Umowa o Powierzeniu Przetwarzania Danych
Ostatnia aktualizacja 11 maja 2026
Niniejsza Umowa o Powierzeniu Przetwarzania Danych ("Umowa Powierzenia") zostaje zawarta pomiędzy podmiotem określonym jako Administrator w obowiązującym formularzu zamówienia lub umowie o świadczenie usług ("Administrator") a PZX (CNPJ: 62.054.402/0001-26), z siedzibą w stanie São Paulo, Brazylia ("Podmiot Przetwarzający"), i stanowi integralną część umowy regulującej korzystanie z Konn ("Umowa").
1. Definicje
"Dane Osobowe" oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, zgodnie z definicją brazylijskiej Ogólnej Ustawy o Ochronie Danych (LGPD, Ustawa nr 13.709/2018).
"Przetwarzanie" oznacza każdą operację wykonywaną na Danych Osobowych, w tym zbieranie, przechowywanie, używanie, dostęp, przekazywanie i usuwanie.
"Administrator" oznacza osobę fizyczną lub prawną mającą uprawnienia decyzyjne w zakresie Przetwarzania Danych Osobowych.
"Podmiot Przetwarzający" oznacza osobę fizyczną lub prawną, która przetwarza Dane Osobowe w imieniu Administratora, zgodnie z jego instrukcjami.
"Osoba, której Dane Dotyczą" oznacza osobę fizyczną, do której odnoszą się Dane Osobowe.
"Dalszy Podmiot Przetwarzający" oznacza każdą stronę trzecią zaangażowaną przez Podmiot Przetwarzający w celu przetwarzania Danych Osobowych w imieniu Administratora.
"Usługi" oznaczają platformę Konn oraz wszelkie powiązane funkcjonalności udostępniane przez PZX na podstawie Umowy.
2. Zakres i relacja między stronami
Niniejsza Umowa Powierzenia reguluje przetwarzanie Danych Osobowych przez PZX działającą jako Podmiot Przetwarzający, w imieniu Administratora, w związku ze świadczeniem Usług.
Administrator określa cele i sposoby przetwarzania. PZX przetwarza Dane Osobowe wyłącznie w celu świadczenia i obsługi Usług, zgodnie z instrukcjami Administratora określonymi w niniejszej Umowie Powierzenia oraz w Umowie.
3. Charakter, cel i czas trwania przetwarzania
Charakter: przechowywanie, organizacja, indeksowanie, przetwarzanie semantyczne, wyszukiwanie i wyświetlanie treści przesyłanych przez Administratora i jego upoważnionych użytkowników.
Cel: świadczenie platformy Konn, w tym zarządzanie dokumentami, graf wiedzy, wyszukiwanie semantyczne oraz funkcje kontekstowe wspierane przez SI.
Czas trwania: na okres obowiązywania Umowy. Po jej rozwiązaniu zastosowanie mają postanowienia Sekcji 12.
4. Kategorie Danych Osobowych i Osób, których Dane Dotyczą
Kategorie Danych Osobowych przetwarzanych na podstawie niniejszej Umowy Powierzenia zależą od treści przesyłanych przez Administratora. Mogą one obejmować, między innymi:
Dane identyfikacyjne i kontaktowe: imiona i nazwiska, adresy e-mail oraz informacje zawodowe użytkowników Administratora i wszelkich osób wspomnianych w przesłanych treściach;
Dane organizacyjne: struktury zespołów, role i komunikacja wewnętrzna;
Dane treści: dokumenty, notatki i wpisy wiedzy, które mogą zawierać Dane Osobowe pracowników, klientów lub osób trzecich Administratora.
Administrator przyjmuje do wiadomości, że PZX nie może kontrolować ani przewidzieć kategorii Danych Osobowych zawartych w treściach przesłanych do Usług. Administrator jest odpowiedzialny za zapewnienie, że wszystkie Dane Osobowe przesłane do Usług mają ważną podstawę prawną do przetwarzania zgodnie z obowiązującym prawem.
Osobami, których Dane Dotyczą, są przede wszystkim pracownicy i upoważnieni użytkownicy Administratora, a potencjalnie także osoby trzecie, których dane pojawiają się w treściach przesłanych przez Administratora.
5. Obowiązki Podmiotu Przetwarzającego
PZX, jako Podmiot Przetwarzający, zobowiązuje się do:
5.1 Przestrzegania instrukcji: przetwarzania Danych Osobowych wyłącznie na podstawie udokumentowanych instrukcji Administratora, chyba że wymaga tego obowiązujące prawo. PZX poinformuje Administratora, jeżeli uzna, że instrukcja narusza obowiązujące prawo, przed jej wykonaniem.
5.2 Poufności: zapewnienia, że upoważniony personel przetwarzający Dane Osobowe jest zobowiązany do zachowania poufności.
5.3 Bezpieczeństwa: wdrożenia i utrzymania odpowiednich środków technicznych i organizacyjnych w celu ochrony Danych Osobowych, jak opisano w Sekcji 8.
