Proces zmiany dostawcy, dane do eksportu - Data Act
Autor: Łukasz Strumiński
Utworzono: 1 sierpień. Aktualizacja: 27 sierpień.
Data Act - informacje prawne oraz techniczne
Niniejsza strona zawiera kompleksowe informacje prawne oraz techniczne, które, jako Usługodawca, jesteśmy zobowiązani do przekazania naszym Abonentom, w związku z wejściem w życie oraz stosowaniem Rozporządzenia Data Act. Opisane w dokumencie informacje są integralną częścią Umowy zawartej z Abonentem, stanowiąc jej uzupełnienie.
Proces zmiany dostawcy oraz eksportu danych oraz wynikające z niego dla Abonenta prawa i obowiązki zostały określone szczegółowo w Załączniku nr 5 do Regulaminu.
Z tego dokumentu uzyskasz informacje o:
- jurysdykcji jakiej podlega infrastruktura ICT używana do przetwarzania danych w ramach świadczonych Usług;
- szczegółowej specyfikacji wszystkich kategorii danych i aktywów cyfrowych, które Abonent może przenieść w procesie zmiany dostawcy, w tym co najmniej o danych eksportowalnych;
- szczegółowej specyfikacji kategorii danych specyficznych dla wewnętrznego funkcjonowania dostawcy usługi przetwarzania danych, które są wyłączone spośród danych eksportowalnych;
- istniejących procedurach zmiany dostawcy i przeniesienia usługi przetwarzania danych, w tym informacje o dostępnych metodach i formatach zmiany dostawcy i przeniesienia oraz o limitach i ograniczeniach technicznych znanych dostawcy usług przetwarzania danych;
- aktualnym rejestrze internetowym prowadzonym przez dostawcę ze szczegółowymi informacjami o wszelkich strukturach danych i formatach danych oraz o stosownych normach i otwartych specyfikacjach w zakresie interoperacyjności, w których dostępne są dane eksportowalne;
- wybranych środkach technicznych, organizacyjnych i umownych przyjętych przez dostawcę usług przetwarzania danych w celu zapobieżenia międzynarodowemu dostępowi do danych nieosobowych przechowywanych na terenie Unii lub ich przekazania administracji rządowej, w przypadku gdy taki dostęp lub takie przekazanie skutkowałyby naruszeniem prawa Unii lub prawa krajowego danego państwa członkowskiego;
- usługach przetwarzania danych, które wiążą się z wysoce złożoną lub kosztowną zmianą dostawcy lub z niemożnością zmiany dostawcy bez znacznej ingerencji w dane, aktywa cyfrowe lub architekturę usługi.
Data Act - szczegółowe informacje prawne oraz techniczne:
1) Informacja o jurysdykcji, której podlega infrastruktura ICT używana do przetwarzania danych w ramach świadczonych Usług.
Infrastruktura ICT oznaczająca technologie informacyjno-komunikacyjne, o których mowa w Data Act, używana do przetwarzania danych w ramach Usług świadczonych przez Thulium podlega co do zasady jurysdykcji sądów powszechnych w Rzeczypospolitej Polskiej.
W zakresie, w jakim infrastruktura ICT używana do przetwarzania danych w ramach Usług świadczonych przy wsparciu innych poddostawców, podlega następującej jurysdykcji:
- Microsoft Ireland Operations Limited - jurysdykcja Irlandii;
- Amazon Web Services EMEA SARL spółka z ograniczoną odpowiedzialnością Oddział w Polsce - jurysdykcja Luksemburga;
- Google Ireland Limited - jurysdykcja Irlandii;
- ElevenLabs Inc. - jurysdykcja stanu Nowy Jork (USA), a w zakresie w jakim zastosowanie ma prawo federalne - jurysdykcja USA z sądem właściwym w Nowym Jorku;
- AssemblyAI Inc. - jurysdykcja stanu Delawere (USA), a w zakresie w jakim zastosowanie ma prawo federalne - jurysdykcja USA;
- DeepL SE - jurysdykcja Niemiec.
