Data Processing Agreement (DPA)

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych („DPA”) zostaje zawarta pomiędzy:

1. 1)

   [PEŁNA FIRMA / IMIĘ I NAZWISKO PRZEDSIĘBIORCY], prowadzącym działalność pod firmą / spółką [FORMA PRAWNA], z siedzibą / adresem wykonywania działalności: [ADRES], wpisanym do [CEIDG / KRS] pod numerem [NUMER], NIP: [NIP], REGON: [REGON – jeśli dotyczy], dalej jako „Procesor” albo „Specteron”,

a

1. 2)

   klientem korzystającym z usług Specteron, który zawarł z Procesorem umowę o świadczenie usług, subskrypcję, umowę enterprise, zamówienie, ofertę albo inny dokument stanowiący podstawę korzystania z usług Specteron, dalej jako „Administrator”.

Niniejsze DPA stanowi integralną część relacji umownej pomiędzy Administratorem a Procesorem i znajduje zastosowanie w zakresie, w jakim Procesor przetwarza dane osobowe w imieniu Administratora.

Jeżeli dane identyfikacyjne Administratora albo Procesora nie zostały wskazane w treści odrębnej umowy, za dane Stron uznaje się dane wynikające z zamówienia, konta klienta, faktury, oferty, akceptacji Terms albo innych dokumentów wiążących Strony.

Niniejsze DPA nie ma zastosowania do zakresu przetwarzania danych, w którym Specteron działa jako odrębny administrator danych, w szczególności wobec danych przetwarzanych na potrzeby własnej rachunkowości, rozliczeń, bezpieczeństwa, marketingu własnego, obsługi roszczeń, zgodności z prawem albo innych celów opisanych w Polityce Prywatności Specteron.

Użyte w niniejszym DPA pojęcia oznaczają:

1. 1)

   „Administrator” – administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO, który powierza Procesorowi przetwarzanie danych osobowych w związku z korzystaniem z usług Specteron.

2. 2)

   „Procesor” – podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO, tj. Specteron, przetwarzający dane osobowe w imieniu Administratora.

3. 3)

   „RODO” – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.

4. 4)

   „Dane Osobowe” – dane osobowe w rozumieniu art. 4 pkt 1 RODO przetwarzane przez Procesora w imieniu Administratora w ramach wykonywania usług.

5. 5)

   „Usługi” – usługi świadczone przez Specteron na podstawie Terms, oferty, zamówienia, planu, subskrypcji, umowy enterprise albo innego dokumentu wiążącego Strony.

6. 6)

   „Podprocesor” – inny podmiot przetwarzający, z którego usług korzysta Procesor przy wykonywaniu niniejszego DPA i który może przetwarzać Dane Osobowe w imieniu Administratora.

7. 7)

   „Umowa Główna” – umowa stanowiąca podstawę korzystania przez Administratora z usług Specteron.

8. 8)

   „Incydent” albo „Naruszenie” – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO.

9. 9)

   „Transfer poza EOG” – przekazanie danych osobowych do państwa trzeciego albo organizacji międzynarodowej w rozumieniu rozdziału V RODO.

10. 10)

    „Środki Techniczne i Organizacyjne” – środki wdrożone przez Procesora w celu zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych.

O ile w niniejszym DPA nie zdefiniowano danego pojęcia odmiennie, pojęcia użyte wielką literą mają znaczenie nadane im w Terms albo w RODO.

Administrator powierza Procesorowi przetwarzanie Danych Osobowych, a Procesor zobowiązuje się przetwarzać Dane Osobowe wyłącznie w imieniu Administratora, w zakresie i na zasadach określonych w niniejszym DPA oraz w Umowie Głównej.

Powierzenie przetwarzania następuje wyłącznie w zakresie, w jakim jest to niezbędne do świadczenia przez Procesora Usług na rzecz Administratora.

Niniejsze DPA spełnia wymogi umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 RODO.

Procesor zobowiązuje się przetwarzać Dane Osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa Unii Europejskiej albo prawa państwa członkowskiego, któremu podlega Procesor; w takim przypadku Procesor informuje Administratora o tym obowiązku przed rozpoczęciem przetwarzania, o ile prawo nie zabrania takiego poinformowania z ważnych względów interesu publicznego.

Charakter przetwarzania obejmuje w szczególności operacje takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez transmisję, rozpowszechnianie albo innego rodzaju udostępnianie, dopasowywanie, łączenie, ograniczanie, usuwanie albo niszczenie danych – wyłącznie w zakresie niezbędnym do świadczenia Usług.

