Umowa powierzenia przetwarzania danych osobowych

Wzór — kwiecień 2026

🟡 Ten dokument jest wzorem — wymaga uzupełnienia przed podpisaniem

⚠️ Ten dokument jest wzorem operacyjnym i nie stanowi porady prawnej. Przed podpisaniem wymagana weryfikacja przez DPO / radcę prawnego. Pola oznaczone [NAWIASAMI] wymagają uzupełnienia.

Niniejszy dokument jest wzorem operacyjnym i nie stanowi porady prawnej. Dokument wymaga dostosowania do konkretnego klienta, procesu i jurysdykcji przez DPO / IOD / radcę prawnego.

Co do zasady klient jest administratorem danych, a CallWise (AwesomeWorks) podmiotem przetwarzającym. Jeżeli klient wykorzystuje scoring lub analizę AI przy ocenie pracowników, rekomendowana jest odrębna analiza HR i DPIA.

Strony umowy

Zawarta w dniu [DATA] pomiędzy:

[PEŁNA NAZWA KLIENTA], z siedzibą w [ADRES], NIP [NIP], reprezentowana przez [IMIĘ, NAZWISKO, FUNKCJA], dalej jako Administrator

oraz

[PEŁNA NAZWA SPÓŁKI AWESOMEWORKS], z siedzibą w [ADRES], NIP [NIP], reprezentowana przez [IMIĘ, NAZWISKO, FUNKCJA], dalej jako Procesor lub CallWise.

1. Przedmiot umowy

  • Administrator powierza Procesorowi przetwarzanie danych osobowych w związku z korzystaniem z usługi CallWise, tj. platformy do nagrywania, transkrypcji, analizy i raportowania rozmów oraz spotkań biznesowych.
  • Procesor przetwarza dane wyłącznie w imieniu Administratora i na jego udokumentowane polecenie, z zastrzeżeniem obowiązków wynikających z prawa UE lub prawa polskiego.
  • Umowa stanowi umowę powierzenia danych w rozumieniu art. 28 GDPR / RODO.

2. Charakter i cel przetwarzania

Charakter przetwarzania obejmuje w szczególności:

  • rejestrowanie rozmów telefonicznych i/lub spotkań online,
  • przechowywanie plików audio i, jeżeli dotyczy, wideo,
  • tworzenie transkrypcji,
  • analizę treści rozmów przez narzędzia AI / LLM,
  • generowanie podsumowań, tagów, insightów i metryk jakości,
  • udostępnianie wyników w panelu Administratora,
  • przechowywanie logów audytowych i konfiguracyjnych związanych z usługą.

Celem przetwarzania jest wykonanie umowy głównej i umożliwienie Administratorowi korzystania z funkcji CallWise.

Procesor nie wykorzystuje danych powierzonych do własnych celów, w szczególności do trenowania własnych modeli, benchmarkingu między klientami lub marketingu, chyba że strony zawrą odrębne ustalenia i jasno określą role prawne.

3. Czas trwania i retencja

  • Dane będą przetwarzane przez okres obowiązywania umowy głównej.
  • Po zakończeniu świadczenia usług Procesor, według wyboru Administratora: zwróci dane w uzgodnionym formacie eksportu albo usunie dane osobowe oraz ich kopie, z wyjątkiem danych, których dalsze przechowywanie jest wymagane przez prawo lub technicznie uzasadnione w ramach ograniczonych kopii bezpieczeństwa przez okres [OKRES].

Domyślne okresy retencji (jeśli nie ustalono inaczej):

Typ danych Retencja
Audio[__] dni
Transkrypcje[__] dni
Summary / insights[__] dni
Wideo[__] godzin / dni
Audit trail[__] lat

4. Kategorie osób i danych

4.1 Kategorie osób

  • pracownicy, współpracownicy i agenci Administratora,
  • klienci, leady, kontrahenci i uczestnicy spotkań,
  • inne osoby, których dane mogą incydentalnie pojawić się w treści rozmów.

4.2 Kategorie danych

  • dane identyfikacyjne i kontaktowe,
  • głos oraz treść wypowiedzi,
  • nagrania audio i, jeżeli dotyczy, wideo,
  • transkrypcje,
  • metadane połączeń i spotkań,
  • wyniki analiz, podsumowania i wskaźniki aktywności,
  • logi systemowe i audytowe.

Strony przyjmują, że w treści rozmów mogą incydentalnie pojawić się dane osób trzecich oraz dane szczególnych kategorii. Administrator zobowiązuje się ograniczać taki zakres do minimum, a Procesor wdraża mechanizmy minimalizacji, retencji i redakcji danych zgodnie z konfiguracją usługi.

5. Obowiązki Administratora

Administrator odpowiada za:

  • posiadanie odpowiedniej podstawy prawnej przetwarzania,
  • spełnienie obowiązku informacyjnego wobec osób, których dane dotyczą,
  • zgodne z prawem wdrożenie monitoringu pracowników i rozmówców,
  • ustalenie czy wymagane są: DPIA, konsultacje z przedstawicielami pracowników, aktualizacja regulaminu pracy, dodatkowa zgoda lub inne dokumenty,
  • wydawanie Procesorowi zgodnych z prawem instrukcji,
  • nieprzekazywanie do systemu danych, których przetwarzanie nie jest niezbędne dla celu biznesowego.

6. Obowiązki Procesora

Procesor zobowiązuje się:

  • przetwarzać dane wyłącznie na udokumentowane polecenie Administratora,
  • zapewnić poufność osób upoważnionych do przetwarzania,
  • wdrożyć odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 GDPR,
  • przestrzegać warunków korzystania z dalszych podmiotów przetwarzających,
  • wspierać Administratora w realizacji praw osób, których dane dotyczą,
  • wspierać Administratora przy DPIA i konsultacjach z organem nadzorczym,
  • bez zbędnej zwłoki informować o naruszeniach ochrony danych,
  • udostępniać informacje niezbędne do wykazania zgodności z art. 28 GDPR.

