RODO i prawa osób w DarhimLabs

Ten dokument wyjaśnia, jak DarhimLabs podchodzi do ochrony danych osobowych w praktyce: prostym językiem, bez ukrywania istotnych informacji w prawniczych skrótach. Znajdziesz tu opis swoich praw, sposób składania żądań DSAR, kontakt do Inspektora Ochrony Danych, procedurę zgłaszania podejrzeń naruszeń oraz materiały, które pomagają klientom Enterprise rozliczalnie korzystać z AI Business OS.

1. Czym jest RODO i co oznacza dla Ciebie

RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, czyli europejski standard ochrony danych osobowych. Jego głównym celem jest zapewnienie, że organizacje przetwarzają dane w sposób przejrzysty, zgodny z prawem, ograniczony do konkretnego celu i zabezpieczony technicznie. Dla osoby, której dane dotyczą, RODO oznacza realną kontrolę: możliwość sprawdzenia, jakie dane są przetwarzane, poprawienia ich, przeniesienia, ograniczenia przetwarzania albo usunięcia, jeżeli spełnione są warunki z art. 17 RODO.

DarhimLabs występuje w dwóch rolach. Gdy przetwarzamy dane użytkowników naszej strony, osób kontaktujących się z nami, subskrybentów newslettera, kandydatów do pracy lub administratorów konta, jesteśmy Administratorem danych w rozumieniu art. 4 pkt 7 RODO. Decydujemy wtedy o celach i sposobach przetwarzania, a podstawy prawne opisuje Polityka prywatności. Przykładem jest obsługa konta, fakturowanie, marketing własny po zgodzie albo odpowiedź na formularz kontaktowy.

Gdy klient biznesowy wykorzystuje DarhimLabs do obsługi własnych klientów końcowych, na przykład w Inboxie, Voice Contact Center, Knowledge / RAG albo AI Agents Studio, działamy zwykle jako Podmiot przetwarzający w rozumieniu art. 4 pkt 8 i art. 28 RODO. Klient pozostaje Administratorem, bo to on decyduje, jakie dane trafiają do workspace’u, z jakich kanałów są pobierane, jaka retencja obowiązuje i jakie cele realizują boty oraz agenci AI. DarhimLabs przetwarza te dane wyłącznie na udokumentowane polecenie klienta oraz zgodnie z umową powierzenia przetwarzania danych, czyli DPA.

W praktyce oznacza to, że jeżeli jesteś użytkownikiem końcowym klienta DarhimLabs, na przykład pacjentem kliniki, klientem sklepu internetowego albo osobą kontaktującą się z firmą przez widget, pierwszym punktem kontaktu w sprawie Twoich danych powinien być administrator tej firmy. My oczywiście pomagamy Administratorowi obsłużyć wniosek, odnaleźć dane, wyeksportować je, ograniczyć przetwarzanie albo usunąć je z systemu, ale nie możemy samodzielnie zmienić decyzji Administratora bez podstawy prawnej lub jego instrukcji.

1.1 Jak rozumiemy dane osobowe w AI Business OS

Dane osobowe to każda informacja, która pozwala zidentyfikować osobę fizyczną bezpośrednio albo pośrednio. W DarhimLabs mogą to być dane profilu użytkownika, adres e-mail, numer telefonu, adres IP, identyfikator rozmowy, transkrypt połączenia, treść wiadomości, załącznik przesłany w czacie, dane lead scoringu, notatka agenta, status zgody marketingowej albo wpis w audit logu. Nie każda metryka produktu jest daną osobową, ale przyjmujemy konserwatywne podejście: jeżeli metrykę da się połączyć z konkretną osobą, traktujemy ją jak dane osobowe i stosujemy zabezpieczenia RODO.

