Polityka prywatności DarhimLabs

1. Wstęp i zakres

Niniejsza Polityka prywatności opisuje zasady przetwarzania danych osobowych przez DarhimLabs, markę należącą do osoby fizycznej Jan Juszczyk, dalej jako „DarhimLabs”, „my” lub „nas”, w związku z udostępnianiem platformy AI Business OS. Platforma obejmuje w szczególności Command Center, Unified Inbox, AI Agents Studio, AI Quality Lab, Voice Contact Center, Knowledge / RAG, Compliance Automation, moduły integracji, widget rozmów, webhooki oraz API v2. Dokument dotyczy zarówno użytkowników kont i workspace’ów, jak i osób odwiedzających strony publiczne, osób zapisujących się do newslettera, osób kontaktujących się z nami oraz odbiorców komunikacji prowadzonej przez naszych klientów z użyciem Platformy.

Polityka została przygotowana z uwzględnieniem Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, czyli RODO. Uwzględniamy również ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych, ustawę o świadczeniu usług drogą elektroniczną oraz dobre praktyki wynikające z wytycznych EDPB i polskiego organu nadzorczego. Celem dokumentu jest wyjaśnienie, jakie dane przetwarzamy, dlaczego to robimy, jak długo je przechowujemy, komu je powierzamy i jakie prawa przysługują osobom, których dane dotyczą.

W wielu sytuacjach DarhimLabs występuje jako administrator danych, na przykład gdy obsługujemy konto użytkownika, rozliczenia, kontakt sprzedażowy, newsletter, bezpieczeństwo Platformy lub własny marketing. W innych sytuacjach, zwłaszcza gdy klient wykorzystuje Platformę do obsługi swoich klientów końcowych, DarhimLabs działa jako podmiot przetwarzający dane w imieniu klienta. Wtedy szczegółowe zasady przetwarzania określa umowa powierzenia przetwarzania danych osobowych, czyli DPA, dostępna pod adresem /dpa. Jeśli postanowienia DPA i niniejszej Polityki dotyczą tego samego procesu, pierwszeństwo w relacji powierzenia ma DPA.

Dokument ma charakter informacyjny i nie ogranicza praw wynikających bezpośrednio z RODO. Staraliśmy się napisać go możliwie czytelnie, ale bez utraty precyzji potrzebnej w relacjach B2B i enterprise. W razie wątpliwości można skontaktować się z nami przez iodo@darhimlabs.pl lub formularz kontaktowy pod adresem /kontakt. Archiwalne wersje Polityki udostępniamy na żądanie, a istotne zmiany komunikujemy zgodnie z sekcją 11.

2. Administrator danych

Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest Jan Juszczyk, osoba fizyczna będąca właścicielem DarhimLabs. Można skontaktować się z nami pod adresem kontakt@darhimlabs.pl. W sprawach dotyczących prywatności, żądań wynikających z RODO, incydentów ochrony danych, subprocesorów lub transferów międzynarodowych rekomendujemy kontakt z Inspektorem Ochrony Danych pod adresem iodo@darhimlabs.pl.

Jeśli korzystasz z Platformy jako pracownik, współpracownik albo przedstawiciel naszego klienta, administratorem danych w zakresie Twojego konta workspace’u może być również organizacja, która zaprosiła Cię do Platformy. W takim modelu DarhimLabs świadczy usługę technologiczną, a klient decyduje o celach i sposobach przetwarzania danych w swoim workspace. Przykładowo to klient określa, jakie kanały komunikacji podłączy, jakie dokumenty załaduje do bazy wiedzy, jak długo będzie przechowywał rozmowy, jak skonfiguruje agentów AI i jakie osoby otrzymają dostęp do konwersacji. My zapewniamy infrastrukturę, mechanizmy bezpieczeństwa, logi audytu i narzędzia do realizacji obowiązków administratora.