Cel przetwarzania obejmuje w szczególności:

1. 1)

   udostępnienie Administratorowi funkcjonalności Specteron,

2. 2)

   utrzymanie Konta, Workspace, subskrypcji i modułów usługowych,

3. 3)

   obsługę wiadomości, leadów, formularzy, komunikacji albo innych danych wprowadzonych do Usługi,

4. 4)

   obsługę Widgetów, Integracji, API, webhooków, baz wiedzy, plików, Treści Użytkownika i funkcji AI,

5. 5)

   zapewnienie bezpieczeństwa, dostępności, integralności i ciągłości działania Usług,

6. 6)

   wsparcie techniczne, diagnostykę, backup, monitoring, utrzymanie infrastruktury oraz rozwój techniczny niezbędny do realizacji Umowy Głównej.

Szczegółowy opis przetwarzania stanowi Załącznik nr 1 do niniejszego DPA.

Procesor przetwarza Dane Osobowe przez okres obowiązywania Umowy Głównej oraz przez okres, w którym przetwarzanie jest niezbędne do wykonania obowiązków wynikających z tej umowy.

Po zakończeniu świadczenia Usług Procesor przetwarza Dane Osobowe wyłącznie przez okres niezbędny do:

1. 1)

   wykonania obowiązków usunięcia albo zwrotu danych,

2. 2)

   realizacji obowiązków prawnych,

3. 3)

   zapewnienia bezpieczeństwa, integralności backupów albo rozliczalności działań,

4. 4)

   ustalenia, dochodzenia albo obrony roszczeń,

5. 5)

   wykonania odrębnych uzgodnień Stron zgodnych z prawem.

Jeżeli Administrator nie złoży odmiennych instrukcji zgodnych z niniejszym DPA i prawem, zasady usunięcia albo zwrotu danych po zakończeniu świadczenia Usług określa § 18 niniejszego DPA oraz Załącznik nr 5.

Kategorie Danych Osobowych powierzanych Procesorowi zależą od sposobu korzystania z Usług przez Administratora.

Dane mogą obejmować w szczególności:

1. 1)

   dane identyfikacyjne, takie jak imię, nazwisko, nazwa użytkownika, nazwa organizacji,

2. 2)

   dane kontaktowe, takie jak adres e-mail, numer telefonu, adres korespondencyjny,

3. 3)

   dane kont i ról użytkowników,

4. 4)

   dane komunikacyjne, wiadomości, zgłoszenia, leady, formularze i odpowiedzi,

5. 5)

   dane zawarte w plikach, dokumentach, bazach wiedzy, treściach, notatkach, workflow, promptach i innych materiałach wprowadzanych do Usługi,

6. 6)

   dane techniczne i eksploatacyjne związane z korzystaniem z Usługi, w zakresie w jakim stanowią dane osobowe,

7. 7)

   dane rozliczeniowe i organizacyjne przetwarzane w ramach Workspace albo relacji z klientem końcowym Administratora,

8. 8)

   inne dane wprowadzone przez Administratora albo użytkowników upoważnionych przez Administratora.

Co do zasady niniejsze DPA nie obejmuje szczególnych kategorii danych osobowych ani danych dotyczących wyroków skazujących i naruszeń prawa, chyba że Administrator wprowadza takie dane do Usługi zgodnie z prawem, a Strony dopuściły taki zakres przetwarzania i wdrożyły odpowiednie zabezpieczenia.

Kategorie osób, których dane dotyczą, zależą od sposobu korzystania z Usług przez Administratora.

Dane mogą dotyczyć w szczególności:

1. 1)

   pracowników, współpracowników, administratorów i użytkowników Administratora,

2. 2)

   klientów końcowych Administratora,

3. 3)

   leadów, kontaktów handlowych albo użytkowników formularzy,

4. 4)

   kontrahentów, partnerów albo dostawców Administratora,

5. 5)

   osób kontaktujących się z Administratorem za pośrednictwem Widgetu, formularzy, wiadomości, zgłoszeń albo innych kanałów obsługiwanych przez Usługę,

6. 6)

   innych osób, których dane Administrator wprowadza do Usługi zgodnie z prawem.

Szczegółowy opis kategorii osób, których dane dotyczą, stanowi Załącznik nr 1.

W odniesieniu do Danych Osobowych objętych niniejszym DPA Administrator pozostaje administratorem danych, a Procesor działa wyłącznie jako podmiot przetwarzający.