2) Szczegółowa specyfikacja wszystkich kategorii danych i aktywów cyfrowych, które można przenieść w trakcie procesu zmiany dostawcy, w tym co najmniej wszystkich danych eksportowalnych.
| Kategoria | Dane | Format eksportu | Czas na eksport | Metoda eksportu przy aktywnym dostępie do Konta | Metoda eksportu po zakończeniu świadczenia Usług | Uwagi |
|---|---|---|---|---|---|---|
| Dane telekomunikacyjne | Dane billingowe: - data zdarzenia billingowego, - numery stron połączeń, - operator sieci (jeżeli zidentyfikowano), - kierunek zdarzenia (przychodzące/wychodzące), - kategoria zdarzenia (połączenie, SMS, faks), - czas trwania połączenia/ liczba wiadomości SMS, - koszt zdarzenia, - status zdarzenia (np. odebrane/nieodebrane). |
PDF, CSV | Do 365 dni od daty zdarzenia | - Samodzielnie przez Panel Klienta, | Po zamknięciu usługi, równoznacznym z zablokowaniem dostępu abonentowi do Panelu Klienta, dane mogą być wyeksportowane wyłącznie na żądanie abonenta (uprawnionej osoby tj. umocowanego prawnie przedstawiciela podmiotu lub osobę pełniącą funkcję Administratora dla zamkniętego konta), przez upoważnionego pracownika Spółki, poprzez wygenerowanie pliku z danymi i jego wysyłkę drogą elektroniczną. Eksport dokonywany przez pracownika, w zależności od charakteru i zakresu eksportu, może podlegać dodatkowym opłatom zgodnym z cennikiem usług, stanowiącym ekwiwalent poniesionych przez Spółkę kosztów dodatkowego zlecenia. Alternatywą jest przywrócenie dostępu do konta abonentowi na każdorazowo indywidualnie ustalanych warunkach. |
Podstawa prawna retencji: art. 47 Prawo Komunikacji Elektronicznej. |
| Dane systemowe (dane dotyczące infolinii) |
- porzucone połączenia: numer telefonu klienta, nazwa klienta - rozmowy infolinii: numer telefonu klienta, nazwa klienta - skrzynki głosowe: numer telefonu klienta, - daty, czasy i kierunki połączeń |
CSV, XLSX, OGG, WAV, MP3, JSON | Do momentu, kiedy system jest włączony | - Samodzielnie przez Panel systemu, - API, - Azure Directory (nagrania rozmów) |
W przypadku rozwiązania Umowy wszelkie dane zostają trwale usunięte z Systemu Thulium | Brak |
| Dane systemowe (dotyczące kampanii) |
- rozmowy kampanii: numer telefonu klienta, nazwa klienta, dane agenta - logi kampanii: numer telefonu klienta, dane agenta - połączenia na numer: numer telefonu klienta, dane agenta, rozmowa, - daty, czasy i kierunki połączeń - nazwy kampanii, schematy kampanii (produkty, statusy, osoby, itp.) |
CSV, XLSX, OGG, WAV, MP3, JSON | Do momentu, kiedy system jest włączony | - Samodzielnie przez Panel systemu, - API, - Azure Directory (nagrania rozmów) |
W przypadku rozwiązania Umowy wszelkie dane zostają trwale usunięte z Systemu Thulium | Brak |
| Dane systemowe (dotyczące zgłoszeń) |
- historia korespondencji mailowej: dane klientów i użytkowników, daty, czasy realizacji, treści wiadomości, załączniki, dane dodatkowe: komentarze, statusy, tagi - oceny zgłoszeń: IP klienta - ooddzwonienia: numer telefonu klienta, nazwa klienta, nagranie rozmowy, dane użytkownika |
CSV, XLSX, OGG, WAV, MP3, JSON | Do momentu, kiedy system jest włączony | - Samodzielnie przez Panel systemu, - API, - Azure Directory (nagrania rozmów) |
W przypadku rozwiązania Umowy wszelkie dane zostają trwale usunięte z Systemu Thulium | Brak |
| Dane systemowe (dotyczące chatów) |
- oddzwonienia: numer telefonu klienta, nazwa klienta, nagranie rozmowy, dane Agenta - rozmowy czat: adres mailowy klienta, nazwa klienta, dane Agenta - zaplanowane oddzwonienia: numer telefonu klienta |
CSV, XLSX, OGG, WAV, MP3, JSON | Do momentu, kiedy system jest włączony | - Samodzielnie przez Panel systemu, - API, - Azure Directory (nagrania rozmów) |
W przypadku rozwiązania Umowy wszelkie dane zostają trwale usunięte z Systemu Thulium | Brak |
