umowa o przetwarzaniu danych.
RODO Art. 28 · VaultPAM Security Sp. z o.o.
| Wersja | 1.0-projekt |
| Data wejścia w życie | Do ustalenia — przed opublikowaniem wymagana weryfikacja prawna (AIC-1571) |
| Strony | VaultPAM Security Sp. z o.o. (Podmiot przetwarzający) i Klient (Administrator) |
Uwaga: Niniejszy dokument stanowi wewnętrzny projekt pierwszej wersji przeznaczony do weryfikacji przez radcę prawnego. Dokument nie obowiązuje.
Preambuła
Niniejsza Umowa o przetwarzaniu danych osobowych („Umowa DPA") jest zawierana pomiędzy:
Administratorem: podmiotem prawnym (Klientem), który zaakceptował Warunki świadczenia usług VaultPAM lub podpisał Formularz zamówienia („Klient" lub „Administrator");
Podmiotem przetwarzającym: VaultPAM Security Sp. z o.o., ul. Żelazna 51/53, 00-841 Warszawa, Polska („VaultPAM" lub „Podmiot przetwarzający").
Niniejsza Umowa DPA stanowi integralną część Warunków świadczenia usług i wszelkich stosownych Formularzy zamówienia. Ma ona na celu spełnienie wymagań art. 28 Rozporządzenia (UE) 2016/679 (RODO).
1. Definicje
„RODO" oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.
„Administrator", „Podmiot przetwarzający", „Osoba, której dane dotyczą", „Dane osobowe", „Przetwarzanie" oraz „Naruszenie ochrony danych osobowych" mają znaczenie nadane im w art. 4 RODO.
„Usługa" oznacza platformę VaultPAM świadczoną na rzecz Klienta zgodnie z Warunkami świadczenia usług.
„Dane Klienta" oznacza dane osobowe przesyłane do Usługi, zbierane przez Usługę lub generowane w jej ramach przez Klienta lub w jego imieniu, w tym nagrania sesji, dzienniki dostępu, metadane danych uwierzytelniających i dane tożsamości Użytkowników.
„Dalszy podmiot przetwarzający" oznacza osobę trzecią zaangażowaną przez VaultPAM do przetwarzania Danych Klienta w imieniu VaultPAM.
„Organ nadzorczy" oznacza właściwy krajowy organ nadzorczy — w przypadku VaultPAM jest to Prezes Urzędu Ochrony Danych Osobowych (UODO) w Polsce, a w przypadku Klienta — właściwy organ w państwie członkowskim EOG, w którym Klient ma siedzibę.
2. Przedmiot, czas trwania i charakter przetwarzania
Przedmiot: VaultPAM przetwarza Dane Klienta w celu świadczenia Usługi zarządzania dostępem uprzywilejowanym opisanej w Warunkach świadczenia usług.
Czas trwania: Przetwarzanie rozpoczyna się z chwilą pierwszego przesłania danych do Usługi przez Klienta i trwa przez cały okres subskrypcji, a po jej zakończeniu — przez dodatkowy okres wymagany do bezpiecznego usunięcia danych zgodnie z klauzulą 3(g).
Charakter i cel: Przechowywanie, pobieranie, organizowanie, rejestrowanie, przekazywanie i analizowanie Danych Klienta w celu umożliwienia Klientowi zarządzania, audytu i kontroli uprzywilejowanego dostępu do infrastruktury IT Klienta oraz nadzorowania tego dostępu.
