Umowa powierzenia przetwarzania danych osobowych (DPA)

1. Strony i przedmiot Umowy

1. Administrator danych — Użytkownik korzystający z Serwisu w ramach prowadzonej działalności gospodarczej lub zawodowej.
2. Podmiot przetwarzający (procesor) — AI SCALING SYSTEMS sp. z o.o., Al. Jerozolimskie 109/70, 02-011 Warszawa, KRS 0001221058.
3. Przedmiotem Umowy jest powierzenie przez Administratora Procesorowi przetwarzania danych osobowych w zakresie niezbędnym do świadczenia Usługi Sygnatura.ai (dalej: „Umowa Główna”), zgodnie z art. 28 RODO.

2. Charakter i cel przetwarzania

1. Cel: świadczenie Usługi polegającej na udostępnieniu narzędzia AI do wyszukiwania i analizy aktów prawnych i orzeczeń, generowania projektów pism oraz analizy dokumentów przesłanych przez Administratora.
2. Charakter przetwarzania: przechowywanie, utrwalanie, modyfikowanie, przesyłanie (do podwykonawców — dostawców modeli AI i infrastruktury), usuwanie — w zakresie niezbędnym do świadczenia Usługi.
3. Czas trwania: przez okres obowiązywania Umowy Głównej oraz okres wskazany w sekcji 11.

3. Kategorie osób, których dane dotyczą

• klienci Administratora (osoby fizyczne, których sprawy są prowadzone w kancelarii);
• kontrahenci Administratora (pracownicy, strony postępowań);
• świadkowie i inne osoby wskazane w dokumentach przesyłanych do Serwisu;
• pracownicy i współpracownicy Administratora.

4. Kategorie danych osobowych

• dane identyfikacyjne (imię, nazwisko, PESEL, adres);
• dane kontaktowe (telefon, e-mail);
• dane finansowe (numery rachunków, kwoty, tytuły płatności);
• dane zawarte w dokumentach procesowych (pozwy, umowy, wezwania);
• potencjalnie dane szczególnych kategorii (art. 9 RODO — zdrowie, wyroki karne) — jeżeli Administrator samodzielnie zdecyduje się takie dane przesłać;
• potencjalnie dane objęte tajemnicą zawodową radcy prawnego / adwokata — Administrator pozostaje wyłącznie odpowiedzialny za ocenę zasadności ich przetwarzania w Serwisie.

5. Polecenia Administratora

1. Procesor przetwarza powierzone dane wyłącznie na udokumentowane polecenie Administratora. Za udokumentowane polecenie uznaje się (a) postanowienia Regulaminu i Umowy Głównej, (b) postanowienia niniejszej Umowy, (c) czynności Administratora wykonywane w Serwisie.
2. Procesor niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.

6. Środki bezpieczeństwa (art. 32 RODO)

1. Procesor wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne, w tym:
2. Szyfrowanie w tranzycie — TLS 1.3 na wszystkich połączeniach klient–serwer oraz serwer–podwykonawcy;
3. Szyfrowanie w spoczynku — AES-256 dla bazy danych (Supabase/AWS) i magazynu plików (Cloudflare R2);
4. Kontrola dostępu — uwierzytelnianie dwuskładnikowe (Clerk) dla kont użytkowników, dostęp do systemów produkcyjnych wyłącznie po MFA i tylko dla zdefiniowanej listy osób;
5. Rozdzielenie środowisk — dev / staging / prod — dostęp do danych klienckich wyłącznie w produkcji;
6. Logi i audyt — rejestrowanie zdarzeń uwierzytelniania i operacji na danych (audit log dostępny w planie Team);
7. Kopie zapasowe — szyfrowane kopie zapasowe, retencja 90 dni, testy odtworzeniowe co najmniej raz w roku;
8. Zarządzanie incydentami — udokumentowany plan reakcji na incydent, w tym komunikacja z Administratorem w terminie określonym w sekcji 9.

7. Podwykonawcy (dalsze powierzenie)

1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z podwykonawców w celu świadczenia Usługi. Aktualna lista znajduje się w Załączniku A.
2. Procesor zawiadomi Administratora o planowanych zmianach w zakresie podwykonawców (dodanie lub zmiana) z co najmniej 30-dniowym wyprzedzeniem — przez zaktualizowanie Załącznika A oraz wysyłkę powiadomienia e-mail.
3. W tym terminie Administrator może zgłosić uzasadniony sprzeciw. Jeżeli sprzeciw uniemożliwia Procesorowi świadczenie Usługi, każda ze stron może wypowiedzieć Umowę Główną ze skutkiem na koniec bieżącego okresu rozliczeniowego.
4. Procesor zapewnia, że na każdego podwykonawcę nałożono obowiązki w zakresie ochrony danych odpowiadające obowiązkom Procesora wynikającym z niniejszej Umowy (art. 28 ust. 4 RODO).

