Trust Hub

Załącznik dotyczący przetwarzania danych osobowych (Data Processing Addendum)

Ostatnia aktualizacja: 28 października 2025 r.

Niniejszy Załącznik dotyczący przetwarzania danych osobowych (dalej: „Załącznik”, „DPA”) stanowi integralną część Umowy o świadczenie usług zawartej pomiędzy PeopleForce (dalej: „PeopleForce”, „My” lub „Podmiot przetwarzający”) a Klientem (dalej: „Administrator danych”, „Ty” lub „Klient”; łącznie: „Strony”).

Niniejszy Załącznik określa i reguluje uzgodnienia Stron dotyczące przetwarzania danych osobowych w ramach świadczenia Usług.

Klient zawiera niniejszy Załącznik w swoim imieniu oraz — w zakresie przewidzianym przepisami o ochronie danych osobowych — również w imieniu i na rzecz swoich Upoważnionych podmiotów powiązanych, w takim zakresie, w jakim PeopleForce przetwarza dane osobowe, w odniesieniu do których takie Upoważnione podmioty powiązane występują jako Administratorzy danych.

Wyłącznie na potrzeby niniejszego Załącznika, o ile wyraźnie nie wskazano inaczej, termin „Klient” obejmuje Klienta oraz jego Upoważnione podmioty powiązane.

W ramach świadczenia Usług zgodnie z Umową o świadczenie usług PeopleForce może przetwarzać dane osobowe w imieniu Klienta. W związku z tym Strony uzgadniają, że do takiego przetwarzania zastosowanie mają postanowienia niniejszego Załącznika dotyczące ochrony danych osobowych.

Zastosowanie niniejszego Załącznika

Niniejszy Załącznik stanowi załącznik do Umowy o świadczenie usług i jest jej integralną częścią. W związku z tym podmiot prawny PeopleForce, będący stroną Umowy o świadczenie usług, jest uznawany za stronę niniejszego Załącznika.

Warunki przetwarzania danych

Mając na uwadze, że:

1. (A) Podmiot Przetwarzający Dane Osobowe, jako Dostawca Usług, udostępnia platformę Peopleforce (zwaną dalej „Platformą”) Administratorowi Danych, zgodnie z Umową o Świadczenie Usług, podpisaną przez Strony;
2. (B) Korzystając z usług Podmiotu Przetwarzającego, Administrator Danych będzie musiał przesłać Dane Osobowe do systemów Podmiotu Przetwarzającego Dane Osobowe, w odniesieniu do których Administrator Danych działa jako Administrator Danych, a Podmiot Przetwarzający jako Podmiot Przetwarzający Dane Osobowe;
3. (C) Przepisy o ochronie danych oznaczają — w zależności od okoliczności:
   (i) Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. — ogólne rozporządzenie o ochronie danych (RODO/GDPR);
   (ii) brytyjskie ogólne rozporządzenie o ochronie danych (UK GDPR) oraz brytyjską ustawę „Data Protection Act 2018”, z późniejszymi zmianami;
   (iii) ustawę Ukrainy „O ochronie danych osobowych” nr 2297-VI z dnia 1 czerwca 2010 r., z późniejszymi zmianami;
   (iv) polską ustawę o ochronie danych osobowych, Dz. U. z 2018 r., poz. 1000, z późniejszymi zmianami;
   a także wszelkie inne mające zastosowanie przepisy prawa oraz akty wykonawcze w obszarze ochrony danych osobowych, które mogą mieć zastosowanie do Stron w związku z przetwarzaniem danych osobowych.
4. (D) Strony zamierzają przetwarzać dane osobowe zgodnie z wymogami właściwych przepisów o ochronie danych.
5. (E) Strony pragną określić i utrwalić swoje odpowiednie prawa i obowiązki w związku z takim przetwarzaniem danych osobowych.

1. Definicje

1. Jeżeli niniejszy Załącznik nie stanowi wyraźnie inaczej, terminy i wyrażenia pisane wielką literą użyte w niniejszym Załączniku mają znaczenie nadane im poniżej:

a. „DPA” oznacza niniejszy Załącznik do Powierzenia Przetwarzania Danych Osobowych oraz wszelkie załączniki do niej;

b. „Dane Osobowe Administratora Danych” oznaczają dane osobowe przetwarzane przez Procesora danych w imieniu Administratora danych na mocy lub w związku z Umową o świadczenie usług oraz niniejszym Załącznikiem, określone w Załączniku 1 do niniejszej DPA;

c. „Przetwarzanie danych” oznacza jakąkolwiek operację lub zestaw operacji wykonywanych na Danych Osobowych lub na zbiorach Danych Osobowych, niezależnie od tego, czy są one wykonywane automatycznie, takie jak zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultacja, używanie, ujawnianie przez przekazywanie, rozpowszechnianie lub w inny sposób udostępnianie, wyrównywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

d. „Podmiot Przetwarzający Dane Osobowe” - podmiot, który przetwarza Dane Osobowe w imieniu Administratora;

e. „Prawo Ochrony Danych” oznacza RODO (GDPR) oraz w zależności od okoliczności, wszelkie inne mające zastosowanie przepisy prawa oraz akty wykonawcze w zakresie ochrony danych osobowych lub prywatności, obowiązujące w danej jurysdykcji, w szczególności brytyjskie ogólne rozporządzenie o ochronie danych (UK GDPR), brytyjską ustawę „Data Protection Act 2018”, a także ustawę Ukrainy „O ochronie danych osobowych” oraz polskie przepisy o ochronie danych osobowych (RODO), w każdym przypadku z późniejszymi zmianami;

f. „EOG” oznacza Europejski Obszar Gospodarczy;

g. „RODO” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

h. „Transfer Danych” oznacza:

