Umowa powierzenia przetwarzania danych osobowych Jettz

Niniejsza Umowa powierzenia przetwarzania danych osobowych stanowi załącznik do Regulaminu świadczenia usług Jettz oraz określa zasady powierzenia przetwarzania danych osobowych przez Klienta Jettz Sp. z o.o. w związku z korzystaniem z systemu Jettz.

1. Strony Umowy powierzenia

Podmiotem przetwarzającym jest Jettz Sp. z o.o. z siedzibą w Warszawie, adres: ul. Niekłańska 35/1, 03-924 Warszawa, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0001239865, NIP: 1133201459, e-mail: hello@jettz.app, dalej jako Jettz albo Podmiot przetwarzający. Administratorem danych jest Klient korzystający z systemu Jettz, który akceptuje Regulamin świadczenia usług Jettz i niniejszą Umowę powierzenia, dalej jako Administrator albo Klient. Jettz i Klient mogą być dalej łącznie zwani Stronami. Niniejsza Umowa powierzenia zostaje zawarta w formie elektronicznej poprzez akceptację Regulaminu świadczenia usług Jettz wraz z załącznikami, w tym niniejszej Umowy powierzenia. Jeżeli Klient zawiera z Jettz osobną umowę pisemną lub elektroniczną, niniejsza Umowa powierzenia może stanowić załącznik do takiej umowy, o ile Strony nie uzgodnią inaczej.

2. Rola Stron

Klient jest administratorem danych osobowych w zakresie danych, które samodzielnie wprowadza do systemu Jettz, które wprowadzają jego Użytkownicy albo które są przetwarzane w systemie Jettz w związku z działalnością Klienta. Jettz jest podmiotem przetwarzającym dane osobowe w zakresie, w jakim przetwarza dane osobowe w imieniu Klienta w celu świadczenia usług Jettz. Jettz może być odrębnym administratorem danych w zakresie danych dotyczących własnych klientów, kontaktu handlowego, konta rozliczeniowego, płatności, faktur, obsługi zgłoszeń, bezpieczeństwa, dochodzenia roszczeń, obrony przed roszczeniami, marketingu własnego oraz realizacji obowiązków prawnych. Niniejsza Umowa powierzenia nie dotyczy danych, wobec których Jettz działa jako odrębny administrator danych. Te zasady opisuje Polityka prywatności Jettz.

3. Podstawa prawna Umowy powierzenia

Umowa powierzenia zostaje zawarta w celu spełnienia wymagań art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, czyli RODO. Umowa powierzenia określa w szczególności:

• przedmiot przetwarzania;
• czas trwania przetwarzania;
• charakter i cel przetwarzania;
• rodzaj danych osobowych;
• kategorie osób, których dane dotyczą;
• obowiązki i prawa Administratora;
• obowiązki Podmiotu przetwarzającego;
• zasady korzystania z podprocesorów;
• zasady bezpieczeństwa;
• zasady audytu;
• zasady postępowania po zakończeniu świadczenia usług.

4. Przedmiot powierzenia

Przedmiotem powierzenia jest przetwarzanie przez Jettz danych osobowych w imieniu Klienta w związku ze świadczeniem usług Jettz dostępnych pod adresem jettz.app. Powierzenie obejmuje dane osobowe, które Klient lub jego Użytkownicy wprowadzą do systemu Jettz, przekażą do systemu Jettz, połączą z systemem Jettz przez integrację albo które powstaną w systemie Jettz w związku z korzystaniem z usługi. Powierzenie obejmuje w szczególności dane przetwarzane w ramach modułów:

• zadania i projekty;
• czat wewnętrzny;
• Sejf;
• live chat;
• Jettz mail;
• notatki;
• HR;
• integracje;
• automatyzacje;
• funkcje AI;
• pliki i załączniki;
• powiadomienia systemowe;
• logi techniczne i bezpieczeństwa.

