Umowa powierzenia przetwarzania danych osobowych

Wzór umowy, którą kancelaria (administrator danych) zawiera z Bennovate sp. z o.o. (podmiot przetwarzający) na podstawie art. 28 RODO. Sednem jest architektura local-first: treść spraw kancelarii nie trafia na nasze serwery, więc powierzenie obejmuje wyłącznie dane konta i logi systemowe.

§ 1. Strony umowy

Umowa powierzenia przetwarzania danych osobowych (dalej: Umowa powierzenia) wiąże:

1) administratora danych — kancelarię adwokacką, kancelarię radcy prawnego, spółkę partnerską adwokatów lub radców prawnych albo inny podmiot wykonujący zawód prawniczy (dalej: Kancelaria), którego dane wskazano w formularzu rejestracyjnym na stronie prawnik.avantwerk.pl;

oraz

2) podmiot przetwarzający — Bennovate spółkę z ograniczoną odpowiedzialnością z siedzibą w Łodzi (ul. Christiana Andersena 25, 94-118 Łódź), KRS 0000597272, NIP 7272799328, REGON 363700466 (dalej: Bennovate lub Podmiot przetwarzający).

§ 2. Podstawa prawna i przedmiot

1. Umowa powierzenia jest umową w rozumieniu art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: RODO).
2. Kancelaria powierza Bennovate przetwarzanie danych osobowych w zakresie i celu opisanym poniżej, w związku ze świadczeniem usługi Avantwerk Legal AI na warunkach Regulaminu świadczenia usług.

§ 3. Zakres powierzenia — architektura local-first

1. Dzięki architekturze local-first treść spraw Kancelarii — w tym dane osobowe klientów Kancelarii zawarte w dokumentach — nie trafia do infrastruktury Bennovate. Pliki spraw pozostają wyłącznie na dysku Kancelarii.
2. Powierzenie obejmuje wyłącznie:
   1. dane konta Kancelarii i prawników (imię, nazwisko, adres e-mail, numer wpisu na listę adwokatów lub radców prawnych, nazwa kancelarii, dane do faktury);
   2. logi systemowe niezbędne dla bezpieczeństwa i dostępności usługi (adres IP, czas logowania, typ przeglądarki);
   3. metadane operacyjne związane z działaniem konta.
3. Powierzenie nie obejmuje treści dokumentów spraw ani danych osobowych klientów Kancelarii zawartych w prowadzonych przez nią sprawach.

§ 4. Cele i okres przetwarzania

§ 5. Charakter danych i kategorie osób

1. Powierzenie dotyczy danych osobowych następujących osób:
   1. prawników korzystających z konta Kancelarii (adwokatów, radców prawnych, aplikantów);
   2. pracowników administracyjnych Kancelarii obsługujących funkcje rozliczeniowe konta.
2. Powierzone kategorie danych:
   1. dane identyfikacyjne (imię, nazwisko, numer wpisu na listę);
   2. dane kontaktowe (służbowy adres e-mail, telefon);
   3. dane zawodowe (nazwa kancelarii, stanowisko, obszar praktyki);
   4. dane techniczne (adres IP, logi systemowe).

§ 6. Obowiązki Podmiotu przetwarzającego (art. 28 ust. 3 RODO)

Bennovate zobowiązuje się do:

1. przetwarzania danych wyłącznie na udokumentowane polecenie Kancelarii, także w zakresie przekazywania danych do państwa trzeciego, chyba że obowiązek taki nakłada prawo Unii lub prawo państwa członkowskiego (art. 28 ust. 3 lit. a RODO);
2. zapewnienia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi jej zachowania (art. 28 ust. 3 lit. b RODO);
3. zastosowania środków bezpieczeństwa wymaganych na podstawie art. 32 RODO, w szczególności:
   1. szyfrowania transmisji danych (TLS 1.2/1.3);
   2. kontroli dostępu do infrastruktury serwerowej z uwierzytelnianiem wieloskładnikowym;
   3. regularnego wykonywania kopii zapasowych;
   4. prowadzenia dziennika zdarzeń bezpieczeństwa;
   5. stosowania zasady minimalizacji dostępu (need-to-know);
4. przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego — podprocesorzy wskazani są w § 9 i podlegają odrębnej umowie powierzenia (art. 28 ust. 3 lit. d oraz ust. 2 i 4 RODO);
5. pomocy Kancelarii — w miarę możliwości — w realizacji żądań osób, których dane dotyczą, w zakresie praw z rozdziału III RODO (art. 28 ust. 3 lit. e RODO);
6. pomocy Kancelarii w wywiązaniu się z obowiązków z art. 32–36 RODO (bezpieczeństwo przetwarzania, zgłaszanie naruszeń, ocena skutków, uprzednie konsultacje — art. 28 ust. 3 lit. f RODO);
7. usunięcia lub zwrotu wszystkich danych osobowych po zakończeniu świadczenia usługi oraz usunięcia istniejących kopii — zależnie od decyzji Kancelarii — chyba że prawo Unii lub prawo państwa członkowskiego nakazuje ich przechowywanie (art. 28 ust. 3 lit. g RODO);
8. udostępniania Kancelarii informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwienia Kancelarii lub upoważnionemu przez nią audytorowi przeprowadzania audytów, w tym inspekcji (art. 28 ust. 3 lit. h RODO).