| Dane systemowe (dotyczące użytkowników) |
- historia logowań: adres IP użytkownika - historia kontaktu: zgłoszenia, czaty, rozmowy, SMSy - dane użytkowników: dane osobowe, mail, numer telefonu, awatar, - oceny ticketów ze strony klientów (wszystkie kanały), - oceny ticketów wewnętrzne (wszystkie kanały), - rozmowy wewnętrzne |
CSV, XLSX, OGG, WAV, MP3, JSON | Do momentu, kiedy system jest włączony | - Samodzielnie przez Panel systemu, - API, - Azure Directory (nagrania rozmów) |
W przypadku rozwiązania Umowy wszelkie dane zostają trwale usunięte z Systemu Thulium | Brak |
| Dane systemowe (dotyczące CRM) |
- dane klientów i firm: nazwy, adresy e-mail, numery telefonu, inne dane osobowe i firmowe | CSV, XLSX, XML, JSON | Do momentu, kiedy system jest włączony | - Samodzielnie przez Panel systemu, - API |
W przypadku rozwiązania Umowy wszelkie dane zostają trwale usunięte z Systemu Thulium | Brak |
| Dane systemowe (dotyczące SMS) |
- treść wiadomości, numer nadawcy i odbiorcy | CSV, XLSX | Do momentu, kiedy system jest włączony | - Samodzielnie przez Panel systemu, - API |
W przypadku rozwiązania Umowy wszelkie dane zostają trwale usunięte z Systemu Thulium | Brak |
3) Szczegółowa specyfikacja kategorii danych specyficznych dla wewnętrznego funkcjonowania dostawcy usługi przetwarzania danych, które są wyłączone spośród danych eksportowalnych przewidzianych w tabeli przedstawionej powyżej w pkt 2), w przypadku gdy istnieje ryzyko naruszenia tajemnicy przedsiębiorstwa dostawcy, o ile wyłączenia te nie utrudniają ani nie opóźniają procesu zmiany dostawcy.
| Kategoria danych / aktywów | Przykład danych / aktywów | Uzasadnienie |
|---|---|---|
| Dane dotyczące wewnętrznej architektury systemu i infrastruktury | Szczegółowe schematy baz danych, diagramy sieciowe, konfiguracje serwerów, algorytmy routingu danych, specyfikacje sprzętowe i programowe wykorzystywane wewnętrznie do świadczenia usługi, w tym kod aplikacji. | Ujawnienie tych informacji mogłoby dać konkurencji rynkowej dostęp do kluczowego know-how dotyczącego optymalizacji, skalowalności i bezpieczeństwa usług, stanowiąc przewagę konkurencyjną. Dodatkowo, mogłoby to również stworzyć potencjalne luki bezpieczeństwa. |
| Unikalne algorytmy i modele danych (w tym autorskie implementacje istniejących) | Wszelkie algorytmy AI/ML, modele predykcyjne, algorytmy kompresji danych, algorytmy przesyłu danych, algorytmy optymalizacji zasobów (np. alokacji maszyn wirtualnych), które zostały stworzone i są własnością intelektualną dostawcy. Dotyczy to również schematów baz danych zaprojektowanych wewnętrznie do przechowywania i przetwarzania danych w unikalny, zoptymalizowany sposób. | Algorytmy i modele danych opracowane przez dostawcę wynikają z lat badań i rozwoju, które stanowią o przewadze technologicznej i efektywności usług. Ujawnienie tych informacji mogłoby pozwolić konkurencji rynkowej dostawcy na kopiowanie tych rozwiązań bez ponoszenia kosztów ich opracowania. |
| Utworzone w ramach systemu konfiguracje | Wszelkie konfiguracje obejmujące: podłączenie siptrunków operatorskich, kont pocztowych email, widgetów chatu, integracji z zewnętrznymi systemi, wewnętrzne reguły zachowania aplikacji jak np. routingi połączeń, konfiguracje połączeń przychodzących, routingi SMS, reguły obsługi wiadomości email, szablony wiadomości, ustawienia kolejek (telefonicznych, emailowych, chatbota). | Ograniczenia techniczno- technologiczne. |
4) Informacje o istniejących procedurach zmiany dostawcy i przeniesienia usługi przetwarzania danych, w tym informacje o dostępnych metodach i formatach zmiany dostawcy i przeniesienia oraz o limitach i ograniczeniach technicznych znanych dostawcy usług przetwarzania danych.
