Umowa powierzenia przetwarzania danych osobowych

Niniejsza Umowa powierzenia przetwarzania danych osobowych („UPP") stanowi część Regulaminu świadczenia usług pomiędzy Kit („Podmiot przetwarzający", „my") a Klientem („Administrator", „Ty") i reguluje przetwarzanie danych osobowych przez Kit w imieniu Klienta.

Niniejsza UPP wchodzi w życie z chwilą wcześniejszego z następujących zdarzeń: (a) akceptacji Regulaminu świadczenia usług przez Klienta lub (b) pierwszego skorzystania z Usługi przez Klienta. W przypadku jakichkolwiek sprzeczności lub niespójności, pierwszeństwo mają w kolejności: (1) obowiązujące Standardowe klauzule umowne; (2) niniejsza UPP; (3) Regulamin świadczenia usług; (4) Polityka prywatności Kit. Na życzenie klientów korporacyjnych dostępna jest dwustronnie podpisana kopia niniejszej UPP.

1. Definicje

W niniejszej UPP poniższe pojęcia mają następujące znaczenie. Pojęcia niezdefiniowane w niniejszym dokumencie mają znaczenie nadane im w RODO lub w Regulaminie świadczenia usług.

• Dane Klienta oznaczają wszelkie dane osobowe, które Kit przetwarza w imieniu Klienta w ramach świadczenia Usługi. Obejmują one dane kandydatów i osób aplikujących, dane członków zespołu rekrutacyjnego oraz dane komunikacyjne wprowadzone do platformy lub wygenerowane w jej ramach.
• Dane Konta oznaczają dane osobowe dotyczące relacji Klienta z Kit, w tym informacje rozliczeniowe, analitykę użytkowania oraz dane administracyjne konta. Kit jest administratorem Danych Konta zgodnie ze swoją Polityką prywatności.
• Administrator oznacza osobę fizyczną lub prawną, która określa cele i sposoby przetwarzania danych osobowych (Klient).
• Podmiot przetwarzający oznacza osobę fizyczną lub prawną, która przetwarza dane osobowe w imieniu Administratora (Kit).
• Dalszy podmiot przetwarzający (podprocesor) oznacza każdą osobę trzecią zaangażowaną przez Podmiot przetwarzający do przetwarzania Danych Klienta.
• Osoba, której dane dotyczą oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną, do której odnoszą się dane osobowe.
• RODO oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólne rozporządzenie o ochronie danych).
• UK GDPR oznacza RODO włączone do prawa Zjednoczonego Królestwa na mocy ustawy Data Protection Act 2018 oraz rozporządzeń Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019.
• Szwajcarska ustawa FADP oznacza szwajcarską federalną ustawę o ochronie danych (w brzmieniu z dnia 25 września 2020 r.). Odniesienia do „RODO" w niniejszej UPP obejmują, w stosownych przypadkach, UK GDPR oraz szwajcarską ustawę FADP.
• Dane osobowe, Przetwarzanie, Naruszenie ochrony danych osobowych oraz Organ nadzorczy mają znaczenie nadane im w art. 4 RODO.
• SKU (Standardowe klauzule umowne) oznaczają Standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich, przyjęte decyzją Komisji Europejskiej 2021/914.
• Przepisy o ochronie danych oznaczają RODO, UK GDPR, szwajcarską ustawę FADP, kalifornijską ustawę California Consumer Privacy Act zmienioną przez California Privacy Rights Act („CCPA") oraz wszelkie inne obowiązujące przepisy dotyczące ochrony danych osobowych lub prywatności.

2. Role stron

Strony potwierdzają i zgadzają się, że:

• W odniesieniu do Danych Klienta Klient jest Administratorem, a Kit jest Podmiotem przetwarzającym. Niniejsza UPP reguluje przetwarzanie Danych Klienta przez Kit.
• W odniesieniu do Danych Konta Kit jest niezależnym Administratorem i przetwarza takie dane zgodnie ze swoją Polityką prywatności.

Powyższe rozróżnienie zapewnia przejrzystość: dane osobowe Twoich kandydatów i osób aplikujących są przetwarzane wyłącznie na podstawie Twoich instrukcji, podczas gdy Kit samodzielnie zarządza danymi niezbędnymi do utrzymania Twojego konta i świadczenia Usługi.