Jeżeli jesteś klientem końcowym organizacji korzystającej z DarhimLabs, na przykład pacjentem kliniki, użytkownikiem sklepu internetowego, kandydatem w procesie rekrutacji albo osobą kontaktującą się z biurem obsługi, w pierwszej kolejności skontaktuj się z tą organizacją. To ona zwykle jest administratorem Twoich danych w zakresie treści rozmowy. Nie oznacza to jednak, że jesteśmy bierni: mamy procedury wspierające klientów w realizacji żądań DSAR, usuwaniu danych, eksporcie danych i obsłudze incydentów. Jeśli napiszesz bezpośrednio do DarhimLabs, pomożemy zidentyfikować właściwego administratora lub przekażemy żądanie zgodnie z DPA.

DarhimLabs nie sprzedaje danych osobowych i nie udostępnia ich podmiotom trzecim w celach niezwiązanych ze świadczeniem Platformy, bezpieczeństwem, rozliczeniami albo komunikacją, na którą wyrażono zgodę. Każdy dostęp do danych w zespole DarhimLabs jest nadawany zgodnie z zasadą najmniejszych uprawnień, wymaga uwierzytelniania wieloskładnikowego i jest zapisywany w logach audytu. Dane kontaktowe i zakres odpowiedzialności IODO publikujemy także w sekcji 12.

3. Jakie dane zbieramy

Zakres danych zależy od tego, w jaki sposób korzystasz z DarhimLabs. Przy rejestracji konta przetwarzamy dane identyfikacyjne i kontaktowe, takie jak imię, nazwisko, służbowy adres e-mail, nazwa firmy, stanowisko, preferowany język, strefa czasowa, identyfikator workspace’u oraz rola w workspace. Jeśli organizacja korzysta z SSO lub SCIM, możemy otrzymać również identyfikator użytkownika z dostawcy tożsamości, nazwę zespołu, grupę uprawnień i status konta. Hasła przechowujemy wyłącznie w postaci skrótu kryptograficznego, nigdy w jawnej postaci. Informacje o sesjach, urządzeniach i MFA służą zabezpieczeniu konta.

W części operacyjnej Platformy przetwarzamy dane wprowadzone przez użytkowników i klientów organizacji. Mogą to być treści rozmów, adresy e-mail, numery telefonów, identyfikatory kontaktów, lead score, intencje, sentyment, priorytety, tagi, przypisania do agentów, notatki wewnętrzne, nagrania głosowe, transkrypcje, załączniki, dokumenty bazy wiedzy, fragmenty dokumentów, embeddings oraz konfiguracje agentów AI. Dane te przetwarzamy w granicach konfiguracji workspace’u i zgodnie z poleceniami klienta. Wrażliwe dane, takie jak PESEL, dane kart, dane zdrowotne albo dane dzieci, powinny być przetwarzane tylko wtedy, gdy klient ma do tego podstawę prawną i skonfiguruje odpowiednie zabezpieczenia.

Zbieramy również dane techniczne i diagnostyczne potrzebne do działania, bezpieczeństwa i rozliczania usługi. Obejmują one adres IP, user-agent, identyfikator sesji, logi żądań API, czasy odpowiedzi, błędy aplikacji, próby logowania, zdarzenia MFA, informacje o przeglądarce, typ urządzenia, zdarzenia webhooków, statusy dostarczenia wiadomości i metryki wydajności. Surowe adresy IP w logach operacyjnych utrzymujemy możliwie krótko, a w analizach długoterminowych stosujemy haszowanie albo agregację. Nie wykorzystujemy tych danych do tworzenia ukrytych profili marketingowych.

W zakresie płatności przetwarzamy dane rozliczeniowe: nazwę firmy, adres fakturowy, NIP, plan, historię faktur, status subskrypcji, numer klienta Stripe i podstawowe dane instrumentu płatniczego, takie jak marka karty i ostatnie cztery cyfry. Pełnych numerów kart nie przechowujemy w DarhimLabs; obsługą płatności zajmuje się Stripe Payments Europe Limited. Jeśli kontaktujesz się z nami przez formularz, newsletter, webinar albo demo, przetwarzamy dane przekazane w formularzu, źródło zgłoszenia, zgodę marketingową, status double opt-in i historię komunikacji.