8. Pomoc Administratorowi

1. Procesor, na żądanie Administratora, pomaga mu w realizacji obowiązków wobec osób, których dane dotyczą (art. 12–22 RODO): dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw. Odpowiedź na uzasadnione żądanie następuje w terminie 14 dni.
2. Procesor pomaga Administratorowi w realizacji obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków DPIA) — w zakresie dostępnych u Procesora informacji.

9. Naruszenie ochrony danych

1. Procesor zgłasza Administratorowi każdy przypadek naruszenia ochrony danych osobowych, których dotyczy Umowa, niezwłocznie — nie później niż w ciągu 24 godzin od wykrycia naruszenia.
2. Zgłoszenie zawiera co najmniej: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób oraz rekordów, opis podjętych/planowanych środków zaradczych oraz dane kontaktowe osoby odpowiedzialnej.

10. Audyt

1. Administrator ma prawo do audytu zgodności Procesora z niniejszą Umową nie częściej niż raz w roku, z 30-dniowym wyprzedzeniem, realizowanego w formie kwestionariusza lub — za zgodą Procesora — audytu on-site.
2. Koszty audytu pokrywa Administrator, chyba że audyt wykaże istotne naruszenia Umowy — wówczas koszty pokrywa Procesor.
3. Procesor udostępnia Administratorowi, na żądanie, aktualne raporty audytów realizowanych wobec jego własnej infrastruktury (np. SOC 2 / ISO 27001 dostawców podwykonawczych).

11. Koniec przetwarzania

1. Po zakończeniu świadczenia Usługi Procesor — zgodnie z decyzją Administratora — (a) zwraca Administratorowi dane osobowe w formacie umożliwiającym ich przeniesienie (eksport JSON / CSV / DOCX), lub (b) usuwa dane osobowe i wszystkie ich kopie.
2. Usunięcie następuje w terminie 30 dni od dnia zakończenia Umowy Głównej, z zastrzeżeniem kopii zapasowych, które są automatycznie nadpisywane po 90 dniach.
3. Na żądanie Administratora Procesor wystawia pisemne oświadczenie (certyfikat) potwierdzające usunięcie danych.
4. Procesor zachowuje dane, których dalsze przechowywanie nakazuje prawo Unii lub państwa członkowskiego (np. faktury VAT — 5 lat zgodnie z art. 74 ust. 2 ustawy o rachunkowości).

12. Odpowiedzialność

Odpowiedzialność odszkodowawcza Procesora wobec Administratora z tytułu niniejszej Umowy podlega ograniczeniom wskazanym w Regulaminie (§ 8). Powyższe ograniczenie nie dotyczy odpowiedzialności wynikającej z art. 82 RODO wobec osób, których dane dotyczą.

13. Transfery do państw trzecich

Procesor może przekazywać dane osobowe podwykonawcom mającym siedzibę poza Europejskim Obszarem Gospodarczym. Transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) z decyzji wykonawczej Komisji (UE) 2021/914 oraz — w odniesieniu do podwykonawców z USA — decyzji wykonawczej Komisji (UE) 2023/1795 (Data Privacy Framework).

14. Poufność

Procesor zobowiązuje się zapewnić, że osoby upoważnione do przetwarzania powierzonych danych są zobowiązane do zachowania ich w tajemnicy lub podlegają ustawowemu obowiązkowi zachowania tajemnicy (art. 28 ust. 3 lit. b RODO).

15. Postanowienia końcowe

1. W sprawach nieuregulowanych w niniejszej Umowie zastosowanie mają RODO, polska ustawa o ochronie danych osobowych z dnia 10 maja 2018 r., Regulamin oraz pozostałe przepisy prawa polskiego.
2. W przypadku sprzeczności niniejszej Umowy z innymi postanowieniami łączącymi Strony pierwszeństwo — w zakresie ochrony danych osobowych — ma niniejsza Umowa.
3. Sądem właściwym do rozstrzygania sporów jest sąd właściwy dla siedziby Procesora (Warszawa).

Załącznik A — Wykaz podwykonawców

Stan na 21 kwietnia 2026 r..

Wszyscy wymienieni podwykonawcy są zobowiązani do przestrzegania standardów ochrony danych co najmniej równoważnych RODO. Aktualizacje wykazu podlegają trybowi opisanemu w sekcji 7.