| Procedura / metoda migracji | Dostępność | Ograniczenia techniczne | Komentarze / uwagi |
|---|---|---|---|
| Eksport danych przez UI | TAK | Maksymalny rozmiar pliku eksportu | Eksport CSV/XLSX |
| Eksport danych przez API (JSON) | TAK | Limit zapytań API wynikający z Cennika Usług | Wymagana integracja klienta |
| Migracja między innymi dostawcami | NIE | – | Brak możliwości ze względu na koszty i zabezpieczenie interesu Usługodawcy |
5) Aktualny rejestr internetowy prowadzony przez dostawcę ze szczegółowymi informacjami o wszelkich strukturach danych i formatach danych oraz o stosownych normach i otwartych specyfikacjach w zakresie interoperacyjności, w których dostępne są dane eksportowalne, o których mowa w tabeli wskazanej w pkt 2) powyżej.
| Kategoria | Dane | Format eksportu | Wybrane normy i specyfikacje interoperacyjności |
|---|---|---|---|
| Dane telekomunikacyjne | Dane billingowe: - data zdarzenia billingowego, - numery stron połączeń, - operator sieci (jeżeli zidentyfikowano), - kierunek zdarzenia (przychodzące/wychodzące), - kateogria zdarzenia (połączenie, SMS, faks), - czas trwania połączenia/ liczba wiadomości SMS, - koszt zdarzenia, - status zdarzenia (np. odebrane/nieodebrane). |
PDF, CSV | E.164 (numer telefonu) ISO 8601 (daty) RFC 4180 (CSV) |
| Dane systemowe (dane dotyczące infolinii) |
- porzucone połączenia: numer telefonu klienta, nazwa klienta - rozmowy infolinii: numer telefonu klienta, nazwa klienta - skrzynki głosowe: numer telefonu klienta, - daty, czasy i kierunki połączeń |
CSV, XLSX, OGG, WAV, MP3, JSON | E.164 (numer telefonu) ISO 8601 (daty) RFC 4180 (CSV) JSON Schema RFC 3533 (OGG) |
| Dane systemowe (dotyczące kampanii) |
- rozmowy kampanii: numer telefonu klienta, nazwa klienta, dane agenta - logi kampanii: numer telefonu klienta, dane agenta - połączenia na numer: numer telefonu klienta, dane agenta, rozmowa, - daty, czasy i kierunki połączeń - nazwy kampanii, schematy kampanii (produkty, statusy, osoby, itp.) |
CSV, XLSX, OGG, WAV, MP3, JSON | E.164 (numer telefonu) ISO 8601 (daty) RFC 4180 (CSV) JSON Schema RFC 3533 (OGG) |
| Dane systemowe (dotyczące zgłoszeń) |
- historia korespondencji mailowej: dane klientów i użytkowników, daty, czasy realizacji, treści wiadomości, załączniki, dane dodatkowe: komentarze, statusy, tagi - oceny zgłoszeń: IP klienta - ooddzwonienia: numer telefonu klienta, nazwa klienta, nagranie rozmowy, dane użytkownika |
CSV, XLSX, OGG, WAV, MP3, JSON | E.164 (numer telefonu) ISO 8601 (daty) RFC 4180 (CSV) JSON Schema RFC 3533 (OGG) |
| Dane systemowe (dotyczące chatów) |
- oddzwonienia: numer telefonu klienta, nazwa klienta, nagranie rozmowy, dane Agenta - rozmowy czat: adres mailowy klienta, nazwa klienta, dane Agenta - zaplanowane oddzwonienia: numer telefonu klienta |