Administrator odpowiada za:

1. 1)

   zgodność z prawem powierzenia danych Procesorowi,

2. 2)

   legalność przetwarzania danych osobowych przed ich przekazaniem Procesorowi,

3. 3)

   prawidłowość i adekwatność instrukcji przekazywanych Procesorowi,

4. 4)

   realizację obowiązków informacyjnych wobec osób, których dane dotyczą, chyba że prawo stanowi inaczej,

5. 5)

   ocenę, czy korzystanie z określonych funkcji Usługi jest zgodne z prawem i właściwe dla działalności Administratora.

Procesor przetwarza Dane Osobowe wyłącznie na podstawie udokumentowanych instrukcji Administratora wynikających z:

1. 1)

   niniejszego DPA,

2. 2)

   Umowy Głównej,

3. 3)

   konfiguracji i działań podejmowanych przez Administratora w ramach Usługi,

4. 4)

   innych udokumentowanych poleceń przekazanych przez Administratora, o ile są zgodne z prawem i technicznie wykonalne.

Jeżeli zdaniem Procesora instrukcja Administratora narusza RODO albo inne przepisy o ochronie danych, Procesor niezwłocznie informuje o tym Administratora, o ile obowiązujące przepisy nie stanowią inaczej.

Procesor nie jest zobowiązany do wykonania instrukcji, która byłaby sprzeczna z prawem, technicznie niemożliwa do wykonania albo wykraczałaby poza zakres Umowy Głównej bez odrębnych uzgodnień Stron.

Procesor zobowiązuje się:

1. 1)

   przetwarzać Dane Osobowe wyłącznie na udokumentowane polecenie Administratora,

2. 2)

   zapewnić, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności albo podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

3. 3)

   wdrożyć odpowiednie Środki Techniczne i Organizacyjne,

4. 4)

   przestrzegać warunków korzystania z Podprocesorów określonych w niniejszym DPA,

5. 5)

   wspierać Administratora w zakresie wymaganym przez art. 28 ust. 3 RODO, w granicach przewidzianych prawem i niniejszym DPA,

6. 6)

   po zakończeniu świadczenia usług usunąć albo zwrócić dane zgodnie z instrukcjami Administratora i zasadami określonymi w niniejszym DPA,

7. 7)

   udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków przewidzianych w art. 28 RODO oraz umożliwiać kontrole i audyty zgodnie z § 17.

Procesor może podejmować działania techniczne i organizacyjne niezbędne do zapewnienia bezpieczeństwa, integralności, dostępności i ciągłości działania Usług, także wtedy, gdy nie zostały one szczegółowo opisane w instrukcjach Administratora, o ile pozostają zgodne z celem przetwarzania i obowiązującymi przepisami prawa.

Procesor zapewnia, że do przetwarzania Danych Osobowych dopuszczone są wyłącznie osoby, które:

1. 1)

   zostały do tego odpowiednio upoważnione albo działają w ramach obowiązków wynikających z ich funkcji,

2. 2)

   posiadają odpowiednią wiedzę i przeszkolenie w zakresie ochrony danych i bezpieczeństwa informacji adekwatne do zakresu ich zadań,

3. 3)

   są zobowiązane do zachowania poufności.

Procesor prowadzi wewnętrzne zasady ograniczania dostępu do danych zgodnie z zasadą need-to-know oraz role-based access.

Obowiązek zachowania poufności obowiązuje zarówno w trakcie trwania współpracy, jak i po jej zakończeniu.

Procesor wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem Danych Osobowych.

Środki te obejmują w szczególności – w zakresie adekwatnym do charakteru Usług i ryzyka – kontrolę dostępu, uwierzytelnianie, szyfrowanie transmisji, rejestrowanie zdarzeń, backup, segmentację uprawnień, monitoring bezpieczeństwa, zarządzanie podatnościami, procedury reagowania na incydenty oraz środki zapewniające poufność, integralność, dostępność i odporność systemów.

Szczegółowy opis kategorii stosowanych Środków Technicznych i Organizacyjnych stanowi Załącznik nr 2.

Procesor może aktualizować i rozwijać stosowane środki bezpieczeństwa, o ile nie prowadzi to do istotnego obniżenia poziomu ochrony Danych Osobowych.

Administrator udziela Procesorowi ogólnego upoważnienia do korzystania z Podprocesorów przy wykonywaniu niniejszego DPA.

