Terms of Service (Regulamin) – https://sellpen.ai/terms 

Privacy Policy (Polityka prywatności) – https://sellpen.ai/privacy  

Cookie Policy (Polityka plików cookies) – https://sellpen.ai/cookies 

Data Processing Agreement, DPA (Umowa powierzenia przetwarzania danych) – https://sellpen.ai/dpa 

List of Subprocessors (Lista Podmiotów Podprzetwarzających (Podprocesorów)) – https://sellpen.ai/subprocessors  

 

DATA PROCESSING AGREEMENT (DPA)
concluded in electronic form by accepting the Terms of Service of the SellPen.ai platform
between:
The Client using the services of the SellPen.ai platform, hereinafter referred to as the “Controller”,
and
1xTeam spółka z ograniczoną odpowiedzialnością with its registered office in Warsaw, ul. Postępu 14, 02-676 Warsaw, Poland, entered into the Register of Entrepreneurs of the National Court Register under KRS number: 0000571058, NIP (Tax Identification Number): 5223035587, REGON (National Business Registry Number): 362256087,
e-mail address: hello@sellpen.ai, phone: +48 794 044 144,
hereinafter referred to as the “Processor” or the “Service Provider”.
The Controller and the Processor are hereinafter collectively referred to as the “Parties”.

PREAMBLE

WHEREAS, the Controller, within the scope of its business activities, uses services provided electronically by the Processor via the SaaS platform SellPen.ai (hereinafter referred to as the “Service” or the “Platform”);
WHEREAS, the use of the Service involves the processing of personal data by the Processor on behalf of the Controller;
WHEREAS, the purpose of this Agreement is to regulate the principles of this processing in accordance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), hereinafter referred to as the “GDPR”;
The Parties agree as follows:

§ 1. DECLARATIONS OF THE PARTIES

  1. This Data Processing Agreement (hereinafter referred to as the “Agreement”) constitutes an integral part of the Terms of Service of the SellPen.ai platform (hereinafter referred to as the “Main Agreement”) and is concluded pursuant to Article 28 of the GDPR.
  2. The Controller declares that it is the controller of personal data within the meaning of Article 4(7) of the GDPR, which it entrusts to the Processor for processing on the terms set out in this Agreement.
  3. The Processor declares that it has the appropriate technical and organisational measures, knowledge, and personnel to provide the Service and to process the entrusted personal data in accordance with applicable laws, in particular the GDPR.

§ 2. SUBJECT-MATTER, DURATION, NATURE AND PURPOSE OF THE PROCESSING

  1. Subject-matter of the processing: The Controller entrusts the Processor with the processing of personal data for the purpose of performing the Main Agreement, i.e., providing a Service that involves verifying the skills of candidates for sales positions through simulated conversations with an AI agent.
  2. Duration of the processing: The processing of personal data will last for the duration of the Main Agreement.
  3. Nature of the processing: The processing will be of an automated nature and will take place in the Processor’s IT systems. Processing activities include, in particular: collection, recording, storage, analysis, transcription, disclosure to the Controller, and deletion of data.
  4. Purpose of the processing: The sole purpose of the processing is to enable the Controller to use the functionalities of the Platform, including in particular:
    a) conducting a simulated interview (Real-time AI Customer Role-play) with candidates indicated by the Controller;
    b) analysis and assessment of candidates’ competencies by artificial intelligence systems;
    c) generating and providing the Controller with reports from the conducted simulations.

§ 3. TYPE OF DATA AND CATEGORIES OF DATA SUBJECTS

  1. Categories of data subjects: Candidates for employment or for positions indicated by the Controller, participating in the recruitment or assessment process conducted by the Controller.
  2. Type and scope of personal data entrusted:
    a) Identification and contact data: first name, last name, e-mail address, phone number.
    b) Voice recording: audio recording of the Candidate’s conversation with the AI agent. The Processor declares, and the Controller acknowledges, that the voice recording is processed solely for the purpose of its transcription and the substantive analysis of the speech content for competency assessment. The voice recording is not used to uniquely identify a natural person based on their unique characteristics, and therefore does not constitute biometric data within the meaning of Article 4(14) of the GDPR.
    c) Data generated during the Service: text transcript of the conversation, results of competency analysis and assessment generated by the AI system, comments and ratings added by the Controller in the Platform.
  3. The Controller undertakes not to entrust the Processor with special categories of personal data referred to in Article 9(1) of the GDPR, unless it is strictly necessary and the Controller has an explicit legal basis for doing so, of which it will inform the Processor.