Rodzaje danych osobowych:
- Dane tożsamości: imiona i nazwiska pracowników, stanowiska, adresy e-mail, identyfikatory pracownicze
- Dane uwierzytelniania: rekordy wyzwań MFA, znaczniki czasu zdarzeń uwierzytelniania, adresy IP, odciski urządzeń
- Dane aktywności sesji: czasy rozpoczęcia i zakończenia sesji, identyfikatory systemów docelowych, dzienniki naciśnięć klawiszy, zawartość nagrań ekranu, metadane transferów plików
- Metadane danych uwierzytelniających: nazwy wpisów w sejfie, znaczniki czasu ostatniego użycia (VaultPAM nie ma dostępu do treści danych uwierzytelniających)
- Dane dziennika audytu: dzienniki wywołań API, rekordy działań administracyjnych, zdarzenia zmiany polityki
Kategorie osób, których dane dotyczą:
- Pracownicy Klienta, współpracownicy i inne osoby uprawnione do dostępu do infrastruktury uprzywilejowanej
- Administratorzy systemów IT i użytkownicy uprzywilejowani, których zdarzenia dostępowe są rejestrowane w dzienniku audytu
3. Obowiązki Podmiotu przetwarzającego (art. 28 ust. 3 RODO)
3(a) Przetwarzanie wyłącznie na podstawie instrukcji
VaultPAM przetwarza Dane Klienta wyłącznie na podstawie udokumentowanych instrukcji Klienta, chyba że przetwarzanie jest wymagane przez prawo Unii lub prawo krajowe. Jeżeli VaultPAM jest zobowiązany przez prawo do przetwarzania Danych Klienta bez instrukcji Klienta, VaultPAM informuje Klienta o tym fakcie przed takim przetwarzaniem, o ile prawo nie zabrania takiego powiadomienia.
VaultPAM niezwłocznie informuje Klienta, jeżeli w jego ocenie dana instrukcja narusza RODO lub inne obowiązujące przepisy o ochronie danych osobowych.
Udokumentowane instrukcje Klienta obejmują: (i) postanowienia niniejszej Umowy DPA; (ii) Warunki świadczenia usług; (iii) konfigurację Usługi przez Klienta; (iv) wszelkie dodatkowe pisemne instrukcje przekazywane przez Klienta.
3(b) Poufność przetwarzania
VaultPAM zapewnia, że osoby upoważnione do przetwarzania Danych Klienta są związane zobowiązaniami do poufności — umownymi lub ustawowymi — co najmniej równie restrykcyjnymi jak te zawarte w niniejszej Umowie DPA.
3(c) Środki bezpieczeństwa (art. 32 RODO)
VaultPAM wdraża i utrzymuje techniczne i organizacyjne środki bezpieczeństwa określone w Aneksie I w celu ochrony Danych Klienta przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem. VaultPAM dokonuje przeglądu i aktualizacji tych środków w regularnych odstępach czasu, uwzględniając ewoluujące zagrożenia i aktualny stan wiedzy technicznej.
3(d) Warunki korzystania z usług dalszych podmiotów przetwarzających
VaultPAM nie angażuje nowego Dalszego podmiotu przetwarzającego bez uprzedniego poinformowania Klienta i umożliwienia mu zgłoszenia uzasadnionych zastrzeżeń. VaultPAM nakłada na każdy Dalszy podmiot przetwarzający obowiązki z zakresu ochrony danych równoważne z tymi zawartymi w niniejszej Umowie DPA w formie pisemnej umowy. Aktualny wykaz zatwierdzonych Dalszych podmiotów przetwarzających zawiera Aneks II.
Jeżeli Klient zgłosi uzasadnione zastrzeżenia wobec nowego Dalszego podmiotu przetwarzającego, a VaultPAM nie będzie w stanie świadczyć Usługi bez udziału tego podmiotu, każda ze stron może rozwiązać stosowną część Usługi za 30-dniowym pisemnym wypowiedzeniem bez ponoszenia kary umownej.
VaultPAM ponosi wobec Klienta odpowiedzialność za działania i zaniechania swoich Dalszych podmiotów przetwarzających w takim samym zakresie, jakby VaultPAM samodzielnie wykonywał przetwarzanie.
3(e) Pomoc w realizacji praw osób, których dane dotyczą
VaultPAM, uwzględniając charakter przetwarzania, wspomaga Klienta odpowiednimi środkami technicznymi i organizacyjnymi w wypełnianiu jego obowiązku odpowiadania na żądania osób, których dane dotyczą, dotyczące wykonywania ich praw na podstawie rozdziału III RODO (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszalność, sprzeciw).
VaultPAM niezwłocznie przekazuje Klientowi wszelkie żądania osób, których dane dotyczą, otrzymane w związku z Danymi Klienta, i bez uprzedniej pisemnej instrukcji Klienta nie odpowiada na takie żądania w imieniu Klienta.
3(f) Pomoc w realizacji obowiązków wynikających z art. 32–36 RODO
VaultPAM wspomaga Klienta w wypełnianiu obowiązków wynikających z art. 32–36 RODO, obejmujących bezpieczeństwo przetwarzania, zgłaszanie naruszeń organowi nadzorczemu, ocenę skutków dla ochrony danych (DPIA) oraz uprzednie konsultacje.