5. Czas trwania przetwarzania

Przetwarzanie danych przez Jettz trwa przez okres obowiązywania umowy o świadczenie usług Jettz. Po zakończeniu korzystania z usługi dane mogą być przetwarzane przez okres retencji, archiwizacji, backupów, rozliczeń, bezpieczeństwa, dochodzenia roszczeń, obrony przed roszczeniami oraz realizacji obowiązków prawnych, zgodnie z Regulaminem, Polityką prywatności i niniejszą Umową powierzenia. Po usunięciu Konta Organizacji dane mogą być przechowywane w archiwum przez 60 dni w celu umożliwienia przywrócenia konta na wniosek Klienta. Backupy mogą być przechowywane przez okres do 30 dni, a następnie nadpisywane albo usuwane zgodnie z cyklem kopii zapasowych. Dane mogą być przechowywane dłużej, jeżeli obowiązek taki wynika z przepisów prawa, decyzji organu, dochodzenia roszczeń, obrony przed roszczeniami, bezpieczeństwa albo innych prawnie uzasadnionych celów.

6. Charakter i cel przetwarzania

Dane są przetwarzane w sposób zautomatyzowany w systemie informatycznym. Dane mogą być przetwarzane także w sposób manualny, jeżeli jest to niezbędne do obsługi zgłoszenia Klienta, realizacji obowiązków prawnych, zapewnienia bezpieczeństwa, obsługi incydentu, migracji danych, przywrócenia danych albo wykonania uzgodnionej usługi dodatkowej. Celem przetwarzania jest świadczenie usług Jettz na rzecz Klienta, w szczególności:

• utworzenie i utrzymanie Konta Organizacji;
• umożliwienie zarządzania Użytkownikami i rolami;
• obsługa zadań, projektów, komentarzy i plików;
• obsługa czatu wewnętrznego;
• obsługa Sejfu;
• obsługa live chatu wdrożonego przez Klienta;
• obsługa Jettz mail i integracji z Gmail/Google Workspace;
• obsługa notatek;
• obsługa modułu HR;
• obsługa integracji zewnętrznych;
• obsługa funkcji AI;
• obsługa powiadomień systemowych;
• zapewnienie bezpieczeństwa systemu;
• prowadzenie logów technicznych i bezpieczeństwa;
• wykonywanie kopii zapasowych;
• diagnozowanie błędów;
• rozwój, utrzymanie i zabezpieczenie systemu;
• realizacja obowiązków wynikających z umowy, Regulaminu i przepisów prawa.

7. Rodzaje danych osobowych

W zależności od sposobu korzystania z systemu przez Klienta i Użytkowników, powierzone dane mogą obejmować w szczególności:

• imię i nazwisko;
• adres e-mail;
• numer telefonu;
• stanowisko;
• rola w organizacji;
• nazwa firmy lub organizacji;
• dane identyfikacyjne i kontaktowe klientów, kontrahentów, dostawców i współpracowników;
• dane kont użytkowników;
• dane techniczne, logi, adresy IP, identyfikatory urządzeń, informacje o przeglądarce i systemie operacyjnym;
• dane dotyczące zadań, projektów, terminów, statusów i komentarzy;
• dane zawarte w wiadomościach czatu;
• dane zawarte w notatkach;
• dane zawarte w plikach i załącznikach;
• dane zawarte w Sejfie, w tym hasła, loginy, tokeny API, klucze licencyjne, kontakty, poufne notatki, dane kart płatniczych i inne dane dostępowe;
• dane z live chatu, w tym treść rozmowy, imię, adres e-mail, telefon, adres IP, dane urządzenia, dane przeglądarki, adres odwiedzanej strony i czas rozmowy;
• dane z Jettz mail, w tym dane kont Google, adresy e-mail, wiadomości Gmail, metadane wiadomości, nadawcy, odbiorcy, tematy, treści, załączniki, etykiety, identyfikatory wiadomości, komentarze, statusy i przypisania;
• dane HR, w tym dane pracowników, współpracowników, kandydatów, urlopów, nieobecności, sprzętu firmowego, umów, wypłat, dokumentów pracowniczych, badań lekarskich, szkoleń BHP i innych procesów HR;
• dane finansowe, rozliczeniowe lub organizacyjne wprowadzone przez Klienta do systemu;
• dane szczególnych kategorii w rozumieniu art. 9 RODO, jeżeli Klient lub Użytkownicy wprowadzą takie dane do systemu;
• dane dotyczące wyroków skazujących i naruszeń prawa, jeżeli Klient lub Użytkownicy wprowadzą takie dane do systemu;
• dane przekazane do funkcji AI, polecenia użytkownika, wyniki AI i metadane użycia AI;
• inne dane osobowe, które Klient lub Użytkownicy wprowadzą do systemu Jettz.

