UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (DPA)

Załącznik nr 1 do Regulaminu Świadczenia Usług NEXUS Agent

Niniejsza umowa („Umowa DPA”) zostaje zawarta pomiędzy Usługobiorcą akceptującym Regulamin Serwisu NEXUS, zwanym dalej „Administratorem”, a NOBELION Sp. z o.o. (KRS: 0001088524), zwaną dalej „Podmiotem Przetwarzającym” lub „Procesorem”.
Umowa określa zasady i warunki powierzenia przetwarzania danych osobowych w związku z realizacją zautomatyzowanych kampanii B2B przez system NEXUS Agent.
Administrator oświadcza, że jest wyłącznym administratorem danych w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) i posiada ważną, udokumentowaną podstawę prawną do ich pozyskiwania oraz przetwarzania.

Przedmiot: Przetwarzanie obejmuje dane osobowe potencjalnych klientów biznesowych (Leadów) oraz korespondencję zwrotną przetwarzaną w ramach infrastruktury Podmiotu Przetwarzającego.
Cel: Wyłącznym celem przetwarzania jest techniczna realizacja usług subskrypcyjnych (automatyzacja Cold Email B2B) określonych w Regulaminie i zdefiniowanych poprzez wytyczne Administratora w formularzu konfiguracyjnym (Brief).
Charakter: Przetwarzanie odbywa się w sposób zautomatyzowany, z wykorzystaniem algorytmów sztucznej inteligencji (AI), i obejmuje operacje takie jak: zbieranie, utrwalanie, organizowanie, strukturyzowanie, przechowywanie, pobieranie, dopasowywanie i anonimizacja.

Kategorie osób: Przedstawiciele, pracownicy, członkowie zarządu lub współpracownicy podmiotów gospodarczych (relacje B2B), stanowiący grupę docelową kampanii Administratora.
Rodzaj danych: a) Dane służbowe identyfikacyjne: imię, nazwisko, stanowisko służbowe, nazwa podmiotu gospodarczego. b) Dane kontaktowe: służbowy adres e-mail, służbowy numer telefonu, profile w sieciach społecznościowych (np. LinkedIn). c) Dane komunikacyjne: treść wiadomości wychodzących oraz treść odpowiedzi (w celu systemowej detekcji intencji odbiorcy).

Administrator ponosi pełną i wyłączną odpowiedzialność za legalność pozyskania powierzonych danych, w tym za weryfikację, czy stanowią one ogólnodostępne dane kontaktowe przedsiębiorców.
Administrator gwarantuje, że zlecone za pośrednictwem Briefu parametry kampanii są zgodne z powszechnie obowiązującymi przepisami prawa, w tym z Ustawą o świadczeniu usług drogą elektroniczną (UŚUDE) oraz Prawem Komunikacji Elektronicznej (PKE).
Procesor działa wyłącznie na udokumentowane polecenie Administratora. Złożenie Briefu w systemie NEXUS stanowi bezpośrednie, wiążące polecenie przetwarzania danych przez autonomiczne algorytmy Procesora.

Podmiot Przetwarzający zobowiązuje się zabezpieczyć powierzone dane poprzez wdrożenie rygorystycznych środków technicznych i organizacyjnych (art. 32 RODO).
Procesor oświadcza, że wdrożył następujące mechanizmy bezpieczeństwa: a) Architektura Zero-Knowledge & RAM-Only: Poświadczenia uwierzytelniające do zewnętrznych systemów pocztowych (hasła SMTP/IMAP, tokeny OAuth) są szyfrowane w spoczynku za pomocą infrastruktury Key Management Service (KMS). Odszyfrowanie następuje wyłącznie w pamięci ulotnej (RAM) na czas wykonania połączenia. b) Kryptograficzna Czarna Lista (Art. 17 RODO): Realizacja prawa do bycia zapomnianym polega na nieodwracalnym zniszczeniu danych jawnych z bazy i zachowaniu wyłącznie solonego skrótu kryptograficznego (hash SHA-256) adresu e-mail/domeny w celu trwałego zablokowania kolejnych wysyłek.
Osoby upoważnione do przetwarzania danych przez Procesora są zobowiązane do zachowania ich w absolutnej tajemnicy (zarówno w trakcie, jak i po ustaniu zatrudnienia).

Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług podwykonawców (dalszych podmiotów przetwarzających) w celu zapewnienia prawidłowego działania systemu.
Aktualna lista podwykonawców obejmuje: a) Dostawcy infrastruktury i baz danych: Google Cloud, Netlify. b) Dostawcy modeli AI (LLM): Anthropic (Claude), Google (Gemini). Procesor gwarantuje, że umowy z dostawcami LLM bezwzględnie zakazują wykorzystywania powierzonych danych biznesowych Administratora do trenowania publicznych modeli językowych. c) Dostawcy usług analitycznych i mailingowych: Apify, Firecrawl, Resend, DeBounce.
Procesor poinformuje Administratora (poprzez komunikat w systemie lub e-mail) o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podwykonawców. Administratorowi przysługuje prawo wyrażenia sprzeciwu.

Biorąc pod uwagę charakter przetwarzania, Procesor w miarę możliwości technicznych pomaga Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą.
System NEXUS został wyposażony w mechanizmy automatycznej anonimizacji i blokady wysyłki (opt-out), które są wyzwalane automatycznie po wykryciu żądania zaprzestania kontaktu przez odbiorcę.
Jeżeli osoba, której dane dotyczą, zwróci się z roszczeniem bezpośrednio do Procesora, Procesor niezwłocznie poinformuje o tym fakcie Administratora, do którego należy ostateczna decyzja i odpowiedzialność za obsługę żądania.

Umowa zostaje zawarta na czas trwania subskrypcji usług Systemu NEXUS (okres obowiązywania Regulaminu pomiędzy stronami).
Po zakończeniu świadczenia usług, Procesor – zależnie od decyzji Administratora – usuwa lub trwale anonimizuje wszelkie powierzone mu dane osobowe (w tym bazy Leadów), o ile prawo Unii Europejskiej lub prawo państwa członkowskiego nie nakazuje przechowywania tych danych.

Administrator ma prawo do weryfikacji przestrzegania przez Procesora obowiązków wynikających z art. 28 RODO.
Z uwagi na zautomatyzowany charakter architektury chmurowej oraz ochronę tajemnicy przedsiębiorstwa Procesora (kod źródłowy, algorytmy promptowania), weryfikacja odbywa się w pierwszej kolejności poprzez udostępnienie Administratorowi stosownej dokumentacji (np. DPIA, polityki bezpieczeństwa) lub udzielenie pisemnych wyjaśnień.
Ewentualne audyty bezpośrednie mogą być prowadzone wyłącznie po podpisaniu rygorystycznej umowy o zachowaniu poufności (NDA), na koszt Administratora, w sposób niezakłócający ciągłości działania infrastruktury NEXUS.

Zacznijmy. Reszta dzieje się bez Ciebie.