-przeniesienie Danych Osobowych Administratora Danych z Administratora Danych do Podmiotu Przetwarzającego; lub

-dalsze przeniesienie Danych Osobowych Administratora Danych do kolejnych podmiotów przetwarzających, lub między dwoma dalszymi podmiotami przetwarzającymi;

i. „Warunki świadczenia usług” oznacza umowę o świadczenie usług zawartą pomiędzy Stronami („Umowa Główna”), o której mowa w punkcie (A) powyżej;

j. „Usługi” oznaczają usługi świadczone przez Podmiot Przetwarzający dla Administratora Danych zgodnie z Umową Główną;k. „Dalszy Podmiot Przetwarzający Dane Osobowe” oznacza każdą osobę i / lub jednostkę wyznaczoną przez lub na rzecz Podmiotu Przetwarzającego do przetwarzania Danych Osobowych w imieniu Administratora Danych w związku z niniejszą Umową;zą Umową;

l. Inne terminy, w tym między innymi: „Komisja”, „Administrator”, „Podmiot Danych”, „Państwo Członkowskie”, „Dane Osobowe”, „Naruszenie Ochrony Danych Osobowych”, „Przetwarzanie” i „Organ Nadzorczy” będą miały takie samo znaczenie, jakie przypisano im w RODO, a ich pokrewne terminy będą interpretowane odpowiednio.

2. Przedmiot i zakres umowy, cel i charakter przetwarzania danych osobowych

1. Na podstawie art. 28 ust. 3 RODO Administrator Danych powierza Podmiotowi Przetwarzającemu Dane Osobowe do przetwarzania, a Podmiot Przetwarzający Dane Osobowe zobowiązuje się do ich przetwarzania zgodnie z Umową.
2. Celem przetwarzania Danych Osobowych jest świadczenie przez PeopleForce Usług na rzecz Klienta zgodnie z Umową główną. W ramach takiego przetwarzania PeopleForce, działając jako Podmiot przetwarzający, dokonuje operacji na danych osobowych niezbędnych do świadczenia Usług, w szczególności: zbierania, utrwalania, organizowania, porządkowania, przechowywania, wykorzystywania, wyszukiwania, łączenia oraz usuwania danych osobowych na Platformie PeopleForce.
3. Dane osobowe będą przetwarzane przez Podmiot Przetwarzający Dane Osobowe w formie elektronicznej w systemach informatycznych. Strony oświadczają, że w celu wykonania swoich obowiązków wynikających z Umowy Głównej będą przekazywać sobie dane osobowe wyłącznie w zakresie niezbędnym do tego celu, tj.:
   
   a. dane osobowe przedstawicieli każdej ze Stron takie jak: imię, nazwisko i stanowisko,
   b. dane osobowe pracowników Administratora Danych biorących udział w realizacji Umowy takie jak: imię, nazwisko, stanowisko, adres e-mail oraz numer telefonu służbowego.
4. Każda ze Stron przetwarza dane osób, o których mowa w Umowie Głównej w celu wykonania i rozliczenia Umowy Głównej oraz w celach wynikających z prawnie uzasadnionych interesów polegających na ustaleniu, dochodzeniu lub obronie roszczeń prawnych wynikających z lub w związku z Umową Główną.
5. Dla uniknięcia wątpliwości Strony potwierdzają, że w przypadku udostępnienia drugiej stronie Danych Osobowych, ta strona staje się odrębnym administratorem tych Danych Osobowych w rozumieniu art. 4 ust. 7 RODO, co oznacza, że to ona je przetwarza w różnych celach i samodzielnie decyduje o środkach ich przetwarzania.
6. Podmiot Przetwarzający Dane Osobowe zobowiązuje się do wypełnienia w imieniu Administratora Danych obowiązku informacyjnego wobec wskazanych przez siebie osób, o którym powyżej, w tym poinformowania ich o przekazaniu Danych Osobowych Administratora Danych w zakresie i w celach opisanych powyżej, w szczególności poprzez wskazanie informacji wymaganych na podstawie art. 13 i 14 RODO.

3. Zasady przetwarzania danych osobowych

1. Podmiot przetwarzający przetwarza Dane Osobowe wyłącznie w zakresie, celu i sposób przewidziany niniejszym Załącznikiem dotyczącym przetwarzania danych (DPA) oraz Umową główną.Administrator danych powierza Podmiotowi przetwarzającemu przetwarzanie Danych Osobowych wyłącznie w jednym celu — świadczenia Usług zgodnie z Umową główną.Mając na uwadze, że w trakcie korzystania z Usług Administrator danych samodzielnie określa zakres Danych Osobowych oraz wprowadza je do systemów Podmiotu przetwarzającego, a PeopleForce działa w takim przypadku wyłącznie jako Podmiot przetwarzający, Strony uzgodniły w szczególności wprowadzenie określonych ograniczeń odpowiedzialności Podmiotu przetwarzającego, a mianowicie:
   