CSV, XLSX, OGG, WAV, MP3, JSON | E.164 (numer telefonu) ISO 8601 (daty) RFC 4180 (CSV) JSON Schema RFC 3533 (OGG) |
| Dane systemowe (dotyczące użytkowników) |
- historia logowań: adres IP użytkownika - historia kontaktu: zgłoszenia, czaty, rozmowy, SMSy - dane użytkowników: dane osobowe, mail, numer telefonu, awatar, - oceny ticketów ze strony klientów (wszystkie kanały), - oceny ticketów wewnętrzne (wszystkie kanały), - rozmowy wewnętrzne |
CSV, XLSX, OGG, WAV, MP3, JSON | E.164 (numer telefonu) ISO 8601 (daty) RFC 4180 (CSV) JSON Schema RFC 3533 (OGG) |
| Dane systemowe (dotyczące CRM) |
- dane klientów i firm: nazwy, adresy e-mail, numery telefonu, inne dane osobowe i firmowe | CSV, XLSX, XML, JSON | E.164 (numer telefonu) ISO 8601 (daty) RFC 4180 (CSV) JSON Schema |
| Dane systemowe (dotyczące SMS) |
- treść wiadomości, numer nadawcy i odbiorcy | CSV, XLSX | E.164 (numer telefonu) ISO 8601 (daty) RFC 4180 (CSV) |
6) Ogólny opis środków technicznych, organizacyjnych i umownych przyjętych przez dostawcę usług przetwarzania danych w celu zapobieżenia międzynarodowemu dostępowi do danych nieosobowych przechowywanych na terenie Unii lub ich przekazania administracji rządowej, w przypadku gdy taki dostęp lub takie przekazanie skutkowałyby naruszeniem prawa Unii lub prawa krajowego danego państwa członkowskiego.
- Polityka ochrony danych osobowych.
- Procedura wykrywania i zgłaszania naruszeń ochrony danych.
- Stosowanie polityk, procedur i instrukcji wynikających z certyfikacji normy ISO 27001.
- Zarządzanie dostępami zgodnie z polityką “need to know”.
- Wyznaczenie inspektora ochrony danych osobowych.
- Wydawanie upoważnień do przetwarzania danych osobowych.
- Prowadzenie działań szkoleniowych i edukacyjnych.
- Odbieranie od pracowników i współpracowników oświadczeń o zachowaniu danych osobowych w poufności.
- Realizacja kopii zapasowych przetwarzanych danych.
- Ograniczenie dostępu do obszaru przetwarzania danych osobowych przy stosowaniu środków fizycznych i technicznych.
- Ograniczenie dostępu do systemów informatycznych, w których przetwarzane są dane osobowe oraz sieci (stosowanie loginu i haseł, mfa, wyodrębnienie sieci dla osób trzecich, stosowanie automatycznego wygaszania i blokowania ekranu).
- Polityka haseł.
- Stosowanie bezpiecznych połączeń typu VPN.
- Cykliczne prowadzenie przez zewnętrznych audytorów testów penetracyjnych systemów informatycznych.
- Oprogramowanie antywirusowe.
- Umowa powierzenia przetwarzania danych osobowych.
- Umowna klauzula poufności.
- Procedura weryfikacji dalszych dostawców w zakresie zgodności z przepisami oraz stosowania adekwatnych środków bezpieczeństwa.
- Korzystanie z usług renomowanych dalszych dostawców.
- Prowadzenie analizy ryzyka naruszenia praw i wolności osób, których dane przetwarzane są w procesie przetwarzania.