§ 4. OBLIGATIONS OF THE PROCESSOR

The Processor undertakes to:

  1. Process on documented instructions: Process the entrusted personal data only on documented instructions from the Controller, which are this Agreement and the Controller’s actions within the Platform. The Processor shall not use the entrusted data for its own purposes.
  2. Ensure confidentiality: Ensure that persons authorised to process the personal data (e.g., employees, contractors) have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality, both during and after their employment.
  3. Implement security measures: Implement and maintain appropriate technical and organisational measures as referred to in Article 32 of the GDPR to ensure a level of security appropriate to the risk of infringement of the rights or freedoms of natural persons. These measures include, in particular:
    a) Encryption of connections (e.g., SSL/TLS protocol).
    b) Encryption of stored data, including audio recordings.
    c) Implementation of data access control procedures.
    d) The ability to ensure the ongoing confidentiality, integrity, availability, and resilience of processing systems and services.
    e) Regularly testing, assessing, and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.
  4. Assist the Controller: To the extent possible, assist the Controller by appropriate technical and organisational measures, in fulfilling the Controller’s obligation to respond to requests for exercising the data subject’s rights laid down in Chapter III of the GDPR (e.g., right of access, rectification, erasure).
  5. Assist with the Controller’s obligations: Taking into account the nature of processing and the information available to it, assist the Controller in ensuring compliance with the obligations pursuant to Articles 32 to 36 of the GDPR, including with respect to personal data breach notifications and conducting data protection impact assessments (DPIA).
  6. Notify of personal data breaches: Notify the Controller of any personal data breach without undue delay, and no later than 36 hours after having become aware of it, along with the information necessary for the Controller to fulfil its obligation under Article 33 of the GDPR.
  7. Allow for and contribute to audits: Make available to the Controller all information necessary to demonstrate compliance with the obligations laid down in Article 28 of the GDPR and allow for and contribute to audits, including inspections, conducted by the Controller or another auditor mandated by the Controller. The terms of an audit (date, scope, costs) shall be agreed upon by the Parties on a case-by-case basis.
  8. Deletion or return of data: At the choice of the Controller, delete or return all the personal data after the end of the provision of Services, and delete existing copies unless Union or Member State law requires storage of the personal data. By default, data is deleted within 90 days of the termination of the Main Agreement.

§ 5. OBLIGATIONS OF THE CONTROLLER

The Controller undertakes to:

  1. Process personal data in accordance with the law, in particular the GDPR.
  2. Have an appropriate legal basis for processing the personal data of candidates, including for entrusting it to the Processor (e.g., candidate’s consent, legitimate interest).
  3. Fulfil the information obligation towards data subjects in accordance with Articles 13 and 14 of the GDPR, including informing them about the use of the SellPen.ai platform and the processing of their data by an AI agent.
  4. Use the Platform in accordance with its intended purpose and ensure that the results of the AI analysis will not be the sole basis for automated decision-making within the meaning of Article 22 of the GDPR, and that the final recruitment decision will be made by a human.

§ 6. FURTHER ENGAGEMENT OF PROCESSORS (SUB-PROCESSORS)

  1. The Controller grants a general authorisation for the Processor to engage other processors (hereinafter “Sub-processors”) for the purpose of providing the Service.
  2. The list of current Sub-processors, along with information about their location and the scope of services they provide, is set out in Appendix No. 1 to this Agreement.
  3. The Processor shall inform the Controller of any intended changes concerning the addition or replacement of Sub-processors, thereby giving the Controller the opportunity to object to such changes.
  4. The Processor shall conclude an agreement with each Sub-processor that imposes on the Sub-processor the same data protection obligations as set out in this Agreement.
  5. The Processor remains fully liable to the Controller for the performance of the Sub-processor’s data protection obligations.