   a. Administrator Danych przekazuje swoje Dane Osobowe, a Podmiot Przetwarzający Dane Osobowe zbiera Dane Osobowe Administratora Danych jako osoby, której dane dotyczą, wyłącznie w celu zapewnienia dostępu do Platformy (jej modułów), w szczególności takie dane jak imię i nazwisko użytkownika lub pełna nazwa firmy, dane rejestrowe, adres e-mail oraz inne dane niezbędne do rejestracji;
   b. Po udostępnieniu Administratorowi Danych dostępu do Platformy, Administrator Danych samodzielnie i według własnego uznania zbiera i przesyła Dane Osobowe swoich pracowników, osób rekrutujących oraz osób trzecich do systemów Podmiotu Przetwarzającego. W związku z tym Podmiot Przetwarzający Dane Osobowe nie gromadzi Danych Osobowych Administratora Danych, a jedynie je przechowuje, w związku z czym nie ponosi odpowiedzialności za ich rzetelność, prawidłowość, legalność oraz sposób ich gromadzenia;
   c. Administrator Danych ponosi wyłączną odpowiedzialność wobec Podmiotów Danych, których dane Administrator samodzielnie zbiera i przesyła do systemów Podmiotu Przetwarzającego, w tym za legalność, prawidłowość, rzetelność oraz zgodność z prawem sposobu ich gromadzenia, itp.
   d. Zgodnie z postanowieniami, mimo że moduły Platformy PeopleForce umożliwiają użytkownikom dodawanie dodatkowych pól i wprowadzanie danych do tych pól, Podmiot Przetwarzający Dane Osobowe nie ułatwia wprowadzania ani przechowywania danych wrażliwych przez użytkowników Platformy. Dotyczy to między innymi, lecz nie ogranicza się do, informacji osobistych dotyczących dzieci, danych związanych ze zdrowiem i kart medycznych użytkowników, danych bankowych itp.
   
2. Podmiot Przetwarzający Dane Osobowe zobowiązuje się do przestrzegania przepisów o ochronie danych osobowych, w szczególności RODO.
3. Podmiot Przetwarzający Dane Osobowe oświadcza, że posiada zasoby, doświadczenie, wiedzę specjalistyczną oraz wykwalifikowany personel umożliwiający prawidłowe wykonanie RODO oraz wdraża odpowiednie środki techniczne i organizacyjne zapewniające, że przetwarzanie spełnia wymogi określone przepisami prawa.
4. Podmiot Przetwarzający Dane Osobowe zapewnia skuteczne środki techniczne i organizacyjne zabezpieczające Dane Osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem prawa oraz uszkodzeniem, zniszczeniem, utratą lub niezgodną z prawem modyfikacją. Przetwarzający Dane Osobowe oświadcza, że stosowane przez niego środki pozostają w zgodzie z przepisami RODO dotyczącymi bezpieczeństwa przetwarzania, w tym z art. 32 RODO.
5. Podmiot Przetwarzający Dane Osobowe zobowiązuje się do zachowania poufności Danych Osobowych oraz wprowadzenia środków zapewniających ich zabezpieczenie, w tym również po rozwiązaniu Umowy. Zobowiązuje się również do dopilnowania, aby jego pracownicy oraz inne osoby upoważnione do przetwarzania powierzonych Danych Osobowych Administratora Danych zobowiązały się do przechowywania Danych Osobowych oraz ich środków bezpieczeństwa w tajemnicy, także po wygaśnięciu Umowy.
6. Podmiot Przetwarzający Dane Osobowe zobowiązuje się, biorąc pod uwagę charakter przetwarzania oraz dostępne mu informacje, pomóc Administratorowi Danych w wypełnieniu obowiązków określonych w art. 32-36 RODO; w szczególności Podmiot Przetwarzający Dane Osobowe zobowiązuje się do przekazania Administratorowi Danych wystarczających informacji oraz wykonania jego poleceń dotyczących sposobów zabezpieczenia powierzonych Danych Osobowych, naruszeń Danych Osobowych będących przedmiotem RODO oraz powiadomienia organu nadzorczego lub osób, którym dane osobowe dotyczą, pomocy w przeprowadzaniu ocen skutków dla ochrony danych oraz we wcześniejszych konsultacjach z organem nadzorczym i wdrażaniu zaleceń tego organu.
7. Podmiot Przetwarzający Dane Osobowe zobowiązuje się niezwłocznie przekazać Administratorowi Danych informację o naruszeniu powierzonych Podmiotowi Przetwarzającemu Danych Osobowych, zawierającą informacje niezbędne Administratorowi Danych do zgłoszenia naruszenia organowi nadzorczemu, o którym mowa w art. 33 ust. 3 RODO.
8. Podmiot Przetwarzający Dane Osobowe zobowiązuje się w miarę możliwości pomagać Administratorowi Danych za pomocą odpowiednich środków technicznych i organizacyjnych oraz na podstawie odrębnych ustaleń, w wypełnianiu obowiązku odpowiadania na żądania osób, których Dane Osobowe dotyczą, w ramach realizacji przysługujących im praw określonych w Rozdziale III RODO.
9. Podmiot Przetwarzający Dane Osobowe zobowiązuje się niezwłocznie poinformować Administratora Danych, jeżeli w ocenie Podmiotu Przetwarzającego wydane mu polecenia stanowią naruszenie RODO lub innych przepisów prawa o ochronie danych osobowych.
10. Podmiot Przetwarzający Dane Osobowe zobowiązuje się niezwłocznie powiadomić Administratora Danych o:

a. wszczęcie kontroli lub postępowania wyjaśniającego przez organ nadzorczy ds. ochrony danych osobowych w związku z powierzeniem Podmiotowi przetwarzającemu przetwarzania danych osobowych, a także wszelkie decyzje administracyjne lub środki zastosowane wobec Podmiotu przetwarzającego w związku z takim powierzeniem;

b. wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem Przetwarzającemu Danych Osobowych, a także wszelkimi decyzjami, nakazami lub wyrokami wydanymi przeciwko Podmiotowi Przetwarzającemu w związku z powyższym;

c. wszelkich zdarzeniach dotyczących Danych Osobowych powierzonych do przetwarzania przez Podmiot Przetwarzający Dane Osobowe, w tym przypadkowym lub nieuprawnionym dostępie do powierzonych Danych Osobowych, przypadkach zmiany, utraty, uszkodzenia lub zniszczenia powierzonych Danych Osobowych.

