Lista Podprocesorów

1.1 Cel dokumentu

Niniejsza Lista Podprocesorów jest prowadzona przez SETOR AI Spółka z ograniczoną odpowiedzialnością (dalej Setor AI lub Podmiot przetwarzający) zgodnie z art. 28 ust. 2 RODO. Jej celem jest zapewnienie administratorom danych (Klientom Setor AI) przejrzystej i wyczerpującej informacji o wszystkich podmiotach zewnętrznych (Podprocesorach, dalszych podmiotach przetwarzających), którym Setor AI powierzyło przetwarzanie danych osobowych w imieniu administratora w związku z realizacją usługi Setor AI.

Setor AI działa jako podmiot przetwarzający w odniesieniu do danych osobowych przetwarzanych za pośrednictwem swojej platformy w imieniu Klientów (administratorów danych). Każdy podprocesor wymieniony w niniejszym dokumencie jest angażowany na podstawie pisemnej umowy nakładającej obowiązki w zakresie ochrony danych nie mniej restrykcyjne niż określone w Umowie powierzenia przetwarzania danych zawartej pomiędzy Setor AI a Klientem, zgodnie z wymogami art. 28 ust. 4 RODO.

1.2 Zakres

Niniejszy wykaz obejmuje wszystkich zewnętrznych podprocesorów, którzy przetwarzają dane osobowe otrzymane lub wygenerowane przez Setor AI w toku świadczenia usługi na rzecz Klientów albo uzyskują do takich danych dostęp, przechowują je lub w inny sposób przetwarzają w ramach realizacji komponentu usługi.

Niniejszy wykaz nie obejmuje: (a) podmiotów przetwarzających angażowanych wyłącznie przez Klienta niezależnie od Setor AI; (b) czynności, w których dany podmiot działa wyłącznie jako niezależny administrator lub współadministrator we własnych celach (a nie jako podprocesor działający na polecenie Setor AI); (c) pracowników Setor AI oraz wewnętrznych systemów spółki. Meta Platforms pełni rolę podwójną: występuje w wykazie jako podmiot przetwarzający w zakresie dostępu do interfejsów na nasze polecenie, a jednocześnie - w odniesieniu do własnych czynności przetwarzania - działa jako niezależny administrator lub współadministrator (zob. pkt 4).

Poniższa tabela zawiera kompletny wykaz wszystkich upoważnionych podprocesorów na dzień ostatniej aktualizacji wskazany na początku dokumentu. Dla każdego podmiotu z USA wskazano mechanizm transferu danych w rozumieniu rozdziału V RODO. Kolumna Trenuje na danych wskazuje, czy dostawca jest umownie lub technicznie uprawniony do wykorzystywania powierzonych danych do trenowania własnych modeli.

2.1 Modele AI / LLM

2.2 Komunikatory i media społecznościowe

2.3 Płatności

2.4 CRM, rezerwacje, wsparcie i research

2.5 Poczta elektroniczna (dostarczanie e-mail)

2.6 Analityka i monitorowanie

2.7 Infrastruktura, przechowywanie i bazy danych

3.1 Modele AI / LLM

Główna funkcja Setor AI polega na generowaniu odpowiedzi w rozmowach prowadzonych w imieniu konta Klienta. W tym celu treść wiadomości jest przesyłana do dostawców modeli językowych, którzy zwracają wygenerowany tekst. Stosowane środki minimalizacji: pseudonimizacja treści przed transmisją (identyfikatory nadawców zastępowane tokenami wewnętrznymi), umowne zobowiązania do nietrenowania na powierzonych danych oraz krótkie okresy przechowywania po stronie dostawcy. OpenRouter (brama do wielu modeli) jest oznaczony jako najsłabsze ogniwo łańcucha transferu i podlega priorytetowej weryfikacji umownej w zależności od modelu docelowego.

3.2 Infrastruktura i przechowywanie

Główna baza danych Setor AI to self-hosted PostgreSQL na infrastrukturze Hetzner Online GmbH w Niemczech (UE), co zapewnia rezydencję danych podstawowych w EOG. Cloudflare świadczy usługi hostingu, CDN, magazynu R2 i obliczeń brzegowych (Workers); jako dostawca infrastruktury ma techniczny dostęp do danych w tranzycie. Dane w spoczynku są szyfrowane, a dane w tranzycie zabezpieczone TLS 1.2 lub nowszym. AWS S3 jest wykorzystywany do kopii zapasowych. Neon oraz PlanetScale stanowią alternatywne, zarządzane bazy danych wykorzystywane zależnie od konfiguracji.

3.3 Płatności

Stripe obsługuje całość przetwarzania kart płatniczych i rozliczeń subskrypcyjnych. Dane karty są tokenizowane przez Stripe i nigdy nie są przechowywane w systemach własnych Setor AI. Stripe posiada certyfikat PCI DSS Level 1.