§ 7. TRANSFERS OF DATA OUTSIDE THE EUROPEAN ECONOMIC AREA (EEA)

  1. The Controller acknowledges and accepts that in connection with the use of services of certain Sub-processors (as indicated in Appendix No. 1), the entrusted personal data may be transferred to third countries, i.e., outside the European Economic Area (EEA), in particular to the United States of America.
  2. The Processor ensures that any transfer of data outside the EEA is carried out using appropriate legal safeguards required by the GDPR, in particular on the basis of:
    a) Standard Contractual Clauses (SCCs) approved by the European Commission, or
    b) An adequacy decision by the European Commission (e.g., under the EU-U.S. Data Privacy Framework).
  3. The Processor undertakes to verify and ensure that Sub-processors from third countries guarantee a level of data protection that is not lower than that provided by the GDPR.

§ 8. LIABILITY

  1. The liability of the Parties for non-performance or improper performance of this Agreement shall be governed by the provisions of the GDPR and the Polish Civil Code.
  2. The Processor shall be liable for the damage caused by processing only where it has not complied with obligations of the GDPR specifically directed to processors or where it has acted outside or contrary to lawful instructions of the Controller.

§ 9. FINAL PROVISIONS

  1. Any amendments to this Agreement must be made in writing or electronic form to be valid.
  2. In matters not regulated by this Agreement, the provisions of the GDPR and Polish law shall apply.
  3. Any disputes arising from this Agreement shall be settled by the court competent for the registered office of the Processor.
  4. The Agreement enters into force upon the Controller’s acceptance of the Terms of Service and remains in effect for the duration of the Main Agreement.
  5. Appendix No. 1 – List of Sub-processors, constitutes an integral part of this Agreement.

 

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

(Data Processing Agreement – DPA)

zawarta w formie elektronicznej poprzez akceptację Regulaminu świadczenia usług platformy SellPen.ai

pomiędzy:

Klientem korzystającym z usług platformy SellPen.ai, zwanym dalej „Administratorem”,

a

1xTeam spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, ul. Postępu 14, 02-676 Warszawa, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0000571058, NIP: 5223035587, REGON: 362256087,
adres e-mail: hello@sellpen.ai, telefon: +48 794 044 144,
zwaną dalej „Podmiotem Przetwarzającym” lub „Usługodawcą”.

Administrator i Podmiot Przetwarzający zwani są dalej łącznie „Stronami”.

PREAMBUŁA

ZWAŻYWSZY, ŻE Administrator w ramach prowadzonej przez siebie działalności gospodarczej korzysta z usług świadczonych drogą elektroniczną przez Podmiot Przetwarzający za pośrednictwem platformy SaaS SellPen.ai (zwanej dalej „Usługą” lub „Platformą”);

ZWAŻYWSZY, ŻE korzystanie z Usługi wiąże się z przetwarzaniem przez Podmiot Przetwarzający danych osobowych na zlecenie Administratora;

ZWAŻYWSZY, ŻE celem niniejszej Umowy jest uregulowanie zasad tego przetwarzania zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „RODO”;

Strony postanawiają, co następuje:

§ 1. OŚWIADCZENIA STRON

  1. Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (zwana dalej „Umową”) stanowi integralną część Regulaminu świadczenia usług platformy SellPen.ai (zwanego dalej „Umową Główną”) i jest zawierana na podstawie art. 28 RODO.
  2. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO, które powierza Podmiotowi Przetwarzającemu do przetwarzania na zasadach określonych w niniejszej Umowie.
  3. Podmiot Przetwarzający oświadcza, że dysponuje odpowiednimi środkami technicznymi i organizacyjnymi, wiedzą oraz personelem, aby świadczyć Usługę i przetwarzać powierzone dane osobowe zgodnie z obowiązującymi przepisami prawa, w szczególności z RODO.

