TAMAIA
← Wróć do aplikacji

Umowa powierzenia przetwarzania danych osobowych (DPA)

Załącznik nr 1 do Regulaminu świadczenia usługi TAMAIA · Wersja 1.0 · obowiązuje od 22 czerwca 2026
Niniejsza umowa powierzenia („DPA") jest zawierana na podstawie art. 28 RODO i stanowi integralną część Umowy o świadczenie usługi TAMAIA. Akceptacja DPA następuje przez upoważnionego przedstawiciela Klienta przy aktywacji konta produkcyjnego (z utrwaleniem: kto, wersja, data, adres IP). W razie sprzeczności z Regulaminem, w zakresie ochrony danych osobowych pierwszeństwo ma DPA.

§ 1. Strony

  1. Administrator — Klient (gabinet/klinika stomatologiczna lub inny przedsiębiorca), który zawarł Umowę o korzystanie z Usługi i akceptuje niniejszą DPA. Administrator decyduje o celach i sposobach przetwarzania danych pacjentów.
  2. Podmiot przetwarzającyExcellent Patient Service sp. z o.o., ul. Lubomirskiego 39E, 36-040 Boguchwała, NIP 5170359961, REGON 180874009, KRS 0000429303, świadcząca usługę pod marką „TAMAIA" (dalej „TAMAIA" lub „Podmiot przetwarzający").
  3. Pojęcia pisane wielką literą mają znaczenie nadane im w Regulaminie oraz w RODO (rozporządzenie 2016/679).

§ 2. Przedmiot, charakter i cel przetwarzania

  1. Przedmiot (analiza rozmów): przetwarzanie danych osobowych zawartych w nagraniach rozmów telefonicznych recepcji Administratora z osobami dzwoniącymi (pacjentami) oraz w powiązanych transkrypcjach i wynikach analizy AI.
  2. Przedmiot (CRM / baza kontaktów): przetwarzanie danych kontaktowych pacjentów (imię i nazwisko, numer telefonu, adres e-mail) wprowadzanych przez Administratora lub importowanych przez niego z zewnętrznych baz danych do modułu CRM Aplikacji, w celu zarządzania kolejką oddzwonień, historią kontaktów oraz realizacją praw pacjentów. Administrator potwierdza, że posiada odpowiednią podstawę prawną do powierzenia tych danych TAMAIA oraz że pacjenci zostali poinformowani o przetwarzaniu ich danych zgodnie z art. 13 lub 14 RODO.
  3. Cel: świadczenie Usługi — automatyczna transkrypcja oraz analiza jakości i skuteczności rozmów (m.in. ocena etapów rozmowy, ustalenie, czy doszło do umówienia wizyty), udostępnianie raportów uprawnionym Użytkownikom Administratora, a także zarządzanie kontaktami i oddzwonieniami w module CRM.
  4. Charakter: przetwarzanie zautomatyzowane (transkrypcja mowy na tekst, analiza modelami AI), przechowywanie oraz udostępnianie raportów i danych CRM; wyłącznie na udokumentowane polecenie Administratora.

§ 3. Czas trwania

DPA obowiązuje przez czas obowiązywania Umowy. Po jej zakończeniu zastosowanie ma § 11 (usunięcie lub zwrot danych).

§ 4. Rodzaj danych i kategorie osób

  1. Kategorie osób: pacjenci / osoby dzwoniące do recepcji Administratora; pacjenci z bazy CRM Administratora (dane wprowadzone lub zaimportowane przez Administratora); personel recepcji występujący w nagraniach.
  2. Rodzaj danych: imię i nazwisko, numer telefonu, adres e-mail, treść rozmowy (nagranie i transkrypcja), wyniki analizy AI, informacje o zgodach, historia kontaktów i oddzwonień (dane CRM).
  3. Dane szczególnej kategorii (art. 9 RODO — zdrowie): w rozmowach pacjentów z gabinetem stomatologicznym mogą pojawić się dane dotyczące zdrowia. Administrator zapewnia podstawę przetwarzania z art. 9 ust. 2 RODO (w szczególności lit. h — profilaktyka/medycyna, lub lit. a — zgoda). TAMAIA przetwarza takie dane wyłącznie na polecenie Administratora i stosuje wobec nich wzmocnione zabezpieczenia (§ 6), w tym szyfrowanie nagrań w spoczynku oraz minimalizację danych przekazywanych do modeli AI.

§ 5. Polecenia Administratora i poufność

  1. TAMAIA przetwarza dane wyłącznie na udokumentowane polecenie Administratora (w tym co do ewentualnych transferów poza EOG), chyba że obowiązek przetwarzania nakłada prawo Unii lub państwa członkowskiego — wówczas TAMAIA informuje o tym Administratora przed przetwarzaniem, o ile prawo tego nie zakazuje. Regulamin, ustawienia konta i niniejsza DPA stanowią udokumentowane polecenia.
  2. Jeżeli w ocenie TAMAIA polecenie narusza RODO lub inne przepisy o ochronie danych, TAMAIA niezwłocznie informuje o tym Administratora.
  3. TAMAIA zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi poufności.

