UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (DPA)

Data Processing Agreement

Data wejścia w życie: 2026-01-15 Data ostatniej aktualizacji: 2026-03-26 Wersja: 1.1

PREAMBUŁA

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (DPA) stanowi integralną część Regulaminu Świadczenia Usług Platformy TherapySupport i określa warunki oraz zasady przetwarzania danych osobowych powierzonych przez Administratora (Terapeutę) Procesorowi (Aithentica) w ramach korzystania z Platformy.

Umowa została sporządzona w celu zapewnienia zgodności z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniu danych osobowych (RODO), w szczególności art. 28 RODO.

STRONY UMOWY

1. ADMINISTRATOR DANYCH (dalej: "Administrator")

Terapeuta (Użytkownik Platformy TherapySupport), będący:

• Osobą fizyczną prowadzącą działalność gospodarczą, lub
• Osobą prawną

świadczącą usługi w zakresie psychoterapii, psychologii lub zdrowia psychicznego, korzystającą z Platformy TherapySupport.

Dane Administratora są wskazane w Koncie Użytkownika w Platformie.

2. PROCESOR DANYCH (dalej: "Procesor")

AITHENTICA PROSTA SPÓŁKA AKCYJNA ul. Tadeusza Wyrzykowskiego 3/7 06-400 Ciechanów, Polska

KRS: 0001189930 NIP: 5662041012 REGON: 542526834

Email: biuro@aithentica.pl Strona www: www.aitherapy.support

Osoba odpowiedzialna za ochronę danych osobowych: Bohdan Głowacki, Dyrektor Email: biuro@aithentica.pl

DEFINICJE

Na potrzeby niniejszej Umowy, poniższe terminy mają następujące znaczenie:

1. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

2. Dane Osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować

3. Przetwarzanie – operacja lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie

4. Naruszenie Ochrony Danych Osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

5. Podprocesor – inny podmiot przetwarzający, któremu Procesor powierza przetwarzanie Danych Osobowych w imieniu Administratora

6. Platforma – system informatyczny TherapySupport dostępny pod adresem www.aitherapy.support

7. Klient Administratora lub Pacjent – osoba fizyczna, której Dane Osobowe są przetwarzane przez Procesora na zlecenie Administratora w ramach świadczenia Usług

8. Usługi – usługi świadczone przez Procesora za pośrednictwem Platformy, opisane w Regulaminie Świadczenia Usług

ARTYKUŁ 1: PRZEDMIOT I CZAS TRWANIA UMOWY

1.1 Przedmiot Umowy

1. Administrator powierza, a Procesor przyjmuje do przetwarzania Dane Osobowe Klientów Administratora (Pacjentów) w zakresie i na warunkach określonych w niniejszej Umowie.

2. Powierzenie przetwarzania Danych Osobowych następuje wyłącznie w celu świadczenia Usług przez Procesora na rzecz Administratora za pośrednictwem Platformy TherapySupport.

3. Procesor przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z przepisów prawa Unii Europejskiej lub prawa państwa członkowskiego, któremu podlega Procesor (w takim przypadku Procesor poinformuje Administratora o tym obowiązku prawnym przed rozpoczęciem przetwarzania, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny).

1.2 Czas trwania Umowy

1. Niniejsza Umowa wchodzi w życie z chwilą akceptacji Regulaminu Świadczenia Usług przez Administratora (rozpoczęcie korzystania z Platformy).