§ 2. PRZEDMIOT, CZAS TRWANIA, CHARAKTER I CEL PRZETWARZANIA

  1. Przedmiot przetwarzania: Administrator powierza Podmiotowi Przetwarzającemu do przetwarzania dane osobowe w celu realizacji Umowy Głównej, tj. świadczenia Usługi polegającej na weryfikacji umiejętności kandydatów na stanowiska sprzedażowe poprzez symulacje rozmów z agentem AI.
  2. Czas trwania przetwarzania: Przetwarzanie danych osobowych będzie trwało przez okres obowiązywania Umowy Głównej.
  3. Charakter przetwarzania: Przetwarzanie będzie miało charakter zautomatyzowany i będzie odbywać się w systemach informatycznych Podmiotu Przetwarzającego. Czynności przetwarzania obejmują w szczególności: zbieranie, utrwalanie, nagrywanie, przechowywanie, analizowanie, transkrybowanie, udostępnianie Administratorowi oraz usuwanie danych.
  4. Cel przetwarzania: Jedynym celem przetwarzania danych jest umożliwienie Administratorowi korzystania z funkcjonalności Platformy, w tym w szczególności:
    a) przeprowadzenia symulacji rozmowy kwalifikacyjnej (Real-time AI Customer Role-play) z kandydatami wskazanymi przez Administratora;
    b) analizy i oceny kompetencji kandydatów przez systemy sztucznej inteligencji;
    c) generowania i udostępniania Administratorowi raportów z przeprowadzonych symulacji.

§ 3. RODZAJ DANYCH I KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄ

  1. Kategorie osób, których dane dotyczą: Kandydaci do pracy lub na stanowiska wskazane przez Administratora, uczestniczący w procesie rekrutacyjnym lub oceniającym prowadzonym przez Administratora.
  2. Rodzaj i zakres powierzanych danych osobowych:
    a) Dane identyfikacyjne i kontaktowe: imię, nazwisko, adres e-mail, numer telefonu.
    b) Nagranie głosu: nagranie audio rozmowy Kandydata z agentem AI. Podmiot Przetwarzający oświadcza, a Administrator przyjmuje do wiadomości, że nagranie głosu jest przetwarzane wyłącznie w celu jego transkrypcji oraz analizy merytorycznej treści wypowiedzi na potrzeby oceny kompetencji. Nagranie głosu nie jest wykorzystywane do jednoznacznej identyfikacji osoby fizycznej na podstawie jej unikalnych cech, a zatem nie stanowi danych biometrycznych w rozumieniu art. 4 pkt 14 RODO.
    c) Dane generowane w trakcie Usługi: transkrypcja tekstowa rozmowy, wyniki analizy i oceny kompetencji wygenerowane przez system AI, komentarze i oceny dodane przez Administratora w Platformie.
  3. Administrator zobowiązuje się nie powierzać Podmiotowi Przetwarzającemu danych osobowych szczególnych kategorii, o których mowa w art. 9 ust. 1 RODO, chyba że jest to bezwzględnie konieczne i posiada do tego wyraźną podstawę prawną, o czym poinformuje Podmiot Przetwarzający.

§ 4. OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO

Podmiot Przetwarzający zobowiązuje się do:

  1. Przetwarzania na udokumentowane polecenie: Przetwarzania powierzonych danych osobowych wyłącznie na udokumentowane polecenie Administratora, którym jest niniejsza Umowa oraz działania Administratora w ramach Platformy. Podmiot Przetwarzający nie będzie wykorzystywał powierzonych danych do własnych celów.
  2. Zapewnienia poufności: Zapewnienia, że osoby upoważnione do przetwarzania danych osobowych (np. pracownicy, współpracownicy) zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, zarówno w trakcie zatrudnienia, jak i po jego ustaniu.
  3. Wdrożenia środków bezpieczeństwa: Wdrożenia i utrzymywania odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO, w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych. Do środków tych należą w szczególności:
    a) Szyfrowanie połączeń (np. protokół SSL/TLS).
    b) Szyfrowanie przechowywanych danych, w tym nagrań audio.
    c) Wdrożenie procedur kontroli dostępu do danych.
    d) Zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
    e) Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  4. Wspierania Administratora: W miarę możliwości, pomocy Administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO (np. prawo dostępu, sprostowania, usunięcia).
  5. Pomocy w zakresie obowiązków Administratora: Uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomocy Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO, w tym w zakresie zgłaszania naruszeń ochrony danych i przeprowadzania oceny skutków dla ochrony danych (DPIA).
  6. Zgłaszania naruszeń: Zgłaszania Administratorowi każdego naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 36 godzin po jego stwierdzeniu, wraz z informacjami niezbędnymi do wypełnienia przez Administratora obowiązku z art. 33 RODO.
  7. Umożliwienia audytów: Udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwiania Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzania audytów, w tym inspekcji, i przyczyniania się do nich. Zasady przeprowadzania audytu (termin, zakres, koszty) będą każdorazowo uzgadniane przez Strony.
  8. Usunięcia lub zwrotu danych: Po zakończeniu świadczenia Usług, w zależności od decyzji Administratora, usunięcia lub zwrotu wszelkich danych osobowych oraz usunięcia ich istniejących kopii, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Domyślnie, dane są usuwane w terminie 90 dni od zakończenia Umowy Głównej.

