Ogólne Warunki Handlowe

Uwaga: Niniejszy dokument stanowi tłumaczenie informacyjne. Wersja niemiecka jest prawnie wiążąca. W przypadku rozbieżności obowiązuje wersja niemiecka. → Deutsche Fassung (wersja niemiecka)

Gosign GmbH - Infrastruktura AI, rozwój agentów i tworzenie oprogramowania
Wersja 3.1 - Stan: marzec 2026

↓ Pobierz jako PDF (niemiecki oryginał)

§ 1 Zakres obowiązywania i przedmiot umowy

Niniejsze Ogólne Warunki Handlowe (OWH) obowiązują dla wszystkich umów pomiędzy Gosign GmbH (dalej "Gosign") a jej Klientami w następujących obszarach usług:

Infrastruktura AI dla przedsiębiorstw i rozwój agentów: Usługi związane ze sztuczną inteligencją w środowisku korporacyjnym, obejmujące planowanie i wdrażanie infrastruktury AI, rozwój agentów AI, integrację modeli AI, rozwiązania self-hosting, strategie FinOps optymalizujące koszty obciążeń AI oraz powiązane usługi doradcze i rozwojowe.

Decision Layer i architektura Governance: Opracowanie i wdrożenie warstwy sterowania i nadzoru (Decision Layer) pomiędzy agentami AI a docelowymi systemami przedsiębiorstwa, obejmujące sterowanie decyzjami oparte na regułach, dokumentację Audit Trail, architekturę Human-in-the-Loop oraz automatyczne generowanie dowodów zgodności (Cert-Ready).

Tworzenie oprogramowania: Tworzenie indywidualnych rozwiązań programistycznych, aplikacji webowych i integracji, również z wykorzystaniem frameworków i bibliotek open source. Obejmuje to koncepcję, projektowanie, rozwój, dostosowanie, integrację i dokumentację.

Hosting i usługi operacyjne (opcjonalnie): Opcjonalne usługi hostingowe i wsparcie operacyjne oferowane przez Gosign. Regularna eksploatacja rozwiązań opracowanych przez Gosign odbywa się zasadniczo w infrastrukturze Klienta. Hosting przez Gosign jest usługą dodatkową, uzgadnianą odrębnie.

Enablement i transfer wiedzy: Celem Gosign jest umożliwienie Klientowi samodzielnej eksploatacji i dalszego rozwoju dostarczonych rozwiązań. W uzgodnionym zakresie usługi obejmują szkolenia, dokumentację i ustrukturyzowany transfer wiedzy, mający na celu planowe zmniejszanie zależności Klienta od Gosign.

Rozgraniczenie: Gosign świadczy usługi techniczne. Rozwiązania opracowane przez Gosign nie zastępują doradztwa prawnego, podatkowego ani kadrowego. Końcowe decyzje merytoryczne pozostają po stronie Klienta. Systemy Klienta (np. SAP, Workday, SuccessFactors, DATEV) pozostają systemem wiodącym (System of Record); rozwiązania Gosign integrują się z tymi systemami, ale ich nie zastępują.

Krąg Klientów: Niniejsze OWH skierowane są wyłącznie do przedsiębiorców w rozumieniu § 14 BGB (niemieckiego Kodeksu Cywilnego). Dla Klientów z siedzibą w UE/EOG obowiązują bezpośrednio. Dla Klientów spoza UE/EOG obowiązują pod warunkiem uzgodnienia stosowania prawa niemieckiego. Gosign nie zawiera umów z konsumentami.

Indywidualne uzgodnienia i SLA mają pierwszeństwo przed niniejszymi OWH. Odmienne warunki Klienta nie obowiązują, chyba że Gosign wyraził na to wyraźną pisemną zgodę.

§ 2 Definicje

Poniższe pojęcia stosowane są w niniejszych OWH w następującym znaczeniu:

"Agent" oznacza komponent oprogramowania, który na podstawie modeli AI i zestawów reguł automatycznie wykonuje lub przygotowuje zadania w imieniu Klienta (np. Document Agent, Workflow Agent, Knowledge Agent).

"Audit Trail" oznacza kompletny, chronologiczny zapis wszystkich Decision Records i zdarzeń w systemie.

"Auditor Portal" oznacza interfejs webowy, za pośrednictwem którego upoważnieni audytorzy (wewnętrzni lub zewnętrzni) mogą przeglądać aktualny status wszystkich Controls i Evidence.

"Cert-Ready" oznacza właściwość architektury systemu spełniającą techniczne wymagania wstępne dla branżowych certyfikacji (np. ISO 27001, SOC 2, IDW PS 951) - bez zobowiązania do uzyskania samej certyfikacji ani jej gwarancji.

"Component Manifest" oznacza załączoną do oferty specyfikację, która przyporządkowuje każdy istotny komponent oprogramowania albo jako indywidualny rezultat pracy (§ 7.1), albo jako Komponent Platformy (§ 7.2). Szczegóły reguluje § 7.2 ust. 4.

"Control" oznacza technicznie zaimplementowaną regułę weryfikacyjną zapewniającą spełnienie określonego standardu zgodności lub nadzoru (np. "Żadna decyzja płacowa bez zasady czterech oczu").

"Decision Layer" oznacza opracowaną przez Gosign warstwę sterowania i nadzoru, która rozkłada procesy biznesowe na jednostkowe decyzje i dla każdego kroku określa, czy decyduje człowiek, stosowany jest zestaw reguł, czy AI działa autonomicznie.

"Decision Record" oznacza automatyczną, niezmienialną dokumentację pojedynczej decyzji w Decision Layer, obejmującą dane wejściowe, zastosowaną regułę/wersję modelu, wskaźnik pewności, ścieżkę decyzyjną i wynik.

"Evidence" oznacza automatycznie generowany dowód spełnienia danego Control w określonym momencie.