8. Kategorie osób, których dane dotyczą

Powierzone dane mogą dotyczyć w szczególności:

• Użytkowników systemu Jettz;
• Administratorów Organizacji;
• Managerów i Pracowników w systemie Jettz;
• pracowników Klienta;
• współpracowników Klienta;
• podwykonawców Klienta;
• klientów Klienta;
• kontrahentów Klienta;
• dostawców Klienta;
• kandydatów do pracy;
• osób odwiedzających stronę internetową Klienta korzystającą z live chatu;
• osób kontaktujących się z Klientem przez live chat;
• osób, których dane znajdują się w poczcie Gmail/Google Workspace Klienta lub Użytkowników;
• osób, których dane znajdują się w zadaniach, projektach, komentarzach, notatkach, plikach, Sejfie, module HR albo innych modułach;
• innych osób, których dane Klient lub Użytkownicy wprowadzą do systemu Jettz.

9. Polecenie przetwarzania danych

Klient poleca Jettz przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usług Jettz. Poleceniami przetwarzania są w szczególności:

• akceptacja Regulaminu i niniejszej Umowy powierzenia;
• konfiguracja Konta Organizacji;
• dodawanie Użytkowników;
• nadawanie ról i uprawnień;
• wprowadzanie danych do systemu;
• podłączanie integracji;
• korzystanie z modułów systemu;
• ustawienia wybrane przez Administratora lub Użytkowników;
• zgłoszenia kierowane do Jettz;
• działania techniczne niezbędne do zapewnienia działania, bezpieczeństwa i utrzymania systemu. Jettz nie ma obowiązku weryfikowania, czy dane wprowadzone przez Klienta albo Użytkowników są zgodne z prawem, prawidłowe, kompletne lub adekwatne. Jeżeli Jettz uzna, że polecenie Klienta narusza RODO lub inne przepisy o ochronie danych, poinformuje Klienta o tym w zakresie wymaganym przez prawo, chyba że przepisy zakazują udzielenia takiej informacji.

10. Obowiązki Administratora

Klient jako Administrator zobowiązuje się do:

• przetwarzania danych osobowych zgodnie z RODO i innymi właściwymi przepisami;
• posiadania odpowiedniej podstawy prawnej do przetwarzania danych w systemie Jettz;
• posiadania odpowiedniej podstawy prawnej do powierzenia danych Jettz;
• realizacji obowiązków informacyjnych wobec osób, których dane dotyczą;
• prawidłowego określenia zakresu danych wprowadzanych do systemu;
• niewprowadzania danych, których przetwarzanie w systemie byłoby niezgodne z prawem;
• prawidłowego nadawania i odbierania dostępów Użytkownikom;
• ograniczania dostępu do danych HR, danych szczególnych kategorii, Sejfu, Jettz mail i innych danych wrażliwych wyłącznie do osób uprawnionych;
• poinformowania Użytkowników o zasadach korzystania z systemu, w tym o przetwarzaniu danych, rolach, uprawnieniach, logach i zasadach prywatności;
• aktualizowania danych i usuwania danych, które nie powinny być dalej przetwarzane;
• określenia okresów przechowywania danych wprowadzanych do systemu, jeżeli wymaga tego prawo lub wewnętrzna dokumentacja Klienta;
• obsługi żądań osób, których dane dotyczą, chyba że wymagana jest techniczna pomoc Jettz;
• oceny, czy naruszenie ochrony danych wymaga zgłoszenia organowi nadzorczemu lub osobom, których dane dotyczą;
• zgodnego z prawem korzystania z integracji zewnętrznych, w szczególności Google/Gmail, Google Workspace, Stripe, live chatu i funkcji AI;
• zapewnienia, że korzystanie z systemu przez Użytkowników Klienta jest zgodne z prawem i Regulaminem.