3.4 Adres IP i geolokalizacja serwerowa

Setor AI jawnie ujawnia zbieranie adresu IP oraz przybliżonej geolokalizacji serwerowej (kraj, miasto, kod regionu, współrzędne na poziomie miasta). Zgodnie z wyrokiem Trybunału Sprawiedliwości UE w sprawie C-582/14 (Breyer) adres IP stanowi daną osobową. Podstawą przetwarzania tych danych dla celów bezpieczeństwa, przeciwdziałania nadużyciom (antyfraud) oraz routingu jest prawnie uzasadniony interes administratora i podmiotu przetwarzającego (art. 6 ust. 1 lit. f RODO, motywy 47 i 49). Osobie, której dane dotyczą, przysługuje prawo sprzeciwu na podstawie art. 21 ust. 1 RODO.

3.5 Analityka, ad-tech i nagrywanie sesji

Narzędzia analityki marketingowej i ad-tech (Meta Pixel, Meta Conversions API, analityka produktowa PostHog wykorzystywana w celach marketingowych oraz nagrywanie sesji) działają wyłącznie na podstawie uprzedniej, granularnej zgody osoby, której dane dotyczą. Setor AI nie powołuje się na prawnie uzasadniony interes jako podstawę tych celów. Jest to zgodne z wyrokiem TSUE w sprawie C-252/21 (Meta v Bundeskartellamt, 4 lipca 2023 r.) oraz wymogiem uprzedniej, aktywnej zgody na cookies (art. 5 ust. 3 dyrektywy 2002/58/WE, wyrok TSUE C-673/17 Planet49; w prawie polskim art. 399 ustawy Prawo komunikacji elektronicznej dotyczący uprzedniej zgody na cookies oraz art. 400 odsyłający do przepisów o ochronie danych). Egzekucja: Prezes UKE oraz Prezes UODO.

3.6 Łączenie tożsamości (identity stitching) i profilowanie marketingowe

Za zgodą użytkownika Setor AI może łączyć tożsamość tej samej osoby pomiędzy urządzeniami i systemami (np. wynik quizu, adres e-mail, rekord CRM, identyfikatory Meta, rozliczenie Stripe). Czynność ta stanowi profilowanie marketingowe. Hashowane (zahaszowane) identyfikatory pozostają danymi osobowymi (wyrok TSUE C-604/22 IAB Europe). Jednym z takich identyfikatorów jest skrót adresu IP (ip_hash) - pseudonim wyliczany funkcją skrótu z połączenia adresu IP oraz identyfikatora wyniku quizu, używany wyłącznie do łączenia zdarzeń tego samego leada w analityce; surowego adresu IP nie przechowujemy w analityce, a ip_hash nie jest kluczem tożsamości i nie łączy różnych osób za tym samym adresem IP (np. za NAT operatorskim). Setor AI nie podejmuje wobec osób, których dane dotyczą, decyzji wywołujących skutki prawne lub w podobny sposób istotnie na nie wpływających wyłącznie w sposób zautomatyzowany w rozumieniu art. 22 RODO. Decyzje materialne (np. ofertowanie, kontakt sprzedażowy) podejmuje człowiek (handlowiec Klienta) dysponujący rzeczywistą swobodą oceny - jest to realna ocena ludzka, a nie pieczątkowa, automatyczna akceptacja wyniku scoringu. Czynności Setor AI ograniczają się do przygotowania danych pomocniczych, a same w sobie nie determinują wyniku.

3.7 Ulepszanie produktu i modeli

Setor AI może wykorzystywać dane w postaci zagregowanej lub zanonimizowanej w celu ulepszania usługi i modeli, na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO). Treść powierzona przez Klienta pozostaje danymi Klienta; w odniesieniu do danych pochodnych, zagregowanych i zanonimizowanych Setor AI działa jako odrębny administrator. Setor AI nie udostępnia ani nie sprzedaje powiązanych z osobą danych osobowych podmiotom trzecim w celach marketingowych; dopuszczalne jest natomiast udostępnianie zanonimizowanych lub zagregowanych analiz i wniosków, które nie pozwalają na identyfikację osoby.

Meta Platforms, Inc. dostarcza Instagram Graph API, Messaging API oraz interfejsy Facebook i WhatsApp, które stanowią podstawę funkcjonalności usługi. Platforma uwierzytelnia się w API Meta za pomocą tokenów dostarczonych przez Klienta (posiadacza konta) i wykorzystuje te interfejsy do odczytywania oraz wysyłania wiadomości w imieniu Klienta. W tym zakresie - dostępu do interfejsów i operacji wykonywanych na nasze polecenie - Meta występuje w wykazie jako podmiot przetwarzający (zob. tabela w pkt 2.2).