§ 5. OBOWIĄZKI ADMINISTRATORA

Administrator zobowiązuje się do:

  1. Przetwarzania danych osobowych zgodnie z przepisami prawa, w szczególności z RODO.
  2. Posiadania odpowiedniej podstawy prawnej do przetwarzania danych osobowych kandydatów, w tym ich powierzenia Podmiotowi Przetwarzającemu (np. zgoda kandydata, uzasadniony interes).
  3. Wypełnienia obowiązku informacyjnego wobec osób, których dane dotyczą, zgodnie z art. 13 i 14 RODO, w tym poinformowania ich o wykorzystaniu platformy SellPen.ai i przetwarzaniu ich danych przez agenta AI.
  4. Korzystania z Platformy w sposób zgodny z jej przeznaczeniem oraz zapewnienia, że wyniki analizy AI nie będą stanowiły wyłącznej podstawy do podejmowania zautomatyzowanych decyzji w rozumieniu art. 22 RODO, a ostateczna decyzja rekrutacyjna będzie podejmowana przez człowieka.

§ 6. DALSZE POWIERZENIE PRZETWARZANIA (PODPROCESORZY)

  1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot Przetwarzający z usług innych podmiotów przetwarzających (dalej „Podprocesorów”) w celu realizacji Usługi.
  2. Lista aktualnych Podprocesorów, wraz z informacją o ich lokalizacji i zakresie świadczonych usług, stanowi Załącznik nr 1 do niniejszej Umowy.
  3. Podmiot Przetwarzający zobowiązuje się informować Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia Podprocesorów, dając Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
  4. Podmiot Przetwarzający zobowiązuje się do zawarcia z każdym Podprocesorem umowy, która nakłada na niego te same obowiązki w zakresie ochrony danych, jakie zostały nałożone na Podmiot Przetwarzający w niniejszej Umowie.
  5. Podmiot Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na Podprocesorze obowiązków ochrony danych.

§ 7. PRZEKAZYWANIE DANYCH POZA EUROPEJSKI OBSZAR GOSPODARCZY (EOG)

  1. Administrator przyjmuje do wiadomości i akceptuje, że w związku z korzystaniem z usług niektórych Podprocesorów (wskazanych w Załączniku nr 1), powierzone dane osobowe mogą być przekazywane do państw trzecich, tj. poza Europejski Obszar Gospodarczy (EOG), w szczególności do Stanów Zjednoczonych Ameryki.
  2. Podmiot Przetwarzający zapewnia, że każdy transfer danych poza EOG odbywa się z zastosowaniem odpowiednich zabezpieczeń prawnych wymaganych przez RODO, w szczególności na podstawie:
    a) Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską, lub
    b) Decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (np. w ramach programu EU-U.S. Data Privacy Framework).
  3. Podmiot Przetwarzający zobowiązuje się do weryfikacji i zapewnienia, że Podprocesorzy z państw trzecich gwarantują poziom ochrony danych nie niższy niż wynikający z RODO.

§ 8. ODPOWIEDZIALNOŚĆ

  1. Odpowiedzialność Stron z tytułu niewykonania lub nienależytego wykonania niniejszej Umowy regulują przepisy RODO oraz Kodeksu cywilnego.
  2. Podmiot Przetwarzający ponosi odpowiedzialność za szkody spowodowane przetwarzaniem tylko wtedy, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew nim.

§ 9. POSTANOWIENIA KOŃCOWE

  1. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej lub elektronicznej pod rygorem nieważności.
  2. W sprawach nieuregulowanych niniejszą Umową zastosowanie mają przepisy RODO oraz prawa polskiego.
  3. Wszelkie spory wynikające z niniejszej Umowy będą rozstrzygane przez sąd właściwy dla siedziby Podmiotu Przetwarzającego.
  4. Umowa wchodzi w życie z chwilą akceptacji Regulaminu świadczenia usług przez Administratora i obowiązuje przez czas trwania Umowy Głównej.
  5. Integralną część Umowy stanowi Załącznik nr 1 – Lista Podmiotów Podprzetwarzających.