11. Obowiązki Podmiotu przetwarzającego

Jettz jako Podmiot przetwarzający zobowiązuje się do:

• przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa Unii Europejskiej lub prawa państwa członkowskiego;
• przetwarzania danych wyłącznie w zakresie i celu określonym w niniejszej Umowie powierzenia, Regulaminie, ustawieniach systemu, dokumentacji systemu i poleceniach Administratora;
• zapewnienia, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności albo podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności;
• stosowania odpowiednich środków technicznych i organizacyjnych ochrony danych;
• uwzględniania charakteru przetwarzania i w miarę możliwości pomagania Administratorowi w realizacji obowiązków wobec osób, których dane dotyczą;
• pomagania Administratorowi, w zakresie wymaganym przez RODO i w miarę możliwości technicznych, w realizacji obowiązków dotyczących bezpieczeństwa, naruszeń ochrony danych, oceny skutków dla ochrony danych oraz konsultacji z organem nadzorczym;
• po zakończeniu świadczenia usług usunięcia, anonimizacji albo zwrotu danych zgodnie z Regulaminem, technicznymi możliwościami systemu, cyklem backupów i przepisami prawa;
• udostępniania Administratorowi informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO, w zakresie opisanym w niniejszej Umowie powierzenia;
• umożliwienia audytu w zakresie wymaganym przez prawo, na zasadach określonych w niniejszej Umowie powierzenia;
• korzystania wyłącznie z podprocesorów zgodnie z niniejszą Umową powierzenia.

12. Bezpieczeństwo przetwarzania

Jettz stosuje środki techniczne i organizacyjne odpowiednie do ryzyka związanego z przetwarzaniem danych w systemie Jettz. Środki bezpieczeństwa mogą obejmować w szczególności:

• szyfrowanie transmisji;
• szyfrowanie wybranych danych w spoczynku;
• model zero-knowledge dla Sejfu, jeżeli dotyczy;
• kontrolę dostępu;
• role i uprawnienia;
• logi techniczne i bezpieczeństwa;
• kopie zapasowe;
• monitoring dostępności i błędów;
• ochronę infrastruktury;
• ochronę ruchu przez Cloudflare lub podobne rozwiązania;
• procedury nadawania i odbierania dostępów po stronie Jettz;
• zobowiązanie osób działających na rzecz Jettz do poufności;
• ograniczenie standardowego dostępu supportu do Treści Klienta;
• środki organizacyjne dotyczące bezpieczeństwa i poufności. Jettz może aktualizować środki bezpieczeństwa wraz z rozwojem systemu, zmianą infrastruktury, zmianą ryzyka, zmianą dostawców lub zmianą przepisów prawa. Klient odpowiada za bezpieczeństwo po swojej stronie, w szczególności za urządzenia, konta Użytkowników, hasła, 2FA, konta Google/Gmail, prawidłowe uprawnienia, odbieranie dostępów i własne procedury bezpieczeństwa. Szczegółowy opis środków bezpieczeństwa może zostać udostępniony w Załączniku bezpieczeństwa, dokumentacji systemu, ankiecie bezpieczeństwa albo indywidualnej komunikacji z Klientem.

13. Poufność

Jettz zapewnia, że osoby upoważnione do przetwarzania powierzonych danych osobowych są zobowiązane do zachowania poufności albo podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności. Obowiązek poufności obejmuje w szczególności dane osobowe, Treści Klienta, dane organizacyjne, dane techniczne, dane z Jettz mail, dane z Sejfu, dane HR, dane z live chatu i inne informacje przetwarzane w systemie. Obowiązek poufności obowiązuje przez czas trwania współpracy oraz po jej zakończeniu.

14. Podprocesorzy

Klient wyraża ogólną zgodę na korzystanie przez Jettz z podprocesorów. Jettz może korzystać z podprocesorów w szczególności w zakresie:

• hostingu i infrastruktury;
• przechowywania danych i plików;
• bezpieczeństwa;
• DNS, CDN i ochrony ruchu;
• płatności;
• wysyłki e-maili transakcyjnych i systemowych;
• Google/Gmail/Google Workspace;
• analityki;
• monitoringu błędów;
• supportu;
• funkcji AI;
• komunikacji i obsługi zgłoszeń;
• innych usług niezbędnych do świadczenia i utrzymania systemu. Aktualna lista podprocesorów jest publikowana w dokumencie Lista podprocesorów Jettz, na stronie jettz.app, w systemie Jettz albo w innym miejscu wskazanym przez Jettz. Jettz informuje o zmianie listy podprocesorów przez publikację aktualnej listy w systemie Jettz, na stronie jettz.app, w dokumentacji albo w inny przyjęty przez Jettz sposób. Klient może zgłosić uzasadniony sprzeciw wobec nowego podprocesora w terminie 7 dni od udostępnienia informacji o zmianie, jeżeli wykaże, że dany podprocesor istotnie zwiększa ryzyko naruszenia ochrony powierzonych danych. Jeżeli sprzeciw Klienta jest uzasadniony, a dalsze świadczenie usługi bez danego podprocesora nie jest możliwe albo jest nadmiernie utrudnione, każda ze Stron może rozwiązać umowę ze skutkiem na koniec bieżącego okresu rozliczeniowego albo w innym terminie koniecznym ze względów bezpieczeństwa, technicznych lub prawnych. Jettz zobowiązuje podprocesorów do zapewnienia ochrony danych w zakresie wymaganym przez RODO i adekwatnym do zakresu usług świadczonych przez danego podprocesora. Jettz odpowiada za działania podprocesorów w zakresie wymaganym przez RODO. Jeżeli dany dostawca zewnętrzny działa jako odrębny administrator danych, zakres jego odpowiedzialności może wynikać z jego własnych dokumentów, regulaminów, polityk i przepisów prawa.

15. Aktualni i planowani podprocesorzy

Na dzień sporządzenia niniejszej Umowy powierzenia Jettz może korzystać w szczególności z następujących podprocesorów lub kategorii podprocesorów:

• Hostinger - aktualny hosting, infrastruktura serwerowa, dysk serwerowy;
• Hetzner - docelowy lub alternatywny hosting, infrastruktura, dysk serwerowy;
• Cloudflare - DNS, CDN, proxy, bezpieczeństwo, ochrona ruchu, ochrona przed botami i atakami;
• Stripe - obsługa płatności kartą i subskrypcji;
• Resend.com - wysyłka e-maili transakcyjnych i systemowych;
• Google / Google Workspace / Gmail API - obsługa integracji Jettz mail;
• dostawca AI - funkcje AI, po wyborze konkretnego dostawcy;
• dostawca monitoringu błędów - po wyborze konkretnego dostawcy;
• dostawca analityki - po wyborze konkretnego dostawcy;
• dostawca narzędzi marketingowych - po wyborze konkretnego dostawcy;
• dostawca obsługi zgłoszeń / supportu - po wyborze konkretnego dostawcy. Szczegółowa lista, zakres usług, kategorie danych i regiony przetwarzania są wskazywane w dokumencie Lista podprocesorów Jettz.

16. Transfer danych poza Europejski Obszar Gospodarczy

Jettz planuje przetwarzać dane co do zasady w Europejskim Obszarze Gospodarczym lub Unii Europejskiej. Niektórzy podprocesorzy, w szczególności globalni dostawcy infrastruktury, bezpieczeństwa, płatności, e-maili, AI, analityki lub usług Google, mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym. Jeżeli dochodzi do przekazania danych poza EOG, Jettz stosuje odpowiednie mechanizmy prawne wymagane przez RODO, takie jak:

• decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony;
• standardowe klauzule umowne;
• dodatkowe środki bezpieczeństwa;
• inne mechanizmy przewidziane przez obowiązujące przepisy prawa. Szczegółowe informacje dotyczące transferów mogą wynikać z listy podprocesorów i dokumentacji poszczególnych dostawców.

17. Pomoc przy realizacji praw osób, których dane dotyczą

Jettz, uwzględniając charakter przetwarzania i dostępne funkcje systemu, pomaga Klientowi w realizacji obowiązków dotyczących odpowiadania na żądania osób, których dane dotyczą. Pomoc może obejmować w szczególności:

• umożliwienie dostępu do danych w systemie;
• umożliwienie eksportu danych;
• umożliwienie sprostowania danych;
• umożliwienie usunięcia danych;
• umożliwienie ograniczenia dostępu do danych;
• przekazanie informacji technicznych niezbędnych do obsługi żądania. Klient odpowiada za ocenę zasadności żądania osoby, której dane dotyczą, oraz za udzielenie odpowiedzi tej osobie, chyba że Jettz działa w danym zakresie jako odrębny administrator danych. Jeżeli osoba, której dane dotyczą, zgłosi żądanie bezpośrednio do Jettz, a Jettz działa w danym zakresie jako podmiot przetwarzający, Jettz może przekazać żądanie Klientowi albo poinformować osobę, której dane dotyczą, że powinna skontaktować się z Klientem.

