Umowa Powierzenia Przetwarzania Danych

1.Definicje

Terminy pisane wielką literą, użyte w DPA, ale nie zdefiniowane, mają znaczenie nadane im w Umowie Głównej lub — w odpowiednim przypadku — w RODO.

„Dane Osobowe Klienta” oznaczają dane osobowe stanowiące część Danych klienta, które są przetwarzane przez Procesora w imieniu Administratora na podstawie Umowy Głównej.

„Osoba, której dane dotyczą” ma znaczenie nadane jej w art. 4 pkt 1 RODO.

„Naruszenie ochrony danych osobowych” ma znaczenie nadane mu w art. 4 pkt 12 RODO.

„Przetwarzanie” ma znaczenie nadane mu w art. 4 pkt 2 RODO.

„Standardowe klauzule umowne” lub „SCC” oznaczają standardowe klauzule umowne przyjęte przez Komisję Europejską na podstawie art. 46 ust. 2 lit. c RODO, z późniejszymi zmianami.

„Pod-procesor” oznacza każdą osobę trzecią zaangażowaną przez Procesora do przetwarzania Danych Osobowych Klienta, w tym podmioty powiązane Procesora.

2.Przedmiot, role i polecenia

Przedmiot, charakter, cel, czas trwania przetwarzania, rodzaje Danych Osobowych Klienta oraz kategorie Osób, których dane dotyczą, określone są w Załączniku 1 do DPA.

W odniesieniu do Danych Osobowych Klienta Administrator jest administratorem, a Procesor — podmiotem przetwarzającym w rozumieniu art. 4 pkt 7 i 8 RODO. Jeżeli Klient sam jest podmiotem przetwarzającym w imieniu administratora źródłowego, Procesor działa jako dalszy podmiot przetwarzający, a niniejsze postanowienia obowiązują back-to-back.

Procesor przetwarza Dane Osobowe Klienta wyłącznie na udokumentowane polecenia Administratora — w tym w odniesieniu do przekazywania Danych Osobowych Klienta do państwa trzeciego lub organizacji międzynarodowej — chyba że obowiązek przetwarzania nakłada na Procesora prawo Unii lub państwa członkowskiego. W takim wypadku Procesor poinformuje Administratora o tym obowiązku prawnym przed rozpoczęciem przetwarzania, chyba że prawo to zabrania takiego poinformowania z istotnych względów interesu publicznego.

Udokumentowane polecenia Administratora wobec Procesora określa Umowa Główna, niniejsze DPA oraz zgodne z prawem korzystanie z funkcji konfiguracyjnych Platformy. Administrator może w każdym czasie wydać dalsze pisemne polecenia. Procesor niezwłocznie poinformuje Administratora, jeżeli — według jego oceny — polecenie narusza RODO lub inne przepisy Unii lub państwa członkowskiego o ochronie danych.

3.Brak treningu na Danych Osobowych Klienta — Zero Data Retention

Procesor nie wykorzysta — i zapewni, że żaden Pod-procesor nie wykorzysta — Danych Osobowych Klienta do trenowania, dostrajania, ewaluacji ani ulepszania jakiegokolwiek modelu sztucznej inteligencji, ani w żadnym innym celu niż ścisłe wykonanie Umowy Głównej.

Procesor umownie wymaga od wszystkich Pod-procesorów świadczących inferencję dużych modeli językowych stosowania Zero Data Retention („ZDR”). ZDR oznacza, że prompty, odpowiedzi modelu oraz wszelkie powiązane wejścia i wyjścia narzędzi są przetwarzane w locie i nie są zachowywane ani logowane do przeglądu przez człowieka u Pod-procesora poza czas ściśle niezbędny do zwrócenia odpowiedzi. Kopie zobowiązań ZDR i umów, na których są oparte, są udostępniane Administratorowi na żądanie, z zachowaniem zabezpieczeń poufności.

Niniejsza sekcja stanowi istotny warunek DPA. Naruszenie niniejszej sekcji stanowi nieusunięte istotne naruszenie dla potrzeb sekcji 12 (Okres obowiązywania i rozwiązanie) Umowy Głównej, niezależnie od okresu naprawczego z sekcji 9 (Gwarancje) Umowy Głównej.