4. Pracownicy Podmiotu Przetwarzającego Dane Osobowe

1. Podmiot Przetwarzający Dane Osobowe podejmie niezbędne kroki, aby zapewnić wiarygodność każdego pracownika, agenta lub kontrahenta Podmiotu Przetwarzającego Dane Osobowe, który może mieć dostęp do Danych Osobowych. W każdym przypadku dostęp ten będzie ściśle ograniczony do tych osób, które muszą znać lub mieć dostęp do odpowiednich Danych Osobowych, jeżeli jest to absolutnie konieczne do realizacji Umowy Głównej. Podmiot Przetwarzający Dane Osobowe zapewni również, że wszystkie takie osoby podlegają zobowiązaniom do zachowania poufności lub obowiązkom zawodowym lub ustawowym do zachowania poufności.

5. Bezpieczeństwo Przetwarzania Danych Osobowych

1. Biorąc pod uwagę aktualny stan wiedzy, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o różnym prawdopodobieństwie i nasileniu dla praw i wolności osób fizycznych, Podmiot Przetwarzający Dane Osobowe w odniesieniu do Danych Osobowych Administratora Danych powinien wdrożyć odpowiednie techniczne i organizacyjne środki, aby zapewnić poziom bezpieczeństwa odpowiadający temu ryzyku, w tym, w odpowiednich przypadkach, środki określone w art. 32 ust. 1 RODO. Podmiot Przetwarzający Dane Osobowe ma obowiązek stosowania nie gorszych środków technicznych i organizacyjnych niż wskazane w Załączniku nr 2.
2. Oceniając odpowiedni poziom bezpieczeństwa, Podmiot Przetwarzający Dane Osobowe powinien uwzględnić ryzyka wynikające z przetwarzania Danych Osobowych, w szczególności związane z Naruszeniem Ochrony Danych Osobowych.

6. Prawa podmiotu danych

1. Biorąc pod uwagę charakter przetwarzania, Podmiot Przetwarzający Dane Osobowe zobowiązuje się wspierać Administratora Danych, w miarę możliwości, poprzez odpowiednie środki techniczne i organizacyjne oraz wywiązać się z obowiązku odpowiadania na żądania osoby, której Dane Osobowe dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
2. Podmiot Przetwarzający Dane Osobowe powinien:

a. niezwłocznie (ale nie później niż w ciągu 3 dni od otrzymania takiego żądania) powiadomić Administratora Danych, jeśli otrzyma żądanie od Podmiotu Danych na mocy jakiegokolwiek przepisu prawa o ochronie danych dotyczącego Danych Osobowych Administratora Danych;

b. zagwarantować, że nie udzieli odpowiedzi na taki wniosek, z wyjątkiem przypadków, gdy następuje to na podstawie udokumentowanych instrukcji Administratora danych lub zgodnie z wymogami właściwych przepisów o ochronie danych mających zastosowanie do Podmiotu przetwarzającego. W takim przypadku Podmiot przetwarzający, w zakresie dozwolonym przez właściwe przepisy prawa, zobowiązuje się uprzednio poinformować Administratora danych o odpowiednim wymogom prawnym udzielenia odpowiedzi na wniosek;

c. zapewnić realizację innych praw osoby, której dane dotyczą, zgodnie z GDPR oraz RODO.

7. Obowiązki Administratora Danych

1. Administrator Danych od momentu pozyskania Danych Osobowych zobowiązuje się do wykonania obowiązków nałożonych na niego odpowiednimi przepisami prawa, w tym RODO.
2. Administrator Danych zobowiązuje się w szczególności do uzyskania we własnym zakresie odpowiedniej podstawy prawnej do przetwarzania Danych Osobowych przekazanych Podmiotowi Przetwarzającemu Dane Osobowe.

8. Obowiązki Podmiotu Przetwarzającego Dane Osobowe

1. W przypadku gdy Podmiot Przetwarzający Dane Osobowe działa w imieniu Administratora Danych, Podmiot Przetwarzający v ma obowiązek wypełniać obowiązki nałożone na Administratora Danych przez RODO, w tym m.in.:
   a. przekazać osobie, której dane dotyczą, informację o przetwarzaniu danych osobowych zgodnie z art. 13 i 14 RODO;
   b. zawrzeć umowy, dla wykonania których niezbędne jest przetwarzanie danych osobowych.
2. Oprócz obowiązków Podmiotu Przetwarzającego Dane Osobowe w zakresie pomocy Administratorowi Danych, Podmiot Przetwarzający Dane Osobowe będzie ponadto pomagał Administratorowi Danych w zapewnieniu zgodności z następującymi obowiązkami, biorąc pod uwagę charakter przetwarzania danych i informacje dostępne dla Podmiotu Przetwarzającego Dane Osobowe:
   a. obowiązek przeprowadzenia oceny wpływu planowanych operacji przetwarzania na ochronę Danych Osobowych („ocena skutków dla ochrony danych”), w przypadku gdy rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych;
   b. obowiązek zasięgnięcia opinii właściwych organów nadzorczych przed przetwarzaniem, jeżeli ocena skutków dla ochrony danych wskazuje, że przetwarzanie wiązałoby się z wysokim ryzykiem w przypadku braku środków podjętych przez Administratora Danych w celu ograniczenia ryzyka;
   c. obowiązek zapewnienia prawidłowości i aktualności danych osobowych poprzez niezwłoczne poinformowanie Administratora Danych, jeżeli Podmiot Przetwarzający Dane Osobowe poweźmie informację, że przetwarzane przez niego dane osobowe są nieprawidłowe lub zdezaktualizowane.
3. Podmiot Przetwarzający Dane Osobowe powinien być w stanie na żądanie Administratora Danych wykazać spełnienie obowiązków określonych w niniejszym paragrafie.