Procesor korzysta wyłącznie z takich Podprocesorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Procesor zobowiązuje Podprocesorów do ochrony danych osobowych na podstawie umowy lub innego wiążącego instrumentu prawnego, nakładającego na nich obowiązki zasadniczo równoważne z obowiązkami wynikającymi z niniejszego DPA, w szczególności w zakresie poufności, bezpieczeństwa, pomocy Administratorowi, usuwania albo zwrotu danych oraz zasad korzystania z dalszych podmiotów przetwarzających.

Aktualna lista kategorii albo tożsamości Podprocesorów może być udostępniana Administratorowi w Załączniku nr 3, w dokumentacji, panelu klienta albo na żądanie, w zakresie zgodnym z zasadami bezpieczeństwa i poufności.

Jeżeli Procesor zamierza dodać nowego Podprocesora albo zastąpić Podprocesora, poinformuje o tym Administratora w odpowiedni sposób przed wdrożeniem zmiany, chyba że zmiana ma charakter czysto techniczny i nie wpływa istotnie na poziom ochrony danych.

Administrator może zgłosić uzasadniony sprzeciw wobec nowego Podprocesora w terminie [14] dni od otrzymania informacji o zmianie, jeżeli wykaże, że korzystanie z tego Podprocesora może prowadzić do istotnego i obiektywnie uzasadnionego ryzyka naruszenia przepisów o ochronie danych.

W przypadku zgłoszenia uzasadnionego sprzeciwu Strony podejmą w dobrej wierze próbę wypracowania rozwiązania. Jeżeli nie będzie to możliwe, Procesor może zaproponować alternatywne rozwiązanie albo – w zakresie objętym sprzeciwem – ograniczyć odpowiednią funkcję, a w ostateczności Administrator może wypowiedzieć korzystanie z tej części Usługi zgodnie z Umową Główną.

Procesor może dokonywać Transferów poza EOG wyłącznie wtedy, gdy jest to zgodne z rozdziałem V RODO oraz niezbędne do świadczenia Usług albo korzystania z Podprocesorów lub dostawców infrastruktury.

W przypadku Transferu poza EOG Procesor stosuje odpowiedni mechanizm legalizujący transfer, w szczególności:

1. 1)

   decyzję stwierdzającą odpowiedni stopień ochrony,

2. 2)

   standardowe klauzule umowne,

3. 3)

   inny mechanizm przewidziany przez prawo.

Procesor na żądanie Administratora udzieli informacji o podstawie prawnej stosowanego transferu w zakresie, w jakim jest to możliwe i nie narusza obowiązków poufności wobec Podprocesorów albo innych podmiotów.

Informacje o istotnych kategoriach Transferów poza EOG mogą zostać wskazane w Załączniku nr 4.

Procesor, uwzględniając charakter przetwarzania, pomaga Administratorowi – poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości – wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania praw określonych w rozdziale III RODO.

Jeżeli Procesor otrzyma bezpośrednio od osoby, której dane dotyczą, żądanie dotyczące Danych Osobowych przetwarzanych w imieniu Administratora, bez zbędnej zwłoki przekaże takie żądanie Administratorowi, o ile nie jest zobowiązany do samodzielnego działania na podstawie prawa.

Procesor nie odpowiada za merytoryczną ocenę zasadności żądań osób, których dane dotyczą, chyba że Strony wyraźnie uzgodnią inaczej.

Procesor, uwzględniając charakter przetwarzania i informacje dostępne Procesorowi, pomaga Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO, w szczególności w zakresie:

1. 1)

   bezpieczeństwa przetwarzania,

2. 2)

   zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu,

3. 3)

   zawiadamiania osób, których dane dotyczą, o naruszeniu,

4. 4)

   przeprowadzania oceny skutków dla ochrony danych (DPIA),

5. 5)

   konsultacji uprzednich z organem nadzorczym.

Wsparcie, o którym mowa w ust. 1, jest realizowane z uwzględnieniem charakteru Usług, zakresu danych, dostępnych informacji, zasad bezpieczeństwa oraz rozsądnych możliwości technicznych i organizacyjnych Procesora.

Jeżeli udzielenie wsparcia wykracza poza standardowy zakres Usług albo wymaga istotnych dodatkowych zasobów, Strony mogą uzgodnić odrębne zasady współpracy albo wynagrodzenia, o ile nie wynika inaczej z Umowy Głównej albo bezwzględnie obowiązujących przepisów prawa.

W przypadku stwierdzenia Naruszenia dotyczącego Danych Osobowych przetwarzanych w imieniu Administratora, Procesor bez zbędnej zwłoki poinformuje Administratora o takim Naruszeniu.