"Human-in-the-Loop" oznacza zasadę architektoniczną, zgodnie z którą określone decyzje wymagają zatwierdzenia przez człowieka przed ich wykonaniem. Klasyfikacja decyzji wymagających zatwierdzenia ludzkiego jest ustalana wspólnie z Klientem w ramach projektu.

"Maintenance" oznacza opcjonalną roczną umowę serwisową dotyczącą Komponentów Platformy, obejmującą bieżące utrzymanie, aktualizacje bezpieczeństwa i dalszy rozwój. Szczegóły reguluje § 7.7.

"Perpetual License" oznacza trwałe prawo użytkowania Klienta do danej dostarczonej wersji Komponentów Platformy zgodnie z § 7.2 ust. 2. Prawo użytkowania istnieje niezależnie od obowiązywania umowy serwisowej.

"Komponenty Platformy" (Plattform-Komponenten) oznaczają wielokrotnie wykorzystywany rdzeń techniczny rozwiązań Gosign, w szczególności Decision Engine, framework Rule Engine, architekturę Audit Trail oraz moduły orkiestracji. Szczegóły reguluje § 7.2 ust. 1.

"Transfer kodu źródłowego" (Quellcode-Transfer) oznacza przeniesienie wyłącznego prawa użytkowania indywidualnie opracowanych dla Klienta komponentów oprogramowania, obejmujących kod źródłowy, prompty, zestawy reguł, konfiguracje i dokumentację.

"Software Bill of Materials (SBOM)" oznacza zestawienie wszystkich komponentów open source wykorzystanych w rozwiązaniu wraz z ich licencjami zgodnie z § 7.4.

"System of Record" oznacza wiodący system Klienta dla danych podstawowych i transakcyjnych (np. SAP, Workday, SuccessFactors, DATEV). Rozwiązania Gosign integrują się z System of Record, ale go nie zastępują.

"Dopuszczalni Odbiorcy Zewnętrzni" (Zulässige Dritte) oznaczają podmioty wymienione wyczerpująco w § 7.1 ust. 3, którym Klient może przekazywać rezultaty pracy i Komponenty Platformy bez odrębnej zgody Gosign.

§ 3 Zawarcie umowy

Oferta i zamówienie: Prezentacja usług przez Gosign zasadniczo nie stanowi wiążącej oferty zawarcia umowy. Umowa zostaje zawarta poprzez zlecenie Klienta i przyjęcie przez Gosign w ciągu 14 dni kalendarzowych.

Umowa zostaje zawarta dopiero po potwierdzeniu zamówienia przez Gosign w formie tekstowej lub rozpoczęciu realizacji.

Umowa ramowa i fazy projektu: Umowa może być zawarta jako umowa ramowa z oddzielnie zlecanymi fazami. Każda faza może być zlecona oddzielnie, bez zobowiązania do zlecenia kolejnych faz.

Rodzaje umów na fazę: Fazy Discovery (analiza, doradztwo, mapowanie procesów) realizowane są jako umowy o świadczenie usług (Dienstvertrag); zobowiązaniem jest usługa doradcza, nie określony rezultat. Fazy Build (rozwój, wdrożenie, Proof of Concept) realizowane są jako umowy o dzieło (Werkvertrag) z odbiorem, chyba że uzgodniono inaczej. Fazy Scale i Support realizowane są jako umowy o świadczenie usług; opcjonalnie obowiązują SLA.

Umowy mogą być zawierane pisemnie, elektronicznie lub w formie tekstowej. Gosign przechowuje tekst umowy i niniejsze OWH.

§ 4 Usługi Gosign

Gosign realizuje uzgodnione umownie usługi fachowo i z należytą starannością (Sorgfalt eines ordentlichen Kaufmanns). Gosign jest uprawniony do zatrudniania wykwalifikowanych pracowników, podwykonawców lub pomocników.

Miejsce realizacji: Usługi realizowane są zasadniczo zdalnie. Gosign angażuje pracowników w różnych lokalizacjach i zapewnia przestrzeganie uzgodnionych standardów bezpieczeństwa i ochrony danych niezależnie od lokalizacji. Prace na miejscu uzgadniane są odrębnie.

Koordynacja projektu: Obie strony wyznaczają osoby kontaktowe. Gosign regularnie informuje o postępie projektu.

Terminy: Terminy są wiążące tylko wtedy, gdy wyraźnie tak uzgodniono. W przypadku opóźnień niezawinionych przez Gosign terminy ulegają odpowiedniemu przedłużeniu.

Zmiany zakresu (Change Requests): Zmiany zakresu usług wymagają pisemnego uzgodnienia dodatkowych kosztów i terminów.

Proof of Concept (PoC): Jeśli uzgodniono PoC, obowiązują kryteria sukcesu zdefiniowane w ofercie. PoC służy walidacji wykonalności technicznej. Rezultaty prac z PoC przechodzą na własność Klienta po pełnej zapłacie, chyba że uzgodniono inaczej.

Dostawy częściowe: Gosign jest uprawniony do realizacji uzasadnionych dostaw częściowych.

4.1 Odbiór dzieła

Klient sprawdza dostarczone dzieło w ciągu 14 dni kalendarzowych i dokonuje odbioru lub zgłasza wady. Brak reakcji oznacza odbiór, pod warunkiem wcześniejszego poinformowania Klienta o tym skutku. Nieistotne wady nie uprawniają do odmowy odbioru.

§ 5 Obowiązki współpracy Klienta

Klient dostarcza terminowo wszystkie wymagane dokumenty, informacje, dane i dostępy.

Klient wyznacza wykwalifikowaną osobę kontaktową z uprawnieniami decyzyjnymi.

Infrastruktura techniczna: Jeśli usługi realizowane są w systemach Klienta, Klient zapewnia infrastrukturę. Gosign informuje o wymaganiach systemowych.

