Oferta

Cennik

O nas

Pomoc

Kontakt

Umowa powierzenia danych (DPA)

Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

Wersja: 1.2
Data wejścia w życie: 27 kwietnia 2026 r.
Ostatnia aktualizacja: 2026-04-27
Procesor: Aigato Sp. z o.o.

§1 Postanowienia ogólne

  1. Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „DPA” lub „Umowa Powierzenia”) stanowi integralną część Regulaminu świadczenia usług serwisu aigato.pl (dalej: „Regulamin Główny”) i reguluje zasady powierzenia przetwarzania danych osobowych przez Klienta (Administratora) na rzecz Usługodawcy (Procesora).
  2. Umowa Powierzenia została zawarta na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „RODO”).
  3. Akceptacja Regulaminu Głównego przez Klienta oznacza jednoczesne zawarcie niniejszej Umowy Powierzenia.
  4. Wszelkie pojęcia pisane wielką literą, niezdefiniowane odrębnie w niniejszej Umowie Powierzenia, mają znaczenie nadane im w §2 Regulaminu Głównego.

§2 Strony i role

  1. Administrator danych — Klient (właściciel Konta w Serwisie), który wprowadza dane osobowe do Serwisu i decyduje o celach oraz sposobach ich przetwarzania.
  2. Procesor — Aigato Sp. z o.o. z siedzibą w Bydgoszczy, ul. Człuchowska 13, 85-808 Bydgoszcz, NIP: 9532818697, REGON: 544576925, KRS: 0001237205, który przetwarza dane osobowe w imieniu i na polecenie Administratora w celu świadczenia Usług.

§3 Przedmiot i cel przetwarzania

  1. Procesor przetwarza dane osobowe powierzone przez Administratora wyłącznie w celu świadczenia Usług określonych w Regulaminie Głównym, w szczególności:
    • a) przechowywania danych w Bazie Wiedzy Klienta,
    • b) generowania odpowiedzi z wykorzystaniem sztucznej inteligencji (AI) na podstawie danych z Bazy Wiedzy,
    • c) publikacji danych oznaczonych jako publiczne na stronach sot.md (Source of Truth),
    • d) obsługi usługi Chat Worker (wewnętrzny czat AI dla pracowników Klienta),
    • e) obsługi usługi Chat WWW (publiczny czat AI na stronie Klienta),
    • f) udostępniania danych za pośrednictwem serwerów MCP (Model Context Protocol).
  2. Charakter przetwarzania obejmuje: zbieranie, utrwalanie, organizowanie, przechowywanie, adaptowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie oraz usuwanie danych osobowych.
  3. Czas przetwarzania: przez cały okres obowiązywania Umowy (korzystania z Serwisu przez Klienta).

§4 Kategorie danych i osób

  1. Kategorie osób, których dane dotyczą, obejmują w szczególności (zależnie od danych wprowadzonych przez Administratora do Serwisu):
    • a) klientów Administratora,
    • b) pracowników i współpracowników Administratora,
    • c) kontrahentów i partnerów biznesowych Administratora,
    • d) odwiedzających stronę internetową Administratora korzystających z usługi Chat WWW.
  2. Kategorie danych osobowych obejmują w szczególności:
    • a) dane identyfikacyjne (imię, nazwisko, stanowisko, nazwa firmy),
    • b) dane kontaktowe (adres e-mail, numer telefonu, adres korespondencyjny),
    • c) dane zawodowe (stanowisko, dział, rola),
    • d) inne dane osobowe wprowadzone przez Administratora do Bazy Wiedzy.
  3. Administrator zobowiązany jest do nieumieszczania w Serwisie szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (dane o zdrowiu, biometryczne, genetyczne, dot. orientacji seksualnej, przekonań religijnych, przynależności związkowej, poglądów politycznych), chyba że posiada odpowiednią podstawę prawną i poinformuje o tym Procesora.

§5 Obowiązki Procesora

  1. Procesor przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa Unii Europejskiej lub prawa polskiego.
  2. Procesor zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  3. Procesor wdraża odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku, w szczególności:
    • a) szyfrowanie danych w transmisji (TLS) i w spoczynku,
    • b) kontrolę dostępu opartą na rolach (RBAC) z uwierzytelnianiem wieloskładnikowym,
    • c) regularne tworzenie kopii zapasowych danych,
    • d) monitorowanie i rejestrowanie dostępu do danych (logi audytowe),
    • e) fizyczne zabezpieczenie infrastruktury serwerowej (certyfikowane centra danych).
  4. Procesor pomaga Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania praw określonych w rozdziale III RODO (prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu).
  5. Procesor pomaga Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo przetwarzania, zgłaszanie naruszeń, ocena skutków).
  6. W przypadku naruszenia ochrony danych osobowych Procesor powiadamia Administratora bez zbędnej zwłoki, nie później niż w ciągu 48 (czterdziestu ośmiu) godzin od wykrycia naruszenia, przekazując informacje wymagane przez art. 33 ust. 3 RODO.
  7. Po zakończeniu świadczenia Usług, Procesor — zgodnie z wyborem Administratora — usuwa lub zwraca Administratorowi wszystkie dane osobowe oraz usuwa istniejące kopie, chyba że prawo Unii Europejskiej lub prawo polskie nakazuje przechowywanie danych osobowych.

§6 Obowiązki Administratora

  1. Administrator zapewnia, że posiada odpowiednią podstawę prawną do przetwarzania danych osobowych powierzonych Procesorowi (w szczególności: zgoda osoby, wykonanie umowy, prawnie uzasadniony interes lub obowiązek prawny, zgodnie z art. 6 ust. 1 RODO).
  2. Administrator zobowiązany jest do poinformowania osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, w tym o powierzeniu przetwarzania Procesorowi, zgodnie z art. 13 i 14 RODO.
  3. Administrator ponosi wyłączną odpowiedzialność za legalność, poprawność i adekwatność danych osobowych wprowadzonych do Serwisu.