4.Poufność personelu

Procesor zapewni, by osoby upoważnione do przetwarzania Danych Osobowych Klienta zobowiązały się do zachowania poufności lub aby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności. Zobowiązania poufności obowiązują nadal po zakończeniu Umowy Głównej.

Dostęp do Danych Osobowych Klienta przyznawany jest w trybie najmniejszych uprawnień, z rolowymi mechanizmami kontroli dostępu zgodnymi z udokumentowaną polityką zarządzania dostępem Procesora. Sprawdzenia przeszłości personelu mającego dostęp do Danych Osobowych Klienta przeprowadzane są zgodnie z obowiązującym polskim prawem pracy i ochrony danych.

5.Bezpieczeństwo przetwarzania

Biorąc pod uwagę stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o różnym prawdopodobieństwie i wadze zagrożenia dla praw i wolności osób fizycznych, Procesor wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający temu ryzyku.

Środki techniczne i organizacyjne wdrożone przez Procesora opisane są w Załączniku 3. Procesor działa zgodnie z kontrolami ISO/IEC 27001:2022 oraz kryteriami Trust Services Criteria SOC 2 Type II, a mapę drogową formalnej certyfikacji opublikowano na grasperly.com/trust.

Procesor będzie przeglądał Załącznik 3 co najmniej raz w roku i może go okresowo aktualizować w celu uwzględnienia rozwoju technologii i krajobrazu zagrożeń, pod warunkiem że ochrona zapewniana Danym Osobowym Klienta nie zostanie w istotny sposób obniżona w trakcie okresu subskrypcji.

6.Pod-procesorzy

Administrator udziela niniejszym Procesorowi ogólnego upoważnienia na podstawie art. 28 ust. 2 RODO do angażowania Pod-procesorów do przetwarzania Danych Osobowych Klienta. Aktualna lista upoważnionych Pod-procesorów publikowana jest na grasperly.com/sub-processors („Lista Pod-procesorów”), a początkowa Lista Pod-procesorów na dzień wejścia DPA w życie zawarta jest w Załączniku 2.

Procesor poinformuje Administratora o każdej planowanej zmianie polegającej na dodaniu lub zastąpieniu Pod-procesora co najmniej trzydzieści (30) dni przed wejściem zmiany w życie — pocztą elektroniczną na wskazany adres kontaktowy Administratora ds. prywatności oraz przez aktualizację Listy Pod-procesorów. Administrator może wnieść sprzeciw wobec zmiany z rozsądnych, udokumentowanych powodów ochrony danych w terminie trzydziestu (30) dni od zawiadomienia.

W przypadku sprzeciwu Administratora wobec proponowanego Pod-procesora Strony omówią sprawę w dobrej wierze. Jeżeli Strony nie dojdą do porozumienia, Administrator może rozwiązać objętą sprzeciwem subskrypcję za pisemnym zawiadomieniem; w takim wypadku Procesor zwróci wszelkie opłaty zapłacone z góry za niewykorzystaną część okresu subskrypcji.

Procesor zapewni, by każdy Pod-procesor był związany pisemnymi warunkami nakładającymi na niego obowiązki ochrony danych co najmniej tak ochronne, jak te nałożone na Procesora w niniejszym DPA, zgodnie z art. 28 ust. 4 RODO. Procesor pozostaje w pełni odpowiedzialny przed Administratorem za wykonanie obowiązków przez każdego Pod-procesora.

7.Pomoc w realizacji żądań osób, których dane dotyczą

Uwzględniając charakter przetwarzania, Procesor pomoże Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości, w wywiązaniu się z obowiązku odpowiadania na żądania dotyczące korzystania z praw Osób, których dane dotyczą, na podstawie rozdziału III RODO (art. 15–22).

Jeżeli Procesor otrzyma bezpośrednio od Osoby, której dane dotyczą, żądanie dotyczące Danych Osobowych Klienta, Procesor: (i) niezwłocznie powiadomi Administratora; (ii) nie odpowie samodzielnie na żądanie poza potwierdzeniem otrzymania i skierowaniem Osoby, której dane dotyczą, do Administratora; oraz (iii) zapewni Administratorowi racjonalną pomoc w udzieleniu odpowiedzi.