5.1 Mechanizmy transferu

Transfery danych osobowych z Europejskiego Obszaru Gospodarczego (EOG) do podprocesorów z państw trzecich są realizowane zgodnie z rozdziałem V RODO. Dla podmiotów certyfikowanych w ramach DPF podstawą transferu jest decyzja o adekwatności UE-USA z 10 lipca 2023 r. Dla pozostałych transferów do USA Setor AI opiera się na standardowych klauzulach umownych (Decyzja wykonawcza Komisji (UE) 2021/914 z 4 czerwca 2021 r.) wraz z oceną skutków transferu (TIA) jako mechanizmem uzupełniającym.

Stosowane moduły SKU: Moduł 2 (administrator do podmiotu przetwarzającego) - gdy Setor AI przekazuje dane jako administrator własnych danych biznesowych; Moduł 3 (podmiot przetwarzający do podmiotu przetwarzającego) - gdy Setor AI przekazuje dane jako podmiot przetwarzający w imieniu Klientów.

5.2 Ocena skutków transferu (TIA)

Setor AI przeprowadził ocenę skutków transferu obejmującą wszystkich podprocesorów z państw trzecich. Ocena wykazała, że SKU wraz z opisanymi środkami uzupełniającymi (pseudonimizacja, szyfrowanie, minimalizacja, krótka retencja) zapewniają zasadniczo równoważny poziom ochrony do gwarantowanego w EOG. Klienci mogą zażądać kopii streszczenia TIA na podstawie obowiązującej Umowy powierzenia przetwarzania danych, pisząc na adres office@setor.ai.

6.1 Ogólna autoryzacja podprocesorów

Klient udziela Setor AI ogólnej pisemnej autoryzacji do korzystania z podprocesorów w rozumieniu art. 28 ust. 2 RODO. Setor AI jest uprawniony do dodawania lub zastępowania podprocesorów z zachowaniem procedury powiadomienia i sprzeciwu opisanej poniżej. Korzystanie z każdego podprocesora odbywa się na podstawie umowy spełniającej wymogi art. 28 ust. 4 RODO.

6.2 Powiadomienie o zmianach

Setor AI powiadomi Klientów o planowanym dodaniu lub zastąpieniu podprocesora co najmniej 14 dni przed rozpoczęciem przetwarzania przez nowego podprocesora. Powiadomienie nastąpi na adres e-mail wskazany w Umowie powierzenia przetwarzania danych lub poprzez aktualizację niniejszego dokumentu wraz z powiadomieniem w panelu usługi. Każde powiadomienie zawiera nazwę i podmiot prawny podprocesora, jego lokalizację, cel przetwarzania, kategorie danych, mechanizm transferu oraz datę wejścia w życie.

6.3 Sprzeciw Klienta

Klient może wnieść sprzeciw wobec nowego lub zastępczego podprocesora w terminie 14 dni od otrzymania powiadomienia. Sprzeciw musi zostać złożony w formie pisemnej (dopuszczalny e-mail na office@setor.ai), wskazywać konkretnego podprocesora oraz zawierać udokumentowane, racjonalne uzasadnienie oparte na rzeczywistym ryzyku w zakresie ochrony danych. Sprzeciw nie stanowi prawa weta. Po otrzymaniu uzasadnionego sprzeciwu Setor AI podejmie w dobrej wierze konsultacje w celu rozwiązania zastrzeżeń. Jeżeli porozumienie nie zostanie osiągnięte, jedynym środkiem przysługującym Klientowi jest wypowiedzenie tej części usługi, której dotyczy sprzeciw - bez prawa do innych roszczeń.

Setor AI przechowuje dane osobowe nie dłużej niż jest to niezbędne do celów, dla których są przetwarzane, zgodnie z zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO):

• Treść wiadomości i rozmów: do 180 dni po zakończeniu obowiązywania umowy z Klientem, chyba że wcześniejsze usunięcie wynika z polecenia Klienta lub przepisów prawa.
• Dane analityczne (zagregowane lub zanonimizowane): do 36 miesięcy od zebrania.
• Skrót adresu IP (ip_hash) do łączenia tożsamości w analityce: do 36 miesięcy, następnie usunięcie lub anonimizacja; surowego adresu IP nie przechowujemy w analityce.
• Dane rozliczeniowe i transakcyjne: przez okres wymagany przepisami podatkowymi i rachunkowymi.
• Logi bezpieczeństwa i antyfraud: przez okres niezbędny dla celów bezpieczeństwa, nie dłużej niż wymaga tego prawnie uzasadniony interes.

