Umowa powierzenia przetwarzania danych

Umowa powierzenia przetwarzania danych zgodnie z art. 28 RODO

pomiędzy użytkownikiem usługi BonusVoice (dalej „Zleceniodawca") a

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen E-mail: info@bonusvoice.de Telefon: 0201-89083160

(dalej „Zleceniobiorca")

§ 1 – Przedmiot i czas trwania przetwarzania

(1) Zleceniobiorca przetwarza dane osobowe na zlecenie Zleceniodawcy w ramach korzystania z usługi BonusVoice (transkrypcja i podsumowanie nagrań audio z wykorzystaniem AI).

(2) Czas trwania przetwarzania odpowiada okresowi obowiązywania umowy o korzystanie. Z chwilą usunięcia konta użytkownika przetwarzanie ustaje. Dane osobowe zostaną usunięte w ciągu 30 dni po usunięciu konta, o ile nie istnieją ustawowe obowiązki przechowywania.

§ 2 – Rodzaj i cel przetwarzania

Przetwarzanie obejmuje następujące czynności:

  • Przechowywanie nagrań audio, transkrypcji i podsumowań
  • Przetwarzanie AI do transkrypcji (mowa-na-tekst) i podsumowania
  • Zarządzanie użytkownikami (tworzenie kont, uwierzytelnianie, przynależność organizacyjna)
  • Wysyłanie e-maili (potwierdzenie konta, powiadomienia, wysyłka transkrypcji)
  • Obsługa płatności (zarządzanie subskrypcjami i wystawianie faktur)

§ 3 – Rodzaje danych osobowych

Przetwarzane są następujące kategorie danych:

  • Imię i nazwisko oraz adres e-mail
  • Hasło (przechowywane w formie zaszyfrowanej)
  • Przynależność organizacyjna
  • Nagrania audio oraz wytworzone z nich transkrypcje i podsumowania
  • Metadane (tytuł, opis, czas trwania, język nagrań)
  • Dane płatnicze (przetwarzane przez Stripe, nie przechowywane przez Zleceniobiorcę)
  • Dane logów serwera (adres IP, przeglądarka, znacznik czasu)

§ 4 – Kategorie osób, których dane dotyczą

  • Zarejestrowani użytkownicy usługi
  • Osoby uchwycone w nagraniach audio (mówcy)

§ 5 – Obowiązki Zleceniobiorcy

(1) Zleceniobiorca przetwarza dane osobowe wyłącznie na udokumentowane polecenie Zleceniodawcy, chyba że jest zobowiązany do przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego.

(2) Zleceniobiorca zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności.

(3) Zleceniobiorca podejmuje wszystkie środki wymagane zgodnie z art. 32 RODO, w szczególności:

  • Szyfrowanie SSL/TLS wszystkich transferów danych
  • Zaszyfrowane przechowywanie wszystkich plików audio w Object Storage
  • Zaszyfrowane przechowywanie haseł
  • Kontrola dostępu i koncepcja uprawnień
  • Regularne aktualizacje bezpieczeństwa wszystkich systemów
  • Lokalizacja serwerów wyłącznie w Niemczech i UE

(4) Zleceniobiorca wspiera Zleceniodawcę w wypełnianiu obowiązków określonych w art. 32 do 36 RODO.

(5) Po zakończeniu przetwarzania Zleceniobiorca usuwa wszystkie dane osobowe, o ile nie istnieje ustawowy obowiązek przechowywania.

(6) Zleceniobiorca udostępnia Zleceniodawcy wszystkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

§ 6 – Podwykonawcy (podprzetwarzający)

(1) Zleceniodawca wyraża zgodę na korzystanie z następujących podwykonawców:

6.1 Hetzner Online GmbH

| | | |---|---| | Cel | Hosting serwerów i przechowywanie plików (Object Storage) | | Adres | Industriestr. 25, 91710 Gunzenhausen, Niemcy | | Lokalizacja serwera | Niemcy | | Przetwarzane dane | Wszystkie dane użytkowników i treści, pliki audio, transkrypcje | | Umowa powierzenia | Umowa powierzenia przetwarzania danych zgodnie z art. 28 RODO |

6.2 Mistral AI

| | | |---|---| | Cel | Przetwarzanie AI: transkrypcja (model Voxtral) i podsumowanie | | Adres | 15 Rue des Halles, 75001 Paryż, Francja | | Lokalizacja serwera | UE (Francja) | | Przetwarzane dane | Pliki audio (do transkrypcji), transkrypcje (do podsumowania) | | Uwaga | Całe przetwarzanie AI odbywa się wyłącznie w UE. Brak transferu danych do krajów trzecich. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Cel | Wysyłanie e-maili (potwierdzenie konta, powiadomienia, wysyłka transkrypcji) | | Adres | Hauptstraße 68, 02742 Friedersdorf, Niemcy | | Lokalizacja serwera | Niemcy | | Przetwarzane dane | Adres e-mail, imię i nazwisko, treści e-mail |

