Klauzula informacyjna RODO – zamówienia telefoniczne (Voice Bot)

Warstwa 2 – pełna informacja o przetwarzaniu danych w kanale głosowym

Obowiązuje od: [DD.MM.RRRR]

Niniejsza klauzula stanowi pełną informację o przetwarzaniu danych osobowych w związku z przyjmowaniem zamówień przez asystenta głosowego (Voice Bot) na linii telefonicznej gritmo. Podczas rozmowy Voice Bot przekazuje tylko skróconą informację głosową i wskazuje link do tej strony. Klauzula realizuje obowiązek z art. 13 RODO oraz obowiązek przejrzystości z art. 50 Rozporządzenia (UE) 2024/1689 (AI Act).

1. Kto jest administratorem Pani/Pana danych

Administratorem Pani/Pana danych osobowych jest gritmo z siedzibą w [adres], NIP [……], [KRS lub CEIDG], dalej: „Restauracja” lub „Administrator”.

Kontakt w sprawach ochrony danych:

  • e-mail: [rodo@nazwa-restauracji.pl]
  • telefon: [……]
  • adres: [adres korespondencyjny]

Administrator [wyznaczył / nie wyznaczył] Inspektora Ochrony Danych. [Jeśli wyznaczony: Kontakt z IOD: iod@nazwa-restauracji.pl].

2. Że rozmawia Pani/Pan z systemem AI

Zgodnie z art. 50 ust. 1 Rozporządzenia (UE) 2024/1689 (AI Act) informujemy, że rozmowa pod numerem [numer telefonu] prowadzona jest przez system sztucznej inteligencji – Voice Bota, który rozpoznaje i generuje mowę w sposób automatyczny. Voice Bot informuje o tym na początku rozmowy. W każdej chwili może Pani/Pan poprosić o połączenie z pracownikiem Restauracji, mówiąc np. „chcę rozmawiać z człowiekiem” – jeżeli taki kanał jest dostępny – lub zakończyć rozmowę i skorzystać z zamówienia w inny sposób (strona WWW, aplikacja, wizyta w lokalu).

3. Technologia stojąca za Voice Botem – dostawca GRITMO

Usługa Voice Bot jest technicznie obsługiwana przez spółkę GRITMO P.S.A. z siedzibą w [adres GRITMO], KRS [……], NIP [……], działającą jako podmiot przetwarzający (procesor) w rozumieniu art. 28 RODO, na podstawie umowy powierzenia przetwarzania danych zawartej z Administratorem.

Oznacza to, że Administratorem Pani/Pana danych jest Restauracja, a GRITMO przetwarza dane wyłącznie na polecenie i w imieniu Restauracji – nie wykorzystuje ich do własnych celów, w szczególności nie trenuje na nich własnych modeli AI. Kontakt z GRITMO w sprawach technicznych: [iod@gritmo.pl].

4. Nagrywanie rozmowy

Rozmowa z Voice Botem jest nagrywana od momentu nawiązania połączenia. O fakcie nagrywania jest Pani/Pan informowana/y w pierwszych sekundach rozmowy, przed zebraniem jakichkolwiek danych związanych z zamówieniem. Jeżeli nie zgadza się Pani/Pan na nagrywanie, może Pani/Pan:

  • zakończyć rozmowę w dowolnym momencie,
  • skorzystać z zamówienia online na stronie gritmo,
  • odwiedzić Restaurację osobiście lub zamówić przez aplikację partnerską (np. [wskazać jaką]).

Nagrywanie służy celom dowodowym (potwierdzenie treści zamówienia), rozpatrywaniu reklamacji oraz zapewnieniu jakości obsługi.