Szczególną uwagę przykładamy do danych wrażliwych, takich jak informacje o zdrowiu, dokumentach tożsamości, finansach, sprawach prawnych czy danych dzieci. Domyślne guardrails w platformie ograniczają zbieranie takich informacji, a klienci mogą włączać maskowanie PII, krótszą retencję, wymóg zatwierdzenia człowieka i blokady tematów. To ważne szczególnie dla branż takich jak medycyna, legal, finanse, rekrutacja i edukacja.

2. Twoje prawa wynikające z RODO

RODO daje osobom fizycznym zestaw praw, które mają zapewnić przejrzystość i kontrolę nad danymi. W DarhimLabs obsługujemy te prawa przez formularz DSAR, kontakt mailowy z IODO oraz panel klienta, jeżeli wniosek dotyczy danych w workspace’ie biznesowym. Każde żądanie analizujemy indywidualnie: sprawdzamy rolę DarhimLabs, podstawę przetwarzania, zakres danych i to, czy istnieją obowiązki prawne, które uniemożliwiają pełne usunięcie lub ograniczenie danych, na przykład obowiązek przechowywania faktur przez 5 lat.

Prawo dostępu z art. 15 RODO pozwala otrzymać potwierdzenie, czy przetwarzamy Twoje dane, a jeśli tak, uzyskać kopię tych danych oraz informacje o celach, kategoriach, odbiorcach, retencji i źródle pochodzenia. W praktyce przygotowujemy eksport w formacie JSON lub CSV, a w przypadku danych rozmów również zestawienie identyfikatorów konwersacji, wiadomości, notatek, załączników i logów audytu, jeżeli możemy je powiązać z osobą składającą wniosek.

Prawo do sprostowania z art. 16 RODO oznacza, że możesz zażądać korekty danych nieprawidłowych albo uzupełnienia danych niekompletnych. W przypadku konta DarhimLabs część danych można poprawić samodzielnie w ustawieniach profilu. W przypadku danych obsługiwanych w imieniu klienta, na przykład danych pacjenta lub leada, przekazujemy żądanie Administratorowi albo realizujemy korektę na jego udokumentowane polecenie.

Prawo do usunięcia danych, znane jako „prawo do bycia zapomnianym”, wynika z art. 17 RODO. Możesz z niego skorzystać, gdy dane nie są już potrzebne do celu przetwarzania, cofniesz zgodę, skutecznie wniesiesz sprzeciw albo dane były przetwarzane niezgodnie z prawem. Usunięcie nie zawsze jest absolutne: nie kasujemy danych, które musimy zachować na podstawie przepisów podatkowych, księgowych, bezpieczeństwa lub do ustalenia, dochodzenia i obrony roszczeń. W takich przypadkach ograniczamy ich aktywne użycie i oznaczamy odpowiednią podstawę retencji.

Prawo do ograniczenia przetwarzania z art. 18 RODO polega na czasowym zamrożeniu danych. Stosujemy je, gdy kwestionujesz prawidłowość danych, sprzeciwiasz się przetwarzaniu, dane są potrzebne do roszczeń albo przetwarzanie było niezgodne z prawem, ale nie chcesz usunięcia. W systemie oznacza to blokadę wybranych operacji: dane mogą pozostać w bezpiecznym archiwum, ale nie są używane do automatyzacji, scoringu, marketingu, model routing ani rekomendacji.

Prawo do przenoszenia danych z art. 20 RODO pozwala uzyskać dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Eksport może obejmować dane profilu, listę workspace’ów, konfiguracje agentów, historię zgód, rozmowy, leady i dokumenty, w zależności od roli osoby oraz zakresu uprawnień. Dla klientów Enterprise udostępniamy również eksport przez API v2.

Prawo sprzeciwu z art. 21 RODO dotyczy przetwarzania opartego na naszym prawnie uzasadnionym interesie, na przykład analityki bezpieczeństwa, ograniczonego marketingu B2B albo dochodzenia roszczeń. Sprzeciw wobec marketingu bezpośredniego jest skuteczny zawsze. Sprzeciw wobec bezpieczeństwa lub audytu wymaga oceny, czy istnieją nadrzędne podstawy prawne do dalszego przetwarzania.

Prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu wynika z art. 22 RODO. DarhimLabs projektuje AI jako narzędzie wspierające zespoły, a nie mechanizm odbierający ludziom wpływ na istotne decyzje. W krytycznych akcjach, takich jak płatności, odrzucenie zgłoszenia, decyzje finansowe albo automatyczna eskalacja prawna, dostępny jest Approval Inbox i wymóg zatwierdzenia człowieka.

3. Jak złożyć żądanie DSAR

DSAR, czyli Data Subject Access Request, to żądanie osoby, której dane dotyczą. W DarhimLabs obejmuje ono nie tylko prawo dostępu, ale również usunięcie, przenoszenie, sprostowanie, ograniczenie, sprzeciw oraz wniosek o interwencję człowieka. Najszybszą ścieżką jest formularz dostępny pod adresem /privacy/request. Formularz prowadzi przez podstawowe pola: adres e-mail, imię i nazwisko, typ wniosku oraz opcjonalny identyfikator workspace’u, jeżeli dotyczy danych w konkretnym środowisku klienta.

Po wysłaniu formularza system generuje link weryfikacyjny ważny przez 24 godziny. Weryfikacja jest konieczna, ponieważ nie możemy przekazać danych osobie, która nie potwierdzi, że ma prawo do żądania. Jeżeli wniosek dotyczy danych w workspace’ie klienta, możemy poprosić o dodatkowe informacje pozwalające odróżnić osobę od innych użytkowników o podobnym imieniu, na przykład numer telefonu użyty w rozmowie, adres e-mail podany w formularzu kontaktowym albo identyfikator zgłoszenia. Nie prosimy o więcej danych niż jest potrzebne do bezpiecznej identyfikacji.

Standardowy termin odpowiedzi wynosi 30 dni od otrzymania kompletnego i zweryfikowanego żądania, zgodnie z art. 12 ust. 3 RODO. Jeżeli wniosek jest szczególnie złożony, obejmuje wiele workspace’ów, wymaga współpracy z kilkoma Administratorami albo dotyczy danych archiwalnych, możemy przedłużyć termin o maksymalnie 60 dni. W takim przypadku informujemy o przyczynie przedłużenia w ciągu pierwszych 30 dni. Wnioski rozpatrujemy bezpłatnie, chyba że są wyraźnie nieuzasadnione lub nadmierne w rozumieniu art. 12 ust. 5 RODO.

Alternatywnie możesz wysłać wniosek na adres iodo@darhimlabs.pl. W treści wiadomości podaj typ żądania, adres e-mail, którego może dotyczyć przetwarzanie, nazwę organizacji lub workspace’u, jeżeli ją znasz, oraz krótki opis sytuacji. Jeżeli jesteś klientem końcowym firmy korzystającej z DarhimLabs, warto wskazać także nazwę tej firmy, kanał kontaktu (na przykład WhatsApp, e-mail, Voice, widget web) i przybliżoną datę rozmowy.

3.1 Etapy obsługi żądania

1. Otrzymujemy żądanie przez formularz DSAR, e-mail lub panel klienta.
2. Weryfikujemy tożsamość i sprawdzamy, czy DarhimLabs jest Administratorem czy Procesorem.
3. Jeżeli działamy jako Procesor, przekazujemy żądanie właściwemu Administratorowi i wspieramy realizację.
4. Wyszukujemy dane w aktywnych tabelach, storage, logach audytu i backupach zgodnie z zakresem wniosku.
5. Przygotowujemy odpowiedź, eksport, korektę, ograniczenie, usunięcie albo uzasadnioną odmowę.
6. Zapisujemy wynik w rejestrze DSAR, aby zachować rozliczalność wymaganą przez art. 5 ust. 2 RODO.