Procesor udostępnia Administratorowi — poprzez interfejs administracyjny Platformy lub na żądanie — narzędzia niezbędne do realizacji typowych praw (eksport Danych Osobowych Klienta w formacie ustrukturyzowanym, usunięcie określonych rekordów, ograniczenie przetwarzania itp.). Pomoc w realizacji żądań osób, której dane dotyczą, mieszcząca się w zwykłym działaniu Platformy, świadczona jest bez opłaty. Jeżeli wymagana pomoc wykracza poza funkcjonalność natywnie wspieraną przez Platformę i wymaga znaczącego dodatkowego nakładu inżynierskiego, Procesor wcześniej pisemnie poinformuje Administratora o szacowanej rozsądnej opłacie; bez uprzedniego powiadomienia żadna opłata nie obowiązuje.

8.Zgłaszanie naruszeń ochrony danych osobowych

Procesor zgłosi Administratorowi naruszenie ochrony danych osobowych dotykające Danych Osobowych Klienta bez zbędnej zwłoki, w każdym razie w terminie trzydziestu sześciu (36) godzin od stwierdzenia naruszenia przez Procesora. Zgłoszenie nastąpi pocztą elektroniczną na wskazany adres kontaktowy Administratora ds. prywatności oraz, jeżeli Administrator wyznaczył IOD, do tego inspektora ochrony danych.

Zgłoszenie obejmie — w zakresie wówczas wiadomym — (i) charakter naruszenia, w tym w miarę możliwości kategorie i przybliżoną liczbę Osób, których dane dotyczą, oraz objętych rekordów; (ii) prawdopodobne konsekwencje naruszenia; (iii) środki podjęte lub proponowane przez Procesora w celu zaradzenia naruszeniu i ograniczenia możliwych negatywnych skutków; oraz (iv) punkt kontaktowy u Procesora, z którego można uzyskać dalsze informacje.

Jeżeli informacje nie mogą zostać przekazane jednocześnie, mogą być przekazywane etapami bez zbędnej zwłoki. Procesor zapewni Administratorowi racjonalną pomoc w wykonaniu obowiązków zgłoszenia naruszenia organowi nadzorczemu i Osobom, których dane dotyczą, na podstawie art. 33 i 34 RODO.

Zgłoszenie na podstawie niniejszej sekcji nie stanowi samo w sobie przyznania przez Procesora winy ani odpowiedzialności.

9.Pomoc przy DPIA i uprzedniej konsultacji

Uwzględniając charakter przetwarzania oraz informacje dostępne Procesorowi, Procesor udziela Administratorowi racjonalnej pomocy w: (i) przeprowadzaniu oceny skutków dla ochrony danych na podstawie art. 35 RODO, jeżeli przetwarzanie z wykorzystaniem Platformy może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych; oraz (ii) konsultacjach z organem nadzorczym na podstawie art. 36 RODO.

Procesor udostępni materiały referencyjne — w tym whitepaper bezpieczeństwa, listę Pod-procesorów oraz streszczenie procesu reagowania na incydenty — aby wesprzeć proces DPIA Administratora. Dodatkowa pomoc specyficzna świadczona jest na rozsądnych warunkach handlowych.

10.Prawa do audytu

Procesor udostępni Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwi audyty — w tym inspekcje — przeprowadzane przez Administratora lub audytora upoważnionego przez Administratora i będzie się do nich przyczyniał, zgodnie z art. 28 ust. 3 lit. h RODO.

Standardowy sposób audytu. Podstawowym mechanizmem wykazywania zgodności przez Procesora jest raport zbiorczy bezpieczeństwa, sporządzany przez Procesora co najmniej raz w roku i podsumowujący kontrole, wnioski z audytów oraz stan działań naprawczych. Administrator może w każdym czasie zwrócić się o najnowszy raport zbiorczy bezpieczeństwa. Po wydaniu raportu SOC 2 Type II i certyfikatu ISO 27001, raporty te zastąpią raport zbiorczy bezpieczeństwa, z zastrzeżeniem odpowiednich zobowiązań poufności.

