# UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta w dniu _____________ pomiędzy:

[NAZWA KLINIKI / FIRMY], z siedziba w _____________,
NIP: _____________, reprezentowana przez _____________
(dalej: "Administrator")

a

Michal Lebida, prowadzacy dzialalnosc pod nazwa Flowright,
NIP: 6793280285, Krakow
(dalej: "Procesor")

zwana dalej "Umowa DPA"


## Par. 1. Przedmiot umowy

1.1. Na podstawie art. 28 RODO Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu okreslonym w niniejszej Umowie.

1.2. Przetwarzanie odbywa sie wylacznie w celu realizacji Umowy o swiadczenie uslug (konfiguracja i utrzymanie Systemu AI).


## Par. 2. Zakres przetwarzania

2.1. Kategorie osob: pacjenci/klienci Administratora
2.2. Rodzaje danych:
  - imie i nazwisko
  - numer telefonu
  - adres email
  - preferowany termin wizyty
  - powod wizyty (UWAGA: moze stanowic dane o zdrowiu w rozumieniu art. 9 RODO)
2.3. Charakter i cel: obsluga zapytan, rezerwacja wizyt, wysylanie przypomnien
2.4. Czas przetwarzania: przez okres trwania Umowy o swiadczenie uslug


## Par. 3. Obowiazki Procesora

Procesor zobowiazuje sie do:
a) przetwarzania danych wylacznie na udokumentowane polecenie Administratora;
b) zapewnienia, ze osoby upowaznione zobowiazaly sie do zachowania poufnosci;
c) wdrozenia srodkow technicznych i organizacyjnych z art. 32 RODO, w szczegolnosci:
   - szyfrowania danych w transmisji (TLS) i at rest
   - kontroli dostepu opartej na rolach
   - pseudonimizacji gdzie to mozliwe
   - regularnych testow bezpieczenstwa;
d) przestrzegania warunkow sub-przetwarzania (Par. 4);
e) udzielenia pomocy Administratorowi w realizacji praw podmiotow danych (art. 15-22 RODO);
f) udzielenia pomocy przy DPIA i konsultacjach z organem nadzorczym (art. 35-36 RODO);
g) po zakonczeniu Umowy: usuniecia danych lub zwrotu w ciagu 30 dni, na zadanie Administratora;
h) udostepniania informacji niezbednych do wykazania zgodnosci i umozliwienia audytow.


## Par. 4. Sub-procesorzy

4.1. Administrator wyraza ogolna zgode na korzystanie z sub-procesorow.

4.2. Aktualna lista sub-procesorow:
  - Chatbase Inc., USA — platforma chatbotowa (DPF + SCC, DPA: chatbase.co/dpa)
  - OpenAI Ireland Ltd., Irlandia — model AI (DPF + SCC, DPA: openai.com/policies/data-processing-addendum)
  - Anthropic (USA) - modele AI (DPF + SCC)
  - Vercel Inc. (USA) - hosting (DPF + SCC)
  - Calendly LLC (USA) - rezerwacja spotkan (DPF + SCC)
  - CookieYes Ltd. (UK) - zarzadzanie zgodami cookies

4.3. Procesor informuje Administratora o zmianach z 14-dniowym wyprzedzeniem. Administrator moze zglosic sprzeciw w ciagu 14 dni.


## Par. 5. Transfer danych poza EU/EOG

5.1. Dane moga byc transferowane do USA na podstawie:
  a) EU-US Data Privacy Framework (decyzja adekwatnosci z 10.07.2023);
  b) Standardowych Klauzul Umownych (SCC) jako mechanizmu uzupelniajacego.
5.2. Procesor przeprowadzil Transfer Impact Assessment (TIA) i wdrozyl srodki uzupelniajace: minimalizacja danych przed wyslaniem do API, szyfrowanie, pseudonimizacja.


## Par. 6. Naruszenie ochrony danych

6.1. Procesor powiadomi Administratora o naruszeniu ochrony danych nie pozniej niz w ciagu 48 godzin od wykrycia naruszenia.

6.2. Powiadomienie zawiera: opis naruszenia, kategorie danych, przyblizana liczbe osob, prawdopodobne konsekwencje, podjete srodki zaradcze.


## Par. 7. Postanowienia koncowe

7.1. Umowa DPA obowiazuje przez okres trwania Umowy o swiadczenie uslug.
7.2. W sprawach nieuregulowanych: RODO i prawo polskie.
7.3. Umowa sporzadzona w dwoch jednobrzmiących egzemplarzach.


Administrator:                    Procesor:
_________________________         _________________________
(podpis, pieczatka)               (podpis)