorzy.

Dokument wymaga uzupełnienia danych stron i przeglądu prawnego przed podpisaniem.

Dokumenty powiązane

Polityka prywatności · Dane AI i trenowanie · Lista podprocesorów · Wszystkie dokumenty