Audyt na żądanie. Nie częściej niż raz w roku kalendarzowym (a dodatkowo po potwierdzonym naruszeniu ochrony danych dotykającym danych Administratora) Administrator może przeprowadzić — lub zlecić niezależnemu, zobowiązanemu do poufności audytorowi przeprowadzenie — audyt na miejscu ograniczony do czynności przetwarzania Procesora w ramach DPA. Strony uzgodnią zakres, terminy i metodykę co najmniej trzydzieści (30) dni wcześniej. Audyt nie będzie nieuzasadnienie zakłócać działalności Procesora i nie obejmie dostępu do danych innych klientów, kodu źródłowego ani innych materiałów, których ujawnienie stwarzałoby nieuzasadnione ryzyko bezpieczeństwa. Koszty audytów na żądanie ponosi Administrator.

Procesor może obciążyć Administratora rozsądną opłatą za czas personelu niezbędny do obsługi audytów na żądanie przekraczający dwa (2) osobodni na audyt.

11.Transfery międzynarodowe

Procesor domyślnie przetwarza Dane Osobowe Klienta w Unii Europejskiej (Frankfurt i Warszawa). Procesor nie przekaże Danych Osobowych Klienta poza Europejski Obszar Gospodarczy bez uprzedniej pisemnej instrukcji Administratora, chyba że przekazanie jest niezbędne do zgodnego z prawem działania Platformy skonfigurowanej przez Administratora, a Administrator wybrał region lub Pod-procesora spoza EOG w Formularzu Zamówienia lub konfiguracji Platformy.

Jeżeli dochodzi do przekazania poza EOG, Strony uzgadniają, że stosują się między nimi standardowe klauzule umowne przyjęte decyzją wykonawczą Komisji (UE) 2021/914 — z Procesorem jako importerem danych (Moduł 2 — administrator do procesora) lub jako eksporterem dalszym do Pod-procesora spoza EOG (Moduł 3 — procesor do procesora), w każdym wypadku włączone przez odesłanie do niniejszego DPA i uzupełnione następująco: (i) opcjonalna klauzula „dokująca” z klauzuli 7 jest włączona; (ii) wybiera się opcję 1 klauzuli 9 lit. a, z trzydziestodniowym okresem powiadomienia z sekcji 6 DPA; (iii) opcjonalne postanowienie o niezależnym organie rozstrzygania sporów z klauzuli 11 lit. a nie jest włączone; (iv) zgodnie z klauzulą 17 prawem właściwym jest prawo polskie (jako prawo państwa członkowskiego UE — zgodnie z wymogiem klauzuli); (v) zgodnie z klauzulą 18 forum stanowią sądy Rzeczypospolitej Polskiej właściwe dla siedziby Procesora w Warszawie, bez uszczerbku dla praw osób, których dane dotyczą, do dochodzenia roszczeń na podstawie klauzuli 18 lit. c w sądach miejsca ich zwykłego pobytu; (vi) dla Modułu 2: Załączniki I, II i III uzupełniono odpowiednio przez odesłanie do Załączników 1, 3 i 2 DPA; (vii) dla Modułu 3: Załączniki I i II uzupełniono przez odesłanie do Załączników 1 i 3 DPA, a obowiązki dotyczące dalszego przekazywania z klauzuli 9 są spełniane przez odesłanie do Listy Pod-procesorów publikowanej na grasperly.com/sub-processors.

Jeżeli Trybunał Sprawiedliwości UE lub właściwy organ nadzorczy wymaga środków uzupełniających dla konkretnego przekazania, Strony w dobrej wierze podejmą współpracę w celu ich wdrożenia.

12.Zwrot i usunięcie

Po rozwiązaniu lub wygaśnięciu Umowy Głównej Procesor — według wyboru Administratora — zwróci lub usunie wszystkie Dane Osobowe Klienta i ich kopie, chyba że prawo Unii lub państwa członkowskiego nakazuje zachowanie danych.