18. Pomoc przy bezpieczeństwie, DPIA i konsultacjach

Jettz pomaga Klientowi w wywiązywaniu się z obowiązków dotyczących bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych, oceny skutków dla ochrony danych oraz uprzednich konsultacji z organem nadzorczym, w zakresie wynikającym z art. 28 RODO i w miarę możliwości technicznych oraz organizacyjnych. Pomoc może polegać w szczególności na przekazaniu informacji o środkach bezpieczeństwa, podprocesorach, incydentach, logach, funkcjach systemu i znanych ryzykach technicznych. Jettz nie zastępuje Klienta w przeprowadzaniu oceny skutków dla ochrony danych ani w konsultacjach z organem nadzorczym, chyba że Strony wyraźnie uzgodnią odrębną usługę. Dodatkowa pomoc wykraczająca poza standardowe funkcje systemu i obowiązki wynikające z RODO może wymagać indywidualnej wyceny, jeżeli jest czasochłonna lub wymaga niestandardowego zaangażowania Jettz.

19. Naruszenia ochrony danych osobowych

Jettz poinformuje Klienta o naruszeniu ochrony danych osobowych bez zbędnej zwłoki po jego stwierdzeniu, jeżeli naruszenie dotyczy danych powierzonych przez Klienta. Informacja może zostać przekazana na adres e-mail Administratora, adres e-mail przypisany do Konta Organizacji, przez komunikat w systemie albo na inny adres wskazany przez Klienta. Informacja o naruszeniu może obejmować, w zakresie znanym Jettz w chwili zgłoszenia:

• opis charakteru naruszenia;
• przybliżony czas wystąpienia lub wykrycia naruszenia;
• kategorie danych, których naruszenie może dotyczyć;
• kategorie osób, których dane mogą dotyczyć;
• możliwe skutki naruszenia;
• działania podjęte przez Jettz;
• rekomendowane działania po stronie Klienta;
• dane kontaktowe do komunikacji w sprawie naruszenia. Jeżeli pełne informacje nie są dostępne w chwili pierwszego zgłoszenia, Jettz może przekazywać informacje etapami. Klient odpowiada za ocenę, czy naruszenie wymaga zgłoszenia organowi nadzorczemu albo osobom, których dane dotyczą, chyba że Jettz działa w danym zakresie jako odrębny administrator danych. Jettz zobowiązuje się współpracować z Klientem w zakresie niezbędnym do obsługi naruszenia, w miarę możliwości technicznych i organizacyjnych.

20. Audyt i informacje o zgodności

Jettz udostępnia Klientowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO, w zakresie adekwatnym do świadczonej usługi i roli Jettz jako podmiotu przetwarzającego. Audyt powinien w pierwszej kolejności odbywać się w formie dokumentowej, w szczególności przez udostępnienie:

• Regulaminu;
• niniejszej Umowy powierzenia;
• Polityki prywatności;
• Listy podprocesorów;
• Załącznika bezpieczeństwa;
• ankiety bezpieczeństwa;
• oświadczeń Jettz;
• informacji o środkach technicznych i organizacyjnych;
• innych dokumentów, które Jettz uzna za adekwatne. Audyt nie może naruszać bezpieczeństwa systemu, tajemnicy przedsiębiorstwa Jettz, praw innych klientów, poufności danych innych klientów ani bezpieczeństwa infrastruktury. Audyt fizyczny lub techniczny infrastruktury wymaga odrębnego uzgodnienia i może być ograniczony ze względów bezpieczeństwa, technicznych, organizacyjnych lub z uwagi na infrastrukturę należącą do podprocesorów. Klient powinien poinformować Jettz o planowanym audycie z co najmniej 30-dniowym wyprzedzeniem, chyba że bezwzględnie obowiązujące przepisy prawa wymagają krótszego terminu. Audyt powinien odbywać się w godzinach pracy Jettz, w sposób niezakłócający działania systemu i świadczenia usług innym klientom. Jeżeli audyt wymaga niestandardowego zaangażowania Jettz, Jettz może uzależnić jego przeprowadzenie od wcześniejszego uzgodnienia zasad organizacyjnych, bezpieczeństwa, poufności oraz kosztów.