Jeśli żądanie dotyczy usunięcia danych, operacja obejmuje dane aktywne, indeksy RAG, transkrypcje, metadane rozmów i powiązane rekordy tam, gdzie jest to możliwe bez naruszenia obowiązków prawnych. Backupy rotują zgodnie z harmonogramem retencji. Do czasu rotacji dane w backupach nie są aktywnie używane, a przy odtworzeniu środowiska stosujemy ponowną procedurę usunięcia.

4. Zgłoszenia dotyczące dzieci

DarhimLabs nie kieruje usług publicznych do dzieci i nie przetwarza świadomie danych osób poniżej 16. roku życia jako Administrator w celach marketingowych, sprzedażowych lub profilowych. Formularze publiczne, newsletter, kontakt, wycena i rejestracja konta są przeznaczone dla osób pełnoletnich albo osób działających w imieniu organizacji. Jeżeli dowiemy się, że w takich kanałach pojawiły się dane dziecka bez właściwej podstawy prawnej, ograniczamy ich przetwarzanie i podejmujemy działania zmierzające do usunięcia lub anonimizacji.

W relacji z klientami biznesowymi sytuacja może być bardziej złożona. Klient, jako Administrator, może używać DarhimLabs w sektorach, w których dane dzieci mogą pojawić się legalnie, na przykład w edukacji, medycynie pediatrycznej, rekrutacji do szkół, obsłudze zajęć sportowych albo komunikacji z opiekunami. W takich przypadkach klient musi określić podstawę prawną, zakres zgód, treść klauzul informacyjnych i mechanizmy weryfikacji opiekuna. DarhimLabs dostarcza narzędzia techniczne, takie jak krótsza retencja, blokady tematów, maskowanie danych, logi audytu i wymóg zatwierdzenia człowieka.

Jeśli podejrzewasz, że w DarhimLabs przetwarzane są dane dziecka bez odpowiedniej podstawy, zgłoś to na iodo@darhimlabs.pl. W zgłoszeniu nie przesyłaj dodatkowych danych wrażliwych, jeżeli nie są potrzebne. Wystarczy wskazać nazwę organizacji, kanał kontaktu, przybliżoną datę i krótki opis sytuacji. Jeżeli sprawa wymaga szybkiego działania, oznacz temat wiadomości jako „PILNE — dane dziecka”.

4.1 Jak reagujemy na takie zgłoszenie

• W ciągu 24 godzin roboczych wykonujemy triage zgłoszenia i sprawdzamy, czy dane są w systemie.
• Jeżeli jesteśmy Administratorem, ograniczamy przetwarzanie do czasu wyjaśnienia podstawy prawnej.
• Jeżeli jesteśmy Procesorem, informujemy Administratora klienta i prosimy o instrukcję zgodną z DPA.
• W razie ryzyka naruszenia praw dziecka uruchamiamy procedurę incident response i dokumentujemy decyzje.

Dane dzieci traktujemy jako kategorię wymagającą szczególnej ostrożności nawet wtedy, gdy nie są formalnie szczególną kategorią danych z art. 9 RODO. Oznacza to dodatkową kontrolę dostępu, preferencję krótszej retencji, minimalizację pól, wyłączenie marketingu i ograniczenie automatyzacji, która mogłaby wpływać na istotne interesy dziecka bez udziału człowieka.

5. Naruszenia ochrony danych

Naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Przykładem może być błędna konfiguracja uprawnień, nieautoryzowany dostęp do konta, wysłanie eksportu danych do niewłaściwego odbiorcy, błąd integracji albo luka w zabezpieczeniach. Nie każde zdarzenie techniczne jest naruszeniem RODO, ale każde zdarzenie, które może dotyczyć poufności, integralności lub dostępności danych, analizujemy według formalnej procedury.