9. Podprzetwarzanie (Sub-procesory)

1. Ogólne upoważnienie. Administrator Danych udziela Podmiotowi przetwarzającemu ogólnego upoważnienia, zgodnie z art. 28 ust. 2 RODO, do angażowania podprzetwarzających w celu świadczenia Usług.
   Upoważnieni podprzetwarzający. Administrator Danych Osobowych zgadza się, że:
   (a) Podmiot przetwarzający Dane Osobowe może angażować podprzetwarzających wskazanych na „Liście podprzetwarzających PeopleForce”, która może być okresowo aktualizowana; oraz
   (b) Administrator Danych Osobowych udziela ogólnego upoważnienia Podmiotowi przetwarzającemu do angażowania dalszych podprzetwarzających, pod warunkiem spełnienia następujących wymogów:
   (a) Podmiot przetwarzający ograniczy dostęp dalszego podprzetwarzającego do Danych Osobowych Klienta wyłącznie do tego, co jest ściśle niezbędne do świadczenia Usług oraz zgodnie z Umową Główną, a także zabroni podprzetwarzającemu przetwarzania Danych Osobowych Klienta w jakimkolwiek innym celu.
   (b) Podmiot przetwarzający Dane Osobowe zobowiązuje się nałożyć na każdego powołanego podprzetwarzającego umowne obowiązki w zakresie ochrony danych, w tym odpowiednie środki techniczne i organizacyjne służące ochronie danych osobowych, wymagające od takiego podprzetwarzającego ochrony Danych Osobowych Klienta na poziomie wymaganym przez Obowiązujące Przepisy o Ochronie Danych Osobowych; oraz
   (c) Podmiot przetwarzający Dane Osobowe pozostaje odpowiedzialny za wszelkie naruszenia niniejszego Załącznika powierzenia przetwarzania danych („DPA”) spowodowane działaniem lub zaniechaniem jego podprzetwarzających.
2. Powiadomienie o zmianach dotyczących podwykonawców przetwarzających dane. PeopleForce może, po uprzednim powiadomieniu administratora danych, dodać lub zastąpić podwykonawców wymienionych na liście podwykonawców PeopleForce. PeopleForce powiadomi administratora danych co najmniej dwadzieścia (20) dni przed wprowadzeniem takich zmian poprzez (i) aktualizację listy podwykonawców oraz (ii) wysłanie automatycznych powiadomień e-mailowych do wszystkich administratorów danych, którzy zapisali się na listę aktualizacji podwykonawców. Aby otrzymywać takie powiadomienia, administrator danych musi zapisać się za pomocą automatycznego formularza dostępnego na stronie internetowej PeopleForce (Trust Hub – powiadomienia dotyczące bezpieczeństwa PeopleForce). Po zapisaniu się administrator danych zostanie dodany do dedykowanej listy mailingowej i będzie automatycznie otrzymywać powiadomienia e-mailowe o wszelkich aktualizacjach listy podwykonawców przetwarzających dane.
3. Sprzeciw wobec nowych podprzetwarzających.
   Administrator Danych nie powinien zgłaszać sprzeciwu wobec powołania Podprzetwarzającego, jeżeli przetwarzanie Danych Osobowych z pomocą wskazanego Podprzetwarzającego będzie możliwe bez naruszania prawa lub bez spowodowania istotnych ryzyk naruszenia praw lub wolności osób, których dane mają zostać powierzone do przetwarzania. Jeżeli Administrator Danych w rozsądny sposób sprzeciwi się powołaniu nowego Podprzetwarzającego w terminie dwudziestu (20) dni od otrzymania takiego powiadomienia, z uzasadnionych przyczyn związanych z ochroną Danych Osobowych Administratora Danych, Podmiot przetwarzający będzie w dobrej wierze współpracował z Administratorem Danych w celu znalezienia rozwiązania alternatywnego. Jeżeli Stronom nie uda się w rozsądnym czasie osiągnąć akceptowalnego dla obu stron rozwiązania, Administrator danych ma prawo zaprzestać korzystania z Usług i wypowiedzieć zarówno Umowę główną (Warunki świadczenia usług), jak i niniejszy Załącznik o przetwarzaniu danych osobowych, powiadamiając o tym PeopleForce.
   Jeżeli Administrator Danych nie zgłosi sprzeciwu w wyżej wskazanym terminie, brak sprzeciwu będzie poczytywany za zgodę Administratora na zaangażowanie nowego Podprzetwarzającego.
4. Podmiot przetwarzający zapewni, że z każdym Podprzetwarzającym zostanie zawarta odpowiednia umowa o udostępnianiu danych lub inny instrument prawny, a taka umowa lub instrument będą przewidywać odpowiednie środki ochrony Danych Osobowych na poziomie nie mniej rygorystycznym niż wynikający z niniejszej umowy powierzenia przetwarzania danych („DPA”).
5. Podmiot przetwarzający ma prawo przekazywać Dane Osobowe powierzone mu do przetwarzania odbiorcom w państwach spoza Europejskiego Obszaru Gospodarczego. W przypadku gdy w odniesieniu do danego państwa brak jest decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony, Podmiot przetwarzający zapewnia zastosowanie właściwego mechanizmu międzynarodowego przekazywania danych, umożliwiającego taki transfer na zgodnej z prawem podstawie, a także — w razie potrzeby — wdrożenie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa.
   