Zwrot jest udostępniany poprzez funkcję eksportu w Platformie przez okres co najmniej trzydziestu (30) dni od rozwiązania. Usunięcie następuje w terminie czterdziestu pięciu (45) dni od późniejszego z (i) rozwiązania i (ii) zakończenia okresu eksportu wskazanego przez Administratora, z wyjątkiem nośników kopii zapasowych, na których Dane Osobowe Klienta są nadpisywane w toku zwykłej rotacji kopii — w takim wypadku dane pozostają objęte środkami bezpieczeństwa z Załącznika 3 aż do nadpisania.

Na żądanie Procesor pisemnie potwierdzi zakończenie procesu usuwania.

13.Odpowiedzialność i zwolnienie

Odpowiedzialność każdej ze Stron wynikająca z niniejszego DPA lub w związku z nim podlega ograniczeniu odpowiedzialności określonemu w sekcji 11 Umowy Głównej, z wyjątkiem odpowiedzialności, której nie można wyłączyć lub ograniczyć na mocy bezwzględnie obowiązujących przepisów, w tym odpowiedzialności bezpośrednio nałożonej na administratora lub procesora w art. 82 RODO.

Jeżeli obie Strony uczestniczą w tym samym przetwarzaniu i — na podstawie art. 82 ust. 4 RODO — odpowiadają solidarnie, Strony rozdzielą między sobą odpowiedzialność zgodnie z odpowiednimi udziałami w odpowiedzialności. Strony w dobrej wierze podejmą współpracę przy obronie roszczeń, w szczególności poprzez wymianę informacji i koordynację komunikacji z organami nadzorczymi i Osobami, których dane dotyczą.

14.Postanowienia ogólne

Prawo właściwe i jurysdykcja. DPA podlega prawu Rzeczypospolitej Polskiej. Sądy Rzeczypospolitej Polskiej właściwe dla siedziby Procesora w Warszawie mają wyłączną jurysdykcję w odniesieniu do wszelkich sporów wynikłych z DPA lub w związku z nim, z zastrzeżeniem postanowień SCC dotyczących prawa właściwego i forum, jeżeli mają zastosowanie.

Język. DPA opublikowano w języku angielskim i polskim. Wersją wiążącą jest wersja angielska; wersja polska stanowi tłumaczenie zapewnione dla wygody. W przypadku rozbieżności pierwszeństwo ma wersja angielska.

Aktualizacje. Procesor może aktualizować niniejsze DPA w celu uwzględnienia zmian w obowiązującym prawie ochrony danych lub w Liście Pod-procesorów. O istotnych zmianach Procesor powiadomi Administratora co najmniej trzydzieści (30) dni przed ich wejściem w życie. Dalsze korzystanie Administratora z Platformy po dacie wejścia aktualizacji w życie stanowi akceptację — bez uszczerbku dla prawa Administratora do rozwiązania umowy określonego w Umowie Głównej, jeżeli aktualizacja jest istotnie niekorzystna dla Administratora.

Egzemplarze. DPA może zostać zawarte w egzemplarzach, w tym za pomocą podpisu elektronicznego, z których każdy stanowi oryginał, a łącznie stanowią jeden dokument.

S1.Załącznik 1 — Przedmiot i szczegóły przetwarzania

Przedmiot: świadczenie Platformy Grasperly zgodnie z Umową Główną.

Czas trwania: okres obowiązywania Umowy Głównej oraz dodatkowe okresy wskazane w sekcji 12 (Zwrot i usunięcie) niniejszego DPA.

Charakter i cel: zautomatyzowane przetwarzanie Danych Osobowych Klienta w celu zapewnienia Administratorowi funkcji badawczych, redakcyjnych i analitycznych z zakresu prawa — w tym przechowywania, wyszukiwania, indeksowania, transformacji oraz generowania wyników z udziałem AI.

Rodzaje Danych Osobowych Klienta: identyfikatory i dane kontaktowe (imiona i nazwiska, służbowy e-mail, służbowy telefon, stanowisko), informacje zawodowe (pracodawca, numer wpisu na listę adwokatów/radców prawnych, jeżeli udostępniony), oraz wszelkie dane osobowe zawarte w dokumentach, promptach, zapytaniach, instrukcjach, plikach lub innych treściach przesłanych do Platformy lub wygenerowanych za jej pośrednictwem przez Administratora lub jego Upoważnionych użytkowników. Administrator kontroluje zakres i treść Danych Osobowych Klienta przesyłanych do Platformy.