5.4 Dalszych Podmiotów Przetwarzających: angażowania Dalszych Podmiotów Przetwarzających wyłącznie zgodnie z Sekcją 7.
5.5 Praw Osób, których Dane Dotyczą: wspierania Administratora w odpowiedziach na żądania Osób, których Dane Dotyczą, jak opisano w Sekcji 9.
5.6 Usuwania: usunięcia lub zwrotu Danych Osobowych po rozwiązaniu, jak opisano w Sekcji 12.
5.7 Audytu: udostępnienia informacji niezbędnych do wykazania zgodności z niniejszą Umową Powierzenia, jak opisano w Sekcji 11.
5.8 Zgłaszania incydentów: powiadomienia Administratora bez zbędnej zwłoki, a najpóźniej w ciągu 72 godzin od powzięcia wiadomości, o każdym potwierdzonym incydencie bezpieczeństwa dotyczącym Danych Osobowych przetwarzanych na podstawie niniejszej Umowy Powierzenia. Powiadomienie będzie zawierać charakter incydentu, kategorie i przybliżoną liczbę Osób, których Dane Dotyczą, prawdopodobne konsekwencje oraz podjęte lub proponowane środki.
6. Obowiązki Administratora
Administrator zobowiązuje się do:
6.1 Podstawy prawnej: zapewnienia, że wszystkie Dane Osobowe przesłane do Usług mają ważną podstawę prawną do przetwarzania zgodnie z obowiązującym prawem, w tym dane osób trzecich przesyłane jako część dokumentów lub treści wiedzy.
6.2 Dokładności: dostarczania dokładnych i aktualnych instrukcji oraz zapewnienia, że przesyłane Dane Osobowe są adekwatne i odpowiednie dla zamierzonego celu.
6.3 Praw Osób, których Dane Dotyczą: obsługi żądań Osób, których Dane Dotyczą, kierowanych do Administratora i koordynacji z PZX, gdy wymagana jest pomoc Podmiotu Przetwarzającego.
6.4 Zgodności: przestrzegania wszystkich obowiązujących przepisów o ochronie danych w charakterze Administratora, w tym uzyskiwania wymaganych zgód od Osób, których Dane Dotyczą.
7. Dalsze Podmioty Przetwarzające
7.1 Aktualne Dalsze Podmioty Przetwarzające
Administrator upoważnia PZX do zaangażowania następujących Dalszych Podmiotów Przetwarzających w związku z Usługami:
Dalszy Podmiot Przetwarzający | Lokalizacja | Cel |
|---|---|---|
Amazon Web Services (AWS) | Stany Zjednoczone | Infrastruktura chmurowa i hosting |
Cloudflare | Stany Zjednoczone | Bezpieczeństwo sieci, CDN i ochrona DDoS |
OpenAI | Stany Zjednoczone | Przetwarzanie modeli językowych SI i osadzanie tekstu |
Anthropic | Stany Zjednoczone | Przetwarzanie modeli językowych SI |
Stripe | Stany Zjednoczone | Przetwarzanie płatności i fakturowania |
Resend | Stany Zjednoczone | Wysyłanie wiadomości e-mail transakcyjnych |
7.2 Przyszłe Dalsze Podmioty Przetwarzające
PZX może zaangażować dodatkowych dostawców modeli SI (w tym, między innymi, dostawców usług reranking, osadzania lub przetwarzania dźwięku) w miarę rozwoju Usług. PZX powiadomi Administratora o każdym planowanym dodaniu lub zastąpieniu Dalszych Podmiotów Przetwarzających z co najmniej 30-dniowym wyprzedzeniem.
Administrator może sprzeciwić się nowemu Dalszemu Podmiotowi Przetwarzającemu z uzasadnionych powodów związanych z ochroną danych, powiadamiając PZX na piśmie w ciągu 15 dni od otrzymania powiadomienia. Jeżeli strony nie rozwiążą sprzeciwu, Administrator może rozwiązać Umowę bez kar, z 30-dniowym pisemnym wypowiedzeniem.
7.3 Obowiązki Dalszych Podmiotów Przetwarzających
PZX nałoży na wszystkich Dalszych Podmiotów Przetwarzających obowiązki ochrony danych równoważne tym określonym w niniejszej Umowie Powierzenia. PZX pozostaje odpowiedzialny wobec Administratora za wykonanie obowiązków przez Dalsze Podmioty Przetwarzające.
8. Środki bezpieczeństwa
PZX wdraża następujące środki techniczne i organizacyjne w celu ochrony Danych Osobowych:
Szyfrowanie danych w trakcie przesyłania (TLS) oraz w spoczynku;
Izolacja najemców: dane każdego Administratora są logicznie oddzielone od danych innych najemców;
Kontrola dostępu oparta na rolach, ograniczająca dostęp do upoważnionego personelu;
Monitorowanie i rejestrowanie bezpieczeństwa;
Regularne przeglądy dostępów.
PZX może aktualizować te środki w czasie, pod warunkiem, że aktualizacje nie obniżą istotnie ogólnego poziomu ochrony.