2. Umowa obowiązuje przez okres świadczenia Usług na rzecz Administratora.

3. Umowa wygasa z chwilą:

   • Zakończenia Subskrypcji przez Administratora (anulowanie)
   • Rozwiązania umowy o świadczenie Usług (przez którąkolwiek ze stron)
   • Upływu 30 dni od zaprzestania płatności za Subskrypcję (z zastrzeżeniem postanowień dotyczących retencji danych)

ARTYKUŁ 2: ZAKRES POWIERZONYCH DANYCH OSOBOWYCH

2.1 Charakter i cel przetwarzania

Charakter przetwarzania:

• Automatyczne przetwarzanie Danych Osobowych za pośrednictwem systemów informatycznych Procesora (Platforma TherapySupport)
• Przechowywanie Danych Osobowych w bazach danych Procesora (Azure SQL Database)
• Analiza i przetwarzanie Danych Osobowych przez algorytmy sztucznej inteligencji (AI) w celu generowania propozycji treści

Cel przetwarzania:

• Umożliwienie Administratorowi prowadzenia dokumentacji terapeutycznej
• Automatyczna transkrypcja nagrań sesji terapeutycznych
• Ekstrakcja kluczowych informacji z transkrypcji
• Generowanie propozycji notatek klinicznych
• Zarządzanie kalendarzem sesji i danymi Klientów Administratora
• Obsługa płatności od Klientów Administratora (jeśli Administrator aktywuje integrację Stripe Connect)

2.2 Rodzaj Danych Osobowych

Procesor przetwarza następujące kategorie Danych Osobowych:

a) Dane podstawowe Klientów Administratora:

• Imię i nazwisko
• Adres email
• Numer telefonu
• Data urodzenia (opcjonalnie)
• Płeć (opcjonalnie)
• PESEL (opcjonalnie, na potrzeby dokumentacji terapeutycznej)
• Pełny adres zamieszkania (ulica, numer, miasto, kod pocztowy, kraj) (opcjonalnie)
• Dane opiekuna prawnego (dla pacjentów małoletnich): imię opiekuna, telefon opiekuna, relacja z pacjentem

b) Dane z sesji terapeutycznych i procesu terapeutycznego (dane szczególnych kategorii - Art. 9 RODO):

• Transkrypcje nagrań sesji terapeutycznych (tekst)
• Notatki wprowadzone przez Administratora lub wygenerowane przez AI i zatwierdzone przez Administratora
• Wyekstrahowane informacje z transkrypcji (cytaty, myśli automatyczne, ustalenia, prace domowe)
• Historia sesji (daty, czas trwania)
• Analizy AI (30+ typów, w tym konceptualizacja CBT, dystorsje poznawcze, trajektoria postępów)
• Dziennik nastroju (treść wpisów, ocena nastroju, oceny problemów terapeutycznych)
• Zadania domowe (tytuł, opis, termin, status)
• Lista problemów terapeutycznych (problem, sytuacja, cel, poziom nasilenia)
• Odpowiedzi na formularze i kwestionariusze kliniczne (dane JSON z odpowiedziami, wyniki)
• Historia chatu AI (wiadomości pacjenta do AI, kontekst, odpowiedzi AI)

UWAGA: Powyższe dane mogą zawierać dane szczególnych kategorii w rozumieniu art. 9 RODO (dane dotyczące zdrowia psychicznego, przekonań, orientacji seksualnej itp.). Administrator ponosi odpowiedzialność za zapewnienie, że przetwarzanie tych danych odbywa się na odpowiedniej podstawie prawnej (w szczególności: wyraźna zgoda osoby, której dane dotyczą – art. 9(2)(a) RODO).

c) Dane płatności (jeśli Administrator korzysta ze Stripe Connect):

• Kwota i status płatności
• Identyfikator transakcji
• Historia płatności

Dane kart płatniczych Klientów NIE są przechowywane przez Procesora – są przetwarzane bezpośrednio przez Stripe, Inc. jako podprocesora.

d) Metadane techniczne:

• Adres IP (logi bezpieczeństwa)
• Data i godzina działań w Platformie
• Identyfikatory sesji

2.3 Kategorie osób, których dane dotyczą

Klienci Administratora (Pacjenci):

• Osoby dorosłe korzystające z usług terapeutycznych świadczonych przez Administratora
• Osoby niepełnoletnie (jeśli Administrator świadczy usługi na rzecz dzieci i młodzieży)

2.4 Lokalizacja przetwarzania

Dane Osobowe są przetwarzane i przechowywane w:

• Regionie Unii Europejskiej (Azure EU — Poland Central, Sweden Central, West Europe)
• Backupy: Azure redundant storage (region EU); konfiguracja redundancji może być dostosowywana w zależności od wymagań

Transfer poza EOG (Europejski Obszar Gospodarczy) może wystąpić wyłącznie w przypadku:

• Płatności (Stripe, Inc. – USA) – zabezpieczony Standardowymi Klauzulami Umownymi (SCC)
• Integracji z Google Calendar/Meet (Google LLC – USA) – zabezpieczony SCC (jeśli Administrator aktywuje integrację)
• Importu nagrań z Zoom (Zoom Video Communications – USA) – zabezpieczony SCC (jeśli Administrator aktywuje)
• Integracji z Apple Calendar (Apple Inc. – USA) – zabezpieczony SCC (jeśli Administrator aktywuje)
• Analityki UX: Microsoft Clarity (Microsoft Corporation – USA) – za zgodą użytkownika na cookies analityczne
• Powiadomień SMS: SMSAPI.pl (link2.pl sp. z o.o. – Polska) – bez transferu poza EOG
• Synchronizacji z ZnanyLekarz/Docplanner (DocPlanner International – EU) – bez transferu poza EOG (jeśli Administrator aktywuje)

ARTYKUŁ 3: OBOWIĄZKI PROCESORA

3.1 Przetwarzanie zgodnie z poleceniami Administratora

1. Procesor zobowiązuje się przetwarzać Dane Osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa UE lub prawa polskiego.

2. Udokumentowane polecenie Administratora obejmuje:

   • Korzystanie z funkcji Platformy przez Administratora (nagrywanie, transkrypcja, ekstrakcja, tworzenie notatek)
   • Wprowadzanie danych Klientów przez Administratora
   • Korzystanie z integracji zewnętrznych (Google Calendar, Stripe Connect) aktywowanych przez Administratora

3. Jeśli Procesor uzna, że polecenie Administratora narusza RODO lub inne przepisy o ochronie danych, niezwłocznie poinformuje o tym Administratora.

3.2 Poufność

1. Procesor zapewnia, że osoby upoważnione do przetwarzania Danych Osobowych:

   • Zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy
   • Przeszły odpowiednie szkolenia z zakresu ochrony danych osobowych i RODO

2. Procesor ogranicza dostęp do Danych Osobowych wyłącznie do osób, które potrzebują dostępu w celu realizacji Usług (zasada najmniejszych uprawnień).

3.3 Bezpieczeństwo przetwarzania (Art. 32 RODO)

Procesor wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku, w tym:

a) Środki techniczne:

1. Szyfrowanie:

   • Transmisja danych: TLS 1.2 lub wyższy (HTTPS)
   • Dane w spoczynku: Transparent Data Encryption (TDE) w Azure SQL Database
   • Szyfrowanie kolumnowe: Always Encrypted (AES-256) dla danych szczególnie wrażliwych (dane zdrowotne, dane identyfikacyjne)
   • Backupy: szyfrowanie AES-256

2. Kontrola dostępu:

   • Uwierzytelnianie wieloskładnikowe (MFA) dla administratorów systemów Procesora
   • Silne polityki haseł (minimum 16 znaków)
   • Rejestrowanie prób logowania i dostępu do Danych Osobowych
   • Automatyczne wylogowanie po okresie nieaktywności

3. Monitoring i detekcja zagrożeń:

   • Azure Security Center (monitoring podatności i zagrożeń)
   • Logowanie zdarzeń bezpieczeństwa
   • Alerty w przypadku podejrzanych aktywności

4. Backupy i odzyskiwanie:

   • Automatyczne, codzienne backupy bazy danych
   • Backupy szyfrowane i przechowywane w geograficznie redundantnym magazynie (Azure geo-redundant storage)
   • Regularne testy przywracania danych (co kwartał)