Testy i odbiory: Klient aktywnie współpracuje, dokumentuje błędy i nie opóźnia bezzasadnie zatwierdzeń.

Utrzymanie i kopie zapasowe: Klient samodzielnie i terminowo instaluje aktualizacje bezpieczeństwa, chyba że posiada umowę serwisową z Gosign. Regularne kopie zapasowe leżą po stronie Klienta.

Zgodność z prawem: Klient odpowiada za zgodność z prawem wszystkich przekazanych treści i danych oraz zwalnia Gosign z roszczeń osób trzecich.

Opóźnienia i dodatkowe koszty wynikające z naruszenia obowiązków współpracy obciążają Klienta.

§ 6 Postanowienia szczególne dotyczące infrastruktury AI i rozwoju agentów

6.1 Zakres usług

Zakres usług określa oferta i może obejmować: integrację i dostosowanie modeli AI, tworzenie agentów AI, budowę Decision Layer, doradztwo w zakresie infrastruktury AI, FinOps, koncepcje bezpieczeństwa i zgodności, szkolenia.

Oferta wskazuje, które Komponenty Platformy (§ 7.2) są wykorzystywane i zawiera Component Manifest jako załącznik.

6.2 Trójstopniowa architektura i odpowiedzialności

Rozwiązania AI opracowane przez Gosign wyróżniają trzy warstwy przetwarzania o różnych odpowiedzialnościach:

(a) Analiza (model AI): Model językowy analizuje dane i generuje propozycje. Modele AI dostarczają wyniki probabilistyczne; Gosign odpowiada za prawidłową integrację i konfigurację modelu, nie za merytoryczną poprawność każdego pojedynczego wyniku.

(b) Decyzja (Decision Layer): Decision Layer stosuje zdefiniowane zestawy reguł, progi i procesy zatwierdzania do wyników analizy. Gosign odpowiada za prawidłową implementację uzgodnionej logiki decyzyjnej. Błędy w implementacji reguł stanowią wady oprogramowania objęte rękojmią.

(c) Wykonanie (integracja/narzędzie): Wyniki przekazywane są do systemów docelowych Klienta (np. SAP, DATEV, Workday). Gosign odpowiada za prawidłową integrację techniczną. Błędy w systemie docelowym Klienta leżą po stronie Klienta.

6.3 Human-in-the-Loop

Dla decyzji zaklasyfikowanych jako wysokiego ryzyka (w szczególności decyzje personalne, decyzje płacowe, decyzje podlegające współdecydowaniu - Mitbestimmung), Human-in-the-Loop jest standardem, chyba że wyraźnie uzgodniono inaczej. Klasyfikacja decyzji wymagających zatwierdzenia ludzkiego jest ustalana wspólnie i konfigurowana w Decision Layer. Klient pozostaje odpowiedzialny za końcowe decyzje merytoryczne.

6.4 Podejście model-agnostyczne

Gosign wykorzystuje modele AI różnych dostawców (podejście model-agnostyczne). Wybór następuje w uzgodnieniu z Klientem. Gosign informuje o planowanych zmianach modelu. W przypadku zaprzestania świadczenia usług przez dostawcę, Gosign niezwłocznie zaproponuje równoważny model alternatywny. Gosign nie ponosi odpowiedzialności za dostępność lub zaprzestanie usług stron trzecich.

6.5 Bias Monitoring

W uzgodnionym zakresie Gosign implementuje mechanizmy wykrywania i dokumentowania systematycznych odchyleń (Bias Monitoring). Bieżąca weryfikacja w trakcie eksploatacji leży po stronie Klienta, chyba że obowiązuje umowa serwisowa.

6.6 Wykorzystanie danych do celów AI

Klient pozostaje właścicielem i administratorem wszystkich danych udostępnionych Gosign. Gosign wykorzystuje je wyłącznie do realizacji umowy. Klient zapewnia, że posiada wymagane uprawnienia. Jeśli wykorzystywane są zewnętrzne modele lub interfejsy API, odbywa się to wyłącznie na warunkach wykluczających wykorzystanie danych Klienta do trenowania modeli, chyba że Klient wyraźnie wyrazi na to zgodę.

6.7 FinOps i koszty zależne od zużycia

Koszty zależne od zużycia stron trzecich (opłaty za API, czas obliczeniowy GPU) ponosi Klient, chyba że uzgodniono inaczej. Gosign z wyprzedzeniem informuje o strukturze kosztów i dostarcza przejrzyste raporty zużycia.

6.8 Wymogi regulacyjne

Gosign adresuje wymogi Rozporządzenia (UE) 2024/1689 (EU AI Act) jako techniczne zasady architektoniczne (Readiness). Prawna ocena zgodności dla konkretnego kontekstu wdrożenia leży po stronie Klienta i jego doradców prawnych. Gosign wspiera Klienta we wdrażaniu wymogów regulacyjnych na zlecenie.

6.9 Zwolnienie z odpowiedzialności (Indemnität)

Korzystanie z systemów AI leży w wyłącznej odpowiedzialności Klienta. Klient zwalnia Gosign z roszczeń osób trzecich wynikających z niewłaściwego lub niezgodnego z prawem użytkowania.

§ 7 Prawa użytkowania, własność intelektualna i dostęp do kodu źródłowego

7.1 Prawa użytkowania do indywidualnych rezultatów pracy

Klient otrzymuje z chwilą pełnej zapłaty trwałe, nieograniczone terytorialnie, niewyłączne prawo użytkowania następujących indywidualnych rezultatów pracy:

(a) Konfiguracje indywidualne (zestawy reguł, Decision Tables, polityki, reguły routingu, modele danych specyficzne dla Klienta, tabele decyzyjne)

(b) Prompty i szablony promptów opracowane dla Klienta i oznaczone w Component Manifest jako indywidualne

(c) Integracje i adaptery indywidualne zgodnie z Component Manifest (np. indywidualne połączenia SAP, konektory API, teksty interfejsu użytkownika)

(d) Dokumentacja techniczna rozwiązania indywidualnego

(e) Dane i konfiguracje Klienta we wszystkich formatach

Przyporządkowanie do § 7.1 lub § 7.2 wynika z Component Manifest zgodnie z § 7.2 ust. 4.