Szczególne kategorie danych: Administrator może przesyłać dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, przynależność związkową, dane dotyczące zdrowia, życia seksualnego, dane biometryczne lub genetyczne lub dane dotyczące wyroków skazujących i czynów zabronionych. Kategorie te mogą pojawiać się w materiałach z akt spraw. Środki bezpieczeństwa Procesora opisane w Załączniku 3 są zaprojektowane jako odpowiednie dla takich danych, jednak Administrator pozostaje odpowiedzialny za zgodność z prawem ich przetwarzania na gruncie art. 9 i 10 RODO.

Kategorie Osób, których dane dotyczą: klienci Administratora; strony przeciwne; kontrahenci; świadkowie; biegli; pełnomocnicy; personel sądu; pracownicy i członkowie organów Administratora; oraz każda inna osoba fizyczna wskazana w Danych klienta.

S2.Załącznik 2 — Wyjściowa lista Pod-procesorów

Wyjściowa Lista Pod-procesorów na dzień wejścia DPA w życie obejmuje:

• Amazon Web Services EMEA SARL (Luksemburg) — hosting w chmurze, aplikacja i baza danych (Frankfurt eu-central-1; Warszawa eu-central-2). Jurysdykcja UE.

• Anthropic Ireland Limited (Irlandia) — inferencja dużych modeli językowych (rodzina Claude). Zero Data Retention. Jurysdykcja UE.

• Mistral AI SAS (Francja) — zapasowa warstwa inferencji LLM. Zero Data Retention. Jurysdykcja UE.

• Plausible Insights OÜ (Estonia) — analityka bez cookies na grasperly.com. Jurysdykcja UE. (Uwaga: Plausible nie przetwarza Danych Osobowych Klienta w Platformie; obsługuje wyłącznie stronę marketingową.)

• Resend Sp. z o.o. (Polska) — e-mail transakcyjny (resety haseł, faktury, powiadomienia). Jurysdykcja UE.

Aktualizacje tej listy są publikowane na stronie Pod-procesorów.

S3.Załącznik 3 — Środki techniczne i organizacyjne

Procesor wdraża i utrzymuje następujące środki, zaprojektowane zgodnie z kontrolami ISO/IEC 27001:2022 (załącznik A) i kryteriami SOC 2 Trust Services. Lista ma charakter ilustracyjny, nie wyczerpujący, i jest okresowo aktualizowana zgodnie z sekcją 5 DPA.

Zarządzanie bezpieczeństwem informacji. Spisana polityka bezpieczeństwa informacji zatwierdzona przez zarząd i weryfikowana co najmniej raz w roku. Udokumentowana metodyka oceny ryzyka. Zdefiniowane role i obowiązki, w tym Head of Security odpowiadający przed Zarządem.

Zarządzanie dostępem. Scentralizowany dostawca tożsamości z SSO/SAML 2.0 dostępny dla Klientów w wariancie Enterprise. Uwierzytelnianie wieloskładnikowe wymagane od wszystkich pracowników Procesora z dostępem do systemów produkcyjnych. Rolowy model kontroli dostępu z zasadą najmniejszych uprawnień. Kwartalne przeglądy dostępu. Natychmiastowe odebranie uprawnień przy zakończeniu zatrudnienia.

Szyfrowanie. Dane Osobowe Klienta szyfrowane w tranzycie z użyciem TLS 1.2 lub wyższego (domyślnie TLS 1.3 na wszystkich końcówkach kontrolowanych przez Procesora). Dane Osobowe Klienta szyfrowane w spoczynku z użyciem AES-256-GCM. Zarządzanie kluczami przez KMS dostawcy chmury, z kluczami zarządzanymi przez klienta (CMK) dostępnymi w wariancie Enterprise.