6.4 Stripe, Inc.

| | | |---|---| | Cel | Obsługa płatności (karty kredytowe, SEPA, zarządzanie subskrypcjami) | | Adres | 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | | Przetwarzanie danych | UE (Stripe przetwarza europejskie dane płatnicze w UE) | | Przetwarzane dane | Informacje o płatnościach (dane kart kredytowych, dane SEPA). Są przetwarzane wyłącznie przez Stripe i nie są przechowywane przez Zleceniobiorcę. | | Uwaga | Stripe odpowiada wyłącznie za obsługę płatności. Żadne dane audio, transkrypcje ani dane dotyczące treści nie są przekazywane do Stripe. | | Gwarancje | EU-US Data Privacy Framework, standardowe klauzule umowne (SCC) |

6.5 Google Ireland Limited (opcjonalnie)

| | | |---|---| | Cel | Uwierzytelnianie (Google OAuth 2.0) — tylko jeśli użytkownik aktywnie wybierze logowanie przez Google | | Adres | Gordon House, Barrow Street, Dublin 4, Irlandia | | Przetwarzanie danych | UE (Irlandia) | | Przetwarzane dane | Imię i nazwisko oraz adres e-mail użytkownika (wyłącznie do identyfikacji konta) | | Uwaga | Google OAuth jest całkowicie opcjonalny. Użytkownicy mogą w każdej chwili logować się za pomocą e-mail/hasła lub Magic Link. Żadne nagrania audio, transkrypcje, podsumowania ani inne dane dotyczące treści nie są przekazywane do Google. | | Gwarancje | EU-US Data Privacy Framework, standardowe klauzule umowne (SCC) |

(2) Zleceniobiorca poinformuje Zleceniodawcę o każdej zamierzonej zmianie dotyczącej zaangażowania lub zastąpienia podwykonawców. Zleceniodawca może wnieść sprzeciw wobec takich zmian.

§ 7 – Przekazywanie do krajów trzecich

(1) Przekazywanie danych osobowych do krajów trzecich (poza EOG) zasadniczo nie ma miejsca.

(2) Wyjątki:

  • Stripe (obsługa płatności): Stripe, Inc. ma siedzibę w USA, jednak przetwarza dane europejskie w UE. Do transferu danych stosuje się EU-US Data Privacy Framework i standardowe klauzule umowne.
  • Google (tylko w przypadku Google OAuth): Google Ireland Limited przetwarza dane w UE. Tylko w przypadku aktywnego wyboru logowania przez Google przez użytkownika.

(3) Przetwarzanie AI (transkrypcja i podsumowanie) oraz przechowywanie wszystkich danych dotyczących treści i użytkowników odbywa się wyłącznie w Niemczech i UE.

§ 8 – Prawa osób, których dane dotyczą

Zleceniobiorca wspiera Zleceniodawcę w wypełnianiu praw osób, których dane dotyczą, zgodnie z art. 12–22 RODO, w szczególności:

  • Prawo dostępu (art. 15 RODO)
  • Prawo do sprostowania (art. 16 RODO)
  • Prawo do usunięcia (art. 17 RODO)
  • Prawo do ograniczenia przetwarzania (art. 18 RODO)
  • Prawo do przenoszenia danych (art. 20 RODO)

Użytkownicy mogą w każdej chwili przeglądać, eksportować i usuwać swoje dane za pośrednictwem konta użytkownika.

§ 9 – Obowiązek zgłaszania naruszeń ochrony danych

Zleceniobiorca informuje Zleceniodawcę niezwłocznie, najpóźniej w ciągu 48 godzin, o każdym naruszeniu ochrony danych osobowych zgodnie z art. 33 RODO.

§ 10 – Prawa kontrolne

(1) Zleceniodawca ma prawo weryfikować przestrzeganie niniejszej umowy w odpowiedni sposób.

(2) Zleceniobiorca udostępnia Zleceniodawcy na żądanie wszystkie niezbędne informacje i umożliwia przeprowadzenie weryfikacji, w tym inspekcji.

§ 11 – Okres obowiązywania i wypowiedzenie

Niniejsza umowa obowiązuje przez okres korzystania z usługi BonusVoice. Wchodzi w życie z chwilą rejestracji i kończy się z chwilą usunięcia konta użytkownika.

§ 12 – Postanowienia końcowe

(1) Jeśli poszczególne postanowienia niniejszej umowy okażą się nieskuteczne, nie narusza to skuteczności pozostałych postanowień.

(2) Obowiązuje prawo Republiki Federalnej Niemiec.

(3) Sądem właściwym jest Essen.

Stan: Marzec 2026

Kontakt w sprawie ochrony danych: info@bonusvoice.de