5. Ochrona przed utratą danych:

   • Redundancja infrastruktury (Azure availability zones)
   • Plan ciągłości działania (Business Continuity Plan)
   • Plan odzyskiwania danych po awarii (Disaster Recovery Plan)

b) Środki organizacyjne:

1. Polityki i procedury:

   • Polityka bezpieczeństwa informacji
   • Procedura zarządzania incydentami bezpieczeństwa
   • Procedura zgłaszania naruszeń ochrony danych osobowych

2. Szkolenia:

   • Regularne szkolenia pracowników z zakresu ochrony danych osobowych i RODO (minimum raz w roku)
   • Szkolenia z zakresu bezpieczeństwa informacji

3. Kontrola fizyczna:

   • Dane przechowywane w centrach danych Microsoft Azure z kontrolą dostępu fizycznego, monitoringiem 24/7, zabezpieczeniami przeciwpożarowymi

4. Zarządzanie ryzykiem:

   • Regularne oceny ryzyka (minimum raz w roku)
   • Testy penetracyjne (minimum raz w roku, jeśli wymaga tego ocena ryzyka)

3.4 Pomoc przy realizacji praw osób, których dane dotyczą

1. Procesor, biorąc pod uwagę charakter przetwarzania, pomaga Administratorowi – poprzez odpowiednie środki techniczne i organizacyjne – w wypełnianiu obowiązku Administratora polegającego na odpowiadaniu na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO:

   • Prawo dostępu do danych (art. 15 RODO)
   • Prawo do sprostowania (art. 16 RODO)
   • Prawo do usunięcia ("prawo do bycia zapomnianym") (art. 17 RODO)
   • Prawo do ograniczenia przetwarzania (art. 18 RODO)
   • Prawo do przenoszenia danych (art. 20 RODO)
   • Prawo sprzeciwu (art. 21 RODO)

2. Narzędzia zapewniane przez Procesora:

   • Funkcja eksportu danych Klienta w formacie JSON/CSV (realizacja prawa do przenoszenia danych)
   • Funkcja usunięcia danych Klienta z Platformy (realizacja prawa do usunięcia)
   • Funkcja edycji danych Klienta (realizacja prawa do sprostowania)
   • Historia zmian danych (audyt)

3. Procedura:

   • Jeśli Procesor otrzyma bezpośrednio od osoby, której dane dotyczą (Klienta Administratora), żądanie dotyczące realizacji jej praw, Procesor niezwłocznie (maksymalnie w ciągu 48 godzin) przekaże takie żądanie Administratorowi.
   • Procesor nie odpowiada bezpośrednio na żądania osób bez wyraźnego polecenia Administratora.
   • Procesor zapewnia Administratorowi dostęp do narzędzi umożliwiających realizację praw w terminie wymaganym RODO (30 dni).

3.5 Pomoc przy zapewnieniu zgodności z obowiązkami Administratora

Procesor pomaga Administratorowi w:

1. Zapewnieniu bezpieczeństwa przetwarzania (art. 32 RODO) – poprzez wdrożenie środków technicznych i organizacyjnych opisanych w pkt 3.3

2. Zgłaszaniu naruszeń ochrony danych (art. 33-34 RODO) – poprzez:

   • Niezwłoczne powiadomienie Administratora o każdym naruszeniu (maksymalnie w ciągu 24 godzin od stwierdzenia)
   • Dostarczenie Administratorowi informacji niezbędnych do zgłoszenia naruszenia do UODO i osobom, których dane dotyczą
   • Współpracę przy ustalaniu przyczyn i skutków naruszenia

3. Ocenie skutków dla ochrony danych (DPIA) oraz uprzedniej konsultacji (art. 35-36 RODO) – jeśli Administrator uzna, że jest wymagana:

   • Procesor dostarczy Administratorowi informacje o przetwarzaniu, środkach bezpieczeństwa i podprocesorach
   • Procesor weźmie udział w konsultacjach, jeśli będzie to konieczne

ARTYKUŁ 4: PODPROCESORY

4.1 Zgoda na korzystanie z podprocesorów

1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z podprocesorów (dalszych podmiotów przetwarzających) w celu realizacji Usług.

