DeepScript
Powrót do Trust Center
FAQ

FAQ o prywatności

Odpowiedzi na najczęstsze pytania dotyczące zgodności z RODO, trenowania AI, miejsca przechowywania, podmiotów przetwarzających, praw osób, których dane dotyczą, oraz bezpieczeństwa. Jeśli nie znajdziesz tu odpowiedzi na swoje pytanie, po prostu napisz do nas.

RODO i zgodność

Czy DeepScript jest zgodny z RODO?
Tak. DeepScript od samego początku jest zgodny z RODO: przetwarzanie w Niemczech, brak przekazywania danych treści do państw trzecich, dostępna umowa DPA zgodna z art. 28, udokumentowane środki techniczne i organizacyjne zgodne z art. 32, przejrzysta lista podmiotów przetwarzających oraz pełne wsparcie wszystkich praw osób, których dane dotyczą.
Czy DeepScript jest administratorem czy podmiotem przetwarzającym?
Oba – w zależności od tego, o jakie dane chodzi. W przypadku danych treści (audio, transkrypcje) jesteśmy podmiotem przetwarzającym zgodnie z art. 28 RODO i działamy wyłącznie na polecenie naszego klienta. W przypadku przetwarzania danych konta i rozliczeniowych naszych klientów jesteśmy administratorem.
Czy dane klientów są wykorzystywane do trenowania AI?
Nie. Nigdy. Ani do trenowania naszych własnych modeli, ani do trenowania modeli innych firm. Zapewnienie to jest wiążące umownie i technicznie zabezpieczone przez wyraźnie oddzielone potoki inferencyjne – procesy treningowe nie mają dostępu do odczytu produkcyjnych danych klientów.
Czy istnieje umowa powierzenia przetwarzania danych (DPA)?
Tak. Umowę DPA możesz zamówić bezpośrednio online na stronie Trust Center. W ciągu kilku minut otrzymasz e-mailem wstępnie wypełnioną, podpisaną przez nas umowę w formacie PDF. Wraz ze wszystkimi czterema załącznikami (środki techniczne i organizacyjne, rejestr czynności przetwarzania, podmioty przetwarzające, zgodność AI).
Czy posiadacie ISO 27001?
Tak. DeepScript posiada certyfikaty ISO/IEC 27001, ISO 9001 i ISO 14001. Nasz partner infrastrukturalny Hetzner również posiada certyfikat ISO/IEC 27001.

Hosting i miejsce przechowywania

Gdzie przechowywane są moje dane?
Wyłącznie w Niemczech – w centrach danych Hetzner w Norymberdze i Falkenstein. Obie lokalizacje posiadają certyfikat ISO/IEC 27001. Aplikacja, baza danych, silnik transkrypcji, magazyn obiektowy i kopie zapasowe pozostają w obrębie tych lokalizacji.
Czy DeepScript przekazuje dane poza UE?
Żadnych danych treści. Jedyne przekazanie do państwa trzeciego następuje na potrzeby obsługi płatności przez Stripe (UE → USA), zabezpieczone standardowymi klauzulami umownymi UE (SCC) oraz certyfikacją DPF firmy Stripe. Nie są przy tym przekazywane żadne nagrania audio ani transkrypcje, a jedynie metadane rozliczeniowe (nazwa, adres, token, kwota).
Czy korzystacie z AWS, Azure lub Google Cloud?
Nie. Nie korzystamy z żadnego amerykańskiego hyperscalera do przetwarzania ani przechowywania danych klientów. Cała infrastruktura działa na Hetzner w Niemczech.
Z jakich zewnętrznych usług AI korzystacie?
Żadnych. Nasz zgodny z Whisper silnik zamiany mowy na tekst działa w całości na naszej własnej infrastrukturze. Nie wysyłamy żadnych nagrań audio ani transkrypcji do OpenAI, Anthropic, Google ani podobnych dostawców. Podsumowania wspomagane przez AI odbywają się wyłącznie po stronie klienta za pośrednictwem Model Context Protocol – wybrany przez klienta klient AI (np. Claude Desktop) zapewnia własne połączenie z modelem.