1. Prawo sprzeciwu wobec zmiany podprocesora - w terminie 14 dni, na zasadach z pkt 6.3.
2. Prawo do żądania kopii umów z podprocesorami - Setor AI dostarczy zanonimizowane kopie (z usunięciem tajemnic handlowych nieistotnych dla wykazania zgodności z RODO) w terminie 30 dni od wniosku.
3. Prawo do wypowiedzenia części usługi - w przypadku nierozwiązanego, uzasadnionego sprzeciwu wobec podprocesora, w zakresie dotkniętej części przetwarzania.
4. Prawo do dokumentacji zgodności - nie częściej niż raz w roku Klient może zażądać podsumowań certyfikatów (ISO 27001, SOC 2 Type II) lub pisemnych potwierdzeń zgodności podprocesorów.

Wszelkie wnioski należy kierować na adres office@setor.ai. Setor AI udzieli odpowiedzi w terminie 30 dni.

Usługa Setor AI jest objęta obowiązkami przejrzystości wynikającymi z art. 50 Aktu w sprawie sztucznej inteligencji (Rozporządzenie UE 2024/1689), które są stosowane od 2 sierpnia 2026 r.

• Setor AI jako dostawca spełnia obowiązek projektowy z art. 50 ust. 1 AI Act poprzez dostarczenie konfigurowalnej zdolności poinformowania użytkownika, że jego rozmówcą jest system AI (informacja przekazywana najpóźniej przy pierwszej interakcji, art. 50 ust. 5), chyba że jest to oczywiste z kontekstu.
• Klient, jako podmiot wdrażający (deployer) konfigurujący personę AI i sposób jej przedstawiania się, ponosi odpowiedzialność operacyjną za faktyczne poinformowanie użytkowników końcowych oraz zobowiązuje się nie wyłączać i nie obchodzić tej funkcji.
• Obowiązki podmiotu wdrażającego dotyczące rozpoznawania emocji, kategoryzacji biometrycznej i treści wygenerowanych sztucznie (deepfake), o których mowa w art. 50 ust. 3 i 4 AI Act, obciążają Klienta.

Klient zwalnia Setor AI z odpowiedzialności (indemnizuje) oraz przejmuje odpowiedzialność za roszczenia, kary i szkody wynikające z:

1. braku podstawy prawnej lub zgody na kontakt ze swoją publicznością i kontaktami;
2. niepoinformowania użytkowników końcowych, że rozmawiają z systemem AI, w tym wyłączenia lub obejścia dostarczonej przez Setor AI funkcji ujawnienia;
3. naruszenia regulaminów i warunków Meta, Instagrama lub WhatsApp;
4. zastosowania usługi w sposób zabroniony lub w celach wysokiego ryzyka w rozumieniu AI Act.

W relacjach z Klientami będącymi przedsiębiorcami (B2B), na podstawie swobody umów (art. 353(1) Kodeksu cywilnego), całkowita odpowiedzialność Setor AI z tytułu lub w związku z usługą jest ograniczona do sumy opłat uiszczonych przez Klienta w okresie 12 miesięcy poprzedzających zdarzenie będące podstawą roszczenia. Setor AI nie odpowiada za szkody pośrednie, następcze ani za utracone korzyści (lucrum cessans), którą to odpowiedzialność strony zgodnie z art. 361 par. 2 Kodeksu cywilnego umownie wyłączają.

Wobec Klienta będącego konsumentem lub osobą fizyczną zawierającą umowę bezpośrednio związaną z jej działalnością gospodarczą, gdy nie ma ona dla tej osoby charakteru zawodowego (osoba fizyczna na prawach konsumenta w rozumieniu art. 385(5) Kodeksu cywilnego), powyższe ograniczenia stosuje się wyłącznie w zakresie dozwolonym przepisami o niedozwolonych postanowieniach umownych (art. 385(1) Kodeksu cywilnego). Postanowienia, które kształtowałyby prawa i obowiązki takiej osoby w sposób sprzeczny z dobrymi obyczajami i rażąco naruszający jej interesy, nie wiążą jej.

Niniejszy dokument oraz świadczenie usługi podlegają prawu polskiemu. Sądem właściwym dla sporów z Klientami będącymi przedsiębiorcami (B2B) jest Sąd Rejonowy Lublin-Wschód w Lublinie z siedzibą w Świdniku lub właściwy rzeczowo Sąd Okręgowy.

Administrator usługi: SETOR AI Spółka z ograniczoną odpowiedzialnością, KRS 0001202220, NIP 7123502599 (VAT UE: PL7123502599), REGON 543088690, ul. Tomasza Zana 1, 20-601 Lublin, Polska. Strona: https://setor.ai | Aplikacja: https://app.setor.ai.

Kontakt w sprawach ochrony danych, powiadomień o zmianach podprocesorów oraz sprzeciwów (w tym kontakt z Inspektorem Ochrony Danych): office@setor.ai. Czas potwierdzenia: do 5 dni roboczych; czas pełnej odpowiedzi: do 30 dni.