3(g) Usuwanie lub zwrot danych
Po wygaśnięciu lub rozwiązaniu subskrypcji VaultPAM, według wyboru Klienta, usuwa lub zwraca wszystkie Dane Klienta w ciągu 30 dni i potwierdza usunięcie na piśmie, chyba że prawo Unii lub prawo krajowe nakazuje dalsze przechowywanie. Klient jest odpowiedzialny za wyeksportowanie wymaganych danych przed upływem 30-dniowego okresu po rozwiązaniu umowy.
Wyjątek WORM: Zobowiązanie do usunięcia danych w ciągu 30 dni nie dotyczy danych zablokowanych w ramach funkcji niezmiennego przechowywania (WORM) (klauzula 6.2). Danych zablokowanych w trybie WORM nie można usunąć do czasu wygaśnięcia skonfigurowanego okresu blokady. VaultPAM przechowuje dane WORM po rozwiązaniu umowy na podstawie art. 17 ust. 3 lit. e RODO (ustalenie, dochodzenie lub obrona roszczeń prawnych) lub art. 17 ust. 3 lit. b RODO (obowiązek prawny / interes publiczny), w zależności od celów zgodności Klienta. Aktywując funkcję WORM, Klient przyjmuje do wiadomości, że żądania usunięcia danych od Osób, których dane dotyczą, dotyczące rekordów zablokowanych w trybie WORM mogą zostać ograniczone do czasu wygaśnięcia okresu blokady, oraz że Klient jako Administrator jest odpowiedzialny za poinformowanie o tym ograniczeniu zainteresowanych Osób, zgodnie z art. 11 ust. 2 RODO.
3(h) Audyt i informacje
VaultPAM udostępnia Klientowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami wynikającymi z niniejszej Umowy DPA oraz umożliwia i wspiera audyty i inspekcje przeprowadzane przez Klienta lub upoważnionego przez niego audytora, pod warunkiem:
- co najmniej 30-dniowego pisemnego powiadomienia z wyprzedzeniem;
- uzgodnienia zakresu i rozsądnego podziału kosztów; oraz
- podpisania przez audytora zobowiązania do zachowania poufności.
Klient zobowiązuje się korzystać z prawa do audytu nie częściej niż raz w roku kalendarzowym, chyba że organ nadzorczy tego zażąda lub nastąpi potwierdzone naruszenie ochrony danych osobowych.
4. Zgłaszanie naruszeń ochrony danych osobowych
4.1 VaultPAM powiadamia Klienta o potwierdzonym lub zasadnie podejrzewanym naruszeniu ochrony danych osobowych dotyczącym Danych Klienta bez zbędnej zwłoki i — o ile jest to możliwe — w ciągu 72 godzin od powzięcia wiadomości o naruszeniu.
4.2 Wstępne powiadomienie zawiera, w zakresie dostępnych wówczas informacji: (a) opis charakteru naruszenia; (b) przybliżone kategorie i liczbę rekordów oraz osób, których dotyczy naruszenie; (c) dane kontaktowe osoby odpowiedzialnej za ochronę danych w VaultPAM; (d) prawdopodobne konsekwencje naruszenia; (e) środki podjęte lub proponowane w celu usunięcia naruszenia i złagodzenia jego skutków.
4.3 VaultPAM przekazuje dalsze informacje w miarę ich dostępności. Jeżeli nie wszystkie wymagane informacje są dostępne w momencie wstępnego powiadomienia, są one przekazywane etapami.
4.4 Klient ponosi wyłączną odpowiedzialność za ocenę, czy wymagane jest zgłoszenie naruszenia organowi nadzorczemu (art. 33 RODO) lub osobom, których dane dotyczą (art. 34 RODO), oraz za dokonanie takich zgłoszeń.
5. Międzynarodowe przekazywanie danych
5.1 VaultPAM nie przekazuje Danych Klienta do państwa spoza Europejskiego Obszaru Gospodarczego (EOG) bez uprzedniej pisemnej zgody Klienta, chyba że przekazanie to dotyczy państwa objętego decyzją stwierdzającą odpowiedni stopień ochrony na mocy art. 45 RODO lub jest objęte odpowiednimi zabezpieczeniami na mocy art. 46 RODO (np. standardowymi klauzulami umownymi — SKU).