Prawo użytkowania obejmuje prawo do modyfikacji i dalszego rozwoju na potrzeby własnej działalności gospodarczej Klienta.

Przekazanie osobom trzecim lub sublicencjonowanie wymaga uprzedniej pisemnej zgody Gosign. Zgody nie wymaga przekazanie Dopuszczalnym Odbiorcom Zewnętrznym. Dopuszczalnymi Odbiorcami Zewnętrznymi są:

(i) Przedsiębiorstwa powiązane z Klientem w rozumieniu §§ 15 i nast. AktG (niemieckiej ustawy o spółkach akcyjnych) lub porównywalnego zagranicznego prawa koncernowego (spółki koncernowe, spółki zależne, jednostki shared services)

(ii) Dostawcy usług IT i podmioty przetwarzające dane Klienta, działający na podstawie zobowiązania do zachowania poufności i ograniczenia celu przetwarzania

(iii) Biegli rewidenci, audyt wewnętrzny i organy regulacyjne w ramach ustawowych lub umownych obowiązków kontrolnych

(iv) Następcy prawni Klienta w przypadku restrukturyzacji, połączenia lub transakcji zbycia aktywów (Asset Deal), pod warunkiem że przekazanie następuje w ramach przeniesienia tej części działalności, w której rozwiązanie jest wykorzystywane, a następca prawny przejmuje obowiązki wynikające z § 7; wykluczone jest przekazanie bezpośrednim konkurentom Gosign

Klient zapewnia, że Dopuszczalni Odbiorcy Zewnętrzni przestrzegają co najmniej równoważnych obowiązków ochrony i zachowania poufności.

§ 7.1 ma pierwszeństwo przed ogólną regulacją cesji w § 19 w zakresie przekazywania Dopuszczalnym Odbiorcom Zewnętrznym lub następcom prawnym.

Klient ma najpóźniej od momentu wdrożenia rozwiązania w jego infrastrukturze, a w przeciwnym razie najpóźniej z chwilą odbioru lub pełnej zapłaty, pełny dostęp do kodu źródłowego wszystkich komponentów eksploatowanych w jego środowisku - w tym Komponentów Platformy zgodnie z § 7.2. Dostęp oznacza czytelny, celowo niezaciemniony kod źródłowy w repozytorium prowadzonym w środowisku Klienta lub jako eksport kodu (co najmniej po każdym wydaniu produkcyjnym oraz na żądanie w ciągu 10 dni roboczych), wraz z instrukcją kompilacji i plikami zależności (Dependency Lockfiles). Dodatkowe eksporty kodu poza regularnymi wydaniami realizowane są bezpłatnie do dwóch razy na kwartał; dalsze eksporty rozliczane są według nakładu pracy.

7.2 Komponenty Platformy Gosign

Gosign wykorzystuje przy tworzeniu rozwiązań własne Komponenty Platformy. Komponenty Platformy stanowią wielokrotnie wykorzystywany rdzeń techniczny, w szczególności Decision Engine, framework Rule Engine, architekturę Audit Trail oraz moduły orkiestracji (dalej "Komponenty Platformy"). Wyłączna własność intelektualna i prawo użytkowania Komponentów Platformy pozostają przy Gosign.

Klient otrzymuje trwałe prawo użytkowania danej dostarczonej wersji Komponentów Platformy (Perpetual License). Prawo użytkowania jest niewyłączne i obejmuje eksploatację, konfigurację i integrację z systemami Klienta na potrzeby własnej działalności gospodarczej. Prawo użytkowania istnieje niezależnie od obowiązywania umowy serwisowej. Zasady przekazywania z § 7.1 (w tym Dopuszczalni Odbiorcy Zewnętrzni i obowiązek przenoszenia zobowiązań - flow-down) stosuje się odpowiednio.

Klient ma od momentu wdrożenia (lub z chwilą odbioru/zapłaty zgodnie z § 7.1) pełny dostęp do kodu źródłowego wszystkich Komponentów Platformy eksploatowanych w jego infrastrukturze. Gosign udostępnia kompletną dokumentację techniczną wraz z instrukcją kompilacji. Kod źródłowy nie jest celowo zaciemniany (brak obfuskacji, brak celowego utrudniania czytelności). Szyfrowanie kodu źródłowego w stanie spoczynku i podczas transmisji w celu ochrony integralności pozostaje bez zmian.

Komponenty Platformy są w ofercie oznaczone w Component Manifest. Component Manifest wymienia co najmniej wszystkie istotne Komponenty Platformy i przyporządkowuje każdy komponent albo do § 7.1 (indywidualny), albo do § 7.2 (platformowy). Component Manifest jest miarodajny dla przyporządkowania. Zmiany w Component Manifest wymagają formy tekstowej i są uzgadniane jako aneks do oferty lub w ramach Change Request. Komponenty niewymienione w Manifest uznaje się za indywidualne w rozumieniu § 7.1, chyba że są komponentami open source lub stron trzecich albo są już wykorzystywane jako Komponenty Platformy w innych projektach klientów; doprecyzowanie w formie aneksu pozostaje możliwe.