Bezpieczeństwo

Jak są szyfrowane moje dane?
W tranzycie: TLS 1.3 (co najmniej TLS 1.2) między wszystkimi komponentami, HSTS na wszystkich publicznych punktach końcowych. W spoczynku: AES-256 dla kopii zapasowych; w pełni zaszyfrowane woluminy bazy danych. Hasła są przechowywane za pomocą bcrypt; klucze API wyłącznie jako skrót (hash).
Kto w waszym zespole ma dostęp do moich danych?
W normalnej eksploatacji nikt. Dostęp administracyjny do systemów produkcyjnych wymaga uwierzytelniania dwuskładnikowego i jest w pełni audytowany. Dostęp do odczytu danych treści następuje wyłącznie wtedy, gdy jest bezwzględnie konieczny do analizy błędów i wyraźnie zażądany przez klienta.
Jak szybko zostaniemy poinformowani o naruszeniu danych?
W ciągu 24 godzin od stwierdzenia naruszenia. Zgłoszenie zawiera charakter naruszenia, dotknięte kategorie, podjęte środki oraz osobę kontaktową. Obowiązek zgłoszenia organom nadzorczym (art. 33 RODO, termin 72 godzin) spoczywa na administratorze; my dostarczamy wszystkie niezbędne informacje.
Czy DeepScript przeprowadza testy penetracyjne?
Tak. Co roku zlecamy niezależnemu, zewnętrznemu dostawcy usług bezpieczeństwa przeprowadzenie testu penetracyjnego aplikacji webowej i publicznego REST API. Podsumowanie dla kadry kierowniczej udostępniamy klientom biznesowym na żądanie na podstawie umowy o zachowaniu poufności (NDA).

Okresy przechowywania i usuwanie

Jak długo przechowywane są moje dane?
Audio: usuwane bezpośrednio po transkrypcji. Transkrypcje: domyślnie automatyczne usuwanie po 30 dniach, konfigurowalne w zakresie od 7 do 365 dni – lub przechowywanie na stałe w planie Pro. Dane rozliczeniowe: 10 lat (ustawowy obowiązek przechowywania zgodnie z § 147 AO / § 257 HGB). Dzienniki audytu: 12 miesięcy po usunięciu konta.
Czy mogę zażądać usunięcia moich danych?
Tak. W sekcji Ustawienia → Dane i prywatność znajdziesz przyciski do pełnego eksportu danych i usunięcia konta. Usunięcie wchodzi w życie natychmiast. Z kopii zapasowych dane znikają w ciągu 14 dni wraz z rotacją kopii zapasowych.
Co dzieje się po zakończeniu umowy?
Wszystkie dane klienta są usuwane w ciągu 30 dni. Jeśli umowa kończy się przy aktywnym planie Pro, automatyczne usuwanie zostaje przywrócone do 30 dni. Na życzenie otrzymasz pisemne potwierdzenie usunięcia.

Osoby, których dane dotyczą

Jak DeepScript obsługuje żądania osób, których dane dotyczą?
Samoobsługa za pośrednictwem ustawień (eksport, usunięcie) – ze skutkiem natychmiastowym. Na zapytania e-mailowe wysłane na adres datenschutz@deepscript.com odpowiadamy w ciągu 5 dni roboczych. Jeśli administratorem jest klient biznesowy, koordynujemy żądania za pośrednictwem jego inspektora ochrony danych.
Jak poinformować rozmówców o nagraniu?
To obowiązek administratora (= Ciebie lub Twojego pracodawcy). Obowiązki informacyjne wynikają z art. 13/14 RODO oraz z art. 50 unijnego aktu o AI w przypadku przetwarzania wspomaganego przez AI. Na żądanie udostępniamy wzory tekstów klauzul informacyjnych.
Co z nagraniami, w których wymienione są osoby, o których zgodę nie zapytano?
Administrator musi mieć podstawę prawną (zgodę, prawnie uzasadniony interes itp.) dla przetwarzania – także w odniesieniu do jedynie wspomnianych osób trzecich. DeepScript nie weryfikuje tego merytorycznie; przetwarzamy wyłącznie na polecenie. W razie wątpliwości: zanonimizuj lub zamaskuj dane przed przesłaniem.

Podmioty przetwarzające i dokumenty

Z jakich podmiotów przetwarzających korzysta DeepScript?
Aktualną listę znajdziesz pod adresem /datenschutz/subprozessoren. Obecnie: Hetzner (hosting, Niemcy) i Stripe (płatności, UE + USA z SCC).
Czy zostanę poinformowany przed zmianą listy podmiotów przetwarzających?
Tak. Klienci biznesowi z aktywną umową DPA są informowani e-mailem co najmniej 30 dni przed dodaniem nowego podmiotu przetwarzającego mającego dostęp do danych osobowych i mogą wnieść sprzeciw w ciągu 14 dni z ważnej przyczyny.
Jakie dokumenty dotyczące ochrony danych są dostępne?
Umowa DPA (z 4 załącznikami) na żądanie online. Środki techniczne i organizacyjne jako część umowy DPA (załącznik 1). Lista podmiotów przetwarzających na tej stronie. Polityka prywatności pod adresem /datenschutzerklaerung. Podsumowanie testu penetracyjnego na żądanie na podstawie NDA.
Kto jest osobą kontaktową w sprawach ochrony danych?
Aliru GmbH, Julius-Hatry-Straße 1, 68163 Mannheim. E-mail: datenschutz@deepscript.com. Prezes zarządu: Julian Kissel.

Pytania?

Napisz do nas na adres datenschutz@deepscript.com – odpowiadamy w ciągu jednego dnia roboczego.

FAQ o prywatności – DeepScript Trust Center