Addendum w sprawie przetwarzania danych osobowych (DPA)

Addendum w sprawie przetwarzania danych osobowych

Niniejsze addendum (dalej: „Addendum”) w sprawie przetwarzania danych osobowych stanowi załącznik do Regulaminu systemu LEOLEX AI, będący jego integralną częścią. Addendum wiąże od daty wejścia w życie umowy zawartej między LEOLEX AI a Użytkownikiem, (dalej: „Strony”), w ramach której LEOLEX AI przetwarza dane osobowe w imieniu i na rzecz Użytkownika wyłącznie w zakresie, w jakim w związku z korzystaniem z systemu dochodzi do powierzenia przetwarzania danych osobowych.

§ 1 Definicje

Wszelkie pojęcia użyte w niniejszym Addendum należy rozumieć zgodnie z definicjami określonymi w Regulaminie serwisu LEOLEX AI, w przepisach oraz motywach RODO, innych przepisach dotyczących ochrony danych osobowych oraz zgodnie z intencją tych przepisów.

§ 2 Postanowienia ogólne

1. Strony ustalają, iż w celu wykonania zobowiązań wynikających z Umowy LEOLEX AI może występować w różnych rolach w rozumieniu przepisów o ochronie danych osobowych, w zależności od charakteru danej operacji przetwarzania. W szczególności:
   a) w zakresie przetwarzania danych osobowych realizowanego w ramach funkcjonalności opartych na sztucznej inteligencji (dalej: „Funkcjonalności AI”), w tym przekazywania danych do modeli sztucznej inteligencji za pośrednictwem infrastruktury LEOLEX AI Proxy, LEOLEX AI działa jako podmiot przetwarzający na zlecenie Użytkownika;
   b) w zakresie danych osobowych przetwarzanych w związku z zawarciem i wykonywaniem Umowy, w szczególności danych niezbędnych do utworzenia i obsługi Konta Użytkownika, uwierzytelniania, zapewnienia bezpieczeństwa systemów, prowadzenia rozliczeń, obsługi płatności, obsługi zgłoszeń oraz przetwarzania danych technicznych i eksploatacyjnych, LEOLEX AI działa jako odrębny administrator danych osobowych;
   c) w zakresie, o którym mowa w lit. b powyżej, LEOLEX AI samodzielnie określa cele i środki przetwarzania danych osobowych, w tym zakres danych oraz okresy przechowywania danych, zgodnie z obowiązującymi przepisami prawa. Szczegółowe zasady przetwarzania danych osobowych przez LEOLEX AI jako administratora danych, w tym cele przetwarzania oraz okresy retencji danych, określone są w Załączniku nr 3.

2. W zakresie korzystania przez Użytkownika z Funkcjonalności AI, Strony zgodnie uznają, że:
   a) Użytkownik działa jako administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO względem danych osobowych, których przetwarzanie powierza LEOLEX AI, oraz zapewnia, że posiada ważną podstawę prawną przetwarzania danych osobowych, a także spełnił obowiązki wynikające z przepisów o ochronie danych osobowych;
   b) LEOLEX AI działa jako podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO, wyłącznie w zakresie niezbędnym do technicznej realizacji przekazania danych do wybranego przez Użytkownika dostawcy modelu sztucznej inteligencji;
   c) przetwarzanie danych osobowych przez LEOLEX AI odbywa się wyłącznie na udokumentowane polecenie Użytkownika, wyrażone poprzez korzystanie z Funkcjonalności AI.

3. Przetwarzanie danych osobowych przez LEOLEX AI ma charakter wyłącznie techniczny, incydentalny i ograniczony do minimum, obejmując jedynie operacje niezbędne do transmisji danych oraz obsługi zapytań kierowanych do modeli sztucznej inteligencji.
LEOLEX AI nie decyduje o celach ani zasadniczych środkach przetwarzania danych, nie ma wpływu na zakres ani treść danych przekazywanych przez Użytkownika w szczególności do trenowania modeli sztucznej inteligencji oraz nie wykorzystuje danych do własnych celów.

4. Dane osobowe przetwarzane w ramach Funkcjonalności AI nie są utrwalane ani przechowywane przez LEOLEX AI w jakiejkolwiek formie trwałej (Zero Data Retation) i mogą być przetwarzane wyłącznie efemerycznie, w pamięci operacyjnej systemów informatycznych, przez czas niezbędny do realizacji pojedynczej operacji. LEOLEX AI nie prowadzi logów zawierających treść danych, a ewentualne logowanie ogranicza się wyłącznie do danych technicznych i metadanych, które nie pozwalają na odtworzenie treści przetwarzanych informacji.

5. Użytkownik ponosi wyłączną odpowiedzialność za zakres, treść danych wprowadzanych do Aplikacji i za ich przekazywanie do modeli sztucznej inteligencji oraz przyjmuje do wiadomości, że dane przekazywane do modeli AI są przetwarzane przez dostawców tych modeli jako odrębnych administratorów lub podmioty przetwarzające, zgodnie z ich własnymi zasadami, przy czym LEOLEX AI nie jest stroną tych relacji i nie ponosi odpowiedzialności za sposób przetwarzania danych przez te podmioty.