Kod źródłowy Komponentów Platformy stanowi informację poufną i tajemnicę przedsiębiorstwa Gosign w rozumieniu § 14. Klient może przeglądać kod źródłowy, wykorzystywać go do celów umownych i przekazywać Dopuszczalnym Odbiorcom Zewnętrznym zgodnie z § 7.1 z zachowaniem obowiązku przenoszenia zobowiązań (flow-down). Dalsze wykorzystanie, przekazanie lub komercjalizacja jest niedopuszczalna. Klient chroni kod źródłowy Komponentów Platformy co najmniej z taką samą starannością jak własne tajemnice przedsiębiorstwa.

Klient nie może wykorzystywać Komponentów Platformy, w tym kodu źródłowego i wiedzy z niego pozyskanej, do tworzenia, wprowadzania na rynek lub świadczenia produktu lub usługi konkurującej z Gosign ani do komercjalizacji na rzecz osób trzecich.

7.3 Source Code Escrow

Na życzenie Klienta Gosign deponuje kompletny kod źródłowy wszystkich Komponentów Platformy, wraz z instrukcją kompilacji, plikami zależności (Dependency Lockfiles) i dokumentacją wdrożeniową, u niezależnego depozytariusza (Escrow-Dienstleister). Koszty depozytu ponosi Klient, chyba że w ofercie uzgodniono inaczej.

Gosign przyznaje Klientowi już przy zawarciu umowy, pod warunkiem zawieszającym wystąpienia danego zdarzenia, wszelkie prawa użytkowania do Komponentów Platformy, w tym prawo do modyfikacji, dalszego rozwoju i samodzielnej eksploatacji. Warunek zawieszający spełnia się w następujących przypadkach:

(a) Wniosek o ogłoszenie upadłości Gosign (otwarcie postępowania lub oddalenie z powodu braku masy upadłościowej)

(b) Zaprzestanie wsparcia produktowego: Gosign nie udostępnia dla wykorzystywanych Komponentów Platformy aktualizacji bezpieczeństwa w ciągu 90 dni kalendarzowych od ujawnienia krytycznej luki, nie oferując w tym czasie równoważnego rozwiązania zastępczego, lub oficjalnie ogłasza zakończenie cyklu życia komponentu (End-of-Life). Za krytyczną lukę w rozumieniu niniejszej klauzuli uznaje się lukę bezpieczeństwa sklasyfikowaną jako wysoka lub krytyczna według międzynarodowo uznanych standardów (w szczególności CVSS). Szczegółowe kryteria mogą zostać ustalone w umowie depozytowej. Równoważne rozwiązanie zastępcze obejmuje co najmniej podstawowe funkcje zastępowanego komponentu i zapewnia porównywalny poziom bezpieczeństwa. Szczegółowe wymagania mogą zostać ustalone w umowie depozytowej.

(c) Istotne naruszenie umowy przez Gosign, które nie zostało usunięte pomimo pisemnego wyznaczenia terminu 60 dni kalendarzowych.

Szczegóły techniczne deponowania, aktualizacji i wydania reguluje odrębna umowa depozytowa pomiędzy Gosign, Klientem i depozytariuszem. Obejmuje ona w szczególności: zakres depozytu (repozytorium, klucze, łańcuch kompilacji, dokumentacja, zależności), częstotliwość aktualizacji, warunki wydania, prawo Klienta do weryfikacji oraz mechanikę wydania.

7.4 Komponenty open source

Gosign w miarę możliwości stosuje oprogramowanie open source. Prawa Klienta do komponentów open source podlegają odpowiednim warunkom licencyjnym (np. MIT, Apache, GPL). Gosign dostarcza Klientowi zestawienie wykorzystanych komponentów open source i ich licencji (Software Bill of Materials). Klient zobowiązuje się do przestrzegania tych warunków licencyjnych. Jeśli indywidualny kod bazuje na komponentach open source i może przez to podlegać ich warunkom licencyjnym, Gosign poinformuje o tym Klienta.

Gosign nie stosuje komponentów objętych licencjami copyleft (w szczególności GPL, AGPL), chyba że są one wyraźnie wskazane w ofercie i zaakceptowane przez Klienta.

7.5 Komponenty wielokrotnego użytku i izolacja mandantów

Gosign stale rozwija Komponenty Platformy i wykorzystuje je w projektach dla różnych Klientów. Konfiguracje indywidualne, tajemnice przedsiębiorstwa i dane Klienta nie są przenoszone do innych projektów.

Architektura techniczna zapewnia zgodnie z aktualnym stanem techniki, poprzez izolację mandantów, ścisłą separację danych Klientów. Obejmuje to w szczególności separację na poziomie danych, logów, historii promptów, pamięci masowej i kluczy specyficznych dla mandanta. Gosign dokumentuje architekturę izolacji na żądanie.

7.6 Ograniczone prawo użytkowania (alternatywa dla projektów czysto programistycznych)

Jeśli w ofercie nie przewidziano ani Komponentów Platformy, ani Component Manifest (w szczególności przy projektach czysto programistycznych bez wykorzystania Decision Layer), Klient otrzymuje trwałe, nieograniczone terytorialnie, niewyłączne prawo użytkowania do indywidualnych opracowań. Prawo użytkowania obejmuje prawo do modyfikacji i dalszego rozwoju na potrzeby własnej działalności gospodarczej. Zasady przekazywania zgodnie z § 7.1 ust. 3 (w tym Dopuszczalni Odbiorcy Zewnętrzni i obowiązek przenoszenia zobowiązań - flow-down) stosuje się odpowiednio.

7.7 Opłaty licencyjne i utrzymanie

Za indywidualne rezultaty pracy (§ 7.1) nie są naliczane bieżące opłaty licencyjne.

Dla Komponentów Platformy Gosign (§ 7.2) obowiązuje: Prawo użytkowania dostarczonej wersji (Perpetual License) jest objęte wynagrodzeniem uzgodnionym w ofercie. Dalsze bieżące opłaty powstają wyłącznie, gdy zostały wyraźnie wskazane w ofercie.