5.2 Domyślnie Dane Klienta są przechowywane na terytorium UE — w ramach Google Cloud Platform, region europe-central2, Warszawa, Polska.
5.3 W przypadkach, gdy Dalsze podmioty przetwarzające wymienione w Aneksie II przetwarzają dane poza EOG, VaultPAM zawarł z nimi SKU lub inne równoważne zabezpieczenia, co zaznaczono w Aneksie II.
6. Klauzule szczególne dotyczące zarządzania dostępem uprzywilejowanym
6.1 Nagrania sesji
VaultPAM rejestruje dzienniki naciśnięć klawiszy, zawartość ekranu i metadane transferów plików generowane podczas sesji uprzywilejowanych wyłącznie w imieniu Klienta i zgodnie z jego instrukcjami (przekazywanymi poprzez konfigurację polityki nagrywania przez Klienta).
Klient, jako Administrator, jest odpowiedzialny za zapewnienie, że:
- pracownicy i współpracownicy, których sesje są nagrywane, zostali poinformowani o nagrywaniu zgodnie z obowiązującym prawem pracy i przepisami o ochronie danych;
- wszelkie wymagane zgody zakładowej organizacji związkowej, procedury konsultacyjne z pracownikami lub równoważne procesy zostały zakończone przed włączeniem nagrywania dla danej kategorii Użytkowników;
- polityki nagrywania odzwierciedlają uzasadnione cele Klienta i jego potrzeby w zakresie przechowywania danych.
VaultPAM przechowuje nagrania sesji w zaszyfrowanej formie. Do zawartości nagrań mają dostęp wyłącznie administratorzy Klienta z przypisaną rolą RBAC. Pracownicy wsparcia VaultPAM nie uzyskują dostępu do zawartości nagrań z wyjątkiem przypadków, gdy Klient złożył wyraźną pisemną prośbę w celu rozwiązania problemu technicznego.
6.2 Przechowywanie danych i pamięć masowa WORM
Klient może konfigurować polityki przechowywania nagrań sesji i dzienników audytu. W przypadku aktywacji przez Klienta funkcji niezmiennej pamięci masowej (WORM — zapis jednorazowy, odczyt wielokrotny):
- Nagrania i dzienniki audytu zapisane w trybie WORM nie mogą być modyfikowane ani usuwane do czasu wygaśnięcia skonfigurowanego okresu przechowywania, nawet na podstawie instrukcji Klienta lub po rozwiązaniu subskrypcji.
- Funkcja ta jest udostępniana na potrzeby zgodności Klienta z przepisami (np. NIS2, SOC 2, wymagania dowodowe ISO 27001).
- VaultPAM nie usuwa danych zablokowanych w trybie WORM przed wygaśnięciem okresu blokady, chyba że Klient przedstawi udokumentowane uprawnienie prawne (postanowienie sądu lub równoważne) do wcześniejszego usunięcia.
- Domyślny okres przechowywania WORM: 90 dni. Maksymalny konfigurowalny okres: 7 lat.
6.3 Sejf danych uwierzytelniających
VaultPAM przechowuje uprzywilejowane dane uwierzytelniające (hasła, klucze SSH, tokeny API) w imieniu Klienta w zaszyfrowanym sejfie z zastosowaniem następujących środków kontroli:
- Treść danych uwierzytelniających jest szyfrowana w spoczynku przy użyciu AES-256 z hierarchią kluczy dedykowaną dla poszczególnych Klientów, zarządzaną przez dedykowaną instancję HashiCorp Vault.
- Pracownicy operacyjni VaultPAM nie mają dostępu do treści danych uwierzytelniających; dostęp jest pośredniczony wyłącznie przez płaszczyznę sterowania PAM z egzekwowaniem RBAC i pełnym dziennikiem audytu.
- Zdarzenia pobrania, użycia i zwrotu danych uwierzytelniających są rejestrowane i włączane do niezmiennego dziennika audytu Klienta.
- Klient może konfigurować harmonogramy rotacji danych uwierzytelniających w trybie just-in-time oraz automatycznej rotacji.
Klient, jako Administrator, jest odpowiedzialny za skonfigurowanie polityk rotacji odpowiednich do jego wymagań bezpieczeństwa i obowiązujących standardów.