§ 6. Bezpieczeństwo (art. 32 RODO)

Uwzględniając stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób, TAMAIA wdraża odpowiednie środki techniczne i organizacyjne, w tym:

§ 7. Podprocesorzy

  1. Administrator udziela TAMAIA ogólnej zgody na korzystanie z podprocesorów wymienionych w ust. 4. TAMAIA nakłada na każdego podprocesora — w drodze umowy — obowiązki ochrony danych nie mniej rygorystyczne niż w niniejszej DPA i odpowiada za działania podprocesorów jak za własne.
  2. O zamierzonej zmianie (dodaniu lub zastąpieniu) podprocesora TAMAIA informuje Administratora z wyprzedzeniem. Administrator może wnieść uzasadniony sprzeciw w terminie 14 dni; w razie braku rozwiązania satysfakcjonującego obie strony Administrator może rozwiązać Umowę z rozliczeniem proporcjonalnym za niewykorzystany, opłacony okres.
  3. Wszyscy podprocesorzy przetwarzają dane w obrębie EOG.
  4. Aktualny rejestr podprocesorów:
#PodprocesorRola / celLokalizacjaTransfer poza EOG
1Ringostattelefonia recepcji, rejestracja i pozyskiwanie nagrańUE / EOGNie
2Mistral (Mistral AI)analiza treści rozmów modelami AI (MAIA)Francja / UENie
3Gladiatranskrypcja nagrań (mowa→tekst)Francja / UENie
4Brevo (Sendinblue)poczta transakcyjna (powiadomienia, linki)UE / FrancjaNie
5ING imoje (ING Bank Śląski S.A.)obsługa płatności abonamentuPolska / UENie
6Railwayhosting Aplikacji i bazy danychUE — Amsterdam (EU West)Nie

§ 8. Pomoc Administratorowi

  1. Biorąc pod uwagę charakter przetwarzania, TAMAIA pomaga Administratorowi — w miarę możliwości, odpowiednimi środkami technicznymi i organizacyjnymi — w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą (prawa z art. 15–22 RODO): dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw.
  2. TAMAIA pomaga Administratorowi w wywiązaniu się z obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków dla ochrony danych — DPIA, uprzednie konsultacje), uwzględniając charakter przetwarzania oraz dostępne TAMAIA informacje.
  3. TAMAIA udostępnia mechanizmy eksportu i usuwania danych konta/kliniki, wspierające realizację praw osób.

§ 9. Naruszenia ochrony danych

TAMAIA zgłasza Administratorowi każde naruszenie ochrony danych dotyczące powierzonych danych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od jego stwierdzenia, przekazując informacje niezbędne Administratorowi do realizacji jego obowiązków (m.in. ewentualnego zawiadomienia PUODO w ciągu 72 godzin oraz osób, których dane dotyczą).

§ 10. Transfery poza EOG

  1. Przetwarzanie odbywa się w obrębie EOG. TAMAIA nie przekazuje powierzonych danych poza EOG, w tym do USA.
  2. Gdyby transfer poza EOG okazał się w przyszłości niezbędny, nastąpi wyłącznie na udokumentowane polecenie lub za zgodą Administratora oraz z zastosowaniem ważnego mechanizmu transferu zgodnego z rozdziałem V RODO (np. standardowych klauzul umownych), po uprzedniej aktualizacji rejestru podprocesorów.

§ 11. Usunięcie lub zwrot danych po zakończeniu

  1. Po zakończeniu świadczenia Usługi TAMAIA — według wyboru Administratora — zwraca dane osobowe (w ustrukturyzowanym formacie) w terminie 30 dni albo usuwa je wraz z istniejącymi kopiami w terminie 60 dni, chyba że prawo Unii lub państwa członkowskiego nakazuje dalsze przechowywanie.
  2. Na żądanie Administratora TAMAIA potwierdza dokonanie usunięcia.

§ 12. Audyt i wykazanie zgodności

  1. TAMAIA udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO.
  2. TAMAIA umożliwia audyty (w tym inspekcje) prowadzone przez Administratora lub upoważnionego audytora — po uprzednim uzgodnieniu terminu (z rozsądnym wyprzedzeniem, w godzinach pracy, nie częściej niż raz w roku, z poszanowaniem poufności i bezpieczeństwa danych innych Administratorów), albo przedstawia aktualne raporty/zaświadczenia potwierdzające stosowane środki.

§ 13. Odpowiedzialność i postanowienia końcowe

  1. Zasady i ograniczenia odpowiedzialności określa Regulamin, w granicach dopuszczalnych przepisami o ochronie danych osobowych. Ograniczenia nie wyłączają odpowiedzialności wynikającej bezwzględnie z RODO.
  2. W kwestiach przetwarzania danych osobowych, w razie sprzeczności, DPA ma pierwszeństwo przed Regulaminem.
  3. Prawem właściwym jest prawo polskie; właściwość sądu jak w Regulaminie.
  4. DPA wchodzi w życie z chwilą jej akceptacji przez Administratora (utrwalanej w Aplikacji) i obowiązuje od 22 czerwca 2026.

Wersja 1.1 — obowiązuje od 27 czerwca 2026 (zmiana: rozszerzenie przedmiotu przetwarzania o dane CRM / baza kontaktów pacjentów). Poprzednia wersja 1.0 obowiązywała od 22 czerwca 2026. Excellent Patient Service sp. z o.o., ul. Lubomirskiego 39E, 36-040 Boguchwała, NIP 5170359961, REGON 180874009, KRS 0000429303.