6. LEOLEX AI, działając jako podmiot przetwarzający w zakresie określonym powyżej, zapewni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z art. 28 i 32 RODO, adekwatnych do charakteru incydentalnego przetwarzania oraz poziomu ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
Niniejsze postanowienia stanowią umowę powierzenia przetwarzania danych osobowych wyłącznie w zakresie korzystania z Funkcjonalności AI i nie naruszają uprawnień LEOLEX AI do przetwarzania danych osobowych jako administratora w zakresie niezbędnym do świadczenia usług, w szczególności w zakresie obsługi Konta Użytkownika, uwierzytelniania, zapewnienia bezpieczeństwa systemów, rozliczeń, obsługi płatności oraz przetwarzania danych technicznych i eksploatacyjnych, zgodnie z właściwymi przepisami oraz Polityką Prywatności.

§ 3 Oświadczenia i zobowiązania LEOLEX AI

1. LEOLEX AI zobowiązuje się do przetwarzania danych osobowych powierzonych przez Użytkownika wyłącznie w celu, zakresie i na zasadach określonych w niniejszym Addendum, Umowie, RODO i innych powszechnie obowiązujących przepisach prawa, przy czym przetwarzanie to ma charakter ograniczony do obsługi Funkcjonalności AI. Szczegółowe informacje dotyczące przetwarzania danych osobowych, w tym kategorie danych oraz operacje przetwarzania, znajdują się w Załączniku nr 1 do niniejszego Addendum.
2. LEOLEX AI przetwarza dane osobowe wyłącznie na udokumentowane polecenie Użytkownika, wyrażone poprzez korzystanie z Funkcjonalności AI, chyba że obowiązek przetwarzania wynika z bezwzględnie obowiązujących przepisów prawa, któremu LEOLEX AI podlega. W takim przypadku LEOLEX AI, o ile jest to prawnie dopuszczalne, poinformuje Użytkownika o tym obowiązku prawnym przed przystąpieniem do przetwarzania danych osobowych powierzonych przez Użytkownika, o ile prawo to nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny. LEOLEX AI zastrzega sobie prawo do odmowy wykonania polecenia Użytkownika, jeżeli uzna, że prowadzi ono do naruszenia przepisów prawa, o czym niezwłocznie poinformuje Użytkownika.
3. LEOLEX AI zapewnia wdrożenie odpowiednich środków technicznych i organizacyjnych zgodnie z art. 28 i 32 RODO, przy uwzględnieniu charakteru przetwarzania, które ma charakter incydentalny, techniczny i efemeryczny. W szczególności przetwarzanie danych:
   a) odbywa się wyłącznie w zakresie niezbędnym do transmisji danych w ramach Funkcjonalności AI,
   b) nie obejmuje trwałego przechowywania danych (zasada Zero Data Retention),
   c) nie obejmuje utrwalania treści danych w logach systemowych ani innych trwałych strukturach.
   Szczegółowe środki techniczne i organizacyjne stosowane przez LEOLEX AI określone są w Załączniku nr 2 do niniejszego Addendum.
4. Z uwagi na charakter przetwarzania, LEOLEX AI wspiera Użytkownika w zakresie adekwatnym i możliwym do realizacji w wykonywaniu obowiązków wynikających z RODO, w szczególności w zakresie bezpieczeństwa przetwarzania oraz zgłaszania naruszeń ochrony danych osobowych. Strony potwierdzają, że wsparcie to ma charakter ograniczony, wynikający z technicznego i incydentalnego charakteru przetwarzania danych przez LEOLEX AI.
5. LEOLEX AI zapewnia, że wszystkie osoby posiadające dostęp do danych osobowych zostały zobowiązane do zachowania ich w poufności lub podlegają odpowiedniemu obowiązkowi ustawowemu w tym zakresie.
6. W przypadku stwierdzenia naruszenia ochrony danych osobowych w zakresie, w jakim dotyczy ono przetwarzania realizowanego przez LEOLEX AI, LEOLEX AI poinformuje Użytkownika bez zbędnej zwłoki, z uwzględnieniem charakteru przetwarzania oraz dostępnych informacji.
7. Strony zgodnie potwierdzają, że niniejsze Addendum wraz z jego załącznikami stanowi udokumentowane polecenie przetwarzania danych osobowych przez LEOLEX AI w rozumieniu art. 28 RODO, wyłącznie w zakresie korzystania z Funkcjonalności AI.
8. Dla uniknięcia wątpliwości, Strony ustalają, że treść niniejszego Addendum, Umowa oraz korzystanie przez Użytkownika z Funkcjonalności AI stanowią udokumentowane polecenie przetwarzania danych osobowych w rozumieniu art. 28 RODO, wyłącznie w zakresie określonym w niniejszym Addendum.
   §4 Audyty i inspekcje
9. Użytkownik ma prawo do weryfikacji spełniania przez LEOLEX AI obowiązków wynikających z niniejszego Addendum, wyłącznie w zakresie, w jakim LEOLEX AI działa jako podmiot przetwarzający w związku z korzystaniem z Funkcjonalności AI.
10. Z uwagi na charakter przetwarzania danych przez LEOLEX AI, który ma charakter incydentalny, techniczny oraz nie obejmuje trwałego przechowywania danych, Strony uznają, że obowiązek, o którym mowa w ust. 1, może zostać spełniony w szczególności poprzez:
    a) przekazanie przez LEOLEX AI odpowiednich informacji, oświadczeń lub dokumentacji dotyczącej stosowanych środków technicznych i organizacyjnych,
    b) udostępnienie polityk bezpieczeństwa lub innych dokumentów potwierdzających zgodność przetwarzania z przepisami prawa.
11. Przeprowadzenie audytu w formie inspekcji jest dopuszczalne wyłącznie w przypadkach uzasadnionych, w szczególności gdy:
    a) przekazane informacje okażą się niewystarczające do wykazania zgodności, lub
    b) obowiązek przeprowadzenia audytu wynika z przepisów prawa lub wiążącego polecenia organu nadzorczego.
12. Audyt może być przeprowadzony nie częściej niż raz w roku kalendarzowym, chyba że obowiązek jego przeprowadzenia wynika z przepisów prawa lub decyzji właściwego organu nadzorczego.
13. Użytkownik zobowiązuje się do poinformowania LEOLEX AI o zamiarze przeprowadzenia audytu z co najmniej 10-dniowym wyprzedzeniem, wskazując zakres, termin oraz osoby upoważnione do jego przeprowadzenia. W przypadku audytu związanego z naruszeniem ochrony danych osobowych lub żądaniem organu nadzorczego termin ten może zostać skrócony do 72 godzin.
14. Audyty przeprowadzane są w sposób nie zakłócający bieżącej działalności LEOLEX AI oraz z poszanowaniem jego tajemnicy przedsiębiorstwa, w szczególności w zakresie informacji technicznych, organizacyjnych oraz bezpieczeństwa systemów.
15. Koszty przeprowadzenia audytu ponosi Użytkownik, chyba że audyt wykaże istotne naruszenie obowiązków przez LEOLEX AI.
16. LEOLEX AI zapewnia, że w zakresie adekwatnym do charakteru przetwarzania udostępni informacje niezbędne do wykazania zgodności z obowiązkami wynikającymi z niniejszego Addendum.
17. Postanowienia niniejszego paragrafu dotyczą wyłącznie przetwarzania danych osobowych, w którym LEOLEX AI działa jako podmiot przetwarzający, i nie mają zastosowania do przetwarzania danych, w którym LEOLEX AI występuje jako administrator danych