2. Procesor zobowiązuje się zawrzeć z każdym podprocesorem umowę nakładającą na podprocesora takie same obowiązki ochrony danych, jakie określono w niniejszej Umowie, w szczególności zapewniającą wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO.

3. Procesor pozostaje w pełni odpowiedzialny wobec Administratora za wypełnienie obowiązków podprocesora w zakresie ochrony danych.

4.2 Lista podprocesorów

Na dzień wejścia w życie niniejszej Umowy, Procesor korzysta z następujących podprocesorów:

Aktualna lista podprocesorów jest dostępna pod adresem: app.aitherapy.support/legal/podprocesory

4.3 Zmiany podprocesorów

1. Procesor poinformuje Administratora o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia podprocesorów z co najmniej 30-dniowym wyprzedzeniem poprzez:

   • Email na adres podany w Koncie Administratora
   • Powiadomienie w Platformie

2. Administrator ma prawo zgłosić uzasadniony sprzeciw wobec nowego podprocesora w terminie 14 dni od otrzymania powiadomienia.

3. Sprzeciw jest uznawany za uzasadniony, jeśli:

   • Nowy podprocesor nie zapewnia wystarczających gwarancji zgodności z RODO
   • Transfer danych do nowego podprocesora poza EOG nie jest odpowiednio zabezpieczony
   • Zmiana podprocesora stanowi istotne zwiększenie ryzyka dla praw i wolności osób, których dane dotyczą

4. W przypadku zgłoszenia uzasadnionego sprzeciwu:

   • Procesor i Administrator będą współpracować w celu znalezienia rozwiązania (np. alternatywny podprocesor)
   • Jeśli rozwiązanie nie zostanie znalezione w ciągu 30 dni, Administrator ma prawo rozwiązać umowę ze skutkiem natychmiastowym bez konsekwencji finansowych

4.4 Podpodprocesory

Podprocesory mogą korzystać z dalszych podprocesorów (podpodprocesorów) wyłącznie za pisemną zgodą Procesora i pod warunkiem nałożenia na nich takich samych obowiązków ochrony danych.

ARTYKUŁ 5: TRANSFER DANYCH POZA EOG

5.1 Zasada ogólna

Procesor przetwarza i przechowuje Dane Osobowe w Europejskim Obszarze Gospodarczym (EOG), z zastrzeżeniem wyjątków opisanych poniżej.

5.2 Wyjątki – transfer poza EOG

Transfer Danych Osobowych poza EOG może wystąpić w przypadku:

1. Płatności przez Stripe Connect → Stripe, Inc. (USA)

   • Podstawa prawna transferu: Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską (Decyzja wykonawcza (UE) 2021/914)
   • Dodatkowe zabezpieczenia: szyfrowanie TLS, certyfikacja PCI DSS Level 1

2. Integracji z Google Calendar → Google LLC (USA) – tylko jeśli Administrator aktywuje

   • Podstawa prawna transferu: Standardowe Klauzule Umowne (SCC)
   • Dodatkowe zabezpieczenia: szyfrowanie TLS, Google Cloud DPA

3. Import nagrań z Zoom → Zoom Video Communications (USA) – tylko jeśli Administrator aktywuje

   • Podstawa prawna transferu: Standardowe Klauzule Umowne (SCC)
   • Dodatkowe zabezpieczenia: szyfrowanie TLS

4. Integracja z Apple Calendar → Apple Inc. (USA) – tylko jeśli Administrator aktywuje

   • Podstawa prawna transferu: Standardowe Klauzule Umowne (SCC)
   • Dodatkowe zabezpieczenia: szyfrowanie TLS

5. Analityka UX → Microsoft Clarity (USA) – tylko za zgodą użytkownika (cookie consent)

   • Podstawa prawna transferu: Standardowe Klauzule Umowne (SCC), Microsoft DPA

5.3 Gwarancje

Procesor zapewnia, że transfer danych poza EOG:

• Odbywa się wyłącznie na podstawie mechanizmów przewidzianych w rozdziale V RODO (SCC)
• Jest niezbędny do świadczenia Usług
• Jest zabezpieczony odpowiednimi środkami technicznymi (szyfrowanie) i organizacyjnymi (umowy z podprocesorami)

ARTYKUŁ 6: NARUSZENIA OCHRONY DANYCH OSOBOWYCH

6.1 Obowiązek powiadamiania Administratora

1. W przypadku stwierdzenia naruszenia ochrony Danych Osobowych, Procesor niezwłocznie (maksymalnie w ciągu 24 godzin) powiadomi Administratora.

2. Powiadomienie zostanie przesłane na adres email Administratora podany w Koncie oraz (jeśli dostępny) numer telefonu.

3. Powiadomienie będzie zawierało co najmniej:

   • Opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie
   • Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji (w przypadku Procesora: biuro@aithentica.pl, Bohdan Głowacki)
   • Opis prawdopodobnych konsekwencji naruszenia ochrony danych osobowych
   • Opis środków zastosowanych lub proponowanych przez Procesora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków

6.2 Współpraca przy zgłaszaniu naruszenia

1. Procesor będzie współpracował z Administratorem przy:

   • Ustalaniu przyczyn i zakresu naruszenia
   • Zgłoszeniu naruszenia do Prezesa Urzędu Ochrony Danych Osobowych (UODO) przez Administratora (jeśli wymagane)
   • Powiadomieniu osób, których dane dotyczą (jeśli wymagane)
   • Wdrażaniu środków zaradczych

2. Uwaga: Obowiązek zgłoszenia naruszenia do UODO (w ciągu 72 godzin) oraz powiadomienia osób, których dane dotyczą, spoczywa na Administratorze jako podmiocie decydującym o przetwarzaniu.

6.3 Dokumentacja naruszeń

Procesor prowadzi rejestr naruszeń ochrony danych osobowych, zawierający:

• Opis okoliczności naruszenia
• Skutki naruszenia
• Podjęte środki zaradcze

Rejestr jest udostępniany Administratorowi na żądanie.

ARTYKUŁ 7: AUDYTY I INSPEKCJE

7.1 Prawo do audytu

1. Administrator ma prawo przeprowadzić audyt lub zlecić przeprowadzenie audytu przez niezależnego audytora w celu weryfikacji zgodności Procesora z postanowieniami niniejszej Umowy i RODO.

2. Audyt może obejmować:

   • Przegląd dokumentacji (polityki bezpieczeństwa, procedury, umowy z podprocesorami)
   • Inspekcję środków technicznych i organizacyjnych wdrożonych przez Procesora
   • Wywiad z pracownikami Procesora odpowiedzialnymi za ochronę danych

7.2 Warunki przeprowadzenia audytu

1. Administrator powiadomi Procesora o zamiarze przeprowadzenia audytu z co najmniej 14-dniowym wyprzedzeniem.

2. Audyt będzie przeprowadzany w godzinach pracy Procesora (9:00-17:00, dni robocze).

3. Audyt nie może zakłócać normalnego funkcjonowania systemów Procesora ani naruszać poufności danych innych klientów Procesora.

4. Częstotliwość: Audyty mogą być przeprowadzane nie częściej niż raz w roku, chyba że:

   • Wystąpiło naruszenie ochrony danych osobowych
   • Zmienił się podprocesor
   • Organ nadzorczy (UODO) zażądał audytu

5. Koszty: Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenie postanowień Umowy przez Procesora (wówczas koszty ponosi Procesor).

7.3 Raport z audytu

1. Audytor sporządzi raport z audytu w terminie 30 dni od jego zakończenia.

2. Raport zostanie udostępniony Procesorowi i Administratorowi.

3. W przypadku stwierdzenia nieprawidłowości, Procesor zobowiązuje się do wdrożenia działań naprawczych w terminie uzgodnionym z Administratorem (nie dłuższym niż 60 dni).