   Opcjonalne korzystanie ze sztucznej inteligencji (AI)
   
6. PeopleForce może oferować opcjonalne funkcje oparte na AI w ramach swojej platformy, takie jak narzędzia do generowania dokumentów, wyszukiwania semantycznego, transkrypcji mowy na tekst oraz ekstrakcji danych strukturalnych. Funkcje te są udostępniane poprzez integrację z zaufanymi dostawcami zewnętrznymi.
7. Funkcje AI są domyślnie wyłączone i są aktywowane wyłącznie wtedy, gdy Klient włączy je samodzielnie w ustawieniach platformy. Po ich włączeniu wszelkie przetwarzanie danych osobowych odbywa się wyłącznie w imieniu Klienta, zgodnie z postanowieniami niniejszej DPA oraz obowiązującymi przepisami o ochronie danych.
8. PeopleForce nie wykorzystuje Danych Klienta do trenowania, ponownego trenowania ani ulepszania bazowych modeli AI. Ponadto dostawcom AI nie przysługują żadne prawa do Danych Klienta w celach szkolenia modeli.
9. Szczegółowe informacje, w tym lista podprocesorów AI i zastosowane środki ochrony, znajdują się w Aneksie AI PeopleForce, który stanowi integralną część naszej Umowy głównej świadczenia usług.
   
   

10. Naruszenie ochrony danych osobowych

1. Podmiot Przetwarzający Dane Osobowe powinien niezwłocznie powiadomić Administratora Danych (ale nie później niż w ciągu 72 godzin od wystąpienia Naruszenia Ochrony Danych Osobowych) po tym, jak Podmiot Przetwarzający Dane Osobowe dowie się o Naruszeniu Ochrony Danych Osobowych dotyczących Danych Osobowych Administratora Danych, dostarczając Administratorowi Danych wystarczających informacji, aby umożliwić spełnienie wszelkich obowiązków zgłoszeniowych lub informacyjnych wobec Podmiotów Danych i organów nadzorczych w związku z Naruszeniem Ochrony Danych Osobowych, na mocy przepisów o ochronie danych.
2. W przypadku Naruszenia Ochrony Danych Osobowych dotyczącego Danych Osobowych Administratora Danych, Podmiot Przetwarzający Dane Osobowe powinien wspierać Administratora Danych poprzez:
   a. (na pisemne żądanie Administratora Danych) zgłoszenie Naruszenia Ochrony Danych Osobowych właściwym organom nadzorczym, bez nieuzasadnionej zwłoki po tym, jak Administrator Danych dowiedział się o Naruszeniu, chyba że Naruszenie Ochrony Danych Osobowych nie spowoduje ryzyka dla praw i wolności osób fizycznych;
   b. uzyskanie następujących informacji, które, zgodnie z art. 33(3) RODO, powinny być podane w zawiadomieniu, i muszą zawierać przynajmniej:
   
   i. rodzaj Danych Osobowych, w tym, tam gdzie to możliwe, kategorie i przybliżoną liczbę Podmiotów Danych, których dotyczy Naruszenie Ochrony Danych Osobowych oraz kategorie i przybliżoną liczbę rekordów Danych Osobowych;
   ii. prawdopodobne konsekwencje Naruszenia Ochrony Danych Osobowych;
   iii. środki podjęte lub proponowane w celu rozwiązania Naruszenia Ochrony Danych Osobowych, w tym, w odpowiednich przypadkach, środki mające na celu złagodzenie jego możliwych negatywnych skutków.
   
   Jeżeli nie jest możliwe dostarczenie wszystkich wymienionych informacji jednocześnie, pierwsze zawiadomienie powinno zawierać dostępne wówczas informacje, a dalsze informacje powinny być dostarczane bez nieuzasadnionej zwłoki, gdy staną się dostępne dla Stron Umowy.
3. Podmiot Przetwarzający Dane Osobowe powinien współpracować z Administratorem Danych i podjąć wszystkie niezbędne kroki, zgodnie z wytycznymi Administratora Danych, w celu wspierania w dochodzeniu, łagodzeniu i naprawie każdego Naruszenia Ochrony Danych Osobowych.