§5 Przekazywanie Danych w ramach Funkcjonalności AI

1. Strony zgodnie potwierdzają, że w ramach korzystania z Funkcjonalności AI dane wprowadzane przez Użytkownika mogą być przekazywane do dostawców modeli sztucznej inteligencji wybranych samodzielnie przez Użytkownika (dalej: „Dostawcy modelu AI”) w treści zapytań (“prompty”) i materiałach za pośrednictwem infrastruktury LEOLEX AI Proxy w celu uzyskania wyników z modeli sztucznej inteligencji.
2. Przekazywanie danych, o którym mowa powyżej, następuje na wyłączną decyzję Użytkownika i w ramach relacji prawnej łączącej Użytkownika z danym Dostawcą AI. Dostawcy AI działają jako odrębni administratorzy danych osobowych lub podmioty przetwarzające w relacji z Użytkownikiem, zgodnie z ich własnymi regulaminami oraz zasadami przetwarzania danych.
3. LEOLEX AI nie dokonuje dalszego powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO. Rola LEOLEX AI ogranicza się wyłącznie do zapewnienia technicznej infrastruktury umożliwiającej przekazanie danych pomiędzy Użytkownikiem a wybranym Dostawcą AI oraz ogranicza się do zapewnienia komunikacji między systemami Administratora a jednostkami obliczeniowymi modeli LLM (Large Language Models) w celu przekazywania zapytań do wybranego przez Administratora Dostawcy AI i przekazania odpowiedzi z powrotem bez trwałego utrwalania treści danych w systemach procesora oraz w celu optymalizacji zużycia zasobów obliczeniowych i zapewnienia rozliczalności operacji bez utrwalania ich treści
4. LEOLEX AI nie ma wpływu na zakres, treść ani sposób dalszego przetwarzania danych przez Dostawców AI, w szczególności nie kontroluje celów ani środków przetwarzania realizowanego przez te podmioty.
5. Użytkownik ponosi wyłączną odpowiedzialność za:
   a) wybór Dostawcy AI,
   b) zgodność przekazywania danych osobowych z przepisami prawa,
   c) spełnienie obowiązków informacyjnych wobec osób, których dane dotyczą,
   d) ocenę ryzyk związanych z korzystaniem z usług Dostawców AI, w tym ewentualnym transferem danych poza Europejski Obszar Gospodarczy.
6. Dla uniknięcia wątpliwości Strony potwierdzają, że przekazywanie danych do Dostawców AI nie stanowi dalszego powierzenia przetwarzania danych osobowych przez LEOLEX AI, lecz element technicznej realizacji polecenia Użytkownika w ramach Funkcjonalności AI.

§6 Przekazywanie Danych przez LEOLEX AI jako Administratora

1. Dane osobowe przekazywane przez Użytkownika w ramach formularzy kontaktowych, korespondencji elektronicznej lub innych form komunikacji z LEOLEX AI są przetwarzane przez LEOLEX AI jako administratora danych w celu obsługi zapytania, udzielenia odpowiedzi oraz załatwienia sprawy zgłoszonej przez Użytkownika.
2. Podstawą prawną przetwarzania danych osobowych jest:
   a) art. 6 ust. 1 lit. b RODO - w zakresie, w jakim przetwarzanie jest niezbędne do podjęcia działań przed zawarciem Umowy lub jej realizacji,
   b) art. 6 ust. 1 lit. f RODO - w zakresie prawnie uzasadnionego interesu LEOLEX AI polegającego na zapewnieniu komunikacji z Użytkownikiem, obsłudze zgłoszeń oraz dochodzeniu lub obronie przed roszczeniami,
   c) art. 6 ust. 1 lit. a RODO - w przypadku, gdy Użytkownik wyrazi zgodę na otrzymywanie informacji handlowych lub marketingowych,
   d) art. 9 ust. 2 lit. a lub f RODO - w przypadku dobrowolnego przekazania danych szczególnych kategorii, odpowiednio na podstawie zgody lub w celu ustalenia, dochodzenia lub obrony roszczeń.
3. Dane osobowe przetwarzane w ramach korespondencji obejmują w szczególności dane identyfikacyjne i kontaktowe oraz treść komunikacji. LEOLEX AI przetwarza wyłącznie dane niezbędne do realizacji wskazanych celów.
4. Dane będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i załatwienia sprawy, a następnie przez okres nie dłuższy niż 3 miesiące w celach archiwizacyjnych oraz zabezpieczenia ewentualnych roszczeń, chyba że dalsze przechowywanie danych jest wymagane na podstawie przepisów prawa lub uzasadnione nadrzędnym interesem administratora.
5. W przypadku wyrażenia zgody na otrzymywanie informacji handlowych drogą elektroniczną, dane będą przetwarzane do momentu cofnięcia zgody. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
6. Dla uniknięcia wątpliwości Strony potwierdzają, że przetwarzanie danych osobowych przez LEOLEX AI w charakterze administratora stanowi odrębny proces przetwarzania, niezależny od powierzenia przetwarzania danych osobowych uregulowanego w niniejszym Addendum oraz w Załącznikach nr 1–2.

