Umowa o przetwarzaniu danych
Umowa o przetwarzaniu danych
Wersja 2026-05-20
Niniejsza Umowa o przetwarzaniu danych („DPA”) uzupełnia Główną Umowę Subskrypcyjną pomiędzy Trueings a Twoją organizacją. Dotyczy sposobu przetwarzania danych osobowych, gdy Twoja organizacja uczestniczy w kanale B2B2C Trueings.
1. Role i obowiązki
Twoi pracownicy są podmiotami danych, których dane osobowe przepływają przez Trueings. Ty (organizacja) jesteś nabywcą puli licencji; Trueings jest administratorem danych konta pracowników i treści informacji zwrotnej; Twoi pracownicy są również administratorami danych w odniesieniu do własnych kont i osób, które zapraszają do odpowiedzi.
Twoja organizacja nie ma dostępu do treści informacji zwrotnej pracowników. DPA potwierdza tę granicę na piśmie.
2. Co przetwarzamy w imieniu Twoich pracowników
- Dane konta: wybrany przez każdego realizującego pracownika adres e-mail konta, nazwa wyświetlana, kraj, zawód oraz poświadczenie powiązania z pracodawcą (służbowy adres e-mail + nazwa wyświetlana pracodawcy, aktywne okno powiązane z licencją).
- Treść informacji zwrotnej: konwersacyjne tury rozmowy od respondentów, których pracownik zaprasza, przechowywane jako surowe zapisy do 30 dni po syntezie, następnie automatycznie usuwane.
- Zsyntetyzowany wynik: zanonimizowany, przefiltrowany pod kątem poufności raport dostępny wyłącznie dla pracownika.
3. Granica poufności
Twoja organizacja otrzymuje wyłącznie zagregowane, niewidzące treści metryki (wskaźnik realizacji, wskaźnik ukończenia, NPS satysfakcji z narzędzia po jego zebraniu). Twoja organizacja nie będzie próbowała ustalić, który pracownik zrealizował którą licencję, ani wnioskować o treści informacji zwrotnej z danych o zaangażowaniu, ani zmuszać pracowników do udostępnienia ich raportów.
4. Podmioty przetwarzające
Korzystamy z następujących podmiotów przetwarzających. Lista odzwierciedla dostawców aktywnie używanych; o istotnych zmianach powiadamiamy z co najmniej trzydziestodniowym wyprzedzeniem.
- Supabase: zarządzana baza Postgres i logowanie bez hasła. Region UE.
- Anthropic: wnioskowanie dużego modelu językowego. Hosting w USA; transfery objęte standardowymi klauzulami umownymi. Umowa o zerowym przechowywaniu obejmuje ruch z naszej organizacji, więc treść nie jest przechowywana poza wnioskowaniem ani używana do trenowania.
- Resend: dostarczanie transakcyjnej poczty e-mail. Region UE.
- Stripe: obsługa płatności dla planów płatnych. Nie przechowujemy danych karty.
5. Przechowywanie
- Surowe zapisy rozmów: automatycznie usuwane trzydzieści dni po sfinalizowaniu raportu każdego pracownika.
- Zsyntetyzowane raporty: przechowywane przez cały okres istnienia konta pracownika (które przetrwa jego odejście z Twojej organizacji).
- Zapisy licencji: przechowywane przez cały okres istnienia konta Twojej organizacji plus ustawowy okres archiwizacji na potrzeby rozliczeń.
6. Transfery transgraniczne
Dane są przetwarzane przede wszystkim w Unii Europejskiej. Transfery do podmiotów przetwarzających spoza UE (obecnie: Anthropic, USA) są objęte standardowymi klauzulami umownymi i ograniczone do tego, czego wymaga usługa (wyłącznie wnioskowanie LLM; brak przepływu danych identyfikujących obok).
7. Środki bezpieczeństwa
Utrzymujemy środki techniczne i organizacyjne odpowiednie do wrażliwości danych, w tym bezpieczeństwo na poziomie wierszy dla danych osobowych, szyfrowanie w tranzycie i w spoczynku, kontrole dostępu według zasady najmniejszych uprawnień oraz audytowaną powierzchnię operatora dla każdego dostępu między najemcami.
8. Prawa podmiotów danych
Pracownicy mogą korzystać ze swoich praw wynikających z RODO (dostęp, sprostowanie, usunięcie, przenoszenie) bezpośrednio z panelu Trueings lub pisząc na privacy@trueings.com. Twoja organizacja nie jest włączona w te wnioski, zgodnie z granicą poufności opisaną powyżej.
9. Okres obowiązywania i rozwiązanie
Niniejsza DPA pozostaje w mocy tak długo, jak długo obowiązuje MSA ORAZ tak długo, jak Trueings przechowuje jakiekolwiek dane osobowe przetwarzane w imieniu Twoich pracowników. Rozwiązanie uruchamia standardowe powyżej harmonogramy przechowywania.
10. Kontakt
Kontrasygnowana DPA, powiadomienia o podmiotach przetwarzających, kwestionariusze bezpieczeństwa: teams@trueings.com. Wnioski podmiotów danych (pracowników): privacy@trueings.com.