Zgodność · RODO i AI Act

Zgodność z RODO od pierwszej minuty.

Voicebot słyszy imię, głos, numer telefonu, czasem datę wizyty. To są dane osobowe. RODO traktujemy jak fundament: projektujemy raz i porządnie, żeby nie wracać do niego później.

Zgodność w skrócie

rozp. 2016/679 · rozp. 2024/1689

Ochrona
art. 32 RODO
Disclosure
art. 50 AI Act
Retencja
konfigurowalna · w DPA
Procesorzy
lista · załącznik A

Szybki rzut

  1. 01 · DPA przed startem

    0rozmów

    produkcyjnych przed podpisaniem umowy powierzenia; art. 28 RODO w standardzie

  2. 02 · EU hosting

    UEfirst

    warstwa agentowa i modele w regionach UE; transfer poza UE tylko za pisemną zgodą

  3. 03 · Disclosure AI

    art. 50

    obowiązek z art. 50 AI Act wbudowany w runtime, nie pole konfiguracji w panelu

  4. 04 · Twoje prawa

    8z RODO

    praw realizowanych w ustawowym terminie, jeden mail, bez formularzy

Zasady · zawsze, nie tylko gdy pytasz

Sześć pozycji z RODO.
Wdrożone, nie zadeklarowane.

01

hosting

art. 44 RODO

EU jako standard wdrożenia

Projektujemy wdrożenia z hostingiem w UE. Warstwa agentowa i modele w regionach UE dobranych dla danego dostawcy. Transfery poza UE tylko na podstawie Standardowych Klauzul Umownych i za Twoją wyraźną zgodą.

Wdrożoneod zawsze · standard
02

szyfrowanie

art. 32 RODO

W locie i w spoczynku

Komunikacja przez TLS, dane w bazach i backupach szyfrowane na dysku. Dokładne wersje i algorytmy ustalamy z Twoim działem bezpieczeństwa na etapie DPA.

WdrożoneTLS 1.3 · AES-256
03

retencja

art. 5 ust. 1 lit. e

Dopasowana do Twojej polityki

Okresy retencji nagrań i transkrypcji dostosowujemy do Twojej polityki. Usunięcie na żądanie zgodnie z procedurą w Polityce prywatności.

Wdrożonekonfigurowalne · per wdrożenie
04

dpa

art. 28 RODO

Podpis zanim ruszymy

Umowę powierzenia przetwarzania podpisujemy przed startem. Szablon wysyłamy w 1–2 dni robocze od zapytania, indywidualne klauzule dla Twojego działu prawnego w kolejnych 2–3 dniach.

Wdrożoneszablon w 1–2 dni
05

dostęp

art. 32 ust. 1 lit. b

RBAC · 2FA · minimum privilege

Role-based access control, 2FA dla zespołu, logowanie dostępu do danych osobowych. Nikt w zespole nie ma szerszego dostępu, niż wymaga jego rola.

Wdrożoneaudyt dostępów · kwartalnie
06

procesorzy

art. 28 ust. 2

Jawni, w DPA

Korzystamy z wybranych dostawców modeli LLM, TTS i STT. Priorytet to hosting w EU oraz tryb zero-retention i no-training tam, gdzie dostawca taką opcję udostępnia. Pełna lista procesorów przypisanych do Twojego wdrożenia trafia do umowy powierzenia.

Wdrożonelista per klient · w DPA

Atlas zgodności · przepływ danych

Gdzie trafia głos,
od momentu, gdy rozmówca mówi „dzień dobry”.

Pięć stacji, każda z własną jurysdykcją i własnym kluczem. Najedź na pozycję w ledgerze powyżej, żeby zobaczyć, której stacji dotyczy.

Atlas · zgodność5 stacji · 4 trasy
Atlas zgodności RODOSchemat jurysdykcji przepływu danych w trzech pasmach: rozmówca poza systemem, strefa procesora UE (telefonia w PL, agent runtime i modele w UE), oraz twoja domena (CRM). Pole oznaczone POZA UE w prawym dolnym rogu opisuje fallback SCC, używany wyłącznie za zgodą administratora.ROZMÓWCA · POZA SYSTEMEMUE · STREFA PROCESORAPLEUTWOJA DOMENA · KLIENTPOZA UE · FALLBACKSCC + zero retentiontylko za Twoją zgodą, na piśmieART. 46 RODO01rozmówca02telefonia03agent runtime04modele05twój CRM
TLS 1.3, trasa główna
webhook OAuth2, egress do CRM
SCC, opcjonalnie, na piśmie

jurysdykcja

UE

podstawa transferu

SCC + DPF, za zgodą

minimalizacja

zero retention tam, gdzie to możliwe

Dokładna lista procesorów przypisanych do Twojego wdrożenia trafia do umowy powierzenia. Poza schematem: backupy szyfrowane AES-256, retencja konfigurowalna per wdrożenie.

AI Act · rozporządzenie 2024/1689

Voicebot, czyli ograniczone ryzyko.
Rozmówca zawsze wie, z kim rozmawia.