§7 Sub-procesorzy

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z dalszych podmiotów przetwarzających (sub-procesorów) w zakresie niezbędnym do świadczenia Usług.
  2. Aktualna lista sub-procesorów stanowi Załącznik nr 1 do niniejszej Umowy Powierzenia.
  3. Procesor informuje Administratora o zamierzonych zmianach dotyczących dodania lub zastąpienia sub-procesora z co najmniej 14-dniowym (czternastodniowym) wyprzedzeniem, za pośrednictwem poczty elektronicznej.
  4. Akceptacja listy sub-procesorów jest obligatoryjna i stanowi integralną część warunków korzystania z Usług. Ze względu na architekturę Serwisu (wspólna infrastruktura dla wszystkich Klientów) nie ma technicznej możliwości wyłączenia konkretnego sub-procesora dla wybranego Konta. Jeżeli Administrator nie akceptuje któregokolwiek z sub-procesorów, ma prawo rozwiązać Umowę na zasadach określonych w Regulaminie.
  5. Procesor zapewnia, że każdy sub-procesor jest związany zobowiązaniami w zakresie ochrony danych osobowych co najmniej równoważnymi z zobowiązaniami określonymi w niniejszej Umowie Powierzenia.

§8 Audyt

  1. Administrator ma prawo do przeprowadzenia audytu zgodności przetwarzania danych osobowych z niniejszą Umową Powierzenia, po uprzednim uzgodnieniu terminu z Procesorem, z zachowaniem co najmniej 30-dniowego (trzydziestodniowego) wyprzedzenia.
  2. Audyt może być przeprowadzany nie częściej niż raz w roku kalendarzowym, chyba że zachodzą uzasadnione przesłanki wskazujące na naruszenie postanowień niniejszej Umowy Powierzenia.
  3. Koszty przeprowadzenia audytu ponosi Administrator, chyba że audyt wykaże naruszenie zobowiązań Procesora — w takim przypadku koszty ponosi Procesor.
  4. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w art. 28 RODO.

§9 Odpowiedzialność

  1. Odpowiedzialność Procesora z tytułu niniejszej Umowy Powierzenia podlega ograniczeniom określonym w §10 Regulaminu Głównego.
  2. Procesor nie ponosi odpowiedzialności za przetwarzanie danych osobowych niezgodnie z RODO, jeżeli niezgodność wynika z poleceń lub działań Administratora.

§10 Czas obowiązywania

  1. Niniejsza Umowa Powierzenia obowiązuje przez cały okres korzystania z Serwisu przez Administratora (Klienta).
  2. Rozwiązanie Umowy zawartej na podstawie Regulaminu Głównego skutkuje rozwiązaniem niniejszej Umowy Powierzenia, z zastrzeżeniem obowiązków określonych w §5 ust. 7.

Załącznik nr 1 — Lista sub-procesorów

Nazwa podmiotu Siedziba Cel przetwarzania Podstawa transferu poza EOG
Hetzner Online GmbH Niemcy (UE) Hosting infrastruktury serwerowej — (UE)
Cloudflare, Inc. USA CDN, ochrona DDoS, cache EU-US Data Privacy Framework
Amazon Web Services, Inc. USA (region UE: Frankfurt) Przechowywanie plików (S3) EU-US DPF + SCC
Anthropic, PBC USA Modele sztucznej inteligencji (LLM) EU-US DPF + SCC
OpenAI, LLC USA Modele sztucznej inteligencji (LLM) EU-US DPF + SCC
Google Cloud EMEA Limited 70 Sir John Rogerson’s Quay, Dublin 2, Irlandia (UE) Generowanie embeddingów wektorowych w usłudze Vertex AI (model Gemini embedding-001) oraz przetwarzanie treści Bazy Wiedzy Klienta przez modele Gemini; region przetwarzania: europe-west1 (UE) art. 28 RODO + Google Cloud DPA + SCC (zabezpieczenie na wypadek wsparcia transferowego)
Google LLC USA Google Analytics — analiza ruchu w Serwisie EU-US DPF + SCC
Stripe, Inc. USA Przetwarzanie płatności kartowych EU-US DPF + SCC
Krajowy Integrator Płatności S.A. (Tpay) Polska (UE) Przetwarzanie płatności BLIK — (UE)
Mailgun Technologies, Inc. USA Wysyłka e-maili transakcyjnych EU-US DPF + SCC
Functional Software, Inc. d/b/a Sentry / Sentry GmbH (oddział UE) 132 Hawthorne Street, San Francisco, CA, USA + Krausenstrasse 9-10, 10117 Berlin, Niemcy (UE) Monitoring błędów aplikacji oraz wydajności (error tracking + performance monitoring); domyślnie zbiera adres e-mail i identyfikator zalogowanego Użytkownika przy zgłoszeniu błędu (sendDefaultPii), wraz ze śladem stosu, adresem URL, adresem IP, user-agent oraz ścieżką nawigacji (breadcrumbs) art. 28 RODO + Sentry DPA + SCC dla transferu USA
SDC.pl (Hetzner reseller) Polska (UE) Usługi hostingowe — (UE)

Aigato Sp. z o.o.

ul. Człuchowska 13, 85-808 Bydgoszcz

NIP: 9532818697 | REGON: 544576925 | KRS: 0001237205

← Powrót do listy regulaminów