§ 7. Zgłaszanie naruszeń

1. Bennovate niezwłocznie informuje Kancelarię o każdym naruszeniu ochrony danych osobowych, nie później niż w ciągu 24 godzin od jego stwierdzenia (art. 33 ust. 2 RODO).
2. Zgłoszenie zawiera w szczególności:
   1. opis charakteru naruszenia, w tym kategorie i przybliżoną liczbę osób, których dane dotyczą;
   2. dane kontaktowe Inspektora Ochrony Danych Bennovate: dpo@avantwerk.com;
   3. opis możliwych następstw naruszenia;
   4. opis zastosowanych lub proponowanych środków zaradczych.

§ 8. Audyt

1. Kancelaria ma prawo zweryfikować, czy Bennovate przetwarza powierzone dane zgodnie z Umową powierzenia i RODO.
2. Audyt może przeprowadzić sama Kancelaria lub upoważniony przez nią audytor.
3. Audyt zapowiada się z co najmniej 14-dniowym wyprzedzeniem i przeprowadza nie częściej niż raz w roku, chyba że jest następstwem stwierdzonego naruszenia ochrony danych.
4. Bennovate może zrealizować prawo Kancelarii do audytu, udostępniając aktualny raport z certyfikacji ISO/IEC 27001 lub równoważny raport z niezależnego audytu zewnętrznego.

§ 9. Podprocesorzy

1. Kancelaria wyraża ogólną zgodę na korzystanie przez Bennovate z podprocesorów (art. 28 ust. 2 RODO) w zakresie niezbędnym do świadczenia usługi Avantwerk Legal AI.
2. Aktualną listę podprocesorów Bennovate udostępnia pod adresem legal.avantwerk.com/legal/subprocessors. Bieżący skład obejmuje m.in. Hetzner Online GmbH (hosting infrastruktury serwerowej, Niemcy), operatora CRM, operatora płatności oraz operatora poczty transakcyjnej.
3. O każdej zamierzonej zmianie dotyczącej dodania lub zastąpienia podprocesora Bennovate informuje Kancelarię z co najmniej 30-dniowym wyprzedzeniem, umożliwiając jej wniesienie sprzeciwu.
4. Bennovate nakłada na podprocesorów — w drodze odrębnej umowy powierzenia — te same obowiązki ochrony danych, jakie wynikają z niniejszej Umowy powierzenia.

§ 10. Przekazywanie danych do państw trzecich

1. Bennovate zapewnia, że powierzone dane osobowe są przekazywane poza Europejski Obszar Gospodarczy (EOG) wyłącznie:
   1. na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (art. 45 RODO); albo
   2. na podstawie standardowych klauzul umownych przyjętych przez Komisję Europejską (decyzja wykonawcza Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. — art. 46 ust. 2 lit. c RODO).
2. Główna infrastruktura serwerowa Bennovate znajduje się w Niemczech (EOG) — warstwa serwerowa nie wiąże się z transferem danych poza EOG.

§ 11. Architektura BYOK — odrębne przetwarzanie przez dostawcę AI

1. W modelu BYOK (Bring Your Own Key) Kancelaria samodzielnie zawiera umowę z wybranym dostawcą modelu językowego AI (np. Anthropic, OpenAI, Google, DeepSeek).
2. Dostawca modelu językowego jest podmiotem przetwarzającym wyłącznie Kancelarii, a nie podprocesorem Bennovate w odniesieniu do treści spraw przekazywanych w ramach mechanizmu BYOK.
3. Kancelaria zawiera z dostawcą modelu językowego we własnym zakresie odrębną umowę powierzenia przetwarzania danych zgodną z art. 28 RODO. Kancelaria jest stroną tej umowy jako administrator i wobec swojego dostawcy AI jako podmiotu przetwarzającego.

§ 12. Odpowiedzialność

1. Bennovate odpowiada wobec Kancelarii za niewykonanie lub nienależyte wykonanie obowiązków wynikających z Umowy powierzenia i RODO na zasadach ogólnych.
2. Odpowiedzialność Bennovate ograniczona jest do wysokości opłat abonamentowych zapłaconych przez Kancelarię w okresie 12 miesięcy poprzedzających zdarzenie wyrządzające szkodę. Ograniczenie to nie obejmuje szkód wyrządzonych umyślnie ani naruszeń ochrony danych wynikających z zawinionych działań Bennovate.

§ 13. Czas obowiązywania

1. Umowa powierzenia obowiązuje przez czas trwania umowy o świadczenie usług Avantwerk Legal AI zawartej między stronami.
2. Po zakończeniu świadczenia usługi Bennovate — stosownie do polecenia Kancelarii — usuwa lub zwraca powierzone dane osobowe oraz usuwa istniejące kopie, z wyjątkiem danych, których przechowywanie nakazują przepisy prawa.

§ 14. Postanowienia końcowe

1. W sprawach nieuregulowanych Umową powierzenia stosuje się przepisy RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.) oraz pozostałych powszechnie obowiązujących przepisów prawa polskiego.
2. Umowa powierzenia podlega prawu polskiemu.
3. Spory wynikające z Umowy powierzenia rozstrzyga sąd powszechny właściwy dla siedziby Bennovate (Łódź).
4. Zmiana Umowy powierzenia następuje w trybie właściwym dla zmiany Regulaminu świadczenia usług (§ 21 Regulaminu).

§ 15. Kontakt

W sprawach związanych z Umową powierzenia prosimy o kontakt:

Inspektor Ochrony Danych Bennovate sp. z o.o.
E-mail: dpo@avantwerk.com
Korespondencyjnie: ul. Christiana Andersena 25, 94-118 Łódź