3. Zakres i cel przetwarzania

Kit przetwarza Dane Klienta wyłącznie w celu świadczenia usługi śledzenia kandydatów i zarządzania rekrutacją, zgodnie z opisem w Regulaminie świadczenia usług i zgodnie z uszczegółowieniem w Załączniku 1. Kit zobowiązuje się:

• Przetwarzać Dane Klienta wyłącznie na podstawie udokumentowanych instrukcji Administratora, w tym w odniesieniu do przekazywania danych osobowych do państwa trzeciego, chyba że obowiązek taki wynika z prawa Unii Europejskiej lub prawa państwa członkowskiego, któremu podlega Podmiot przetwarzający (art. 28 ust. 3 lit. a RODO).
• Niezwłocznie poinformować Administratora, jeżeli w opinii Kit instrukcja narusza RODO lub inne obowiązujące przepisy o ochronie danych.

3.1 Kalifornijskie i amerykańskie stanowe przepisy o prywatności

W zakresie, w jakim kalifornijska ustawa California Consumer Privacy Act (CCPA) lub inne amerykańskie stanowe przepisy o prywatności mają zastosowanie do przetwarzania Danych Klienta przez Kit, Kit działa jako „dostawca usług" (CCPA) lub „podmiot przetwarzający" (w rozumieniu właściwego prawa stanowego). Kit nie będzie sprzedawać ani udostępniać Danych Klienta, przechowywać, wykorzystywać ani ujawniać Danych Klienta, z wyjątkiem przypadków niezbędnych do świadczenia Usługi lub w inny sposób dozwolonych przez obowiązujące prawo.

4. Poufność

Kit zapewnia, że osoby upoważnione do przetwarzania Danych Klienta zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności (art. 28 ust. 3 lit. b RODO).

5. Środki bezpieczeństwa

Kit wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, zgodnie z art. 32 RODO. Środki te są szczegółowo opisane w Załączniku 2 i obejmują między innymi:

• Szyfrowanie danych osobowych podczas przesyłania (TLS 1.2+) oraz w stanie spoczynku
• Izolację danych w architekturze wielodostępnej poprzez zapytania bazodanowe z zakresem konta
• Kontrolę dostępu opartą na rolach w ramach kont pracodawców
• Szyfrowanie wrażliwych pól na poziomie aplikacji (Active Record Encryption)
• Infrastrukturę zlokalizowaną w UE (Hetzner Cloud, Norymberga, Niemcy)
• Regularne skanowanie bezpieczeństwa i zarządzanie podatnościami

Kit regularnie dokonuje przeglądu i aktualizacji tych środków w celu utrzymania odpowiedniego poziomu ochrony. Środki opisane w niniejszym dokumencie są zgodne ze standardowymi praktykami bezpieczeństwa w branży; uzyskane certyfikacje, o ile istnieją, zostaną wskazane w Załączniku 2.

6. Dalsze podmioty przetwarzające

6.1 Ogólne upoważnienie

Administrator udziela ogólnej pisemnej zgody na angażowanie przez Kit dalszych podmiotów przetwarzających do przetwarzania Danych Klienta, z zastrzeżeniem warunków określonych w niniejszym punkcie 6 (art. 28 ust. 2 RODO).

6.2 Aktualna lista dalszych podmiotów przetwarzających

Aktualna lista dalszych podmiotów przetwarzających znajduje się w Załączniku 3. Administrator przyjmuje do wiadomości i zatwierdza dalsze podmioty przetwarzające wymienione w tym załączniku na dzień wejścia w życie niniejszej UPP.

6.3 Powiadamianie o zmianach

Kit powiadomi Administratora drogą elektroniczną co najmniej 30 dni przed zaangażowaniem nowego dalszego podmiotu przetwarzającego lub zastąpieniem istniejącego. Powiadomienie będzie zawierać identyfikację dalszego podmiotu przetwarzającego, jego lokalizację oraz opis czynności przetwarzania, które będą wykonywane.

