Umowa o przetwarzaniu danych

Umowa o przetwarzaniu danych

Wersja 2026-05-20

Wersja robocza / wzór. Ten dokument jest punktem wyjścia oczekującym na przegląd prawny. Klienci ze średniego rynku wymagający kontrasygnowanej DPA powinni napisać na teams@trueings.com. Na żądanie udostępnimy aktualną wersję sprawdzoną przez radcę prawnego.

Niniejsza Umowa o przetwarzaniu danych („DPA”) uzupełnia Główną Umowę Subskrypcyjną pomiędzy Trueings a Twoją organizacją. Dotyczy sposobu przetwarzania danych osobowych, gdy Twoja organizacja uczestniczy w kanale B2B2C Trueings.

1. Role i obowiązki

Twoi pracownicy są podmiotami danych, których dane osobowe przepływają przez Trueings. Ty (organizacja) jesteś nabywcą puli licencji; Trueings jest administratorem danych konta pracowników i treści informacji zwrotnej; Twoi pracownicy są również administratorami danych w odniesieniu do własnych kont i osób, które zapraszają do odpowiedzi.

Twoja organizacja nie ma dostępu do treści informacji zwrotnej pracowników. DPA potwierdza tę granicę na piśmie.

2. Co przetwarzamy w imieniu Twoich pracowników

  • Dane konta: wybrany przez każdego realizującego pracownika adres e-mail konta, nazwa wyświetlana, kraj, zawód oraz poświadczenie powiązania z pracodawcą (służbowy adres e-mail + nazwa wyświetlana pracodawcy, aktywne okno powiązane z licencją).
  • Treść informacji zwrotnej: konwersacyjne tury rozmowy od respondentów, których pracownik zaprasza, przechowywane jako surowe zapisy do 30 dni po syntezie, następnie automatycznie usuwane.
  • Zsyntetyzowany wynik: zanonimizowany, przefiltrowany pod kątem poufności raport dostępny wyłącznie dla pracownika.

3. Granica poufności

Twoja organizacja otrzymuje wyłącznie zagregowane, niewidzące treści metryki (wskaźnik realizacji, wskaźnik ukończenia, NPS satysfakcji z narzędzia po jego zebraniu). Twoja organizacja nie będzie próbowała ustalić, który pracownik zrealizował którą licencję, ani wnioskować o treści informacji zwrotnej z danych o zaangażowaniu, ani zmuszać pracowników do udostępnienia ich raportów.

4. Podmioty przetwarzające

Korzystamy z następujących podmiotów przetwarzających. Lista odzwierciedla dostawców aktywnie używanych; o istotnych zmianach powiadamiamy z co najmniej trzydziestodniowym wyprzedzeniem.

  • Supabase: zarządzana baza Postgres i logowanie bez hasła. Region UE.
  • Anthropic: wnioskowanie dużego modelu językowego. Hosting w USA; transfery objęte standardowymi klauzulami umownymi. Umowa o zerowym przechowywaniu obejmuje ruch z naszej organizacji, więc treść nie jest przechowywana poza wnioskowaniem ani używana do trenowania.
  • Resend: dostarczanie transakcyjnej poczty e-mail. Region UE.
  • Stripe: obsługa płatności dla planów płatnych. Nie przechowujemy danych karty.

5. Przechowywanie

  • Surowe zapisy rozmów: automatycznie usuwane trzydzieści dni po sfinalizowaniu raportu każdego pracownika.
  • Zsyntetyzowane raporty: przechowywane przez cały okres istnienia konta pracownika (które przetrwa jego odejście z Twojej organizacji).
  • Zapisy licencji: przechowywane przez cały okres istnienia konta Twojej organizacji plus ustawowy okres archiwizacji na potrzeby rozliczeń.

6. Transfery transgraniczne

Dane są przetwarzane przede wszystkim w Unii Europejskiej. Transfery do podmiotów przetwarzających spoza UE (obecnie: Anthropic, USA) są objęte standardowymi klauzulami umownymi i ograniczone do tego, czego wymaga usługa (wyłącznie wnioskowanie LLM; brak przepływu danych identyfikujących obok).

7. Środki bezpieczeństwa

Utrzymujemy środki techniczne i organizacyjne odpowiednie do wrażliwości danych, w tym bezpieczeństwo na poziomie wierszy dla danych osobowych, szyfrowanie w tranzycie i w spoczynku, kontrole dostępu według zasady najmniejszych uprawnień oraz audytowaną powierzchnię operatora dla każdego dostępu między najemcami.

8. Prawa podmiotów danych

Pracownicy mogą korzystać ze swoich praw wynikających z RODO (dostęp, sprostowanie, usunięcie, przenoszenie) bezpośrednio z panelu Trueings lub pisząc na privacy@trueings.com. Twoja organizacja nie jest włączona w te wnioski, zgodnie z granicą poufności opisaną powyżej.

9. Okres obowiązywania i rozwiązanie

Niniejsza DPA pozostaje w mocy tak długo, jak długo obowiązuje MSA ORAZ tak długo, jak Trueings przechowuje jakiekolwiek dane osobowe przetwarzane w imieniu Twoich pracowników. Rozwiązanie uruchamia standardowe powyżej harmonogramy przechowywania.

10. Kontakt

Kontrasygnowana DPA, powiadomienia o podmiotach przetwarzających, kwestionariusze bezpieczeństwa: teams@trueings.com. Wnioski podmiotów danych (pracowników): privacy@trueings.com.