3.1 Kategorie danych w skrócie

4. Cele i podstawy prawne przetwarzania

Dane przetwarzamy wyłącznie w konkretnych, zgodnych z prawem celach. Podstawą może być wykonanie umowy, obowiązek prawny, prawnie uzasadniony interes DarhimLabs lub zgoda. Najczęściej podstawą dla kont użytkowników, workspace’ów, obsługi zgłoszeń, konfiguracji agentów i działania API jest art. 6 ust. 1 lit. b RODO, czyli konieczność wykonania umowy albo podjęcia działań przed jej zawarciem. Dla danych rozliczeniowych podstawą jest art. 6 ust. 1 lit. c RODO, ponieważ przepisy podatkowe i księgowe wymagają od nas wystawiania oraz przechowywania faktur.

Bezpieczeństwo Platformy, zapobieganie nadużyciom, logi audytu, monitoring błędów, analiza stabilności, obrona przed roszczeniami i egzekwowanie regulaminu opieramy na art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadnionym interesie. Interes ten polega na ochronie infrastruktury, danych klientów, ciągłości usług, reputacji, integralności systemu oraz możliwości dochodzenia i obrony roszczeń. Przy takim przetwarzaniu stosujemy test równowagi i ograniczamy zakres danych do tego, co niezbędne. W przypadku marketingu e-mailowego, newslettera, cookies analitycznych i cookies marketingowych podstawą jest zgoda, zgodnie z art. 6 ust. 1 lit. a RODO oraz art. 7 RODO.

Gdy DarhimLabs działa jako podmiot przetwarzający dane w imieniu klienta, podstawę prawną ustala klient jako administrator. DarhimLabs nie ocenia samodzielnie legalności celu biznesowego klienta, ale dostarcza narzędzia pomagające zachować zgodność: retencję danych, logi audytu, DPA, listę subprocesorów, RLS, MFA, eksporty DSAR, redakcję PII, ograniczenia promptów i mechanizmy zatwierdzeń. Jeżeli otrzymamy żądanie osoby, której dane dotyczą, a dotyczy ono danych klienta, działamy zgodnie z DPA i instrukcjami administratora.

Zgodę można wycofać w dowolnym momencie, bez wpływu na zgodność z prawem wcześniejszego przetwarzania. Link rezygnacji z newslettera znajduje się w każdej wiadomości, a preferencje cookies można zmienić na stronie /cookies. Jeśli podstawą jest prawnie uzasadniony interes, możesz wnieść sprzeciw na podstawie art. 21 RODO. Każdy sprzeciw rozpatrujemy indywidualnie, z uwzględnieniem kontekstu usługi i możliwych nadrzędnych podstaw dalszego przetwarzania.

5. Odbiorcy danych

Dane osobowe mogą być udostępniane podmiotom, które pomagają nam świadczyć Platformę. Są to przede wszystkim dostawcy infrastruktury chmurowej, bazy danych, poczty transakcyjnej, płatności, monitoringu błędów, telekomunikacji, modeli AI, systemów CRM, analityki prywatnościowej i zabezpieczeń edge. Każdy podmiot, który przetwarza dane osobowe w naszym imieniu, działa na podstawie umowy powierzenia zgodnej z art. 28 RODO. Nie przekazujemy danych brokerom danych i nie sprzedajemy danych osobowych w rozumieniu przepisów o ochronie prywatności.

Aktualna lista subprocesorów znajduje się w dokumencie DPA, w sekcji „Lista subprocesorów”. Obejmuje ona między innymi Supabase, OpenAI, Anthropic, Stripe, Twilio, Resend, Sentry i Cloudflare. Dla każdego subprocesora wskazujemy rolę, kategorię przetwarzanych danych, lokalizację, podstawowe zabezpieczenia i certyfikacje. Klientom Enterprise zapewniamy proces powiadamiania o nowych subprocesorach z co najmniej 30-dniowym wyprzedzeniem oraz możliwość zgłoszenia uzasadnionego sprzeciwu, jeżeli nowy subprocesor zwiększa ryzyko dla danych.