7.4 Certyfikacje i raporty Procesora

Procesor może przedstawić Administratorowi certyfikacje, raporty z audytów zewnętrznych lub inne dokumenty potwierdzające zgodność z RODO zamiast przeprowadzenia audytu przez Administratora.

ARTYKUŁ 8: ZWROT LUB USUNIĘCIE DANYCH PO ZAKOŃCZENIU ŚWIADCZENIA USŁUG

8.1 Opcje Administratora

Po zakończeniu świadczenia Usług (rozwiązanie umowy, anulowanie Subskrypcji), Administrator może zażądać:

1. Zwrotu wszystkich Danych Osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON, CSV), lub

2. Usunięcia wszystkich Danych Osobowych z systemów Procesora

8.2 Okres retencji

1. Po zakończeniu świadczenia Usług, Procesor przechowuje Dane Osobowe przez 30 dni (okres retencji).

2. W tym okresie Administrator może:

   • Wznowić Subskrypcję (dane zostaną przywrócone)
   • Zażądać eksportu danych
   • Zażądać natychmiastowego usunięcia danych

8.3 Procedura zwrotu danych

1. Administrator zgłasza żądanie zwrotu danych poprzez:

   • Funkcję "Eksport danych" w Panelu Użytkownika, lub
   • Email na biuro@aithentica.pl

2. Procesor dostarczy Dane Osobowe w terminie 7 dni od otrzymania żądania.

3. Dane zostaną dostarczone w formacie JSON lub CSV, poprzez:

   • Bezpieczny link do pobrania (ważny przez 48 godzin), lub
   • Szyfrowany plik przesłany emailem

8.4 Procedura usunięcia danych

1. Po upływie 30 dni od zakończenia świadczenia Usług (lub wcześniej, jeśli Administrator zażąda), Procesor nieodwracalnie usuwa wszystkie Dane Osobowe, w tym:

   • Dane z bazy produkcyjnej (Azure SQL)
   • Dane z backupów (maksymalnie w ciągu 60 dni ze względu na cykl rotacji backupów)
   • Pliki tymczasowe
   • Logi zawierające Dane Osobowe

2. Wyjątki: Procesor może zachować Dane Osobowe wyłącznie w zakresie wymaganym przez przepisy prawa (np. dane księgowe na fakturach – 5 lat).

3. Po zakończeniu usuwania, Procesor na żądanie Administratora dostarczy poświadczenie usunięcia danych.

ARTYKUŁ 9: ODPOWIEDZIALNOŚĆ

9.1 Odpowiedzialność Procesora

1. Procesor ponosi odpowiedzialność za szkody wyrządzone wskutek przetwarzania Danych Osobowych niezgodnie z niniejszą Umową lub RODO.

2. Procesor jest zwolniony z odpowiedzialności, jeśli udowodni, że:

   • W żaden sposób nie ponosi winy za zdarzenie, które spowodowało szkodę, lub
   • Działał zgodnie z udokumentowanym poleceniem Administratora (a polecenie to było niezgodne z RODO – wówczas odpowiedzialność ponosi Administrator)

9.2 Odpowiedzialność Administratora

Administrator ponosi pełną odpowiedzialność za:

1. Legalność przetwarzania Danych Osobowych swoich Klientów (uzyskanie zgód, podstaw prawnych)
2. Informowanie Klientów o przetwarzaniu danych i powierzeniu Procesorowi
3. Realizację praw osób, których dane dotyczą (dostęp, usunięcie, sprostowanie)
4. Zgłaszanie naruszeń ochrony danych do UODO i osób, których dane dotyczą

9.3 Maksymalna odpowiedzialność Procesora

Odpowiedzialność Procesora za szkody wynikające z niewykonania lub nienależytego wykonania obowiązków z niniejszej Umowy jest ograniczona do kwoty równej wysokości Subskrypcji opłaconej przez Administratora za ostatnie 12 miesięcy.