11. Ocena skutków dla ochrony danych, uprzednie konsultacje i prawa do audytu

1. Podmiot Przetwarzający Dane Osobowe powinien wspierać Administratora Danych w przeprowadzeniu ocen skutków dla ochrony danych oraz w uprzednich konsultacjach z organami nadzorczymi lub innymi właściwymi organami ds. ochrony danych osobowych, które Administrator Danych uzna za konieczne na mocy artykułu 35 lub 36 RODO lub podobnych przepisów jakiejkolwiek ustawy o ochronie danych lub prywatności, w związku z przetwarzaniem Danych Osobowych Administratora Danych przez Podmiot Przetwarzający, biorąc pod uwagę charakter przetwarzania oraz informacje dostępne dla Podmiotu Przetwarzającego i Dalszych Podmiotów Przetwarzających.
2. Podmiot Przetwarzający Dane Osobowe powinien udostępnić Administratorowi Danych wszystkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszej Umowie oraz wynikającymi bezpośrednio z RODO lub innych obowiązujących ustaw o ochronie danych. Na żądanie Administratora Danych, Podmiot Przetwarzający Dane Osobowe powinien również zezwolić na i wspierać audyty działań przetwarzania objętych niniejszym Załącznikiem, w rozsądnych odstępach czasu lub gdy występują oznaki niezgodności. Decydując o przeglądzie lub audycie, Administrator Danych może wziąć pod uwagę odpowiednie certyfikaty posiadane przez Podmiot Przetwarzający Dane Osobowe.
3. Administrator Danych lub upoważniony przez niego audytor zewnętrzny ma prawo sprawdzić przestrzeganie przez Podmiot Przetwarzający Dane Osobowe zasad przetwarzania Danych Osobowych, o których mowa w RODO oraz obowiązujących przepisach prawa, w szczególności poprzez żądanie informacji na temat przetwarzania Danych Osobowych przez Podmiot Przetwarzający Dane Osobowe, niezbędnych do wykazania spełnienia określonych obowiązków na mocy art. 28 RODO, a także środków technicznych i organizacyjnych służących zapewnieniu, że przetwarzanie odbywa się zgodnie z prawem, po wcześniejszym uzgodnieniu przez Strony na 10 dni przed planowaną kontrolą. Podmiot Przetwarzający Dane Osobowe dokona niezbędnych działań, aby Administrator mógł skorzystać z tego prawa.
4. Administrator Danych może na żądanie udostępnić informacje, o których mowa w niniejszym paragrafie, w tym wyniki ewentualnych audytów właściwemu organowi nadzorczemu.

12. Transfer danych

1. W przypadku przekazania danych osobowych przetwarzanych na podstawie niniejszego Załącznika z państwa należącego do EOG do państwa spoza EOG Strony zapewniają odpowiednią ochronę danych osobowych. Każdorazowo, gdy dla takiego państwa nie została wydana decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony, stosowany jest odpowiedni mechanizm umożliwiający zgodne z prawem przekazanie danych, a także, jeżeli jest to wymagane, odpowiednie zabezpieczenia. Aby to osiągnąć, Strony, o ile nie uzgodniono inaczej, będą opierać się na zatwierdzonych przez UE standardowych klauzulach umownych dotyczących przekazywania danych osobowych.

13. Poufność

1. Każda ze Stron zobowiązuje się zachować poufność niniejszegoZałącznika, jak również wszelkich informacji otrzymanych od drugiej Strony w związku z wykonywaniem niniejszegoZałącznika, dotyczących drugiej Strony, jej działalności lub Danych Osobowych (dalej: „Informacje poufne”).

Strony nie są uprawnione do wykorzystywania ani ujawniania Informacji poufnych bez uprzedniej pisemnej zgody drugiej Strony, z wyjątkiem przypadków, gdy takie ujawnienie jest konieczne:
a) jeżeli ujawnienia Informacji poufnych wprost wymaga prawo;
b) jeżeli dana informacja jest publicznie dostępna, pod warunkiem że nie stała się publicznie dostępna w wyniku naruszenia zobowiązań do zachowania poufności;
c) w przypadkach i w zakresie przewidzianych w ustawie o ochronie danych osobowych.

14. Czas obowiązywania Załącznika

1. Niniejszy Załącznik zostaje zawarty na czas obowiązywania Umowy Głównej pomiędzy Stronami.
2. Przetwarzanie danych osobowych w ramach niniejszegoZałącznikaodbywa się przez okres niezbędny do świadczenia Usług na rzecz Administratora danych, jednak w każdym przypadku nie dłużej niż do rozwiązania, wygaśnięcia lub upływu okresu obowiązywania Umowy o świadczenie usług (Umowy głównej).

Rozwiązanie lub wygaśnięcie Umowy głównej skutkuje automatycznym zakończeniem obowiązywania niniejszego Załącznika.

15. Naruszenie warunków oraz rozwiązanie Załącznika

1. Bez uszczerbku dla jakichkolwiek postanowień RODO (GDPR) oraz mających zastosowanie przepisów o ochronie danych osobowych, w przypadku gdy Podmiot przetwarzający narusza swoje zobowiązania wynikające z niniejszego Załącznika lub wymogi przepisów o ochronie danych osobowych, Administrator danych ma prawo polecić Podmiotowi przetwarzającemu zawieszenie przetwarzania Danych Osobowych do czasu usunięcia takiego naruszenia i przywrócenia zgodności z niniejszym Załącznikiem oraz przepisami o ochronie danych osobowych albo do czasu zakończenia obowiązywania niniejszego Załącznika.
2. Podmiot przetwarzający zobowiązuje się niezwłocznie powiadomić Administratora danych, jeżeli z jakichkolwiek przyczyn nie jest w stanie spełniać wymogów niniejszego Załącznika lub mających zastosowanie przepisów o ochronie danych osobowych.
3. Administrator danych ma prawo rozwiązać niniejszy Załącznik oraz Umowę główną bez uprzedniego powiadomienia, jeżeli wystąpi którakolwiek z poniższych okoliczności:
   a) przetwarzanie Danych Osobowych przez Podmiot przetwarzający zostało zawieszone przez Administratora danych i nie zostało wznowione w rozsądnym terminie, jednak w każdym przypadku nie później niż w ciągu czternastu (14) dni kalendarzowych od daty zawieszenia, zgodnie z wymogami przepisów o ochronie danych osobowych;
   b) Podmiot przetwarzający w sposób istotny lub systematyczny narusza postanowienia niniejszego Załącznika lub swoje zobowiązania wynikające z RODO (GDPR) bądź innych mających zastosowanie przepisów o ochronie danych osobowych;
   c) Podmiot przetwarzający nie wykonuje wiążącego orzeczenia właściwego sądu lub organu nadzorczego dotyczącego jego zobowiązań wynikających z niniejszego Załącznika, RODO (GDPR) i/lub innych mających zastosowanie przepisów o ochronie danych osobowych.
4. Podstawy rozwiązania określone w niniejszym punkcie nie ograniczają żadnych innych praw Administratora danych do rozwiązania Umowy głównej przewidzianych w jej postanowieniach.
5. Podmiot przetwarzający ma prawo rozwiązać niniejszy Załącznik, jeżeli po należytym poinformowaniu Administratora danych, że przekazane przez niego instrukcje naruszają mające zastosowanie wymogi prawne, Administrator danych nadal nalega na wykonywanie takich instrukcji.

