← heyheyo.com

Umowa powierzenia przetwarzania (DPA)

Obowiązuje od: 30 czerwca 2026 r.

§1. Strony i przedmiot

Niniejsza umowa powierzenia przetwarzania danych osobowych („DPA”) określa zasady przetwarzania danych przez CRAFTWEB sp. z o.o. (operatora Heyheyo, „Procesor”) w imieniu Użytkownika Usługi („Administrator”), zgodnie z art. 28 RODO. DPA stanowi integralną część Regulaminu i jest akceptowana przez Użytkownika w momencie korzystania z Usługi.

Administratorem danych osób dzwoniących do firmy Użytkownika jest Użytkownik; Procesor przetwarza je wyłącznie w celu świadczenia Usługi.

§2. Zakres, charakter i cel przetwarzania

Cel: świadczenie usługi wirtualnej recepcji AI (odbieranie połączeń, prowadzenie rozmowy, umawianie wizyt, powiadomienia). Charakter: zautomatyzowane przetwarzanie głosu i tekstu w chmurze oraz na serwerach operatora.

Kategorie osób: osoby dzwoniące do firmy Użytkownika (klienci Użytkownika).

Kategorie danych: numer telefonu, treść rozmowy (nagranie audio i transkrypcja), dane podane w rozmowie (imię, e-mail, szczegóły i termin rezerwacji), metadane połączeń. Procesor nie zabiega o pozyskiwanie szczególnych kategorii danych (art. 9 RODO); jeśli pojawią się w treści rozmowy, podlegają tym samym zasadom ochrony.

§3. Czas trwania

Powierzenie trwa przez okres obowiązywania umowy o świadczenie Usługi (Regulamin). Po jej zakończeniu zastosowanie mają zasady usuwania/zwrotu danych z §10.

§4. Obowiązki Procesora

  • przetwarza dane wyłącznie na udokumentowane polecenie Administratora (w tym Regulamin i ustawienia w panelu),
  • zapewnia poufność - dostęp mają tylko upoważnione osoby zobowiązane do zachowania tajemnicy,
  • stosuje środki bezpieczeństwa odpowiednie do ryzyka (art. 32 RODO; szczegóły §8),
  • pomaga Administratorowi w realizacji praw osób (dostęp, usunięcie, sprzeciw) oraz w obowiązkach z art. 32-36 RODO,
  • informuje Administratora, jeśli polecenie narusza RODO,
  • po zakończeniu usuwa lub zwraca dane (§10) oraz udostępnia informacje niezbędne do wykazania zgodności i umożliwia audyt (§9, §11).

§5. Obowiązki Administratora

  • posiada ważną podstawę prawną do przetwarzania (w tym nagrywania) danych dzwoniących,
  • realizuje obowiązek informacyjny wobec osób dzwoniących (wspierany komunikatem Asystenta na początku rozmowy),
  • wydaje polecenia zgodne z prawem i nie wprowadza do Usługi danych, do których nie jest uprawniony.

§6. Subprocesorzy

Administrator udziela Procesorowi ogólnej zgody na korzystanie z subprocesorów niezbędnych do świadczenia Usługi. Procesor zapewnia, że subprocesorzy są związani obowiązkami ochrony danych nie mniej rygorystycznymi niż w niniejszym DPA, oraz informuje o zamierzonych zmianach, dając możliwość sprzeciwu. Aktualna lista:

SubprocesorCelLokalizacja
SonioxTranskrypcja mowy (STT)USA (SCC)
ElevenLabsSynteza głosu (TTS)USA (SCC)
Google (Gemini)Model językowyUSA (SCC)
OpenAIModel językowy (fallback)USA (SCC)
StripePłatnościUSA / IE (SCC)
TelnyxTelefoniaUSA (SCC)
SMSAPI.plSMSPolska
Infrastruktura (Garage, LiveKit, PostgreSQL)Hosting i nagraniaPolska (serwery operatora)

§7. Transfer poza EOG

Część subprocesorów przetwarza dane poza Europejskim Obszarem Gospodarczym (USA). Transfer odbywa się na podstawie standardowych klauzul umownych (SCC) i/lub decyzji o adekwatności (np. EU-US Data Privacy Framework, jeśli subprocesor jest certyfikowany). Nagrania rozmów i baza danych przechowywane są na serwerach operatora w Polsce.

§8. Środki bezpieczeństwa

  • izolacja danych między Klientami (dostęp ograniczony do właściciela danych - kontrola dostępu na poziomie aplikacji),
  • szyfrowanie transmisji (TLS) i kontrola dostępu do panelu (uwierzytelnianie, role),
  • nagrania i baza danych na serwerach operatora (self-host), bez udostępniania podmiotom nieuprawnionym,
  • rejestrowanie operacji administracyjnych (audit log),
  • minimalizacja i ograniczona retencja (§10).

§9. Naruszenia i prawa osób

Procesor bez zbędnej zwłoki zgłasza Administratorowi naruszenie ochrony danych oraz pomaga w obsłudze żądań osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw). Żądania kierowane bezpośrednio do Procesora są przekazywane Administratorowi lub obsługiwane na jego polecenie.

§10. Retencja, usuwanie i zwrot danych

Nagrania i transkrypcje rozmów są przechowywane domyślnie przez 30 dni, po czym automatycznie usuwane. Na żądanie Administratora Procesor usuwa dane wcześniej. Po zakończeniu świadczenia Usługi Procesor - wedle wyboru Administratora - usuwa lub zwraca dane, chyba że ich dalsze przechowywanie wynika z przepisów prawa.

§11. Odpowiedzialność i postanowienia końcowe

W sprawach nieuregulowanych stosuje się Regulamin, Politykę prywatności oraz przepisy RODO i prawa polskiego. Odpowiedzialność stron ogranicza się do zakresu dozwolonego prawem. Kontakt w sprawach DPA: info@heyheyo.com.

Dokument w wersji best-effort; zalecamy weryfikację prawną przed zawarciem umów z klientami komercyjnymi.