6.4 Prawo sprzeciwu

Administrator może zgłosić sprzeciw wobec powołania nowego dalszego podmiotu przetwarzającego w ciągu 15 dni od otrzymania powiadomienia, składając pisemne zawiadomienie do Kit wraz z uzasadnionymi podstawami sprzeciwu. Jeżeli Kit nie jest w stanie w uzasadniony sposób uwzględnić sprzeciwu, Administrator może wypowiedzieć daną Usługę, składając pisemne wypowiedzenie do Kit.

6.5 Obowiązki dalszych podmiotów przetwarzających

Kit nakłada na każdy dalszy podmiot przetwarzający, w drodze umowy, obowiązki w zakresie ochrony danych nie mniej rygorystyczne niż te określone w niniejszej UPP (art. 28 ust. 4 RODO). Kit ponosi pełną odpowiedzialność za wykonanie obowiązków przez każdy dalszy podmiot przetwarzający.

6.6 Podmioty przetwarzające wskazane przez Klienta

W przypadku gdy Klient konfiguruje integracje z usługami podmiotów trzecich przy użyciu własnych danych uwierzytelniających lub kluczy API (takich jak dostawcy AI w modelu bring-your-own-key), podmioty te są Podmiotami przetwarzającymi wskazanymi przez Klienta. Kit zapewnia jedynie integrację techniczną, natomiast nie dokonuje wyboru, nie kontroluje ani nie zawiera umów z tymi podmiotami. Klient jest odpowiedzialny za zapewnienie, że jego własna umowa z takimi podmiotami spełnia obowiązujące wymogi ochrony danych.

7. Prawa osób, których dane dotyczą

Kit wspiera Administratora, za pomocą odpowiednich środków technicznych i organizacyjnych oraz w miarę możliwości, w wywiązywaniu się z obowiązku Administratora polegającego na odpowiadaniu na żądania dotyczące wykonywania praw osób, których dane dotyczą, na mocy rozdziału III RODO (art. 28 ust. 3 lit. e RODO). Prawa te obejmują prawo dostępu, sprostowania, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych oraz sprzeciwu.

Kit udostępnia następujące funkcje platformy w celu wsparcia Administratora w odpowiadaniu na takie żądania:

• Funkcja eksportu danych dla poszczególnych rekordów kandydatów oraz eksport danych dla całego konta
• Narzędzia do usuwania i anonimizacji danych kandydatów
• Konfigurowalne okresy przechowywania danych z automatycznym wygasaniem
• Zarządzanie zgodami z możliwością odnowienia i śledzenia wycofania

Kit nie odpowiada bezpośrednio na żądania osób, których dane dotyczą. Kandydaci i osoby aplikujące powinni kierować swoje żądania do Administratora (pracodawcy). Kit niezwłocznie powiadomi Administratora, jeżeli otrzyma żądanie bezpośrednio od osoby, której dane dotyczą.

8. Międzynarodowe przekazywanie danych

Główna infrastruktura Kit jest zlokalizowana w Unii Europejskiej (Hetzner Cloud, Norymberga, Niemcy). Dane Klienta są domyślnie przechowywane i przetwarzane na terytorium UE.

8.1 Mechanizmy przekazywania

W przypadku gdy dalsze podmioty przetwarzające mają siedzibę poza Europejskim Obszarem Gospodarczym (EOG), Kit zapewnia odpowiednie zabezpieczenia przekazywania danych osobowych, w tym:

• Ramy ochrony danych UE-USA (DPF): w przypadku gdy dalszy podmiot przetwarzający posiada certyfikat DPF.
• Standardowe klauzule umowne (SKU): SKU z 2021 r. (decyzja Komisji 2021/914) są włączone przez odniesienie, w stosownych przypadkach.
• Decyzje stwierdzające odpowiedni stopień ochrony: w przypadku gdy Komisja Europejska uznała państwo trzecie za zapewniające odpowiedni stopień ochrony.

Konkretny mechanizm przekazywania dla każdego dalszego podmiotu przetwarzającego jest wskazany w Załączniku 3.