Trzy klauzule wbudowane w każde wdrożenie, niezależnie od pakietu, branży i języka. Disclosure włącza się automatycznie, biometria wymaga osobnej zgody.

01

klasyfikacja

Ograniczone ryzyko, nie decyzja autonomiczna

Voiceboty, które projektujemy, klasyfikujemy jako systemy AI o ograniczonym ryzyku (art. 50 AI Act). Nie podejmują autonomicznych decyzji o losie pacjenta czy klienta, eskalują do człowieka przypadki, które tego wymagają.

02

obowiązek

Rozmówca zawsze wie, że to AI

Agent na początku każdej rozmowy informuje, że jest systemem AI. Nie chowa tego w trzeciej minucie, nie udaje człowieka, nie ma przełącznika „wyłącz”. Obowiązek wbudowany w samo działanie agenta, nie pole w panelu.

03

biometria

Głos analizujemy treściowo, nie biometrycznie

Nie projektujemy systemów rozpoznawania emocji do zastosowań w miejscu pracy ani w edukacji. To zakaz z art. 5 ust. 1 lit. f AI Act, obowiązuje od 2 lutego 2025 r. i nie znosi go żadna zgoda. W innych kontekstach analiza cech biometrycznych (wiek, płeć) wymaga wyraźnej zgody rozmówcy i osobnej podstawy prawnej; każda taka funkcja oznacza osobny scenariusz wdrożenia.

Zobowiązanie

Co podpisujemy,
zanim zadzwoni pierwszy rozmówca.

  • 01

    DPA przed pierwszą rozmową, cennik na stronie przed rozmową handlową.

  • 02

    Hosting w EU w cenie wdrożenia, bez dopłat.

  • 03

    Obowiązek z art. 50 AI Act w samym silniku, nie w polu konfiguracji.

  • 04

    Lista procesorów imienna, w umowie. Nie strona w polityce.

Twoje prawa

Osiem praw z RODO.
Każde realizujemy w ustawowym terminie.

Jeden mail, żadnych formularzy. Napisz z adresu, którego dotyczy sprawa. Na tej podstawie potwierdzamy tożsamość, uruchamiamy procedurę i informujemy o efekcie.

Wszystkie wnioski kieruj na rodo@odbierze.ai. Potwierdzamy odbiór w ciągu 24h, odpowiadamy zwykle szybciej niż ustawowy miesiąc. Pełny katalog obowiązków znajdziesz w Polityce prywatności.

Umowa powierzenia · DPA

Cztery kroki.
Od setupu do podpisu.

DPA jest częścią wdrożenia, nie materiałem marketingowym. Uruchamiamy ścieżkę zgodności po podpisaniu setupu i kończymy podpisem przed pierwszą rozmową produkcyjną.

  1. 01

    Podpisany setup

    Po podpisaniu umowy na wdrożenie uruchamiamy ścieżkę zgodności razem z analizą procesu.

    dzień zero
  2. 02

    DPA w pakiecie startowym

    Dostarczamy DPA z listą procesorów, klauzulami art. 28 RODO i sekcją sektorową dobraną do branży.

    1–2 dni robocze
  3. 03

    Edycje prawnika

    Uwagi, indywidualne klauzule, zmianę retencji, własny podmiot przetwarzający: wpinamy, negocjujemy, wracamy z wersją.

    2–3 dni robocze
  4. 04

    Podpis przed startem

    Podpisujemy przed pierwszą rozmową produkcyjną z voicebotem. Bez „dogadamy się później”.

    przed wdrożeniem
Porozmawiajmy o wdrożeniuDPA uruchamiamy po podpisanym setupie

Trzy gwarancje

Co trzymamy w każdym wdrożeniu.

  1. 01 · Zakres

    Każde wdrożenie objęte tym samym standardem.

    Niezależnie od pakietu (LITE, GROWTH, ENTERPRISE), te same klauzule operacyjne obowiązują od pierwszej rozmowy.

  2. 02 · Audyt

    Rejestr wersji audytowalny na żądanie.

    Prowadzimy historię zmian. Aktualna wersja oraz log rewizji dostępne dla Twojego działu prawnego.

  3. 03 · Aktualizacja

    Rewidowane przy każdej zmianie regulacji.

    Każda istotna zmiana RODO, AI Act lub orzecznictwa unijnego powoduje rewizję i powiadomienie obecnych klientów.

Syntalith sp. z o.o.

Kontakt · RODO

Jeden adres,
jedna procedura.

adres zgłoszeń

rodo@odbierze.ai

Wszystkie wnioski, pytania, zgłoszenia incydentów. Potwierdzamy odbiór w ciągu 24 godzin, odpowiadamy merytorycznie zwykle w 2–3 dni robocze.

Organ nadzorczy

Urząd Ochrony Danych Osobowych

adres
ul. Stanisława Moniuszki 1A, 00-014 Warszawa
telefon
+48 22 531 03 00
www
uodo.gov.pl

Masz również prawo wnieść skargę do organu nadzorczego. Zanim to zrobisz, napisz do nas. Zwykle da się szybciej.

Syntalith sp. z o.o.

dokument powiązany

Polityka prywatności →

dokument powiązany

Informacje prawne →