21. Dane szczególnych kategorii i dane wrażliwe

System Jettz może technicznie umożliwiać wprowadzanie danych szczególnych kategorii w rozumieniu art. 9 RODO, danych dotyczących wyroków skazujących i naruszeń prawa, danych zdrowotnych, danych HR, danych finansowych, danych kart płatniczych oraz innych danych wrażliwych. Klient samodzielnie decyduje, czy i jakie dane tego rodzaju wprowadza do systemu. Klient odpowiada za posiadanie właściwej podstawy prawnej do przetwarzania takich danych oraz za zapewnienie adekwatnych środków organizacyjnych po swojej stronie. Jettz nie weryfikuje zasadności, legalności ani adekwatności wprowadzania danych szczególnych kategorii lub danych wrażliwych przez Klienta albo Użytkowników. W przypadku Sejfu Klient odpowiada za decyzję o przechowywaniu danych kart płatniczych i zgodność takiego przechowywania z właściwymi standardami, regulacjami i umowami.

22. Jettz mail i dane Google/Gmail

W przypadku korzystania z Jettz mail przetwarzanie może obejmować dane Google/Gmail, w tym wiadomości, metadane, nadawców, odbiorców, tematy, treści, załączniki, etykiety i identyfikatory wiadomości. Jettz przetwarza dane Google/Gmail wyłącznie w celu świadczenia funkcji Jettz mail wybranych przez Klienta lub Użytkownika. Jettz mail nie jest archiwum poczty i nie zastępuje Gmaila. Dane źródłowe wiadomości pozostają w Gmailu. Jettz nie sprzedaje danych Google/Gmail, nie wykorzystuje ich do reklamy, nie wykorzystuje ich do profilowania reklamowego ani do trenowania ogólnych modeli AI. Wykorzystanie i przekazywanie przez Jettz informacji otrzymanych z interfejsów API Google do innych aplikacji odbywa się zgodnie z Google API Services User Data Policy, w tym z wymaganiami Limited Use. Klient odpowiada za zgodność korzystania z Jettz mail z własnymi regulacjami, politykami poczty elektronicznej, zasadami prywatności pracowników, RODO i przepisami prawa pracy.

23. Funkcje AI

Jettz może udostępniać funkcje AI, które przetwarzają dane przekazane przez Klienta lub Użytkowników w celu wykonania wybranej funkcji. Dane mogą być przetwarzane przez dostawców AI wskazanych na liście podprocesorów. Domyślnie Jettz nie wykorzystuje Treści Klienta do trenowania ogólnych modeli AI. Jettz nie wykorzystuje danych z Gmail/Jettz mail, Sejfu, HR ani Danych Prywatnych Użytkowników do trenowania ogólnych modeli AI. Wykorzystanie danych Klienta do trenowania, dostrajania lub rozwijania modeli AI w zakresie wykraczającym poza świadczenie funkcji systemu wymaga odrębnej, wyraźnej podstawy, w szczególności zgody albo indywidualnej umowy, oraz nie może naruszać zasad dostawców zewnętrznych. Klient odpowiada za to, aby nie przekazywać do funkcji AI danych, których przetwarzanie przez AI byłoby sprzeczne z prawem, umową, obowiązkiem poufności albo wewnętrznymi procedurami Klienta.

24. Usunięcie, zwrot i retencja danych po zakończeniu umowy

Po zakończeniu świadczenia usług Jettz usuwa, anonimizuje albo umożliwia zwrot danych zgodnie z Regulaminem, technicznymi możliwościami systemu, ustawieniami Konta Organizacji, cyklem backupów oraz przepisami prawa. Klient może eksportować dane w czasie aktywnego i opłaconego dostępu do Konta Organizacji, w formatach udostępnionych przez system, w szczególności CSV, XLSX lub JSON. Po zakończeniu aktywnego dostępu eksport danych może nie być możliwy, chyba że Klient odnowi abonament albo przepisy prawa stanowią inaczej. Po usunięciu Konta Organizacji dane mogą być przechowywane w archiwum przez 60 dni w celu umożliwienia przywrócenia konta na wniosek Klienta. Po upływie okresu archiwizacji dane mogą zostać trwale usunięte lub zanonimizowane. Dane znajdujące się w backupach mogą być usuwane zgodnie z cyklem kopii zapasowych i mogą zostać usunięte później niż dane produkcyjne. Jettz może przechowywać niektóre dane dłużej, jeżeli jest to wymagane przez prawo, obowiązki księgowe lub podatkowe, bezpieczeństwo, dochodzenie roszczeń, obronę przed roszczeniami lub inne prawnie uzasadnione cele.