6.4 Legalne przechwytywanie i żądania organów ścigania
6.4.1 Po otrzymaniu prawnie wiążącego żądania od organu ścigania lub organu rządowego dotyczącego Danych Klienta, VaultPAM: niezwłocznie i przed jakimkolwiek ujawnieniem danych powiadomi Klienta o żądaniu, chyba że prawo lub postanowienie sądowe zabraniają takiego powiadomienia; zakwestionuje żądanie, jeżeli VaultPAM ma uzasadnione podstawy do uznania, że jest ono prawnie nieważne, nadmiernie szerokie lub niezgodne z obowiązującym prawem UE lub RODO; ograniczy wszelkie ujawnianie do minimum danych ściśle wymaganych przez żądanie; oraz udokumentuje zakwestionowanie i jego wynik w rejestrze konta Klienta.
6.4.2 VaultPAM nie ujawnia dobrowolnie ani z własnej inicjatywy Danych Klienta żadnemu organowi rządowemu w przypadku braku prawnie wiążącego żądania.
6.4.3 Jeżeli prawo zabrania VaultPAM powiadomienia Klienta o żądaniu, VaultPAM: rejestruje żądanie wewnętrznie; powiadamia Klienta tak szybko, jak jest to prawnie dopuszczalne; oraz podejmuje starania w celu zawężenia lub zakwestionowania zakazu powiadomienia, jeżeli jest to prawnie możliwe.
6.4.4 Klient przyjmuje do wiadomości, że zdolność VaultPAM do zakwestionowania żądania podlega obowiązującym przepisom prawa i że VaultPAM nie może zagwarantować pomyślnego wyniku we wszystkich przypadkach.
7. Kontakt w sprawach ochrony danych
Adres kontaktowy VaultPAM w sprawach ochrony danych: dpa@vaultpam.com
8. Odpowiedzialność
8.1 Zakres ograniczenia odpowiedzialności z Warunków. Ograniczenia odpowiedzialności i łączna górna granica odpowiedzialności określone w Warunkach świadczenia usług (sekcja 10) mają zastosowanie w równym stopniu do roszczeń wynikających z niniejszej Umowy DPA lub z nią związanych, w tym roszczeń z tytułu naruszenia obowiązków wynikających z RODO.
8.2 Wzajemne zabezpieczenie od odpowiedzialności. Każda ze stron zobowiązuje się zwolnić drugą stronę z odpowiedzialności i zabezpieczyć ją przed wszelkimi odszkodowaniami, grzywnami, karami lub kosztami (w tym uzasadnionymi kosztami obsługi prawnej) zasądzonymi wobec drugiej strony przez organ nadzorczy lub sąd w zakresie bezpośrednio wynikającym z naruszenia przez stronę zobowiązującą swoich obowiązków wynikających z niniejszej Umowy DPA lub RODO.
8.3 Regres na podstawie art. 82 RODO. Jeżeli jedna ze stron wypłaciła Osobie, której dane dotyczą, odszkodowanie na podstawie art. 82 RODO z tytułu szkody, za którą w całości lub w części odpowiada druga strona, strona płacąca może dochodzić od drugiej strony zwrotu tej części odszkodowania, która odpowiada winie drugiej strony. Strony będą współpracować w dobrej wierze w celu ustalenia podziału odpowiedzialności.
8.4 Żadne postanowienie niniejszej sekcji nie ogranicza odpowiedzialności żadnej ze stron z tytułu rażącego niedbalstwa lub umyślnego działania.
9. Prawo właściwe
Niniejsza Umowa DPA podlega prawu polskiemu. Spory są rozstrzygane zgodnie z postanowieniami dotyczącymi rozstrzygania sporów zawartymi w Warunkach świadczenia usług.
