1. Strony i role
Dla Danych Klienta przechwytywanych przez API bota spotkaniowego klient jest administratorem, a meetbot podmiotem przetwarzajacym. Dla danych konta, rozliczen, zapobiegania naduzyciom i analityki produktu meetbot dziala jako niezalezny administrator zgodnie z polityka prywatnosci.
2. Instrukcje przetwarzania
meetbot przetwarza Dane Klienta wylacznie po to, aby dolaczac do wskazanych spotkan, przechwytywac zamowione media i metadane, przesylac wyniki do skonfigurowanego miejsca przechowywania, dostarczac podpisane webhooki, zapewniac wsparcie, zabezpieczac usluge i wypelniac obowiazki prawne.
3. Srodki bezpieczenstwa
Produkcja dziala domyslnie w Hetzner Falkenstein, sekrety sa przechowywane poza kodem zrodlowym, tokeny API sa haszowane, podpisy webhookow uzywaja HMAC-SHA256, dostep admina jest ograniczony do nazwanych operatorow, a raportowanie bledow dziala w regionie UE Sentry z czyszczeniem PII.
5. Transfery miedzynarodowe
Domyslny bot i control plane pozostaja w EOG. Gdy subprocesor ma spolka-matke w USA lub sciezke przetwarzania w USA, meetbot opiera sie na Standardowych Klauzulach Umownych Komisji Europejskiej oraz dodatkowej ocenie skutkow transferu.
6. Incydenty bezpieczenstwa
meetbot powiadamia dotknietych klientow bez nieuzasadnionej zwloki po potwierdzeniu naruszenia danych osobowych obejmujacego Dane Klienta, przekazuje znany zakres i dzialania naprawcze oraz dostarcza dalsze informacje, gdy dochodzenie sie stabilizuje.
7. Wnioski osob, ktorych dane dotycza
Jesli osoba, ktorej dane dotycza, skontaktuje sie z meetbot w sprawie Danych Klienta, przekierujemy wniosek do klienta, gdy prawo na to pozwala. Zapewniamy rozsadna pomoc przy dostepie, eksporcie, sprostowaniu, ograniczeniu, sprzeciwie i usunieciu.
8. Zwrot i usuniecie
Wyniki spotkan sa zapisywane w bucketcie kontrolowanym przez klienta. Tymczasowy magazyn bota jest domyslnie usuwany po zakonczeniu uploadu. Usuniecie konta jest dostepne w dashboardzie oraz przez DELETE /api/v1/consumers/me, a wymagane prawem rekordy faktur sa zachowywane.
9. Wsparcie audytowe
Do czasu ukonczenia SOC 2 meetbot dostarcza dokumentacje bezpieczenstwa, szczegoly subprocesorow, notatki architektoniczne i rozsadne pisemne odpowiedzi na pytania audytowe klientow na podstawie NDA lub rownowaznych zasad poufnosci.
10. Podpis i kontakt
Aby podpisac ten DPA, poprosic o redline albo dolaczyc go do zamowienia enterprise, napisz na legal@meetbot.dev z adresu wlasciciela konta. Wnioski prywatnosci kieruj na privacy@meetbot.dev.
4. Subprocesorzy
Ponizsza lista jest operacyjnym wykazem subprocesorow. Powiadamiamy wlascicieli kont co najmniej 30 dni przed dodaniem nowego subprocesora, ktory istotnie zmienia przetwarzanie Danych Klienta.
| subprocesor | cel | jurysdykcja |
|---|---|---|
| Hetzner Online GmbH | Primary hosting (compute, Postgres, optional storage) | Germany |
| Stripe Payments Europe Ltd / Stripe Inc. | Payments, invoicing, customer-portal billing | Ireland (EU entity) + United States (parent) — SCCs in DPA |
| Cloudflare, Inc. | CDN, TLS termination, inbound email worker | United States — SCCs in DPA |
| Functional Software Inc. (Sentry) | Error tracking | Sentry EU region (Frankfurt, DE) selected; parent US — SCCs in DPA |
| PostHog Inc. (planned) | Product analytics on the marketing site (not live yet) | PostHog EU region (Frankfurt, DE); parent US — SCCs in DPA |
| Anthropic PBC | LLM inference for sample apps that use Claude (e.g. action-items-bot) | United States — SCCs in DPA; BAA path TBD; we do not route customer recordings to Anthropic for our own product |