Dane mogą być również udostępnione organom publicznym, sądom, kancelariom prawnym, audytorom albo ubezpieczycielom, jeżeli jest to wymagane przez prawo, potrzebne do wykonania obowiązków prawnych, ochrony praw DarhimLabs albo obrony przed roszczeniami. Każde żądanie organu publicznego weryfikujemy pod względem podstawy prawnej i zakresu. Jeżeli prawo na to pozwala, informujemy klienta lub osobę, której dane dotyczą, o takim żądaniu przed ujawnieniem danych.

Wewnątrz DarhimLabs dostęp do danych mają wyłącznie osoby, które potrzebują go do wykonywania obowiązków. Dotyczy to zespołów support, security, infrastructure, engineering, compliance i finance. Każdy dostęp jest kontrolowany, okresowo przeglądany i logowany. Dostęp produkcyjny jest ograniczony, wymaga MFA, a w przypadku działań administracyjnych może wymagać dodatkowego zatwierdzenia. W praktyce oznacza to, że pracownik DarhimLabs nie przegląda treści rozmów klienta bez wyraźnej potrzeby wsparcia, zgody klienta, incydentu bezpieczeństwa albo obowiązku prawnego.

6. Transfer poza Europejski Obszar Gospodarczy

DarhimLabs projektuje Platformę z myślą o europejskich klientach i zasadzie minimalizacji transferów. Dane operacyjne klientów są przechowywane domyślnie w regionach Unii Europejskiej, w szczególności w regionie Frankfurt dla bazy danych i storage. Nie oznacza to jednak, że każdy element usługi zawsze pozostaje w EOG. Część dostawców, zwłaszcza dostawcy modeli językowych, monitoringu i infrastruktury bezpieczeństwa, ma siedziby lub podmioty powiązane poza EOG. W takich przypadkach stosujemy mechanizmy przewidziane w rozdziale V RODO, w szczególności art. 44, art. 46 i art. 49 RODO.

Podstawowym mechanizmem transferowym są Standardowe Klauzule Umowne Komisji Europejskiej z 2021 r. Tam, gdzie dostawca jest certyfikowany w ramach EU-U.S. Data Privacy Framework, korzystamy również z tej podstawy, ale nie traktujemy jej jako jedynego zabezpieczenia. Dodatkowo wymagamy szyfrowania danych w tranzycie i w spoczynku, ograniczenia dostępu, rozdzielenia tenantów, procedur bezpieczeństwa, kontroli subprocesorów oraz, gdy jest to dostępne, konfiguracji zero data retention. Dla klientów Enterprise możemy przygotować Transfer Impact Assessment obejmujący konkretne przepływy danych.

W odniesieniu do modeli AI stosujemy szczególną ostrożność. Dane wysyłane do dostawców LLM są ograniczane do minimum koniecznego dla wygenerowania odpowiedzi, klasyfikacji albo testu jakości. Jeżeli klient włączy redakcję PII lub tryb privacy, Platforma może maskować dane osobowe przed wysłaniem promptu do dostawcy modelu. W planach Enterprise oferujemy konfiguracje z dodatkowymi ograniczeniami retencji i możliwością wyboru dostawcy modelu, a w szczególnych przypadkach również architekturę Bring Your Own Model albo izolowane środowisko.

Jeżeli osoba, której dane dotyczą, chce uzyskać więcej informacji o transferach, może napisać do iodo@darhimlabs.pl. W odpowiedzi przedstawimy kategorie odbiorców, mechanizm transferowy, opis zabezpieczeń i informację, czy dana kategoria danych może być objęta transferem poza EOG. Nie udostępniamy publicznie pełnych kopii umów z dostawcami, ale klientom Enterprise możemy udostępnić streszczenia audytowe, TIA i zestawienie subprocesorów po podpisaniu NDA.