DarhimLabs prowadzi program incident response oparty na pięciu etapach: detection, triage, containment, eradication i recovery. Wykorzystujemy monitoring aplikacji, logi audytu, alerty bezpieczeństwa, analizę anomalii logowania, Sentry, SIEM oraz powiadomienia od subprocesorów. Zdarzenia klasyfikujemy według ryzyka dla osób, zakresu danych, liczby osób, rodzaju danych, łatwości identyfikacji oraz potencjalnych skutków, takich jak dyskryminacja, szkoda finansowa, utrata poufności zawodowej lub naruszenie prywatności.

Jeżeli DarhimLabs jest Administratorem i naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych, zgłaszamy je do Prezesa Urzędu Ochrony Danych Osobowych w terminie 72 godzin od stwierdzenia naruszenia, zgodnie z art. 33 RODO. Jeżeli ryzyko jest wysokie, informujemy także osoby, których dane dotyczą, zgodnie z art. 34 RODO. Jeżeli działamy jako Procesor, informujemy Administratora bez zbędnej zwłoki, a dla klientów Enterprise przyjmujemy cel operacyjny: pierwsze powiadomienie nie później niż w ciągu 24 godzin od potwierdzenia incydentu dotyczącego danych klienta.

Podejrzenie naruszenia możesz zgłosić na security@darhimlabs.plalbo iodo@darhimlabs.pl. W zgłoszeniu opisz, co się wydarzyło, kiedy to zauważono, jakiego konta lub organizacji dotyczy sprawa i czy istnieją dowody, takie jak zrzut ekranu, identyfikator rozmowy, komunikat błędu lub nagłówek e-mail. Nie wysyłaj haseł, tokenów API ani pełnych danych kart płatniczych.

6. Inspektor Ochrony Danych (IODO)

Inspektor Ochrony Danych w DarhimLabs jest punktem kontaktowym dla osób, klientów, subprocesorów i organów nadzorczych we wszystkich sprawach dotyczących ochrony danych osobowych. IODO monitoruje zgodność z RODO, doradza przy ocenie skutków dla ochrony danych (DPIA), weryfikuje procedury DSAR, uczestniczy w ocenie subprocesorów, wspiera zespoły produktowe przy projektowaniu funkcji privacy-by-design i prowadzi rejestr naruszeń oraz decyzji retencyjnych.

Najskuteczniejszy kontakt to e-mail iodo@darhimlabs.pl. Wiadomości obsługujemy w dni robocze w godzinach 9:00-17:00 CET. Dla spraw pilnych, dotyczących naruszenia ochrony danych, należy dodać w temacie „PILNE — ochrona danych”. Dla klientów Enterprise kanał eskalacji może być uzupełniony o dedykowany adres w umowie, Slack Connect lub kontakt CSM, ale formalna korespondencja RODO nadal powinna trafić do IODO.

Aby przyspieszyć obsługę sprawy, w wiadomości warto wskazać: typ zgłoszenia, adres e-mail związany z kontem lub rozmową, nazwę organizacji, przybliżony czas zdarzenia, kanał komunikacji, numer zgłoszenia, jeżeli istnieje, oraz oczekiwany rezultat. Nie trzeba cytować artykułów RODO ani używać języka prawniczego. Wystarczy jasno opisać, czego dotyczy sprawa: dostęp do danych, usunięcie, korekta, sprzeciw, naruszenie, pytanie o subprocesora albo prośba o dokument.

6.1 Dane kontaktowe

IODO nie zastępuje działu wsparcia technicznego, ale współpracuje z nim, gdy zgłoszenie dotyczy danych osobowych. Jeżeli sprawa dotyczy wyłącznie błędu produktu, płatności, konfiguracji integracji albo działania webhooka, szybszym kanałem będzie support@darhimlabs.pl. Jeśli jednak w trakcie takiego zgłoszenia pojawi się temat danych osobowych, zespół wsparcia eskaluje sprawę do IODO.