16. Usunięcie lub zwrot danych osobowych

1. Podmiot Przetwarzający Dane Osobowe niezwłocznie po zaprzestaniu świadczenia jakichkolwiek Usług związanych z przetwarzaniem Danych Osobowych Administratora Danych (w tym między innymi po usunięciu konta Administratora Danych zgodnie z Umową Główną lub rozwiązaniu niniejszej Umowy/DPA), według wyboru: Administratora Danych, usunie wszystkie Dane Osobowe przetwarzane w imieniu Administratora Danych i poświadczy Administratorowi Danych, że to uczynił, lub zwróci wszystkie Dane Osobowe Administratorowi Danych i usunie istniejące kopie, chyba że prawo Unii lub państwa członkowskiego wymaga przechowywania Danych Osobowych. Do czasu usunięcia lub zwrotu danych Podmiot Przetwarzający Dane Osobowe będzie w dalszym ciągu zapewniał przestrzeganie zapisów Umowy.

17. Postanowienia końcowe

1. 1. Zmiana postanowień. PeopleForce może okresowo aktualizować niniejszy Załącznik powierzenia przetwarzania danych („DPA”) w celu odzwierciedlenia:
   (a) zmian wymaganych dla zapewnienia zgodności z obowiązującymi przepisami prawa i regulacjami; lub
   (b) aktualizacji technologicznych i organizacyjnych mających na celu poprawę jakości i bezpieczeństwa Produktu;
   przy czym takie aktualizacje nie mogą skutkować istotnym obniżeniem poziomu ochrony Danych Osobowych Klienta określonego w niniejszej DPA.Każda zaktualizowana wersja DPA zostanie opublikowana na stronie internetowej PeopleForce i — o ile nie wskazano późniejszej daty wejścia w życie — będzie wiążąca dla wszystkich Klientów z dniem publikacji.
2. Aktualizacje dokonane zgodnie z niniejszym punktem nie uchylają żadnych indywidualnie uzgodnionych postanowień podpisanej DPA zawartej między PeopleForce a konkretnym Klientem. Jeżeli aktualizacja wpływa na takie indywidualnie uzgodnione postanowienia, Klient może, w terminie czternastu (14) dni od otrzymania powiadomienia o aktualizacji, skontaktować się z Działem Prawnym PeopleForce pod adresem security@peopleforce.io w celu zażądania:
   (a) zmiany (aneksu) do podpisanej DPA, lub
   (b) zastąpienia obowiązującej podpisanej DPA zaktualizowaną wersją DPA opublikowaną przez PeopleForce.Jeżeli Klient nie zgłosi sprzeciwu w wyżej wskazanym terminie, brak sprzeciwu będzie poczytywany za wyrażenie zgody na zaktualizowaną DPA.
3. Strony zgodnie ustalają, że odpowiedzialność Podmiotu Przetwarzającego Dane Osobowe wobec Administratora Danych powstaje w wyniku udowodnionego, bezpośredniego lub pośredniego naruszenia lub niewykonania przez Podmiot Przetwarzający Dane Osobowe jakiegokolwiek obowiązku związanego z ochroną Danych Osobowych określonego w niniejszym Załączniku bądź RODO.
4. Strony zgodnie ustalają, że Podmiot Przetwarzający nie jest odpowiedzialny za działania Administratora Danych określone w punkcie 5, a mianowicie za zbieranie przez Administratora Danych i przesyłanie do systemów Podmiotu Przetwarzającego Danych Osobowych pracowników, rekruterów i jakichkolwiek osób trzecich Administratora Danych, w tym Danych Osobowych, które Administrator Danych zbiera z systemów integrujących się z platformą Podmiotu Przetwarzającego.
5. Wszelkie powiadomienia i komunikaty przewidziane w Umowie muszą być sporządzone co najmniej w formie dokumentowej i wysłane pocztą elektroniczną na adres: contact@peopleforce.io lub DPO security@peopleforce.io.
6. Niniejszy Załącznik podlega wykładni i stosowaniu z uwzględnieniem postanowień RODO (GDPR) oraz innych mających zastosowanie przepisów o ochronie danych osobowych. Żadne postanowienie niniejszego Załącznika nie może być interpretowane ani stosowane w sposób, który ogranicza, zawęża lub w inny sposób pozostaje w sprzeczności z prawami i obowiązkami ustanowionymi w tych przepisach, ani w sposób naruszający podstawowe prawa i wolności osób, których dane dotyczą.

Załącznik 1

Zakres powierzonych danych