§7 Prawa osób, których dane osobowe dotyczą

1. Każda osoba, której dane dotyczą, ma prawo:

1. Dostępu - uzyskania od LEOLEX AI potwierdzenia, czy przetwarzane są jej dane osobowe. Jeżeli dane osobowe są przetwarzane, jest ona uprawniona do uzyskania dostępu do nich oraz uzyskania następujących informacji: o celach przetwarzania, kategoriach danych osobowych, odbiorcach lub kategoriach odbiorców, którym dane zostały lub zostaną ujawnione, okresie przechowywania danych lub o kryteriach ich ustalania, o prawie do żądania sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych przysługujących osobie, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania (art. 15 RODO).
2. Do otrzymania kopii danych - uzyskanie kopii danych podlegających przetwarzaniu, przy czym pierwsza kopia jest bezpłatna, a za kolejne kopie LEOLEX AI może nałożyć opłatę w rozsądnej wysokości, wynikającą z kosztów administracyjnych (art. 16 RODO).
3. Do sprostowania - żądania sprostowania dotyczących jej danych osobowych, które są nieprawidłowe, lub uzupełnienia niekompletnych danych (art. 17 RODO).
4. Do usunięcia danych - żądania usunięcia jej danych osobowych, jeżeli LEOLEX AI nie ma już podstawy prawnej do ich przetwarzania lub dane nie są już niezbędne do celów przetwarzania (art. 17 RODO).
5. Do ograniczenia przetwarzania - żądania ograniczenia przetwarzania danych osobowych (art. 18 RODO), gdy:

• Osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych - na okres pozwalający LEOLEX AI sprawdzić prawidłowość tych danych;
• Przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się ich usunięciu, żądając ograniczenia ich wykorzystywania;
• LEOLEX AI nie potrzebuje już tych danych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
• Osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie LEOLEX AI są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą;

6. Do przenoszenia danych - otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych jej dotyczących, które dostarczyła LEOLEX AI, oraz żądania przesłania tych danych innemu administratorowi, jeżeli dane są przetwarzane na podstawie zgody osoby, której dane dotyczą lub umowy z nią zawartej oraz jeżeli dane są przetwarzane w sposób zautomatyzowany (art. 20 RODO).
7. Do sprzeciwu - wniesienia sprzeciwu wobec przetwarzania jej danych osobowych w prawnie uzasadnionych celach LEOLEX AI, z przyczyn związanych z jej szczególną sytuacją, w tym wobec profilowania. Wówczas LEOLEX AI dokonuje oceny istnienia ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osób, których dane dotyczą lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Jeżeli zgodnie z oceną interesy osoby, której dane dotyczą, będą ważniejsze od interesów LEOLEX AI, LEOLEX AI będzie zobowiązany zaprzestać przetwarzania danych w tych celach (art. 21 RODO).
8. Do cofnięcia zgody - w każdym momencie i bez podawania przyczyny, lecz przetwarzanie danych osobowych dokonane przed cofnięciem zgody nadal pozostaje zgodne z prawem. Cofnięcie zgody spowoduje zaprzestanie przetwarzania przez LEOLEX AI danych osobowych w celu, w którym zgoda ta została wyrażona.

2. W celu skorzystania z wyżej wymienionych praw, osoba, której dane dotyczą, powinna
skontaktować się z LEOLEX AI, wykorzystując podane dane kontaktowe i poinformować LEOLEX AI, z którego prawa i w jakim zakresie chce skorzystać.

§8 Transfer danych poza Europejski Obszar Gospodarczy

1. Strony zgodnie potwierdzają, że w ramach korzystania z Funkcjonalności AI dane osobowe mogą być przekazywane przez Użytkownika do dostawców modeli sztucznej inteligencji, w tym podmiotów mających siedzibę poza Europejskim Obszarem Gospodarczym.

2. Przekazywanie danych poza Europejski Obszar Gospodarczy odbywa się wyłącznie na podstawie decyzji Użytkownika oraz w ramach relacji prawnej łączącej Użytkownika z danym Dostawcą AI.

3. Użytkownik, jako administrator danych osobowych, ponosi wyłączną odpowiedzialność za zapewnienie zgodności takiego transferu z przepisami RODO, w szczególności art. 44–49 RODO, w tym za zastosowanie odpowiednich mechanizmów legalizujących transfer danych oraz za spełnienie obowiązków informacyjnych wobec podmiotów danych.