5. Cele, podstawy prawne i okresy przechowywania

Cel przetwarzaniaPodstawa prawnaOkres przechowywania
Przyjęcie i realizacja zamówienia (przygotowanie, dostawa, wydanie w lokalu, rozliczenie)art. 6 ust. 1 lit. b RODO (umowa)Do realizacji zamówienia + okres przedawnienia roszczeń
Rejestracja rozmowy (nagranie + transkrypcja) w celach dowodowych i jakościowychart. 6 ust. 1 lit. b RODO (dowód zamówienia) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes: reklamacje, jakość obsługi, bezpieczeństwo)Nagranie audio: [30 / 90] dni
Transkrypcja tekstowa: [12] miesięcy
Rozpatrywanie reklamacjiart. 6 ust. 1 lit. b RODO oraz art. 6 ust. 1 lit. f RODODo 12 miesięcy od zakończenia reklamacji
Rozliczenia księgowe, wystawienie paragonu/faktury, KSeFart. 6 ust. 1 lit. c RODO (obowiązek prawny – m.in. ustawa o rachunkowości, VAT, KSeF)5 lat od końca roku obrotowego
Marketing bezpośredni Restauracji (połączenia, SMS, e-mail z promocjami) – tylko po wyrażeniu osobnej zgodyart. 6 ust. 1 lit. a RODO (zgoda), art. 398 Prawa komunikacji elektronicznej, art. 10 u.ś.u.d.e.Do wycofania zgody
Ustalenie, dochodzenie lub obrona roszczeńart. 6 ust. 1 lit. f RODODo upływu okresu przedawnienia

6. Jakie dane przetwarzamy

W trakcie rozmowy i realizacji zamówienia przetwarzane są:

  • numer telefonu, z którego Pani/Pan dzwoni (identyfikator połączenia, CLI);
  • nagranie głosu i transkrypcja całej rozmowy;
  • imię, jeżeli Pani/Pan je poda (np. do dostawy);
  • adres dostawy – ulica, numer, kod, miasto, piętro, kod do domofonu, uwagi dot. dostawy;
  • treść zamówienia (dania, dodatki, preferencje, uwagi) oraz jego wartość;
  • preferencje, jeżeli zostaną ujawnione (np. informacja o alergiach, dieta wegetariańska);
  • forma płatności deklarowana w rozmowie;
  • metadane rozmowy: czas rozpoczęcia/zakończenia, długość, identyfikator sesji.
Voice Bot nie tworzy odcisku głosowego (wektora biometrycznego) i nie prowadzi identyfikacji biometrycznej w rozumieniu art. 9 RODO. Informacje o alergiach lub stanie zdrowia przetwarzamy wyłącznie wtedy, gdy Pani/Pan sama/sam je poda i wyłącznie na potrzeby bezpiecznej realizacji zamówienia.

7. Odbiorcy Pani/Pana danych

Dane mogą być udostępniane następującym kategoriom odbiorców – w zakresie niezbędnym do realizacji celu, dla którego zostały zebrane:

OdbiorcaZakresRola
GRITMO P.S.A. – dostawca Voice BotaObsługa techniczna rozmowy, nagranie, transkrypcja, integracja z systemem RestauracjiPodmiot przetwarzający (art. 28 RODO)
Operator telefonii VoIP (np. Telnyx)Przekazywanie połączenia głosowegoDalszy podmiot przetwarzający
Dostawca rozpoznawania mowy (ASR, np. Whisper)Zamiana audio na tekstDalszy podmiot przetwarzający
Dostawca modelu językowego (LLM, np. OpenAI, Anthropic)Interpretacja treści rozmowy, generowanie odpowiedziDalszy podmiot przetwarzający
Dostawca syntezy mowy (TTS, np. ElevenLabs)Generowanie głosu Voice BotaDalszy podmiot przetwarzający
Dostawca hostingu i chmury obliczeniowejPrzechowywanie nagrań, transkrypcji, danych zamówieńDalszy podmiot przetwarzający
Kurierzy / firmy dostawczeDostarczenie zamówieniaOdrębny administrator lub podmiot przetwarzający
Operator płatności (np. PayU, Przelewy24, BLIK)Obsługa płatności online, jeżeli zostanie wybranaOdrębny administrator
Biuro rachunkowe, KSeF, organy podatkoweObsługa księgowa i obowiązki podatkoweOdrębny administrator lub podmiot przetwarzający
Organy publiczneWyłącznie w zakresie wynikającym z przepisów prawa (np. sądy, policja)Odrębny administrator

Aktualna, imienna lista podmiotów przetwarzających po stronie GRITMO jest dostępna na żądanie pod adresem [rodo@nazwa-restauracji.pl].

8. Przekazywanie danych poza EOG

Część dostawców technologii Voice Bota ma siedzibę poza Europejskim Obszarem Gospodarczym, w szczególności w Stanach Zjednoczonych. W odniesieniu do takich transferów stosujemy mechanizmy wymagane przez rozdział V RODO:

  • decyzją Komisji Europejskiej o stwierdzeniu odpowiedniego stopnia ochrony (EU–U.S. Data Privacy Framework) – dla dostawców certyfikowanych w DPF;
  • standardowe klauzule umowne (SCC) przyjęte decyzją wykonawczą Komisji (UE) 2021/914 – wraz z dodatkowymi środkami ochrony (szyfrowanie w tranzycie i spoczynku, minimalizacja danych), jeżeli z oceny skutków transferu wynika ich potrzeba.