Dla bieżącego utrzymania, aktualizacji bezpieczeństwa i dalszego rozwoju Komponentów Platformy może zostać zawarta roczna umowa serwisowa (Maintenance). Rodzaj, zakres, czasy reakcji i wysokość opłat serwisowych są przejrzyście wykazane w danej ofercie.

W przypadku wypowiedzenia umowy serwisowej przez Klienta, prawo użytkowania ostatniej dostarczonej wersji pozostaje w pełni zachowane. Klient nie otrzymuje wówczas dalszych aktualizacji, poprawek bezpieczeństwa ani wsparcia technicznego dla Komponentów Platformy. Gosign zaleca w takim przypadku zawarcie umowy depozytowej kodu źródłowego (Source Code Escrow) zgodnie z § 7.3.

Bez wyraźnego uzgodnienia w ofercie nie powstają żadne bieżące opłaty.

7.8 Modyfikacje Klienta w Komponentach Platformy

Klient ma prawo modyfikować Komponenty Platformy na potrzeby własnej działalności gospodarczej. Gosign w miarę możliwości udostępnia udokumentowane punkty rozszerzenia (Extension Points), umożliwiające zmiany bez ingerencji w rdzeń platformy.

Jeśli Klient dokona zmian w Komponentach Platformy poza udokumentowanymi punktami rozszerzenia (Extension Points), rękojmia i prawo do wsparcia technicznego dla dotkniętych części wygasają do momentu, gdy (a) zmiany zostaną cofnięte lub (b) Gosign przeprowadzi płatną analizę i potwierdzi kompatybilność.

Klient współpracuje w rozsądnym zakresie w celu zapewnienia, że aktualizacje bezpieczeństwa Gosign mogą być wdrażane również przy istniejących modyfikacjach Klienta. Jeśli Klient odmówi wymaganej współpracy lub jego modyfikacje uniemożliwią wdrożenie aktualizacji bezpieczeństwa, Gosign jest uprawniony do zawieszenia wsparcia dla dotkniętych komponentów do czasu usunięcia blokady. Blokada ma miejsce, gdy aktualizacja nie może zostać wdrożona przy rozsądnym nakładzie pracy, ponieważ zmiany Klienta dokonane poza Extension Points naruszają kompatybilność.

Obowiązki Klienta w zakresie bezpieczeństwa zgodnie z § 9 pozostają nienaruszone przez modyfikacje.

7.9 Wkład Klienta w Komponenty Platformy

Jeśli przewidziano to w ofercie lub w odrębnym uzgodnieniu, Klient może zgłaszać poprawki błędów, propozycje ulepszeń lub rozszerzenia dla Komponentów Platformy ("Wkłady").

Klient udziela Gosign prostego, niewyłącznego, nieograniczonego czasowo i terytorialnie prawa użytkowania takich Wkładów, o ile dotyczą one Komponentów Platformy i nie zawierają tajemnic przedsiębiorstwa ani konfiguracji indywidualnych Klienta. Gosign może włączyć te Wkłady do Komponentów Platformy i udostępnić je wszystkim Klientom.

Niniejsza klauzula nie ustanawia obowiązku Klienta do zgłaszania Wkładów.

7.10 Termin przekazania

Przekazanie rezultatów pracy (w tym repozytorium kodu źródłowego, dokumentacji, Component Manifest, konfiguracji i Software Bill of Materials) następuje najpóźniej z odbiorem ostatniej fazy projektu i pełną zapłatą. Gosign aktywnie wesprze przekazanie i zapewni Klientowi pełny dostęp.

§ 8 Hosting i usługi operacyjne

Regularna eksploatacja rozwiązań opracowanych przez Gosign odbywa się w infrastrukturze Klienta. Hosting przez Gosign jest opcjonalną usługą dodatkową. Jeśli Klient korzysta z hostingu, obowiązują następujące warunki:

Managed Services w infrastrukturze Klienta: Jeśli Gosign eksploatuje rozwiązanie w środowisku chmurowym Klienta, postanowienia dotyczące hostingu stosuje się odpowiednio. Odpowiedzialność za infrastrukturę bazową pozostaje po stronie Klienta. Gosign odpowiada za warstwę aplikacyjną.

Centrum danych: Hosting odbywa się w Niemczech lub UE, chyba że uzgodniono inaczej. Preferencje Klienta należy zgłosić przy zawieraniu umowy.

Dostępność: Bez SLA brak gwarancji minimalnej dostępności. Gosign dąży do wysokiej dostępności.

Okna serwisowe: Planowane prace serwisowe poza godzinami pracy z wcześniejszym powiadomieniem.

Kopie zapasowe: Codzienne kopie zapasowe, 7-dniowa retencja rotacyjna, chyba że uzgodniono inaczej.

Transition i exit: Po zakończeniu usług hostingowych Gosign wspiera Klienta przez do 90 dni przy migracji (Transition). Transition rozliczana jest według nakładu pracy. Wszystkie dane Klienta są w pełni eksportowalne w standardowych formatach.

§ 9 Bezpieczeństwo, utrzymanie i aktualizacje

Obowiązkowe aktualizacje bezpieczeństwa: Gosign może instalować aktualizacje bezpieczeństwa bez uprzedniej zgody Klienta, jeśli zwłoka zagrażałaby bezpieczeństwu. Klient jest informowany po fakcie.

Obowiązek tolerancji: Klient nie może odmówić aktualizacji bezpieczeństwa. Bezpieczeństwo i integralność systemu mają pierwszeństwo.

Odmowa: W przypadku odmowy wdrożenia środka bezpieczeństwa Gosign może zawiesić świadczenie usług. Roszczenia Klienta z tytułu wynikłych szkód są wyłączone.

Aktualizacje opcjonalne: Aktualizacje niezwiązane z bezpieczeństwem tylko po uzgodnieniu.