4. LEOLEX AI nie dokonuje transferu danych osobowych poza Europejski Obszar Gospodarczy w rozumieniu RODO, lecz umożliwia wyłącznie techniczne przekazanie danych zgodnie z poleceniem Użytkownika w ramach Funkcjonalności AI.

5. Jednocześnie Strony potwierdzają, że w zakresie, w jakim LEOLEX AI przetwarza dane osobowe jako administrator danych, w szczególności w związku z obsługą Konta Użytkownika, uwierzytelnianiem, zapewnieniem bezpieczeństwa systemów, rozliczeniami oraz przetwarzaniem danych technicznych i eksploatacyjnych, przetwarzanie to odbywa się co do zasady na terytorium Europejskiego Obszaru Gospodarczego. W przypadku, gdy przetwarzanie danych osobowych przez LEOLEX AI jako administratora wymagałoby przekazania danych poza Europejski Obszar Gospodarczy, LEOLEX AI zapewni zgodność takiego transferu z przepisami Rozdziału V RODO, w szczególności poprzez zastosowanie odpowiednich mechanizmów prawnych, takich jak decyzje stwierdzające odpowiedni stopień ochrony lub standardowe klauzule umowne.

   §9 Przepisy końcowe

6. Z uwagi na charakter przetwarzania danych osobowych przez LEOLEX AI, który ma charakter incydentalny, techniczny i efemeryczny oraz nie obejmuje trwałego przechowywania danych, Strony zgodnie potwierdzają, że dane osobowe nie są utrwalane w systemach LEOLEX AI w sposób trwały i nie podlegają dalszemu przechowywaniu po zakończeniu operacji przetwarzania.

7. W zakresie, w jakim dane osobowe mogą być przetwarzane tymczasowo w trakcie realizacji operacji technicznych w ramach Funkcjonalności AI, przetwarzanie to ustaje automatycznie wraz z zakończeniem danej operacji, bez konieczności podejmowania dodatkowych czynności usuwania danych.

8. Dla uniknięcia wątpliwości Strony potwierdzają, że obowiązki usunięcia lub zwrotu danych, o których mowa w art. 28 ust. 3 lit. g RODO, uznaje się za spełnione poprzez przyjęty model przetwarzania oparty na braku trwałego przechowywania danych przez LEOLEX AI oraz automatyczne ustanie przetwarzania po zakończeniu operacji. W zakresie, w jakim w systemach LEOLEX AI mogłyby powstawać wyłącznie nietrwałe kopie techniczne (RAM/bufory), kopie te nie są utrwalane i zanikają w toku normalnego działania systemów wraz z zakończeniem operacji.

9. Postanowienia niniejszego Addendum nie naruszają uprawnień i obowiązków LEOLEX AI w zakresie przetwarzania danych osobowych, w których LEOLEX AI działa jako odrębny administrator danych, w szczególności w zakresie danych związanych z obsługą Konta Użytkownika, bezpieczeństwem systemów, logowaniem zdarzeń technicznych oraz rozliczeniami.

10. Polityka Prywatności LEOLEX AI może być okresowo aktualizowana w celu zapewnienia jej zgodności z przepisami prawa, zmianami funkcjonalności Aplikacji oraz zapewnienia Użytkownikom aktualnej i rzetelnej informacji o przetwarzaniu danych osobowych. O zmianach Użytkownicy będą informowani poprzez publikację zaktualizowanej wersji Polityki Prywatności na stronie internetowej, a w przypadku istotnych zmian również drogą elektroniczną.

11. Załączniki do niniejszego Addendum stanowią jego integralną część.

Załączniki:

Załącznik nr 1 – Szczegóły dotyczące przetwarzania danych osobowych, w tym zakres, charakter, cele przetwarzania oraz kategorie danych i operacji przetwarzania związanych w ramach funkcjonalności Infrastruktury LEOLEX AI Proxy
Załącznik nr 2 – Środki techniczne i organizacyjne stosowane przez LEOLEX AI, uwzględniające w szczególności model przetwarzania oparty na zasadzie Zero Data Retention oraz brak trwałego utrwalania danych.

Załącznik nr 3 – Przetwarzanie danych osobowych przez LEOLEX AI jako odrębnego administratora w zakresie danych konta, rozliczeń i bezpieczeństwa usług, niezależnie od powierzenia z Załączników nr 1–2

Załącznik nr 4 - Subprocesorzy, lokalizacje i transfery

Załącznik nr 1 – Szczegółowe informacje dotyczące przetwarzania danych osobowych w
ramach funkcjonalności Infrastruktury LEOLEX AI proxy

§ 1 Charakter i cel przetwarzania

1. Procesor przetwarza dane powierzone przez Administratora wyłącznie w celu świadczenia usługi, w tym w szczególności:

1. świadczenia i utrzymania Usługi, zapewnienia jej bezpieczeństwa i ciągłości działania,
2. realizacji czynności wsparcia technicznego, diagnostyki i usuwania awarii,
3. logowania zdarzeń w zakresie adekwatnym do bezpieczeństwa i działania Usługi,
4. zapobiegania nadużyciom oraz naruszeniom bezpieczeństwa.
5. Technicznej obsługi transmisji (proxy) danych w treść zapytań do modeli sztucznej inteligencji oraz transmisji generowanych odpowiedzi przez wybrany przez Administratora model AI. występuję o charakterze wyłącznie technicznym, incydentalnym i efemerycznym.