Zawiadomienie obejmuje, w miarę dostępności informacji:

1. 1)

   opis charakteru Naruszenia,

2. 2)

   kategorie i przybliżoną liczbę osób, których dane dotyczą,

3. 3)

   kategorie i przybliżoną liczbę rekordów danych osobowych, których dotyczy Naruszenie,

4. 4)

   możliwe konsekwencje Naruszenia,

5. 5)

   środki zastosowane albo proponowane w celu zaradzenia Naruszeniu i ograniczenia jego ewentualnych negatywnych skutków.

Jeżeli nie jest możliwe przekazanie wszystkich informacji jednocześnie, Procesor może przekazywać informacje etapami, bez zbędnej zwłoki po ich uzyskaniu.

Zgłoszenie Naruszenia przez Procesora nie oznacza automatycznego uznania odpowiedzialności za Naruszenie.

Procesor dokumentuje Naruszenia w zakresie wymaganym przez prawo i wewnętrzne procedury bezpieczeństwa.

Procesor udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

Administrator ma prawo przeprowadzić audyt albo kontrolę Procesora w zakresie związanym z przetwarzaniem Danych Osobowych objętych niniejszym DPA, nie częściej niż raz w roku kalendarzowym, chyba że:

1. 1)

   wystąpiło Naruszenie,

2. 2)

   istnieje uzasadnione podejrzenie istotnego naruszenia niniejszego DPA,

3. 3)

   obowiązek przeprowadzenia audytu wynika z prawa.

Audyt powinien być przeprowadzany:

1. 1)

   po uprzednim pisemnym zawiadomieniu z co najmniej [30]-dniowym wyprzedzeniem,

2. 2)

   w godzinach pracy Procesora,

3. 3)

   w sposób niezakłócający nadmiernie działalności Procesora oraz bezpieczeństwa innych klientów,

4. 4)

   z zachowaniem zasad poufności i bezpieczeństwa informacji.

Procesor może zaspokoić obowiązek informacyjny wobec Administratora poprzez przekazanie aktualnych certyfikatów, raportów, opisów środków bezpieczeństwa, wyników audytów zewnętrznych albo innych wiarygodnych dokumentów, o ile dokumenty te w rozsądnym zakresie potwierdzają zgodność z obowiązkami wynikającymi z niniejszego DPA.

Administrator ponosi koszty audytu po swojej stronie, a jeżeli audyt wymaga istotnego zaangażowania zasobów Procesora wykraczającego poza zwykły zakres współpracy, Strony mogą uzgodnić zasady pokrycia uzasadnionych kosztów po stronie Procesora.

Administrator nie może uzyskać w ramach audytu dostępu do informacji stanowiących tajemnicę przedsiębiorstwa Procesora albo informacji dotyczących innych klientów Procesora, chyba że jest to absolutnie niezbędne i możliwe do ujawnienia zgodnie z prawem oraz zasadami poufności.

Po zakończeniu świadczenia Usług Procesor – zgodnie z decyzją Administratora – usuwa albo zwraca wszystkie Dane Osobowe Administratorowi, chyba że prawo Unii Europejskiej albo prawo państwa członkowskiego nakazuje przechowywanie danych.

O ile Administrator nie przekaże odmiennych instrukcji przed zakończeniem Usług, Procesor może przyjąć standardową procedurę usuwania albo retencji technicznej stosowaną w Specteron, opisaną w Załączniku nr 5.

Zwrot danych może nastąpić poprzez udostępnienie eksportu, narzędzia eksportowego, API, plików albo innych technicznie dostępnych metod, zgodnie z charakterem Usług i aktywnym Planem.

Usunięcie danych nie musi następować natychmiast, jeżeli:

1. 1)

   dane znajdują się w kopiach zapasowych,

2. 2)

   ich czasowe przechowanie jest niezbędne dla bezpieczeństwa, rozliczalności, ciągłości działania albo obrony przed roszczeniami,

3. 3)

   obowiązek przechowania wynika z prawa.

Po upływie okresów, o których mowa w ust. 4, dane są usuwane, anonimizowane albo trwale odseparowywane od aktywnego środowiska produkcyjnego, zgodnie z procedurami Procesora.

Każda ze Stron ponosi odpowiedzialność za naruszenie obowiązków wynikających z niniejszego DPA oraz z obowiązujących przepisów prawa w zakresie, w jakim odpowiada za dane naruszenie.