7. Współpraca z organami nadzorczymi

DarhimLabs współpracuje z organami nadzorczymi w Polsce i w Unii Europejskiej zgodnie z art. 31, art. 33, art. 34 i art. 57-58 RODO. Naszą podstawową jednostką organizacyjną w UE jest Polska, dlatego głównym organem kontaktowym w sprawach administracyjnych jest Prezes Urzędu Ochrony Danych Osobowych. Jeżeli przetwarzanie ma charakter transgraniczny i dotyczy osób w kilku państwach członkowskich, stosujemy mechanizm współpracy przewidziany w rozdziale VII RODO, w tym współpracę z właściwymi organami ochrony danych w państwach, których sprawa dotyczy.

W praktyce oznacza to, że prowadzimy rejestry czynności, rejestry kategorii przetwarzania jako Procesor, dokumentację DPIA, listę subprocesorów, rejestr naruszeń, dowody szkoleń, polityki retencji i logi audytu. Na żądanie organu możemy przedstawić dokumenty wykazujące zgodność z zasadami z art. 5 RODO, w tym zasadą rozliczalności, minimalizacji, integralności i poufności. Dane przekazujemy organom wyłącznie wtedy, gdy istnieje do tego podstawa prawna, a zakres przekazania jest adekwatny do celu postępowania.

Osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego zgodnie z art. 77 RODO. Zachęcamy, aby wcześniej skontaktować się z nami przez IODO, ponieważ wiele spraw można rozwiązać szybciej poprzez korektę danych, eksport, wyjaśnienie roli Administratora i Procesora albo ograniczenie przetwarzania. Skorzystanie z kontaktu z nami nie ogranicza prawa do skargi.

Jeżeli organ nadzorczy skieruje do DarhimLabs zapytanie dotyczące danych klienta, a my działamy jako Procesor, niezwłocznie informujemy właściwego Administratora, o ile prawo nie zabrania takiego powiadomienia. Wspieramy Administratora w przygotowaniu odpowiedzi, dostarczając logi, eksporty, opis środków technicznych i organizacyjnych oraz historię działań wykonanych w konkretnym workspace’ie.

8. Materiały do pobrania i formularz

Dla klientów, osób, audytorów i zespołów compliance udostępniamy zestaw materiałów, które pomagają zrozumieć i udokumentować przetwarzanie danych w DarhimLabs. Część dokumentów jest publiczna, a część wymaga podpisania NDA albo aktywnego planu Enterprise, ponieważ zawiera szczegóły architektury, konfiguracji bezpieczeństwa lub wyniki audytów zewnętrznych. Wersje publiczne aktualizujemy po każdej istotnej zmianie w przetwarzaniu lub wprowadzeniu nowego subprocesora.

Najważniejszym dokumentem dla relacji klient Administrator — DarhimLabs Procesor jest Umowa powierzenia przetwarzania danych (DPA). Zawiera ona zakres powierzenia, instrukcje Administratora, środki techniczne i organizacyjne, listę subprocesorów, transfery poza EOG, procedurę naruszeń, audyty oraz zasady zwrotu lub usunięcia danych po zakończeniu umowy. DPA ma pierwszeństwo przed regulaminem w sprawach przetwarzania danych.

Klienci Enterprise mogą poprosić o raport SOC 2 Type II, executive summary testów penetracyjnych, Transfer Impact Assessment, wzór DPIA dla wdrożenia AI Agents, listę subprocesorów w formacie CSV, opis konfiguracji data residency EU oraz wzór załącznika CCPA dla klientów ze Stanów Zjednoczonych. Dokumenty przekazujemy przez bezpieczny link z datą wygaśnięcia albo przez portal compliance w panelu.

Poniżej możesz złożyć wniosek DSAR bez przechodzenia na osobną stronę. Formularz działa tak samo jak pełny formularz pod adresem /privacy/request: zapisuje zgłoszenie w rejestrze, wymaga weryfikacji e-mail i uruchamia standardowy proces obsługi w terminie z art. 12 RODO.