2. Powyższe dane występuję wyłącznie o charakterze technicznym, incydentalnym i efemerycznym. Procesor nie przetwarza danych powierzonych dla własnych celów jako administrator, z wyjątkiem przypadków, gdy wynika to z bezwzględnie obowiązujących przepisów prawa

§ 2 Kategorie podmiotów danych, kategorie przetwarzanych danych osobowych oraz czas przetwarzania

1. Z uwagi na charakter usług Infrastruktury LEOELX AI Proxy, zakres danych osobowych nie jest z góry ograniczony przez Procesora. Administrator posiada wyłączną kontrolę nad tym, jakie dane wprowadza do systemu, a przetwarzanie może dotyczyć:
   a) Danych identyfikacyjnych (imiona, nazwiska, stanowiska),
   b) Danych kontaktowych (adresy e-mail, numery telefonów, adresy korespondencyjne),
   c) Danych o aktywności zawodowej lub prywatnej zawartych w przesyłanych dokumentach do analizy (np. stanowisko, nazwa pracodawcy, NIP/REGON osoby fizycznej prowadzącej działalność),
   d) Wszelkich innych informacji, które Administrator zdecyduje się przetwarzać przy użyciu Infrastruktury LEOLEX AI Proxy (m.in. dane klientów/kontrahentów Użytkownika, dane pracowników, współpracowników Użytkownika, opis sprawy, zdarzeń, relacji, korespondencji).
2. LEOLEX AI nie identyfikuje podmiotów danych ani nie weryfikuje ich kategorii, nie przetwarza szczególnych kategorii danych osobowych ani danych dotyczących wyroków skazujących i naruszeń prawa a zakres jest zdeterminowany wyłącznie z decyzji Administratora i treści promptu.
3. Procesor nie przechowuje treści promptów ani odpowiedzi po zakończeniu pojedynczej operacji; przetwarzanie ustaje automatycznie wraz z realizacją operacji (Zero Data Retention) i nie obejmuje trwałego zapisu treści promptów/odpowiedzi, ich indeksowania, wyszukiwania, tworzenia kopii, profilowania ani analizy treści przez LEOLEX AI. Dane są przetwarzane wyłącznie przez czas niezbędny do realizacji pojedynczej operacji transmisji promptu i odpowiedzi, a dopuszczalna retencja metadanych/logów technicznych (bez treści promptu i odpowiedzi) określona jest w Załączniku nr 2; obejmują one w szczególności: znacznik czasu, identyfikator operacji, status żądania, identyfikator modelu wybranego przez Użytkownika (jeśli dotyczy) oraz pseudonimowy identyfikator konta/organizacji (jeśli dotyczy).
4. W zakresie, w jakim wybór Dostawcy AI skutkuje transferem Danych poza EOG, Użytkownik jako administrator odpowiada za zapewnienie zgodności transferu, w tym za wybór podstawy transferu, ocenę ryzyk oraz spełnienie obowiązków informacyjnych wobec podmiotów danych.

§ 3 Subprocesorzy

1. Administrator udziela Procesorowi ogólnej zgody na korzystanie z dalszych podmiotów przetwarzających („Subprocesorzy”) w zakresie niezbędnym do świadczenia Usługi.
2. Procesor zapewnia, że na Subprocesora nałożone zostaną obowiązki co najmniej równoważne obowiązkom wynikającym z niniejszej DPA, w szczególności w zakresie bezpieczeństwa i poufności.
3. Kategorie Subprocesorów, informacje o lokalizacjach przetwarzania oraz zasadach transferów określa Załącznik nr 4. Aktualna lista Subprocesorów może być udostępniana Administratorowi na jego żądanie.
4. O planowanej zmianie Subprocesora (dodaniu lub zastąpieniu) Procesor poinformuje Administratora - o ile jest to możliwe - poprzez komunikat w Aplikacji lub drogą elektroniczną, zapewniając możliwość wniesienia uzasadnionego sprzeciwu w terminie 14 dni od powiadomienia.
5. W przypadku wniesienia uzasadnionego sprzeciwu Strony podejmą próbę uzgodnienia rozwiązania alternatywnego; jeżeli nie będzie to możliwe, Administrator może wypowiedzieć Umowę zgodnie z OWU.

§ 4 Transfery do państw trzecich

1. W zakresie, w jakim korzystanie z Funkcjonalności AI może skutkować przekazaniem danych osobowych do podmiotów mających siedzibę poza Europejskim Obszarem Gospodarczym, przekazanie to następuje wyłącznie na wyraźne polecenie i z inicjatywy Użytkownika, w ramach stosunku prawnego łączącego Użytkownika z wybranym przez niego dostawcą modelu sztucznej inteligencji.
2. Czynności, o których mowa w ust. 1 powyżej, mają charakter wyłącznie techniczny i polegają na umożliwieniu transmisji danych pomiędzy Użytkownikiem a wybranym Dostawcą modelu AI; nie stanowią one przekazania danych przez LEOLEX AI w rozumieniu przepisów o ochronie danych osobowych.
3. LEOLEX AI nie ma wpływu na zakres, treść ani dalsze operacje przetwarzania danych realizowane przez Dostawców modeli AI, w szczególności nie określa celów ani zasadniczych środków ich przetwarzania.

Załącznik nr 2 – Środki techniczne i organizacyjne stosowane przez LEOLEX AI, uwzględniające w szczególności model przetwarzania oparty na zasadzie Zero Data Retention oraz brak trwałego utrwalania danych.