7. Środki techniczne i organizacyjne

Procesor stosuje, odpowiednio do ryzyka, co najmniej:

  • szyfrowanie transmisji (TLS),
  • kontrolę dostępu i MFA dla kont administracyjnych,
  • separację tenantów,
  • logowanie zdarzeń administracyjnych i operacji compliance,
  • procedury backup / restore,
  • polityki retencji i usuwania danych,
  • ograniczenie dostępu według ról (RBAC),
  • procedury obsługi incydentów.

8. Dalsi podmiotów przetwarzające (sub-procesory)

  • Administrator wyraża ogólną zgodę na korzystanie przez Procesora z sub-procesorów wskazanych w Załączniku nr 2.
  • Procesor poinformuje Administratora o planowanym dodaniu lub zastąpieniu sub-procesora z wyprzedzeniem [14/30] dni.
  • Administrator ma prawo zgłosić uzasadniony sprzeciw w terminie [14] dni.
  • Procesor zapewni, aby na każdego sub-procesora nałożone były obowiązki zasadniczo równoważne z niniejszą umową.

9. Transfery poza EOG

  • Jeżeli przetwarzanie danych będzie wiązało się z transferem poza EOG, Procesor zapewni zastosowanie odpowiedniego mechanizmu transferowego zgodnie z rozdziałem V GDPR (decyzja adekwatności, SCC lub inny dopuszczalny mechanizm).
  • Na dzień zawarcia umowy transfery mogą dotyczyć w szczególności usług: Twilio (telefonia / nagrywanie), AssemblyAI (transkrypcja), OpenAI (analiza AI / LLM), Resend (e-mail transakcyjny).
Uwaga: Sam fakt zawarcia umowy nie oznacza, że wszystkie dane klienta pozostają wyłącznie w UE. Zakres transferów należy każdorazowo zweryfikować w Załączniku nr 2 i dokumentacji usług.

10. Prawa osób, zgłoszenia i naruszenia

  • Procesor wspiera Administratora w realizacji praw osób, których dane dotyczą, w zakresie technicznie i organizacyjnie możliwym.
  • Jeżeli osoba skieruje żądanie bezpośrednio do Procesora, Procesor przekaże je Administratorowi bez zbędnej zwłoki, chyba że prawo wymaga innego działania.
  • Procesor poinformuje Administratora o stwierdzonym naruszeniu bez zbędnej zwłoki, nie później niż w terminie [24/48/72] godzin od potwierdzenia incydentu.

11. Audyt

  • Administrator ma prawo, nie częściej niż [1] raz w roku, przeprowadzić audyt zgodności Procesora z niniejszą umową, z zachowaniem [14/30] dni uprzedniego powiadomienia.
  • Audyt powinien w pierwszej kolejności przyjąć formę dokumentacyjną lub zdalną.
  • Audyt na miejscu może zostać ograniczony do sytuacji uzasadnionych wysokim ryzykiem, incydentem lub wymaganiem regulatora.

12. Postanowienia dot. scoringu i AI

Jeżeli Administrator aktywuje funkcje scoringu, klasyfikacji lub ocen jakościowych pracowników / agentów, przyjmuje do wiadomości, że:

  • korzysta z narzędzia wspierającego decyzje (nie autonomicznego),
  • nie powinien opierać decyzji kadrowych wyłącznie na wyniku automatycznej analizy,
  • powinien zapewnić człowiekowi realną możliwość weryfikacji wyniku i zakwestionowania oceny,
  • może być zobowiązany do przeprowadzenia DPIA oraz dodatkowych obowiązków informacyjnych.

Procesor nie gwarantuje, że wyniki analiz AI są wolne od błędów, uprzedzeń lub nieścisłości i nie ponosi odpowiedzialności za wykorzystanie ich jako jedynej podstawy decyzji wobec osób fizycznych.

Załącznik nr 1 — Opis przetwarzania

Przedmiot[np. nagrywanie i analiza rozmów sprzedażowych]
Cel[np. kontrola jakości, szkolenie, dokumentacja ustaleń]
Kategorie osób[pracownicy, klienci, leady, kontrahenci]
Czas trwania[czas umowy + retencja]
Kanały[Twilio / Google Meet / upload / CRM]
Scoring AI[TAK/NIE]

Załącznik nr 2 — Lista sub-procesorów

Aktualny rejestr sub-procesorów dostępny jest na stronie sub-procesory.

Podmiot Rola Lokalizacja Zakres danych Mechanizm transferu
Twilio sub-procesor USA / global numery tel., metadata, nagrania [DPF/SCC/inne]
AssemblyAI sub-procesor USA audio, fragmenty treści [DPF/SCC/inne]
OpenAI sub-procesor USA transkrypcje, prompty, wyniki [DPF/SCC/inne]
Hetzner sub-procesor DE / EU storage, DB n/d (EOG)
Resend sub-procesor warunkowy USA adresy e-mail, treści wiadomości [SCC/inne]

Pola do uzupełnienia przed wysyłką

⚠️ Wymagane przed podpisaniem:

  • • dane stron i reprezentacji,
  • • opis usługi i instrukcji,
  • • lista faktycznie używanych sub-procesorów,
  • • mechanizm transferu dla każdego sub-procesora,
  • • okresy retencji i terminy usuwania / eksportu,
  • • kontakt incydentowy,
  • • scoring AI: TAK/NIE.

Kontakt

W sprawach dotyczących DPA i compliance danych prosimy o kontakt:
hello@awesomeworks.ai

← Wróć do dokumentów prawnych