Ograniczenie nie dotyczy:

• Umyślnego działania Procesora
• Rażącego niedbalstwa
• Szkód wyrządzonych osobom trzecim (Klientom Administratora), za które Procesor odpowiada solidarnie z Administratorem na podstawie RODO

ARTYKUŁ 10: POSTANOWIENIA KOŃCOWE

10.1 Hierarchia dokumentów

W przypadku sprzeczności między postanowieniami niniejszej Umowy a Regulaminem Świadczenia Usług, pierwszeństwo mają postanowienia niniejszej Umowy w zakresie przetwarzania Danych Osobowych.

10.2 Zmiany Umowy

1. Procesor zastrzega sobie prawo do zmiany niniejszej Umowy w przypadku:

   • Zmiany przepisów prawa (RODO, dyrektywy, ustawy krajowe)
   • Zmiany podprocesorów (zgodnie z art. 4.3)
   • Aktualizacji środków bezpieczeństwa

2. O planowanych zmianach Administrator zostanie powiadomiony z 30-dniowym wyprzedzeniem poprzez email lub powiadomienie w Platformie.

3. W przypadku braku akceptacji zmian, Administrator ma prawo rozwiązać umowę ze skutkiem na dzień poprzedzający wejście w życie zmian.

10.3 Prawo właściwe

Niniejsza Umowa podlega prawu polskiemu oraz przepisom RODO (bezpośrednio stosowanym w całej UE).

10.4 Rozstrzyganie sporów

Wszelkie spory wynikające z niniejszej Umowy będą rozstrzygane przez sąd właściwy dla siedziby Procesora (Sąd w Ciechanowie), z zastrzeżeniem przepisów o ochronie konsumentów (jeśli Administrator jest konsumentem).

10.5 Postanowienia salwatoryjne

Jeżeli którekolwiek z postanowień niniejszej Umowy zostanie uznane za nieważne lub nieskuteczne, nie wpływa to na ważność pozostałych postanowień. Nieważne postanowienie zostanie zastąpione postanowieniem ważnym, które najbardziej odpowiada celowi pierwotnego postanowienia.

10.6 Kontakt

W sprawach dotyczących niniejszej Umowy oraz przetwarzania Danych Osobowych, prosimy o kontakt:

Procesor: AITHENTICA PROSTA SPÓŁKA AKCYJNA Email: biuro@aithentica.pl Telefon: +48 690 028 282

Osoba odpowiedzialna za ochronę danych: Bohdan Głowacki, Dyrektor Email: biuro@aithentica.pl (z dopiskiem "DPA" lub "RODO")

ZAŁĄCZNIKI

Do niniejszej Umowy dołączone są:

1. Załącznik nr 1: Lista podprocesorów (dostępna online pod adresem app.aitherapy.support/legal/podprocesory)
2. Załącznik nr 2: Środki bezpieczeństwa techniczne i organizacyjne (opisane w art. 3.3 niniejszej Umowy)

AKCEPTACJA UMOWY

Akceptując Regulamin Świadczenia Usług Platformy TherapySupport, Administrator jednocześnie akceptuje niniejszą Umowę Powierzenia Przetwarzania Danych Osobowych (DPA) i zobowiązuje się do przestrzegania jej postanowień.

Administrator potwierdza, że:

• Zapoznał się z DPA i rozumie swoje obowiązki jako Administratora danych osobowych swoich Klientów
• Jest świadomy, że Procesor przetwarza Dane Osobowe wyłącznie na jego zlecenie
• Ponosi odpowiedzialność za zapewnienie legalności przetwarzania (w tym uzyskanie zgód od Klientów)
• Będzie realizować prawa osób, których dane dotyczą, korzystając z narzędzi udostępnionych przez Procesora

Data ostatniej aktualizacji: 2026-03-26 Wersja: 1.1

© 2026 Aithentica Prosta Spółka Akcyjna. Wszelkie prawa zastrzeżone.