Aneks I — Techniczne i organizacyjne środki bezpieczeństwa (art. 32 RODO)
| Kategoria | Środek |
|---|---|
| Szyfrowanie w spoczynku | AES-256 dla wszystkich Danych Klienta przechowywanych na platformie (baza danych, nagrania sesji, sejf danych uwierzytelniających) |
| Szyfrowanie w tranzycie | TLS 1.2+ dla wszystkich danych w tranzycie; sesje RDP i SSH używają szyfrowania natywnego dla protokołu |
| Kontrola dostępu | RBAC egzekwowany przez płaszczyznę sterowania; MFA obowiązkowe dla wszystkich dostępów administratorów |
| Sejf danych uwierzytelniających | Dane uprzywilejowane przechowywane w HashiCorp Vault z hierarchią kluczy dedykowaną dla każdego Klienta; pracownicy VaultPAM nie mają dostępu do treści |
| Integralność nagrań sesji | Pamięć masowa WORM z kryptograficznymi sumami kontrolnymi; weryfikacja odporności na manipulację przy pobieraniu |
| Rejestrowanie audytu | Kompleksowy niezmienny dziennik audytu wszystkich działań administracyjnych, zdarzeń sesji i wywołań API |
| Zarządzanie podatnościami | Automatyczne skanowanie zależności (cargo-audit, Dependabot); regularne zewnętrzne testy penetracyjne |
| Zarządzanie poprawkami | Krytyczne poprawki bezpieczeństwa stosowane w ciągu 72 godzin; rutynowe poprawki w ciągu 30 dni |
| Reagowanie na incydenty | Udokumentowany plan reagowania na incydentów; umowa SLA na powiadamianie o naruszeniu w ciągu 72 godzin |
| Ciągłość działania | Zarządzane usługi GCP z nadmiarowością regionalną; udokumentowane cele RTO/RPO |
| Bezpieczeństwo dostawców | Ocena każdego Dalszego podmiotu przetwarzającego pod kątem zgodności z RODO; zawarte umowy DPA z Dalszymi podmiotami |
| Bezpieczeństwo fizyczne | Dane przetwarzane wyłącznie w centrach danych GCP (europe-central2, Warszawa, Polska); GCP posiada certyfikaty ISO 27001 i SOC 2 |
| Szkolenia personelu | Wszyscy pracownicy VaultPAM mający dostęp do Danych Klienta przechodzą szkolenia z zakresu ochrony danych i bezpieczeństwa |
| Pseudonimizacja | Dzienniki sesji i dzienniki audytu używają wewnętrznych identyfikatorów Użytkowników; mapowanie danych osobowych przechowywane oddzielnie z kontrolą dostępu |
Aneks II — Zatwierdzone dalsze podmioty przetwarzające
| Podmiot | Lokalizacja | Działalność w zakresie przetwarzania | Kategorie danych |
|---|---|---|---|
| Google Cloud Platform (GCP) | Google Ireland Ltd., Dublin 4, Irlandia; infrastruktura w europe-central2, Warszawa, Polska (UE) | Usługi chmurowe, zarządzane bazy danych PostgreSQL, przechowywanie obiektów (nagrania sesji), Kubernetes (GKE) | Wszystkie Dane Klienta |
| Google Workspace (przekaźnik SMTP) | Google Ireland Ltd., Dublin 4, Irlandia (UE) | Dostarczanie transakcyjnych wiadomości e-mail (powiadomienia o koncie, powiadomienia o naruszeniach) za pośrednictwem przekaźnika SMTP Google Workspace | Adres e-mail, treść powiadomienia |
| SMSAPI Sp. z o.o. | ul. Trakt Lubelski 352, 04-667 Warszawa, Polska (UE — RODO stosuje się bezpośrednio) | Dostarczanie jednorazowych haseł SMS do uwierzytelniania MFA | Numer telefonu komórkowego, treść OTP |
| SerwerSMS Sp. z o.o. | Polska (UE — RODO stosuje się bezpośrednio) | Dostarczanie jednorazowych haseł SMS do uwierzytelniania MFA (dostawca alternatywny) | Numer telefonu komórkowego, treść OTP |
Uwaga: Stripe Technology Europe Ltd. przetwarza dane rozliczeniowe jako niezależny administrator danych, a nie jako Dalszy podmiot przetwarzający VaultPAM. Więcej informacji w Polityce Prywatności, sekcja 5.2.
VaultPAM zaktualizuje niniejszy Aneks przy dodawaniu lub zmianie Dalszych podmiotów przetwarzających i powiadomi Klienta z wyprzedzeniem zgodnie z klauzulą 3(d).
Dostępne również w: English · Deutsch · Français
Pytania dotyczące tej Umowy? Skontaktuj się z nami pod adresem dpa@vaultpam.com. Zobacz też: Polityka prywatności · Warunki świadczenia usług.