Kopię tych zabezpieczeń można uzyskać, zwracając się do Administratora pod adresem [rodo@nazwa-restauracji.pl].

9. Pani/Pana prawa

W związku z przetwarzaniem danych osobowych przysługują Pani/Panu następujące prawa:

  1. dostępu do danych i uzyskania ich kopii, w tym kopii nagrania rozmowy, w której Pani/Pan uczestniczy (art. 15 RODO);
  2. sprostowania danych nieprawidłowych (art. 16 RODO) – w praktyce np. korekta adresu dostawy;
  3. usunięcia danych (art. 17 RODO) – z zastrzeżeniem obowiązków prawnych, które mogą nakazywać nam dalsze przechowywanie (np. księgowość);
  4. ograniczenia przetwarzania (art. 18 RODO);
  5. przenoszenia danych przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany (art. 20 RODO);
  6. sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu (art. 21 RODO) – w szczególności bezwzględny sprzeciw wobec marketingu;
  7. cofnięcia zgody (np. zgody marketingowej) w dowolnym momencie – bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem;
  8. wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa), jeżeli uważa Pani/Pan, że przetwarzanie narusza RODO.

Aby skorzystać z praw, prosimy o kontakt: [rodo@nazwa-restauracji.pl]. Odpowiadamy w terminie do miesiąca od otrzymania wniosku (z możliwością przedłużenia o kolejne 2 miesiące w szczególnie skomplikowanych sprawach). Wzór formularza wniosku RODO.

10. Zgoda marketingowa – osobna i w pełni opcjonalna

Na końcu rozmowy Voice Bot może zapytać, czy wyraża Pani/Pan zgodę na marketing ze strony Restauracji (połączenia głosowe, SMS, e-mail z promocjami). Jest to osobna zgoda, której:

  • udzielenie jest w pełni dobrowolne i nie wpływa na realizację bieżącego zamówienia;
  • można udzielić również poprzez stronę gritmo lub w lokalu;
  • wycofanie następuje w dowolnym momencie – e-mailowo, telefonicznie lub linkiem w każdej otrzymanej wiadomości marketingowej.

11. Decyzje zautomatyzowane (art. 22 RODO)

Voice Bot przyjmuje Pani/Pana zamówienie i przekazuje je do systemu Restauracji. Nie podejmuje w sposób wyłącznie zautomatyzowany decyzji wywołujących skutki prawne lub w podobny sposób istotnie Panią/Pana dotyczących w rozumieniu art. 22 RODO. Decyzje o odmowie realizacji zamówienia, zmianie warunków lub obsłudze reklamacji podejmuje pracownik Restauracji.

12. Dobrowolność podania danych

Podanie danych jest dobrowolne, ale niezbędne do realizacji zamówienia telefonicznego. Bez podania numeru telefonu (automatycznie przekazywanego), adresu dostawy oraz treści zamówienia przyjęcie i realizacja zamówienia nie są możliwe. Zawsze może Pani/Pan skorzystać z innego kanału (strona WWW, aplikacja, wizyta w lokalu).

13. Bezpieczeństwo danych

Administrator wspólnie z GRITMO stosuje środki techniczne i organizacyjne odpowiednie do ryzyka, w tym m.in.:

  • szyfrowanie transmisji (TLS) oraz szyfrowanie nagrań i transkrypcji w spoczynku;
  • kontrola dostępu na zasadzie minimum uprawnień, wieloskładnikowe uwierzytelnianie kont uprzywilejowanych;
  • monitorowanie i logowanie zdarzeń bezpieczeństwa;
  • umowne zobowiązanie wszystkich dostawców AI do nietrenowania modeli na danych przekazywanych przez GRITMO;
  • procedury zarządzania incydentami zgodne z art. 33–34 RODO.

14. Zmiany niniejszej klauzuli

Klauzula może być aktualizowana w przypadku zmian w przepisach prawa, rozwoju usługi Voice Bot lub zmian w liście dostawców. Aktualna wersja jest zawsze dostępna pod adresem gritmo/rodo-voice. Istotne zmiany sygnalizowane będą w warstwie głosowej Voice Bota.