7. Okres przechowywania

Dane przechowujemy nie dłużej, niż jest to konieczne do realizacji celów przetwarzania. Retencja zależy od kategorii danych, podstawy prawnej i konfiguracji workspace’u. Dane konta przechowujemy przez okres aktywnej umowy oraz przez 30 dni po jej zakończeniu, aby umożliwić eksport danych i przywrócenie konta w razie omyłkowego usunięcia. Po tym okresie dane są usuwane lub anonimizowane, chyba że musimy zachować je dłużej z powodu obowiązku prawnego, sporu, audytu albo zabezpieczenia roszczeń.

Dane operacyjne, takie jak rozmowy, wiadomości, notatki, załączniki, transkrypcje i nagrania, mają retencję konfigurowalną przez klienta. Domyślna retencja rozmów wynosi 12 miesięcy, ale klient może ustawić krótszy lub dłuższy okres, na przykład 7 dni, 30 dni, 90 dni, 1 rok, 3 lata albo 7 lat, w zależności od wymogów regulacyjnych. Nagrania Voice są domyślnie przechowywane 90 dni, chyba że klient włączy natychmiastowe usuwanie po transkrypcji albo inną politykę. Dokumenty RAG są przechowywane tak długo, jak źródło jest aktywne lub do czasu usunięcia przez klienta.

Logi audytu przechowujemy do 7 lat, ponieważ są wymagane dla bezpieczeństwa, zgodności, SOC 2, ISO 27001, dochodzenia roszczeń i wyjaśniania incydentów. Dane fakturowe i księgowe przechowujemy przez 5 lat od końca roku podatkowego, zgodnie z przepisami rachunkowymi i podatkowymi. Dane marketingowe i newsletterowe przechowujemy do momentu wycofania zgody, a po jej wycofaniu zachowujemy minimalny ślad techniczny potwierdzający, że rezygnacja została wykonana i nie należy ponawiać wysyłki.

• Konto użytkownika: okres umowy + 30 dni na eksport danych.
• Rozmowy Inbox: domyślnie 12 miesięcy, konfigurowalne przez workspace.
• Nagrania Voice: domyślnie 90 dni, z opcją krótszej retencji.
• Logi audytu: do 7 lat.
• Faktury i dane podatkowe: 5 lat od końca roku podatkowego.
• Newsletter: do wycofania zgody lub cofnięcia double opt-in.

Usunięcie danych nie zawsze oznacza natychmiastowe usunięcie z backupów. Kopie zapasowe podlegają rotacji technicznej i są przechowywane przez ograniczony czas, zwykle do 30 dni. Nie przywracamy usuniętych danych z backupów do produkcji inaczej niż w ramach odtwarzania po awarii. Po przywróceniu systemu dane objęte żądaniami usunięcia są ponownie usuwane zgodnie z rejestrem retencji.

8. Prawa osób, których dane dotyczą

RODO przyznaje osobom, których dane dotyczą, szereg praw. Masz prawo dostępu do danych na podstawie art. 15 RODO, czyli możesz uzyskać potwierdzenie, czy przetwarzamy Twoje dane, oraz kopię danych. Masz prawo do sprostowania danych na podstawie art. 16 RODO, jeśli są nieprawidłowe lub niekompletne. Masz prawo do usunięcia danych, czyli prawo do bycia zapomnianym, na podstawie art. 17 RODO, w przypadkach wskazanych w przepisach. Masz również prawo do ograniczenia przetwarzania na podstawie art. 18 RODO oraz prawo do przenoszenia danych na podstawie art. 20 RODO.

Jeżeli przetwarzamy dane na podstawie prawnie uzasadnionego interesu, możesz wnieść sprzeciw na podstawie art. 21 RODO. Jeżeli przetwarzanie opiera się na zgodzie, możesz ją wycofać w dowolnym momencie na podstawie art. 7 RODO. Jeżeli w danym procesie występuje zautomatyzowana decyzja wywołująca skutki prawne lub podobnie istotnie wpływająca na osobę, przysługuje prawo do niepodlegania takiej decyzji albo do uzyskania interwencji człowieka na podstawie art. 22 RODO. W DarhimLabs większość automatyzacji wspiera człowieka, a działania wysokiego ryzyka mogą wymagać zatwierdzenia.