Segmentacja sieci. Wielodzierżawne środowisko produkcyjne z logiczną izolacją Danych Osobowych Klienta na poziomie tenanta. Odrębne sieci dla rozwoju, stagingu i produkcji. Dostęp produkcyjny ograniczony do utwardzonego bastionu z audytowanym nagrywaniem sesji.

Bezpieczne wytwarzanie. Zarządzanie kodem źródłowym z obowiązkowym peer review każdej zmiany. Statyczne i dynamiczne testy bezpieczeństwa aplikacji w CI/CD. Skanowanie podatności zależności. Doroczne testy penetracyjne Platformy przez podmiot trzeci. Udokumentowany cykl bezpiecznego wytwarzania.

Zarządzanie podatnościami. Ciągłe skanowanie podatności. Udokumentowane SLA naprawcze: krytyczne — w terminie czterdziestu ośmiu (48) godzin; wysokie — siedmiu (7) dni; średnie — trzydziestu (30) dni; niskie — dziewięćdziesięciu (90) dni. Subskrypcje feedów threat intelligence.

Logowanie i monitorowanie. Logi aplikacyjne, infrastrukturalne i tożsamościowe przekazywane do nienadpisywalnego magazynu z retencją dwunastu (12) miesięcy. Monitoring bezpieczeństwa 24/7 z udokumentowanymi playbookami dla typowych klas alertów.

Reagowanie na incydenty. Spisany plan reagowania na incydenty z określonymi rolami, RACI i ścieżkami eskalacji. Doroczne ćwiczenia stołowe. Proces zgłaszania naruszeń zgodny z sekcją 8 DPA.

Ciągłość działania. Spisane plany ciągłości działania i odtwarzania po awarii. Recovery time objective (RTO): dwadzieścia cztery (24) godziny. Recovery point objective (RPO): jedna (1) godzina dla bazy aplikacji. Doroczny test odtworzenia.

Bezpieczeństwo personelu. Sprawdzanie przeszłości nowych pracowników z dostępem do Danych Osobowych Klienta, zgodnie z obowiązującym polskim prawem pracy i ochrony danych. Doroczne szkolenia z bezpieczeństwa. Zobowiązania poufności.

Bezpieczeństwo fizyczne. Dane Osobowe Klienta przechowywane są wyłącznie w centrach danych AWS certyfikowanych w standardach ISO 27001, ISO 27017, ISO 27018 i SOC 2 Type II. Procesor nie prowadzi własnych centrów danych.

Minimalizacja danych i pseudonimizacja. Domyślna retencja logów audytowych ograniczona do dwunastu (12) miesięcy. Pseudonimizacja stosowana w środowiskach testowych i przedprodukcyjnych.

Zarządzanie Pod-procesorami. Wszyscy Pod-procesorzy poddawani są formalnemu procesowi due diligence przed zaangażowaniem, są związani umownymi obowiązkami ochrony danych nie mniej ochronnymi niż DPA i podlegają corocznej ponownej ocenie.

S4.Załącznik 4 — Szczegóły SCC

Jeżeli zastosowanie ma sekcja 11 DPA, SCC są uzupełniane przez odesłanie do niniejszego Załącznika.

Załącznik I.A. Wykaz Stron. Eksporter danych: Administrator wskazany w stosownym Formularzu Zamówienia, administrator. Importer danych: Grasperly Sp. z o.o., podmiot przetwarzający; kontakt privacy@grasperly.com.

Załącznik I.B. Opis przekazywania. Jak w Załączniku 1.

Załącznik I.C. Właściwy organ nadzorczy. Jeżeli stosowany jest Moduł 2 i Administrator ma siedzibę w UE, właściwym organem jest organ nadzorczy głównej jednostki organizacyjnej Administratora. Jeżeli Administrator nie ma siedziby w UE i wyznaczył przedstawiciela UE, właściwym organem jest organ nadzorczy państwa członkowskiego przedstawiciela. W pozostałych przypadkach właściwym organem jest Prezes Urzędu Ochrony Danych Osobowych (UODO) Rzeczypospolitej Polskiej.

Załącznik II. Środki techniczne i organizacyjne. Jak w Załączniku 3.

Załącznik III. Wykaz Pod-procesorów. Jak w Załączniku 2 oraz na stronie Pod-procesorów.