Testy penetracyjne: Klient może przeprowadzać audyty bezpieczeństwa lub testy penetracyjne z wyprzedzeniem co najmniej 14 dni kalendarzowych, pod warunkiem zachowania poufności. Szczegóły mogą być regulowane w SLA.

Reakcja na incydenty (Incident Response): W przypadku incydentu bezpieczeństwa zagrażającego dostępności, integralności lub poufności danych lub systemów Klienta, Gosign informuje Klienta niezwłocznie, najpóźniej w ciągu 24 godzin od powzięcia wiadomości, i podejmuje natychmiastowe działania zaradcze. Pierwsze powiadomienie i działania natychmiastowe stanowią część usługi umownej. Dalsze usługi (w szczególności analiza kryminalistyczna, ustalenie przyczyny źródłowej i przygotowanie szczegółowego raportu o incydencie) rozliczane są według nakładu pracy, chyba że incydent wynika z winy Gosign. Jeśli Gosign ponosi odpowiedzialność za incydent, wszystkie działania analityczne i naprawcze realizowane są dla Klienta bezpłatnie.

§ 10 Wynagrodzenie i warunki płatności

Ceny wynikają z oferty, powiększone o podatek VAT.

Rozliczenie według nakładu pracy lub ryczałtu zgodnie z uzgodnieniem.

Koszty dodatkowe i podróży tylko po wcześniejszym uzgodnieniu.

Termin płatności: 14 dni kalendarzowych, chyba że uzgodniono inaczej. Indywidualne terminy płatności mogą być uzgodnione. Odsetki za zwłokę: 9 punktów procentowych powyżej stopy bazowej (§ 288 ust. 2 BGB).

Zaliczki przy dłuższych projektach zgodnie z planem kamieni milowych.

Potrącenie tylko z niespornymi lub prawomocnie stwierdzonymi wierzytelnościami wzajemnymi.

§ 11 Odpowiedzialność

Nieograniczona: W przypadku winy umyślnej, rażącego niedbalstwa, naruszenia życia/ciała/zdrowia, gwarancji, odpowiedzialności za produkt.

Obowiązki kardynalne (wesentliche Vertragspflichten): W przypadku lekkiego niedbalstwa ograniczona do typowo przewidywalnej szkody.

Górna granica odpowiedzialności: Odpowiedzialność Gosign za szkody z naruszenia obowiązków kardynalnych jest ograniczona na incydent do wysokości wynagrodzenia netto uzgodnionego w danej umowie jednostkowej. Łączna odpowiedzialność Gosign ze stosunku umownego jest ograniczona do dwukrotności rocznego wynagrodzenia netto. Odmienne górne granice odpowiedzialności mogą być uzgodnione w umowach jednostkowych.

Szkody pośrednie, następcze i utracone korzyści: Wyłączone, z wyjątkiem winy umyślnej, rażącego niedbalstwa lub naruszenia obowiązków kardynalnych.

Utrata danych: Odpowiedzialność wyłącznie za koszty odtworzenia z prawidłowych kopii zapasowych Klienta.

Wyniki AI: Brak odpowiedzialności za decyzje oparte na wynikach AI, o ile Gosign nie naruszył obowiązków kardynalnych (patrz § 6.2).

Ubezpieczenie: Gosign utrzymuje rynkowe ubezpieczenie odpowiedzialności cywilnej działalności gospodarczej i zawodowej. Dowód na żądanie.

Przedawnienie: Dwa lata; nie dotyczy winy umyślnej, rażącego niedbalstwa lub szkód osobowych.

§ 12 Roszczenia z tytułu wad (rękojmia - Gewährleistung)

Okres rękojmi: 12 miesięcy od odbioru za wady fizyczne i prawne.

Wady należy niezwłocznie zgłosić w formie tekstowej. Usunięcie wad poprzez naprawę lub dostarczenie zamiennika.

Niepowodzenie po dwóch próbach: Obniżenie ceny lub odstąpienie od umowy.

Brak rękojmi za nieistotne odchylenia lub zakłócenia spowodowane przez Klienta.

Błędy w oprogramowaniu open source lub stron trzecich nie stanowią wady usługi Gosign, o ile prawidłowo zintegrowane.

Rękojmia za Komponenty Platformy podlega ograniczeniom zgodnie z § 7.8 (modyfikacje Klienta).

W przypadku umów o charakterze ciągłym: Obowiązują przepisy ustawowe dotyczące umów o świadczenie usług/najmu.

§ 13 Ochrona danych i przetwarzanie danych

Obie strony przestrzegają RODO, niemieckiej ustawy o ochronie danych (BDSG) i innych mających zastosowanie przepisów o ochronie danych.

Jeśli Klient przetwarza dane podlegające brazylijskiej LGPD lub innym międzynarodowym przepisom o ochronie danych, Gosign wspiera w zapewnieniu zgodności.

Gosign działa jako podmiot przetwarzający (Art. 28 RODO). Strony zawrą umowę o powierzeniu przetwarzania danych (Auftragsverarbeitungsvertrag - AVV).

Gosign akceptuje również umowy o przetwarzaniu danych dostarczone przez Klienta, pod warunkiem ich zgodności z RODO.

Gosign wdraża odpowiednie środki techniczne i organizacyjne (Art. 32 RODO).

Podprzetwarzający za ogólną zgodą, pod warunkiem umownego zobowiązania do równoważnego poziomu ochrony danych.

Data Residency: Na życzenie umowne zapewnienie, że przetwarzanie danych odbywa się wyłącznie w Niemczech lub określonym państwie UE/EOG. W przypadku wywołań API AI do państw trzecich - wcześniejsza informacja i, o ile technicznie wykonalne, europejskie punkty końcowe.

W przypadku naruszeń ochrony danych: Niezwłoczna informacja i współpraca przy obowiązkach zgłoszeniowych.