9. Prawa Osób, których Dane Dotyczą
PZX będzie wspierać Administratora w wypełnianiu jego obowiązków dotyczących odpowiadania na żądania Osób, których Dane Dotyczą, zgodnie z obowiązującym prawem, w tym żądań dostępu, sprostowania, usunięcia, przenoszenia i sprzeciwu.
Administrator jest odpowiedzialny za otrzymanie i wstępną ocenę żądań Osób, których Dane Dotyczą. Gdy realizacja żądania wymaga działania ze strony PZX, Administrator prześle żądanie do PZX za pośrednictwem kanału kontaktowego wskazanego w Sekcji 13. PZX odpowie w ciągu 15 dni roboczych.
10. Międzynarodowe transfery danych
Dane Osobowe przetwarzane na podstawie niniejszej Umowy Powierzenia mogą być przekazywane i przetwarzane w krajach poza Brazylią, w tym w Stanach Zjednoczonych, gdzie działają Dalsze Podmioty Przetwarzające PZX. Takie transfery są realizowane na podstawie odpowiednich zabezpieczeń umownych, zgodnie z artykułem 33 LGPD.
W przypadku Administratorów podlegających RODO, transfery do Dalszych Podmiotów Przetwarzających poza Europejskim Obszarem Gospodarczym podlegają obowiązującym mechanizmom transferu, w tym Standardowym Klauzulom Umownym, gdy jest to wymagane.
11. Prawa audytu
Na pisemne żądanie Administratora PZX udostępni informacje niezbędne do wykazania zgodności z niniejszą Umową Powierzenia. PZX może wypełnić ten obowiązek poprzez dostarczenie aktualnych certyfikatów, dokumentacji bezpieczeństwa lub podsumowań raportów z audytu.
Administrator może zażądać audytu na miejscu nie częściej niż raz w roku kalendarzowym, z co najmniej 30-dniowym pisemnym wyprzedzeniem i na własny koszt. Każdy audyt musi być przeprowadzony w sposób, który nie zakłóca działalności PZX ani nie narusza bezpieczeństwa lub poufności danych innych klientów.
12. Czas obowiązywania, rozwiązanie i usunięcie danych
Niniejsza Umowa Powierzenia pozostaje w mocy przez czas trwania Umowy.
Po rozwiązaniu lub wygaśnięciu Umowy:
Administrator będzie miał 30 dni na wyeksportowanie swoich danych z Usług;
Po tym okresie PZX usunie wszystkie Dane Osobowe przetwarzane na podstawie niniejszej Umowy Powierzenia w ciągu 30 dni, w tym kopie posiadane przez Dalsze Podmioty Przetwarzające, gdy jest to technicznie wykonalne;
PZX dostarczy pisemne potwierdzenie usunięcia na żądanie Administratora;
PZX może zachować Dane Osobowe poza tym okresem wyłącznie w zakresie wymaganym przez obowiązujące prawo, w którym to przypadku dane pozostaną objęte obowiązkami poufności wynikającymi z niniejszej Umowy Powierzenia.
13. Odpowiedzialność
Odpowiedzialność każdej strony na podstawie niniejszej Umowy Powierzenia podlega ograniczeniom określonym w Umowie. Żadne postanowienie niniejszej Umowy Powierzenia nie ogranicza odpowiedzialności żadnej ze stron za obowiązki, których nie można wyłączyć ani ograniczyć na mocy obowiązującego prawa o ochronie danych.
14. Prawo właściwe
Niniejsza Umowa Powierzenia podlega prawu Federalnej Republiki Brazylii, w szczególności LGPD (Ustawa nr 13.709/2018). Wszelkie spory wynikające z niniejszej Umowy Powierzenia, które nie mogą być rozwiązane polubownie, będą poddawane sądom Dystryktu São Paulo, stan São Paulo.
15. Kontakt
W sprawach dotyczących niniejszej Umowy Powierzenia, żądań praw Osób, których Dane Dotyczą, lub incydentów bezpieczeństwa:
E-mail: [email protected]
Strona internetowa: pzx.app
Inspektor Ochrony Danych:
Imię i nazwisko: Filipe Albuquerque Brauns Cazelgrandi
E-mail: [email protected]
Załącznik A, Szczegóły przetwarzania
Niniejszy załącznik uzupełnia Sekcję 3 i może być aktualizowany za pisemnym, wzajemnym porozumieniem w celu odzwierciedlenia zmian w Usługach.
Pole | Szczegóły |
|---|---|
Przedmiot | Zarządzanie wiedzą organizacyjną poprzez platformę Konn |
Charakter przetwarzania | Przechowywanie, indeksowanie, wyszukiwanie semantyczne, wyszukiwanie i generowanie wspierane przez SI |
Cel | Świadczenie Usług zgodnie z opisem w Umowie |
Okres przechowywania | Czas trwania Umowy oraz okres usunięcia przewidziany w Sekcji 12 |
Kategorie Osób, których Dane Dotyczą | Pracownicy Administratora, upoważnieni użytkownicy oraz wszelkie osoby trzecie wspomniane w przesłanych treściach |
Kategorie Danych Osobowych | Zgodnie z opisem w Sekcji 4; rzeczywiste kategorie zależą od treści przesyłanych przez Administratora |