§ 1 Bezpieczeństwo przetwarzania (art. 32 RODO)

1. Procesor wdraża odpowiednie środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa odpowiadający ryzyku, uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania.
2. Za minimalny katalog środków bezpieczeństwa (organizacyjnych i technicznych) wskazuje się w szczególności:

1. mechanizmy kontroli nadawania, zmiany i odbierania dostępu do systemów i danych, w tym role i uprawnienia.
2. zobowiązanie do zachowania poufności przez personel mający dostęp do danych osobowych oraz odpowiednie instrukcje i szkolenia wewnętrzne.
3. procedury reagowania na incydenty bezpieczeństwa oraz zarządzania zmianą.
4. zarządzanie ryzykiem oraz okresowe przeglądy środków bezpieczeństwa.
5. szyfrowanie transmisji (np. TLS/HTTPS) oraz o ile adekwatne szyfrowanie danych w spoczynku,
6. stosowanie środków zapewniających dostępność i integralność danych, w tym regularne kopie zapasowe oraz procedury odtwarzania danych
7. rejestrowanie zdarzeń (logi) w zakresie adekwatnym do bezpieczeństwa,
8. aktualizacje i zarządzanie podatnościami,
9. separację środowisk/tenancy w zakresie adekwatnym do architektury Usługi.
10. ochrona danych w trakcie transmisji poprzez stosowanie odpowiednich mechanizmów kryptograficznych (np. szyfrowanie TLS).
11. implementacja polityki "Zero Data Retention" na poziomie bramy API. Zapytania nie są zapisywane w żadnych bazach danych, logach monitorowania nadużyć ani w celach diagnostycznych u Przetwarzającego.

3.Procesor może aktualizować środki bezpieczeństwa, o ile nie obniża to poziomu bezpieczeństwa poniżej poziomu adekwatnego do ryzyka.
Załącznik nr 3 – Przetwarzanie danych osobowych przez LEOLEX AI jako odrębnego administratora w zakresie danych konta, rozliczeń i bezpieczeństwa usług, niezależnie od powierzenia z Załączników nr 1–2

§ 1 Zakres zastosowania

1. W zakresie danych niezbędnych do rozliczeń, zawieraniem i wykonywaniem Umowy, fakturowania, obsługi płatności, dochodzenia lub obrony roszczeń związanych z rozliczeniami, świadczenia wsparcia technicznego, zapewnienia bezpieczeństwa, integralności oraz ciągłości działania Aplikacji i infrastruktury technicznej, a także w zakresie obowiązków prawnych ciążących na Procesorze (np. podatkowych) - Procesor może występować jako odrębny administrator danych.

§ 2 Charakter i cel przetwarzania

1. Dane osobowe przetwarzane są w następujących celach:

1. na podstawie art. 6 ust. 1 lit. b RODO - w celu zawarcia i wykonania Umowy,
2. na podstawie art. 6 ust. 1 lit. c RODO - w celu wykonania obowiązków prawnych ciążących na LEOLEX AI,
3. na podstawie art. 6 ust. 1 lit. b lub f RODO - w celu obsługi kontaktu i wsparcia technicznego
4. na podstawie art. 6 ust. 1 lit. f RODO - w celu realizacji prawnie uzasadnionych interesów LEOLEX AI, w szczególności w zakresie zapewnienia bezpieczeństwa, rozliczalności, obsługi zgłoszeń, dochodzenia roszczeń, obrony przed roszczeniami, zapobiegania nadużyciom oraz rozwoju i utrzymania Aplikacji,
5. na podstawie art. 6 ust. 1 lit. a RODO – jeżeli przetwarzanie odbywa się na podstawie odrębnie wyrażonej zgody.

§ 3 Kategorie podmiotów danych, kategorie przetwarzanych danych osobowych oraz czas przetwarzania

1. W zależności od relacji i sposobu korzystania z Aplikacji/Serwisu www. LEOLEX AI może przetwarzać w szczególności w odniesieniu do danych:

1. dane identyfikacyjne i kontaktowe (np. imię i nazwisko, służbowy adres e-mail, służbowy numer telefonu, stanowisko, nazwa firmy),
2. dane kontaktowe i dostępowe (np. identyfikator Konta, role i uprawnienia, dane uwierzytelniające w zakresie niezbędnym do logowania, historia logowania, zdarzenia bezpieczeństwa)
3. dane rozliczeniowe i transakcyjne (np. dane do faktury, NIP, adres, identyfikatory płatności; dane instrumentu płatniczego co do zasady obsługuje dostawca płatności),
4. dane techniczne (np. adres IP, informacje o przeglądarce, systemie operacyjnym, parametry sesji, logi zdarzeń)
5. dane komunikacyjne (np. treść korespondencji, zgłoszeń do supportu i informacje przekazane w toku kontaktu),
6. oraz inne dane niezbędne do założenia Konta, zarządzania subskrypcją, zarządzania dostępem, uwierzytelniania, nadawania uprawnień oraz tych związanych z bezpieczeństwem, zapobieganiem nadużyciom i dochodzeniem roszczeń oraz danych przekazywanych w ramach kontaktu (w tym w sprawie oferty, wsparcia lub współpracy) lub wsparcia technicznego.

2. LEOLEX AI nie wymaga przekazywania danych szczególnych kategorii i rekomenduje ich niewprowadzanie w ramach kontaktu lub korzystania z Usługi. W zakresie Treści Klienta decyzja o wprowadzeniu takich danych należy do Klienta jako administratora tych danych
2. Dla uniknięcia wątpliwości, LEOLEX AI nie jest administratorem danych przetwarzanych przez Użytkownika w ramach korzystania z Funkcjonalności AI.

