Prywatność, bezpieczeństwo i zgodność — bez teatru
Hostowane w UE od pierwszego dnia. Rezydencja danych wyłącznie we Frankfurcie. Kryptograficzne dowody na każdym połączeniu. Nasz DPA jest gotowy do kontrasygnowania. Nasza lista podprzetwórców jest krótka i tylko UE.
Wszystko czego potrzebuje Twój zespół prawny
DPA, lista podprzetwórców, szablony Article 50, ROPA i podsumowanie bezpieczeństwa — wszystko dostępne na żądanie. Pliki PDF będą publikowane po sfinalizowaniu.
Umowa o przetwarzaniu danych (DPA)
GDPR Art. 28Nasz standardowy DPA na podstawie GDPR Art. 28. Obejmuje zobowiązania administrator-procesor, łańcuch podprzetwórców, prawa osoby, której dane dotyczą i powiadomienie o naruszeniu (obowiązek 72 godzin). Gotowy do kontrasygnowania.
Lista podprzetwórców
GDPR Art. 28(4)Pełna lista wszystkich podprzetwórców z celem, lokalizacją, podstawą transferu i referencją DPA. Aktualizowana gdy dodawany lub usuwany jest jakikolwiek podprzetwórca (30-dniowe powiadomienie dla klientów).
Szablony ujawnienia Article 50
EU AI Act Art. 50Gotowe do wdrożenia szablony ujawnienia dla rynków EN/DE/NL. Obejmuje obowiązkowe ujawnienie tożsamości AI, oświadczenie o celu i ścieżki rezygnacji. Przejrzane przez Bird and Bird.
ROPA — Rejestry czynności przetwarzania
GDPR Art. 30Nasze Rejestry czynności przetwarzania Art. 30, ustrukturyzowane według celu przetwarzania. Demonstruje podstawę prawną na czynność, okresy retencji i przepływy danych.
Podsumowanie bezpieczeństwa
GDPR Art. 32Środki techniczne i organizacyjne (TOM) zgodnie z GDPR Art. 32. Standardy szyfrowania, kontrole dostępu, zarządzanie podatnościami, SLA reagowania na incydenty i harmonogram testów penetracyjnych.
Krótka lista. Tylko UE.
Celowo utrzymujemy minimalny łańcuch podprzetwórców. Każdy procesor przetwarzający dane osobowe jest hostowany w UE bez transferu do USA.
Klienci będą powiadamiani 30 dni wcześniej o wszelkich zmianach podprzetwórców zgodnie z naszym DPA. Pełna lista podprzetwórców dostępna jako PDF na żądanie: privacy@audact.ai
Środki techniczne i organizacyjne
TOMs GDPR Art. 32, wdrożone — nie tylko udokumentowane.
Szyfrowanie per dzierżawca
Wszystkie dane klientów są szyfrowane w spoczynku z kluczami per dzierżawca. Rotacja kluczy jest zautomatyzowana. AWS KMS (Frankfurt) zarządza kluczami — nigdy nie opuszcza UE.
Rezydencja danych wyłącznie we Frankfurcie
Wszystkie dane osobowe i rekordy połączeń są przechowywane wyłącznie w AWS eu-central-1 (Frankfurt). Brak replikacji do regionów USA. Nie wymagane standardowe klauzule umowne.
Kryptograficzne usuwanie do kasowania
Prawo do kasowania (GDPR Art. 17) jest implementowane przez usuwanie kluczy kryptograficznych. Gdy osoba, której dane dotyczą, żąda kasowania, klucz szyfrowania jest niszczony — cały derived ciphertext staje się trwale niedostępny.
Kryptograficzny łańcuch dowodów
Każde połączenie generuje paragon z łańcuchem skrótów SHA-256. Agregacja drzewem Merkle łączy skróty na poziomie połączenia w odporny na manipulacje root. Dowody są dopuszczalne w sądzie i eksportowalne dla regulatora.
Rejestrowanie audytów
Wszystkie działania administracyjne, zdarzenia dostępu do danych i zmiany polityk są rejestrowane z niezmiennymi sygnaturami czasowymi. Dzienniki są przechowywane przez 7 lat zgodnie z wymogiem rozliczalności GDPR Art. 5(2).
Brak transferu danych do USA
Audact nie używa żadnych podprzetwórców zarejestrowanych w USA, które przetwarzają dane osobowe. Brak narażenia Schrems II. Nie wymagane SCC dla rdzenia platformy.
Szablony ujawnienia — gotowe do wdrożenia
EU AI Act Article 50 wymaga, aby każdy wdrożeniowiec systemu AI wchodzącego w interakcję z ludźmi ujawnił charakter AI systemu przed rozpoczęciem interakcji. Szablony te zostały przejrzane przez Bird and Bird i są gotowe na rynki EN, DE i NL.
UK, IE, international
You are now connected to an AI-powered voice assistant. This interaction is governed by [Organisation]. Would you like to continue?
DE, AT, CH
Sie sind jetzt mit einem KI-gestützten Sprachassistenten verbunden. Diese Interaktion wird von [Organisation] durchgeführt. Möchten Sie fortfahren?
NL, BE
U bent nu verbonden met een AI-gestuurde spraakassistent. Deze interactie wordt uitgevoerd door [Organisatie]. Wilt u doorgaan?
Szablony są dostarczane jako punkt wyjścia. Końcowy język ujawnienia musi być przejrzany przez Twojego doradcę prawnego i dostosowany do Twojego konkretnego kontekstu wdrożenia. Pełne szablony z wskazówkami implementacyjnymi dostępne jako PDF na żądanie. compliance@audact.ai
Kontakty ds. prywatności i zgodności
Użyj właściwego kanału dla właściwego zapytania. Odpowiadamy w ciągu 2 dni roboczych.
Kontrasygnowanie DPA, prawa osoby, której dane dotyczą, pytania o podprzetwórców, wnioski ROPA
Szablony Article 50, pytania EU AI Act, zapytania regulacyjne, wsparcie FRIA
Ujawnianie podatności, wyniki testów penetracyjnych, TOM bezpieczeństwa, raporty incydentów
Zarejestrowany adres: Audact Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
Zgodność zaczyna się od transparentności
Zbudowaliśmy Trust Center, żeby Twój dział zamówień, IOD i doradca prawny mieli wszystko czego potrzebują bez wymiany korespondencji. Jeśli czegoś brakuje, napisz do nas bezpośrednio.