Żądanie można złożyć przez formularz DSAR dostępny pod adresem /privacy/request albo przez e-mail do iodo@darhimlabs.pl. W odpowiedzi możemy poprosić o weryfikację tożsamości, szczególnie jeśli żądanie dotyczy dostępu do danych, eksportu albo usunięcia danych. Odpowiadamy co do zasady w terminie 30 dni. Jeżeli żądanie jest skomplikowane lub obejmuje wiele systemów, termin może zostać wydłużony o maksymalnie 60 dni, o czym poinformujemy wraz z uzasadnieniem.

• Formularz DSAR: /privacy/request.
• Kontakt z IODO: iodo@darhimlabs.pl.
• Eksport danych: JSON, CSV albo, dla klientów Enterprise, API v2.
• Usunięcie danych: realizowane zgodnie z retencją i obowiązkami prawnymi.
• Skarga do organu: Prezes Urzędu Ochrony Danych Osobowych, art. 77 RODO.

Jeżeli DarhimLabs działa jako procesor w imieniu klienta, możemy nie mieć prawa samodzielnie spełnić żądania, ale nie pozostawiamy go bez reakcji. W takiej sytuacji przekażemy żądanie administratorowi lub pomożemy go zidentyfikować, o ile pozwala na to DPA i obowiązujące przepisy. Żądania oczywiście bezzasadne, powtarzalne lub nadmierne mogą podlegać odmowie albo opłacie zgodnie z art. 12 ust. 5 RODO.

9. Bezpieczeństwo i ochrona danych

Bezpieczeństwo jest podstawowym założeniem architektury DarhimLabs. Dane są szyfrowane w tranzycie z użyciem TLS 1.3 oraz w spoczynku z użyciem mechanizmów szyfrowania dostawców infrastruktury, w tym AES-256 dla baz danych i storage. Separacja tenantów jest realizowana na poziomie aplikacji, bazy danych i polityk Row-Level Security. Każdy workspace ma własny kontekst dostępu, a zapytania do danych klienta przechodzą przez mechanizmy autoryzacji i weryfikacji członkostwa. Dostęp administracyjny jest ograniczony, wymaga MFA i jest objęty logowaniem.

Stosujemy kontrolę dostępu opartą na rolach, SSO/SAML, SCIM, MFA, przeglądy uprawnień, rotację sekretów, polityki haseł, mechanizmy wykrywania anomalii logowania, rate limiting, WAF i ochronę DDoS. Monitoring obejmuje błędy aplikacji, zdarzenia bezpieczeństwa, nietypowe wzorce API, status webhooków i dostępność usług. Incydenty są klasyfikowane według ważności, a klient Enterprise otrzymuje powiadomienie o istotnym incydencie bez zbędnej zwłoki, zwykle nie później niż 24 godziny od potwierdzenia naruszenia wpływającego na jego dane.

Regularnie testujemy środki techniczne i organizacyjne. Obejmuje to skany zależności, testy SAST, przeglądy konfiguracji chmurowej, testy odtworzeniowe backupów, ćwiczenia incident response, przeglądy dostępu pracowników, testy penetracyjne oraz analizę ryzyk subprocesorów. Klientom Enterprise możemy udostępnić streszczenia audytowe, executive summary testów penetracyjnych, certyfikacje dostawców i wybrane dokumenty bezpieczeństwa po podpisaniu NDA. Szczegóły opisujemy na stronie /bezpieczenstwo i w DPA.

• Szyfrowanie w tranzycie: TLS 1.3.
• Szyfrowanie w spoczynku: AES-256 albo równoważne mechanizmy dostawcy.
• Separacja danych: RLS, kontekst workspace, kontrola dostępu oparta na rolach.
• Uwierzytelnianie: MFA, SSO/SAML, SCIM dla planów enterprise.
• Monitoring: Sentry, logi bezpieczeństwa, alerty infrastrukturalne, analiza anomalii.
• Backupy: kopie zapasowe z ograniczoną retencją i testami odtworzeniowymi.