8.2 Wybór modułu SKU

W przypadku zastosowania SKU stosowane są następujące moduły:

• Moduł 2 (Administrator do Podmiotu przetwarzającego): ma zastosowanie pomiędzy Klientem (jako Administratorem) a Kit, gdy Klient ma siedzibę w EOG, a Kit przetwarza Dane Klienta poza EOG.
• Moduł 3 (Podmiot przetwarzający do Dalszego podmiotu przetwarzającego): ma zastosowanie pomiędzy Kit a jego dalszymi podmiotami przetwarzającymi spoza EOG wymienionymi w Załączniku 3.

Dla obu modułów: Klauzula 7 (klauzula dokowania) jest włączona; Klauzula 9 lit. a Opcja 2 (ogólna pisemna zgoda) jest wybrana; Klauzula 17 Opcja 1 (prawo właściwe państwa członkowskiego UE) jest wybrana, z prawem irlandzkim jako prawem właściwym.

8.3 Przekazywanie danych do Wielkiej Brytanii i Szwajcarii

W przypadku przekazywania danych podlegającego UK GDPR zastosowanie ma International Data Transfer Addendum do SKU UE (wydany przez UK Information Commissioner's Office). W przypadku przekazywania danych podlegającego szwajcarskiej ustawie FADP zastosowanie mają SKU ze zmianami wymaganymi przez Federalnego Inspektora Ochrony Danych i Informacji.

8.4 Środki uzupełniające

Kit przeprowadził oceny skutków przekazywania danych dla każdego dalszego podmiotu przetwarzającego spoza EOG. Na dzień sporządzenia niniejszej UPP Kit nie otrzymał żadnych rządowych żądań dostępu do Danych Klienta. Kit zobowiązuje się do zakwestionowania każdego rządowego żądania dostępu, które w uzasadnionej ocenie Kit jest niezgodne z prawem lub nieproporcjonalne, oraz do powiadomienia Administratora, chyba że jest to prawnie zabronione.

9. Powiadamianie o naruszeniu ochrony danych

Kit powiadamia Administratora bez zbędnej zwłoki po powzięciu wiadomości o naruszeniu ochrony danych osobowych dotyczącym Danych Klienta (art. 28 ust. 3 lit. f oraz art. 33 RODO). Powiadomienie zawiera:

• Opis charakteru naruszenia, w tym, w miarę możliwości, kategorie oraz przybliżoną liczbę osób, których dane dotyczą, i odpowiednich rekordów danych
• Imię i nazwisko oraz dane kontaktowe osoby wyznaczonej w Kit do udzielania dalszych informacji
• Opis prawdopodobnych konsekwencji naruszenia
• Opis środków podjętych lub proponowanych w celu zaradzenia naruszeniu, w tym środków mających na celu złagodzenie jego ewentualnych negatywnych skutków

Kit współpracuje z Administratorem i podejmuje uzasadnione kroki w celu wsparcia w dochodzeniu, łagodzeniu skutków i naprawieniu naruszenia.

10. Ocena skutków dla ochrony danych

Kit udziela Administratorowi uzasadnionej pomocy w przeprowadzaniu ocen skutków dla ochrony danych oraz uprzednich konsultacji z organami nadzorczymi, w zakresie wymaganym na mocy art. 35 i 36 RODO, z uwzględnieniem charakteru przetwarzania oraz informacji dostępnych Kit (art. 28 ust. 3 lit. f RODO).

11. Prawo do audytu

Kit udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami wynikającymi z art. 28 RODO oraz umożliwia i przyczynia się do przeprowadzania audytów, w tym inspekcji, prowadzonych przez Administratora lub audytora upoważnionego przez Administratora (art. 28 ust. 3 lit. h RODO).

Audyty podlegają następującym warunkom:

• Administrator powiadamia Kit o żądaniu audytu z co najmniej 30-dniowym wyprzedzeniem na piśmie
• Audyty przeprowadzane są w normalnych godzinach pracy i nie mogą w nieuzasadniony sposób zakłócać działalności Kit
• Administrator ponosi własne koszty związane z audytem
• Audyty są ograniczone do jednego w okresie dwunastu miesięcy, chyba że doszło do naruszenia ochrony danych osobowych lub organ nadzorczy zażądał dodatkowego audytu
• Kit może spełnić żądania audytowe poprzez udostępnienie odpowiedniej dokumentacji, raportów bezpieczeństwa, podsumowań testów penetracyjnych lub raportów audytów zewnętrznych, jeżeli są dostępne

Kit prowadzi rejestr czynności przetwarzania wykonywanych w imieniu Administratora zgodnie z art. 30 ust. 2 RODO i przechowuje ten rejestr przez co najmniej trzy (3) lata.