§ 14 Poufność

Obie strony traktują informacje poufne jako ściśle poufne.

Wyjątki: Publicznie znane, wcześniej znane, niezależnie opracowane, obowiązek ustawowy.

Ujawnianie: Wyłącznie na zasadzie need-to-know, pracownikom zobowiązanym do zachowania poufności.

Standard ochrony: Obie strony chronią informacje poufne co najmniej tak jak własne tajemnice przedsiębiorstwa, jednak co najmniej poprzez odpowiednie środki techniczne i organizacyjne zgodne z aktualnym stanem techniki.

Okres obowiązywania: 5 lat po zakończeniu umowy. Dla informacji oznaczonych jako tajemnice przedsiębiorstwa (w szczególności zgodnie z § 7.2 ust. 5) obowiązek zachowania poufności trwa po zakończeniu umowy bezterminowo.

Zwrot i zniszczenie: Na żądanie, najpóźniej przy zakończeniu umowy.

Referencje: Gosign może wykorzystywać nazwę i logo Klienta jako referencję wyłącznie za uprzednią pisemną zgodą Klienta.

§ 15 Czas trwania umowy i wypowiedzenie

15.1 Umowy projektowe kończą się wraz z odbiorem ostatniego świadczenia i pełną zapłatą.

15.2 Umowy o charakterze ciągłym: Minimalny okres obowiązywania 12 miesięcy. Następnie automatyczne przedłużenie o kolejne 12 miesięcy, z możliwością wypowiedzenia z 3-miesięcznym wyprzedzeniem na koniec bieżącego okresu.

15.2a Dla umów serwisowych zgodnie z § 7.7 (Maintenance) stosuje się odpowiednio regulacje dotyczące umów o charakterze ciągłym zgodnie z ust. 2, chyba że w umowie serwisowej uzgodniono odmienne okresy obowiązywania i terminy wypowiedzenia.

15.3 Wypowiedzenie nadzwyczajne w przypadku: (a) istotnego naruszenia obowiązku po 30-dniowym okresie naprawczym; (b) upadłości; (c) trwałej odmowy aktualizacji (§ 9); (d) niezgodnego z prawem korzystania z systemu.

15.4 Skutki zakończenia: Zwrot/usunięcie wszystkich danych Klienta. Transition zgodnie z § 8. Nabyte prawa użytkowania pozostają w mocy po pełnej zapłacie.

§ 16 Zgodność, certyfikacje i współdecydowanie

16.1 Cert-Ready: Gosign projektuje swoje rozwiązania tak, aby spełniały techniczne wymagania wstępne dla branżowych certyfikacji (Cert-Ready by Design). Konkretnie oznacza to: Controls są zaimplementowane jako obiekty danych pierwszej klasy w systemie, Evidence generowane jest automatycznie, Audit Trail jest kompletny i eksportowalny, a dostęp przez Auditor Portal jest przewidziany. Uzyskanie konkretnego certyfikatu nie jest zobowiązanym rezultatem i wymaga odrębnego uzgodnienia między Klientem, audytorem i Gosign.

16.2 Rada zakładowa i współdecydowanie (Betriebsrat und Mitbestimmung): Jeśli rozwiązania AI wdrażane są w obszarach podlegających współdecydowaniu (§ 87 ust. 1 nr 6 BetrVG), Gosign wspiera w przygotowaniu dokumentacji i materiałów informacyjnych dla rady zakładowej (Betriebsrat). Formalne włączenie rady zakładowej i zawarcie porozumień zakładowych (Betriebsvereinbarungen) leżą w odpowiedzialności Klienta. Architektura Decision Layer jest zaprojektowana tak, aby odwzorowywać porozumienia zakładowe jako konfigurowalne, technicznie egzekwowalne reguły.

16.3 Zgodność z sankcjami: Gosign oświadcza, że nie utrzymuje relacji biznesowych z osobami, podmiotami lub państwami objętymi sankcjami.

16.4 Zrównoważony rozwój: Gosign uwzględnia aspekty efektywności energetycznej przy wyborze infrastruktury. Informacje na żądanie.

§ 17 Kontrola eksportu

Klient przestrzega przepisów eksportowych i sankcyjnych. Gosign wskazuje komponenty podlegające kontroli eksportu. Realizacja zastrzeżona jest brakiem przeszkód prawnych.

§ 18 Siła wyższa

Brak odpowiedzialności za niewykonanie z powodu siły wyższej (klęski żywiołowe, wojna, pandemie, strajki, działania władz, awarie infrastruktury na dużą skalę). Niezwłoczne powiadomienie. Terminy ulegają odpowiedniemu przedłużeniu. Prawo odstąpienia po 3 miesiącach.

§ 19 Postanowienia końcowe

Prawo właściwe: Prawo niemieckie z wyłączeniem Konwencji Narodów Zjednoczonych o umowach międzynarodowej sprzedaży towarów (CISG).

Właściwość sądowa: Hamburg (dla kupców i osób prawnych).

Język umowy: Niemiecki. Wersje w innych językach służą międzynarodowej współpracy; w razie wątpliwości obowiązuje wersja niemiecka.

Wersjonowanie: Niniejsze OWH posiadają numer wersji i datę. Aktualna wersja dostępna pod adresem gosign.de/de/agb/.

Zmiany w formie tekstowej. Zmiany OWH z 6-tygodniowym wyprzedzeniem; okres sprzeciwu 4 tygodnie.

Cesja: Cesja tylko za pisemną zgodą. Przekazywanie Dopuszczalnym Odbiorcom Zewnętrznym i następcom prawnym zgodnie z § 7.1 ust. 3 pozostaje nienaruszone.

Klauzula salwatoryjna (salvatorische Klausel). Pierwszeństwo indywidualnych uzgodnień.