Administrator ponosi odpowiedzialność za zgodność z prawem powierzenia danych, legalność instrukcji oraz podstawy prawne przetwarzania danych osobowych.

Procesor ponosi odpowiedzialność za zgodność przetwarzania z niniejszym DPA i obowiązkami nałożonymi na podmiot przetwarzający przez RODO.

O ile bezwzględnie obowiązujące przepisy prawa nie stanowią inaczej, odpowiedzialność Stron z tytułu niniejszego DPA podlega ograniczeniom odpowiedzialności przewidzianym w Terms albo Umowie Głównej, z wyjątkiem przypadków, w których takie ograniczenie byłoby niedopuszczalne.

Żadne postanowienie niniejszego DPA nie wyłącza ani nie ogranicza odpowiedzialności Strony za szkodę wyrządzoną umyślnie ani odpowiedzialności, której nie można wyłączyć ani ograniczyć na mocy obowiązującego prawa.

Niniejsze DPA stanowi integralną część Umowy Głównej.

W przypadku sprzeczności pomiędzy niniejszym DPA a Terms, Polityką Prywatności albo innym dokumentem regulującym korzystanie z Usług, pierwszeństwo ma niniejsze DPA w zakresie dotyczącym przetwarzania Danych Osobowych w imieniu Administratora.

W pozostałym zakresie zastosowanie mają postanowienia Terms, Umowy Głównej, Polityki Prywatności oraz innych dokumentów uzgodnionych przez Strony.

Niniejsze DPA obowiązuje od dnia zawarcia Umowy Głównej albo od dnia rozpoczęcia przetwarzania Danych Osobowych przez Procesora w imieniu Administratora – zależnie od tego, które zdarzenie nastąpi wcześniej.

DPA obowiązuje przez cały okres, w którym Procesor przetwarza Dane Osobowe w imieniu Administratora, w tym przez okres czynności końcowych związanych z usunięciem albo zwrotem danych.

Wygaśnięcie albo rozwiązanie Umowy Głównej powoduje zakończenie obowiązywania niniejszego DPA, z zastrzeżeniem postanowień, które ze swej natury powinny obowiązywać dalej, w szczególności dotyczących poufności, odpowiedzialności, audytu po Naruszeniu oraz usunięcia albo zwrotu danych.

Niniejsze DPA podlega prawu polskiemu, chyba że bezwzględnie obowiązujące przepisy prawa stanowią inaczej.

W sprawach nieuregulowanych niniejszym DPA zastosowanie mają odpowiednie przepisy RODO oraz prawa polskiego.

Wszelkie spory pomiędzy Stronami wynikające z niniejszego DPA albo z nim związane będą rozstrzygane zgodnie z zasadami właściwości określonymi w Umowie Głównej, o ile bezwzględnie obowiązujące przepisy prawa nie stanowią inaczej.

Niniejsze DPA może zostać zawarte poprzez:

1. 1)

   podpisanie odrębnego dokumentu,

2. 2)

   akceptację elektroniczną,

3. 3)

   zawarcie Umowy Głównej odwołującej się do niniejszego DPA,

4. 4)

   inny prawnie skuteczny sposób uzgodniony przez Strony.

Procesor może aktualizować niniejsze DPA z ważnych przyczyn, w szczególności w związku ze zmianą prawa, struktury Usług, modelu świadczenia usług, architektury bezpieczeństwa albo listy Podprocesorów, z zachowaniem praw Administratora wynikających z obowiązujących przepisów prawa i Umowy Głównej.

O istotnych zmianach niniejszego DPA Procesor poinformuje Administratora w odpowiedni sposób, w szczególności poprzez panel klienta, wiadomość e-mail, publikację nowej wersji dokumentu albo inny zwyczajowo przyjęty kanał komunikacji.

Jeżeli którekolwiek postanowienie niniejszego DPA okaże się nieważne, bezskuteczne albo niewykonalne, nie wpływa to na ważność pozostałych postanowień.

DPA sporządzone jest w języku polskim. Procesor może udostępniać także wersje obcojęzyczne, przy czym w razie rozbieżności – o ile prawo nie stanowi inaczej – pierwszeństwo ma wersja polska.

DPA wchodzi w życie z dniem: [DATA WEJŚCIA W ŻYCIE].

Przed publikacją produkcyjną niniejsze DPA wymaga uzupełnienia o pełne dane Stron, finalne terminy, finalną listę Podprocesorów, opis transferów poza EOG oraz dostosowanie załączników do rzeczywistej architektury usług Specteron.