12. Czas trwania, usunięcie i zwrot danych

Kit przetwarza Dane Klienta przez okres obowiązywania Regulaminu świadczenia usług. Po rozwiązaniu lub wygaśnięciu Regulaminu świadczenia usług:

• Kit zapewnia 30-dniowy okres, w którym Administrator może wyeksportować wszystkie Dane Klienta przy użyciu funkcji eksportu danych platformy
• Po upływie okresu eksportu Kit usuwa wszystkie Dane Klienta ze swoich systemów, w tym z systemów kopii zapasowych, w rozsądnym terminie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego wymaga dalszego przechowywania (art. 28 ust. 3 lit. g RODO)
• Administrator może w każdym momencie obowiązywania umowy zażądać usunięcia określonych Danych Klienta przy użyciu narzędzi do usuwania i anonimizacji dostępnych na platformie

Zanonimizowane i zagregowane dane, które nie mogą już zostać przypisane do osoby, której dane dotyczą, nie stanowią danych osobowych i mogą być przechowywane przez Kit w celach doskonalenia produktu i analityki.

13. Odpowiedzialność

Odpowiedzialność każdej ze stron na mocy niniejszej UPP podlega ograniczeniom i wyłączeniom odpowiedzialności określonym w Regulaminie świadczenia usług. Łączna odpowiedzialność Podmiotu przetwarzającego wynikająca z niniejszej UPP lub z nią związana nie przekracza łącznych opłat uiszczonych przez Administratora na rzecz Podmiotu przetwarzającego w okresie dwunastu (12) miesięcy poprzedzających zdarzenie stanowiące podstawę roszczenia.

14. Prawo właściwe

Niniejsza UPP podlega temu samemu prawu, które reguluje Regulamin świadczenia usług, z wyłączeniem norm kolizyjnych. Wszelkie spory wynikające z niniejszej UPP podlegają wyłącznej jurysdykcji określonej w Regulaminie świadczenia usług.

15. Kontakt

W przypadku pytań lub żądań dotyczących niniejszej UPP prosimy o kontakt pod adresem [email protected].

---

Załącznik 1: Szczegóły przetwarzania

Kategorie osób, których dane dotyczą

• Kandydaci do pracy i osoby aplikujące
• Użytkownicy po stronie pracodawcy (członkowie zespołu rekrutacyjnego, rekruterzy, administratorzy)
• Osoby prowadzące rozmowy kwalifikacyjne i recenzenci

Kategorie danych osobowych

• Dane identyfikacyjne: imię i nazwisko, adres e-mail, numer telefonu, zdjęcie profilowe
• Dane aplikacyjne: CV, list motywacyjny, odpowiedzi z formularza aplikacyjnego, materiały portfolio
• Dane z ocen: notatki z rozmów kwalifikacyjnych, wyniki ewaluacji, komentarze recenzentów, zgłoszenia zadań programistycznych
• Dane komunikacyjne: korespondencja e-mail, notatki wewnętrzne, wiadomości z kanałów Slack (w przypadku integracji)
• Dane związane z zatrudnieniem: aktualny pracodawca, stanowisko, profil LinkedIn, historia zatrudnienia
• Dane techniczne: adres IP (zaszyfrowany), informacje o przeglądarce/urządzeniu na potrzeby rejestrów zgód
• Dokumenty i załączniki: pliki przesłane w związku z aplikacjami

Szczególne kategorie danych

Kit nie gromadzi celowo szczególnych kategorii danych osobowych (art. 9 RODO). Jednakże CV i materiały aplikacyjne przesyłane przez kandydatów mogą przypadkowo zawierać takie dane (np. informacje o niepełnosprawności, pochodzeniu etnicznym, przynależności wyznaniowej). Administrator jest odpowiedzialny za zapewnienie istnienia podstawy prawnej przetwarzania wszelkich szczególnych kategorii danych osobowych, które mogą być zawarte w zgłoszeniach kandydatów.