Żaden system nie jest całkowicie wolny od ryzyka. Dlatego zachęcamy do zgłaszania podatności na adres security@darhimlabs.pl. Odpowiadamy na zgłoszenia w uporządkowanym procesie responsible disclosure i nie podejmujemy działań przeciw badaczom działającym w dobrej wierze, bez naruszania danych osób trzecich i bez wpływu na dostępność usług.

10. Zautomatyzowane decyzje i AI

DarhimLabs wykorzystuje AI do generowania odpowiedzi, klasyfikacji intencji, priorytetyzacji rozmów, rekomendowania tagów, tworzenia szkiców odpowiedzi, testów jakości, wyszukiwania w bazie wiedzy, transkrypcji Voice, oceny prawdopodobieństwa leadu i wykrywania ryzyka SLA. Co do zasady te funkcje są narzędziami wspierającymi człowieka lub automatyzacją procesu komunikacyjnego. Nie projektujemy Platformy jako systemu, który samodzielnie podejmuje decyzje wywołujące skutki prawne wobec osób, chyba że klient świadomie skonfiguruje taki proces i zapewni odpowiednie podstawy prawne.

Funkcje AI są konfigurowalne. Klient może włączyć approval policy, czyli wymóg zatwierdzenia przez człowieka dla działań wysokiego ryzyka, takich jak pobranie płatności, utworzenie rekordu w CRM, wykonanie połączenia, wysłanie SMS, aktualizacja danych osobowych, eskalacja do zespołu prawnego albo decyzja wpływająca na usługę klienta końcowego. W praktyce oznacza to, że agent AI może przygotować propozycję działania, ale człowiek zatwierdza ją w Approval Inbox. To pomaga spełnić wymogi art. 22 RODO, gdy proces może istotnie wpływać na osobę.

DarhimLabs nie używa danych klientów do trenowania własnych modeli ani do trenowania modeli dostawców takich jak OpenAI czy Anthropic. Dane przesyłane do dostawców LLM są używane wyłącznie do realizacji danego żądania API, zgodnie z umowami i konfiguracjami retencji. W miarę możliwości stosujemy konfiguracje zero data retention. Klient może ograniczyć zakres danych przekazywanych do modelu, włączyć maskowanie PII, wyłączyć użycie wiedzy ogólnej modelu, wymagać cytatów RAG, ustawić progi confidence oraz wymusić eskalację, gdy model nie ma wystarczającej pewności odpowiedzi.

Osoba, której dane dotyczą, może zakwestionować wynik procesu automatycznego, poprosić o interwencję człowieka i uzyskać informacje o ogólnej logice procesu, o ile nie narusza to tajemnicy przedsiębiorstwa, bezpieczeństwa albo praw innych osób. W sprawach dotyczących danych przetwarzanych w workspace klienta należy zwrócić się do administratora tego workspace. Jeśli żądanie trafi do DarhimLabs, pomożemy w jego obsłudze zgodnie z DPA.

11. Zmiany polityki

Polityka prywatności może być aktualizowana, gdy zmieniają się przepisy, funkcje Platformy, lista subprocesorów, modele przetwarzania, mechanizmy AI, praktyki bezpieczeństwa lub wymagania klientów enterprise. Każda wersja ma numer dokumentu, datę ostatniej aktualizacji i datę wejścia w życie. Obecna wersja to v3.1, obowiązująca od 1 maja 2026 r. W przypadku zmian porządkujących, językowych lub redakcyjnych aktualizacja może wejść w życie z dniem publikacji. W przypadku zmian istotnych dajemy użytkownikom i administratorom workspace’ów czas na zapoznanie się z dokumentem.