§ 4 Źródła pozyskania danych

1. Dane osobowe mogą być pozyskiwane:

1. bezpośrednio od osoby, której dane dotyczą (np. rejestracja, kontakt, korespondencja, korzystanie z Aplikacji),
2. od Klienta/kontrahenta (np. wskazanie użytkowników, osób kontaktowych lub danych do rozliczeń)
3. od podmiotów, które reprezentuje Użytkownik (np. pracodawca, organizacja),
4. z publicznych rejestrów (np. CEIDG, KRS – w zakresie danych firmowych i kontaktowych),
5. automatycznie w związku z korzystaniem z Aplikacji/serwisów internetowych (np. logi systemowe, dane sesji, dane techniczne).

§ 5 Czas i miejsce przechowywania danych osobowych

1. Powierzone dane osobowe przetwarzane będą przez LEOLEX AI w sposób ciągły, przez czas obowiązywania Umowy - w zakresie niezbędnym - przez okres retencji, a także po jej zakończeniu przez okres okres niezbędny do realizacji obowiązków wynikających z umowy, przepisów prawa lub do momentu ich usunięcia zgodnie z dyspozycją Administratora.
2. Procesor może zachować dane w zakresie niezbędnym do wypełnienia obowiązków prawnych lub ustalenia, dochodzenia lub obrony roszczeń - przez czas niezbędny do tych celów.
3. Dane pochodzące z korespondencji, zgłoszeń oraz kontaktu z Użytkownikiem przetwarzane są przez czas niezbędny do załatwienia sprawy, a następnie przez okres przedawnienia roszczeń lub przez okres uzasadniony potrzebą archiwizacji.
4. Po zakończeniu Umowy Procesor według wyboru Administratora zgłoszonego przed upływem retencji:

1. umożliwi Administratorowi eksport danych w zakresie i formacie wspieranym przez Usługę, a następnie usunie dane, albo
2. usunie dane bez eksportu, jeżeli Administrator nie dokona eksportu w okresie retencji.
3. Okres retencji danych powierzonych po zakończeniu Umowy wynosi 30 (trzydzieści) dni od dnia wygaśnięcia/rozwiązania Umowy. Po upływie retencji Procesor jest uprawniony do trwałego usunięcia danych.

5. Usunięcie obejmuje systemy produkcyjne i - w miarę możliwości technicznych - kopie robocze; kopie zapasowe mogą być nadpisywane zgodnie z cyklem backupu.
6. Dane osobowe przetwarzane przez LEOLEX AI jako administratora są co do zasady przetwarzane na terytorium Europejskiego Obszaru Gospodarczego.
7. Ewentualne przekazanie danych poza EOG następuje wyłącznie w przypadkach dopuszczonych przez prawo, z zastosowaniem mechanizmów określonych w Rozdziale V RODO, w szczególności standardowych klauzul umownych (SCC) albo innych podstaw transferu przewidzianych w RODO, oraz wdraża środki adekwatne do ryzyka.

§ 6 Odbiorcy danych

1. Dane mogą być ujawniane:

1. podmiotom świadczącym usługi na rzecz LEOLEX AI (np. infrastruktura IT, płatności, komunikacja),
2. doradcom (prawnym, podatkowym),
3. organom publicznym - jeżeli wynika to z przepisów prawa.

2. Podmioty te działają jako procesorzy lub odrębni administratorzy w zależności od charakteru relacji.

Załącznik nr 4 - Subprocesorzy, lokalizacje i transfery

1. LEOLEX AI korzysta z podmiotów trzecich wyłącznie w zakresie niezbędnym do zapewnienia prawidłowego funkcjonowania Aplikacji oraz realizacji Umowy, przy czym podmioty te przetwarzają dane osobowe wyłącznie w zakresie dotyczącym danych administracyjnych, technicznych i eksploatacyjnych, a nie danych przekazywanych przez Użytkownika w ramach Funkcjonalności AI.
2. Do kategorii podmiotów, o których mowa w ust. 1, należą w szczególności:

• dostawcy infrastruktury technicznej i usług hostingowych,
• dostawcy usług uwierzytelniania i zarządzania dostępem,
• dostawcy usług płatniczych oraz rozliczeniowych,
• dostawcy usług komunikacji systemowej,
• dostawcy rozwiązań z zakresu bezpieczeństwa, monitoringu oraz rejestrowania zdarzeń technicznych.

3. Dane osobowe przetwarzane przez LEOLEX AI jako administratora, w szczególności dane konta Użytkownika, dane rozliczeniowe oraz dane techniczne i eksploatacyjne, są co do zasady przetwarzane na terytorium Europejskiego Obszaru Gospodarczego.
4. LEOLEX AI nie korzysta z dalszych podmiotów przetwarzających w zakresie danych przekazywanych przez Użytkownika w ramach Funkcjonalności AI; dane te są przekazywane bezpośrednio do Dostawców modeli AI wybranych przez Użytkownika, zgodnie z jego poleceniem.
5. W przypadku, gdy którykolwiek z podmiotów, o których mowa w ust. 1, przetwarza dane osobowe poza Europejskim Obszarem Gospodarczym, przetwarzanie to dotyczy wyłącznie danych związanych z funkcjonowaniem Usługi i odbywa się zgodnie z przepisami Rozdziału V RODO, w szczególności z zastosowaniem odpowiednich mechanizmów prawnych zapewniających właściwy poziom ochrony danych osobowych.
6. Aktualna lista Subprocesorów może zostać udostępniona Administratorowi na jego żądanie.
7. Zmiany w zakresie Subprocesorów są dokonywane zgodnie z Załącznikiem nr 1.