Cel przetwarzania

Zarządzanie rekrutacją i śledzenie kandydatów w imieniu Administratora, w tym: przyjmowanie i przechowywanie aplikacji, zarządzanie procesami rekrutacyjnymi, ułatwianie oceny kandydatów i współpracy zespołowej, planowanie rozmów kwalifikacyjnych, zarządzanie ofertami oraz związane z tym procesy rekrutacyjne.

Czas trwania przetwarzania

Przez okres obowiązywania umowy pomiędzy Administratorem a Kit, powiększony o okres usuwania danych po rozwiązaniu umowy opisany w punkcie 12. Administrator może skonfigurować krótsze okresy przechowywania danych w ramach platformy, które Kit będzie egzekwować automatycznie.

---

Załącznik 2: Środki techniczne i organizacyjne

Kit wdraża następujące środki zgodnie z art. 32 RODO:

Szyfrowanie

• Wszystkie dane podczas przesyłania są szyfrowane przy użyciu TLS 1.2 lub wyższej wersji
• Wrażliwe pola danych osobowych są szyfrowane na poziomie aplikacji przy użyciu Active Record Encryption (szyfrowanie deterministyczne i niedeterministyczne, odpowiednio do potrzeb)
• Kopie zapasowe bazy danych są szyfrowane

Kontrola dostępu

• Izolacja danych w architekturze wielodostępnej wymuszana na poziomie zapytań bazodanowych (zapytania z zakresem konta)
• Kontrola dostępu oparta na rolach w ramach każdego konta pracodawcy (role: właściciel, administrator, członek)
• Uwierzytelnianie poprzez bezpieczne zarządzanie sesjami z konfigurowalnym uwierzytelnianiem wieloskładnikowym
• Dostęp API kontrolowany za pomocą tokenów API z zakresem uprawnień i szczegółowymi uprawnieniami

Bezpieczeństwo infrastruktury

• Cała infrastruktura hostowana na terytorium Unii Europejskiej (Hetzner Cloud, Norymberga, Niemcy, centrum danych nbg1-dc3)
• Ruch bazodanowy izolowany w sieci prywatnej bez dostępu z publicznego internetu
• Ochrona przed atakami DDoS i zapora aplikacji webowej za pośrednictwem Cloudflare
• Regularne automatyczne skanowanie bezpieczeństwa (Brakeman do wykrywania podatności Rails, bundler-audit do wykrywania podatności gemów, importmap audit do audytu zależności JavaScript)

Minimalizacja danych i przechowywanie

• Konfigurowalne okresy przechowywania danych dla każdego konta pracodawcy
• Automatyczna anonimizacja rekordów kandydatów po wygaśnięciu zgody
• Zarządzanie zgodami ze ścieżką audytu (rekordy zgód ze znacznikiem czasu i adresem IP)
• Kompleksowa funkcja eksportu danych dla zapewnienia przenoszenia danych

Reagowanie na incydenty

• Monitorowanie błędów i alarmowanie (Sentry)
• Automatyczne monitorowanie dostępności z publiczną stroną statusu
• Zdefiniowane procedury reagowania na incydenty, w tym procedury powiadamiania o naruszeniach

Środki organizacyjne

• Zobowiązania do zachowania poufności dla wszystkich osób mających dostęp do danych osobowych
• Zasada najmniejszych uprawnień w zakresie dostępu do systemów
• Regularne przeglądy uprawnień dostępu

---

Załącznik 3: Lista dalszych podmiotów przetwarzających

Następujące dalsze podmioty przetwarzające są upoważnione do przetwarzania Danych Klienta na dzień wskazany na początku niniejszej UPP:

Podmioty przetwarzające wskazane przez Klienta

Poniższe integracje są aktywowane i konfigurowane przez Klienta przy użyciu własnych danych uwierzytelniających. Kit zapewnia połączenie techniczne, natomiast nie dokonuje wyboru ani nie zawiera umów z tymi dostawcami:

Aby otrzymywać powiadomienia o zmianach na liście dalszych podmiotów przetwarzających, prosimy o kontakt pod adresem [email protected].