25. Odpowiedzialność

Strony ponoszą odpowiedzialność za naruszenie niniejszej Umowy powierzenia zgodnie z RODO, innymi właściwymi przepisami, Regulaminem oraz zasadami odpowiedzialności określonymi w umowie głównej. Klient odpowiada za legalność danych powierzonych Jettz, podstawy prawne przetwarzania, obowiązki informacyjne, treść danych, zakres danych, konfigurację systemu, nadawanie dostępów i działania swoich Użytkowników. Jettz odpowiada za przetwarzanie danych w zakresie, w jakim ponosi odpowiedzialność jako podmiot przetwarzający zgodnie z RODO. Ograniczenia odpowiedzialności określone w Regulaminie mają zastosowanie w najszerszym dopuszczalnym przez prawo zakresie, z zastrzeżeniem bezwzględnie obowiązujących przepisów RODO i innych przepisów prawa.

26. Obowiązywanie Umowy powierzenia

Umowa powierzenia obowiązuje przez okres obowiązywania umowy o świadczenie usług Jettz, a także przez okres, w którym Jettz przetwarza powierzone dane po zakończeniu świadczenia usług zgodnie z Regulaminem, retencją, backupami lub przepisami prawa. Rozwiązanie umowy o świadczenie usług Jettz powoduje zakończenie niniejszej Umowy powierzenia, z zastrzeżeniem postanowień dotyczących retencji, backupów, poufności, odpowiedzialności, bezpieczeństwa, rozliczalności, dochodzenia roszczeń i obowiązków prawnych.

27. Zmiany Umowy powierzenia

Jettz może zmienić niniejszą Umowę powierzenia w przypadkach i na zasadach określonych w Regulaminie. Zmiany mogą wynikać w szczególności ze zmiany przepisów prawa, zmiany funkcji systemu, zmiany podprocesorów, zmiany infrastruktury, zmiany zasad bezpieczeństwa, zmiany wymagań dostawców zewnętrznych lub konieczności doprecyzowania dokumentu. Jeżeli zmiana Umowy powierzenia istotnie wpływa na prawa lub obowiązki Klienta jako Administratora, Jettz poinformuje Klienta zgodnie z Regulaminem.

28. Postanowienia końcowe

W zakresie nieuregulowanym niniejszą Umową powierzenia zastosowanie mają Regulamin świadczenia usług Jettz, Polityka prywatności, Lista podprocesorów, Załącznik bezpieczeństwa oraz właściwe przepisy prawa. W przypadku sprzeczności pomiędzy niniejszą Umową powierzenia a Regulaminem w zakresie przetwarzania danych osobowych, pierwszeństwo ma niniejsza Umowa powierzenia. Prawem właściwym dla niniejszej Umowy powierzenia jest prawo polskie oraz RODO. Wersją wiążącą jest polska wersja Umowy powierzenia, chyba że Strony wyraźnie uzgodnią inaczej.

29. Załączniki i dokumenty powiązane

Dokumentami powiązanymi z niniejszą Umową powierzenia są w szczególności:

• Regulamin świadczenia usług Jettz;
• Polityka prywatności Jettz;
• Polityka cookies Jettz;
• Lista podprocesorów Jettz;
• Załącznik bezpieczeństwa;
• Warunki szczególne Jettz mail;
• Warunki szczególne Sejfu;
• Warunki funkcji AI;
• Polityka akceptowalnego użycia.

30. Historia zmian dokumentu

31. Kontakt

W sprawach dotyczących niniejszej Umowy powierzenia, przetwarzania danych, DPA albo prywatności możesz skontaktować się z nami: Jettz Sp. z o.o. ul. Niekłańska 35/1 03-924 Warszawa KRS: 0001239865 NIP: 1133201459 E-mail: hello@jettz.app