- Procedura dot. stosowania zasady ochrony prywatności w fazie projektowania oprogramowania.
- Stosowanie kryptograficznych środków ochrony danych osobowych.
7) Informacje o usługach przetwarzania danych, które wiążą się z wysoce złożoną lub kosztowną zmianą dostawcy lub z niemożnością zmiany dostawcy bez znacznej ingerencji w dane, aktywa cyfrowe lub architekturę usługi.
| Kategoria | Dane | Format eksportu | Trudność migracji |
|---|---|---|---|
| Dane telekomunikacyjne | Dane billingowe: - data zdarzenia billingowego, - numery stron połączeń, - operator sieci (jeżeli zidentyfikowano), - kierunek zdarzenia (przychodzące/wychodzące), - kategoria zdarzenia (połączenie, SMS, faks), - czas trwania połączenia/ liczba wiadomości SMS, - koszt zdarzenia, - status zdarzenia (np. odebrane/nieodebrane). |
PDF, CSV | UI- łatwa API- wymaga specjalistycznej wiedzy |
| Dane systemowe (dane dotyczące infolinii) |
- porzucone połączenia: numer telefonu klienta, nazwa klienta - rozmowy infolinii: numer telefonu klienta, nazwa klienta - skrzynki głosowe: numer telefonu klienta, - daty, czasy i kierunki połączeń |
CSV, XLSX, OGG, WAV, MP3, JSON | UI- łatwa API- wymaga specjalistycznej wiedzy |
| Dane systemowe (dotyczące kampanii) |
- rozmowy kampanii: numer telefonu klienta, nazwa klienta, dane agenta - logi kampanii: numer telefonu klienta, dane agenta - połączenia na numer: numer telefonu klienta, dane agenta, rozmowa, - daty, czasy i kierunki połączeń - nazwy kampanii, schematy kampanii (produkty, statusy, osoby, itp.) |
CSV, XLSX, OGG, WAV, MP3, JSON | UI- łatwa API- wymaga specjalistycznej wiedzy |
| Dane systemowe (dotyczące zgłoszeń) |
- historia korespondencji mailowej: dane klientów i użytkowników, daty, czasy realizacji, treści wiadomości, załączniki, dane dodatkowe: komentarze, statusy, tagi - oceny zgłoszeń: IP klienta - oddzwonienia: numer telefonu klienta, nazwa klienta, nagranie rozmowy, dane użytkownika |
CSV, XLSX, OGG, WAV, MP3, JSON | UI- łatwa API- wymaga specjalistycznej wiedzy |
| Dane systemowe (dotyczące chatów) |
- oddzwonienia: numer telefonu klienta, nazwa klienta, nagranie rozmowy, dane Agenta - rozmowy czat: adres mailowy klienta, nazwa klienta, dane Agenta - zaplanowane oddzwonienia: numer telefonu klienta |
CSV, XLSX, OGG, WAV, MP3, JSON | UI- łatwa API- wymaga specjalistycznej wiedzy |
| Dane systemowe (dotyczące użytkowników) |
- historia logowań: adres IP użytkownika - historia kontaktu: zgłoszenia, czaty, rozmowy, SMSy - dane użytkowników: dane osobowe, mail, numer telefonu, awatar, - oceny ticketów ze strony klientów (wszystkie kanały), - oceny ticketów wewnętrzne (wszystkie kanały), - rozmowy wewnętrzne |
CSV, XLSX, OGG, WAV, MP3, JSON | UI- łatwa API- wymaga specjalistycznej wiedzy |
| Dane systemowe (dotyczące CRM) |
- dane klientów i firm: nazwy, adresy e-mail, numery telefonu, inne dane osobowe i firmowe | CSV, XLSX, XML, JSON | UI- łatwa API- wymaga specjalistycznej wiedzy |
| Dane systemowe (dotyczące SMS) |
- treść wiadomości, numer nadawcy i odbiorcy | CSV, XLSX | UI- łatwa |
Podziel się swoją opinią