Za istotne zmiany uważamy w szczególności dodanie nowej kategorii danych, nowego celu przetwarzania, istotnego subprocesora mającego dostęp do danych operacyjnych, zmianę retencji, zmianę zasad transferu poza EOG albo zmianę wpływającą na prawa osób. O takich zmianach informujemy z co najmniej 30-dniowym wyprzedzeniem przez panel, e-mail do administratorów workspace oraz changelog. Klient Enterprise może otrzymać dodatkowe powiadomienie w formie alertu compliance i raportu zmian.

Jeśli zmiana wymaga zgody, poprosimy o nią w sposób wyraźny i udokumentowany. Brak zgody na zmianę, która jest niezbędna do dalszego świadczenia usługi, może oznaczać konieczność zakończenia korzystania z danej funkcji albo wypowiedzenia umowy. Nie ogranicza to prawa do eksportu danych przed zakończeniem usługi ani praw wynikających z RODO. Archiwalne wersje Polityki przechowujemy i udostępniamy na żądanie, aby można było zweryfikować, jakie zasady obowiązywały w danym okresie.

• Zmiany redakcyjne: publikacja w serwisie i aktualizacja numeru wersji.
• Zmiany istotne: powiadomienie minimum 30 dni przed wejściem w życie.
• Zmiany wymagające zgody: osobne potwierdzenie w panelu lub przez e-mail.
• Archiwum wersji: dostępne na żądanie przez iodo@darhimlabs.pl.

12. Kontakt do IODO i organu nadzorczego

W sprawach dotyczących ochrony danych osobowych, realizacji praw wynikających z RODO, transferów międzynarodowych, subprocesorów, retencji, bezpieczeństwa, incydentów lub DPA prosimy o kontakt z Inspektorem Ochrony Danych DarhimLabs. Najszybszy kanał to e-mail iodo@darhimlabs.pl. Możesz również skorzystać z formularza pod adresem /privacy/request. W zgłoszeniu warto wskazać, jakiego workspace’u, adresu e-mail, numeru telefonu albo rozmowy dotyczy sprawa, abyśmy mogli szybciej zidentyfikować dane.

Jeżeli uważasz, że przetwarzamy dane niezgodnie z prawem, zachęcamy najpierw do kontaktu z nami. Pozwala to szybciej wyjaśnić sprawę, ograniczyć ryzyko i usunąć ewentualny błąd. Nie ogranicza to jednak prawa do wniesienia skargi do organu nadzorczego na podstawie art. 77 RODO. W Polsce organem właściwym jest Prezes Urzędu Ochrony Danych Osobowych. Dane kontaktowe organu: ul. Stawki 2, 00-193 Warszawa, tel. +48 22 531 03 00, e-mail kancelaria@uodo.gov.pl.

Informacje o prawach osób fizycznych publikujemy również na stronie /rodo. Informacje o cookies i preferencjach zgody znajdują się na stronie /cookies. Umowa powierzenia przetwarzania danych, lista subprocesorów, transfery i techniczne środki ochrony są opisane w DPA. Zasady dostępności usług i kredytów serwisowych opisuje SLA. Strona bezpieczeństwa znajduje się pod adresem /bezpieczenstwo.

Oficjalna strona polskiego organu nadzorczego jest dostępna pod adresem uodo.gov.pl. Wytyczne Europejskiej Rady Ochrony Danych można znaleźć na stronie edpb.europa.eu. Korzystanie z tych linków prowadzi poza serwis DarhimLabs, dlatego nie odpowiadamy za treść i polityki prywatności zewnętrznych stron.

12.1 Jak przygotować skuteczne zgłoszenie

Aby przyspieszyć obsługę sprawy, w zgłoszeniu warto podać informacje pozwalające zidentyfikować kontekst danych. Nie wymagamy przesyłania skanów dokumentów przy pierwszym kontakcie. Jeżeli weryfikacja tożsamości będzie konieczna, poprosimy wyłącznie o minimalny zakres danych i wyjaśnimy, dlaczego jest potrzebny. W przypadku spraw dotyczących danych klienta końcowego prosimy również o wskazanie nazwy organizacji, z którą prowadzona była rozmowa, kanału komunikacji i przybliżonej daty kontaktu.