For English version, click here

Umowa powierzenia przetwarzania danych osobowych

Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej jako „UPD”) stanowi część umowy o świadczenie usług (dalej jako „Umowa Główna”) zawartej pomiędzy spółką GPTW PL (dalej jako „Podmiot Przetwarzający”) a klientem (dalej jako „Administrator Danych”).

Administrator Danych i Podmiot Przetwarzający są dalej łącznie zwani „Stronami”, a z osobna „Stroną”.

Zważywszy, że spółka GPTW PL może w ramach świadczenia usług na podstawie Umowy Głównej (dalej jako „Usługi”) przetwarzać (np. poprzez uzyskanie dostępu) dane osobowe osób fizycznych w imieniu klienta, Strony uzgadniają zawarcie niniejszej UPD w celu uregulowania zasad powierzania przetwarzania danych osobowych.

1. DEFINICJE

Pisane wielką literą pojęcia użyte w niniejszej UPD mają następujące znaczenie, chyba że w innej części tej umowy zdefiniowano je inaczej:

2. PRZEDMIOT UPD ORAZ ZAKRES, CEL I CHARAKTER PRZETWARZANIA DANYCH OSOBOWYCH

1. Administrator Danych powierza Podmiotowi Przetwarzającemu Dane Osobowe w zakresie określonym w Załączniku nr 1 do niniejszej Umowy Powierzenia celem ich Przetwarzania, a Podmiot Przetwarzający zobowiązuje się przetwarzać je zgodnie z niniejszą UPD.
2. Celem przetwarzania Danych Osobowych jest wykonanie Umowy Głównej, w szczególności świadczenie usług.

3. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

1. Podmiot Przetwarzający może przetwarzać Dane Osobowe wyłącznie w zakresie i w celach określonych w UPD oraz w Umowie Głównej.
2. Przetwarzając Dane Osobowe, Podmiot Przetwarzający zobowiązuje się przestrzegać przepisów o ochronie Danych Osobowych, w szczególności RODO i CCPA (jeśli będą mieć zastosowanie).
3. Podmiot Przetwarzający oświadcza, że dysponuje zasobami, doświadczeniem, wiedzą ekspercką i wykwalifikowanym personelem, które pozwalają mu prawidłowo wykonywać UPD oraz wdrażać odpowiednie środki techniczne i organizacyjne zapewniające, że Przetwarzanie będzie zgodne z wymogami prawnymi, w szczególności środki chroniące Dane Osobowe przed ich ujawnieniem na rzecz nieupoważnionych osób, przed ich usunięciem przez te osoby, przed Przetwarzaniem z naruszeniem przepisów oraz przed uszkodzeniem, zniszczeniem, utratą lub niezgodną z prawem modyfikacją (Załącznik nr 2 do niniejszej UPD).
4. Podmiot Przetwarzający zobowiązuje się zachować Dane Osobowe w poufności oraz wdrożyć środki w celu ich zabezpieczenia, w tym w okresie po zakończeniu obowiązywania UPD, jak również zapewnić, że jego pracownicy oraz inne osoby upoważnione do przetwarzania powierzonych Danych Osobowych zobowiążą się zachować Dane Osobowe oraz środki ich zabezpieczania w poufności, w tym w okresie po zakończeniu obowiązywania UPD.
5. Podmiot Przetwarzający zobowiązuje się, uwzględniając charakter Przetwarzania oraz dostępne mu informacje, wspierać Administratora Danych w wykonywaniu obowiązków określonych w art. 32–36 RODO; w szczególności Podmiot Przetwarzający zobowiązuje się przekazywać Administratorowi Danych wystarczające informacje, wykonywać jego polecenia w odniesieniu do środków bezpieczeństwa powierzonych Danych Osobowych, Naruszeń Ochrony Danych Osobowych będących przedmiotem UPD oraz powiadamiania organów nadzorczych lub osób, których dane dotyczą, wspierać go w dokonywaniu oceny skutków ochrony danych po uprzedniej konsultacji z organem nadzorczym oraz wdrażaniu zaleceń tego organu.
6. Podmiot Przetwarzający zobowiązuje się niezwłocznie przekazywać Administratorowi Danych informacje o Naruszeniu Ochrony Danych Osobowych, które zostały mu powierzone, w tym informacje konieczne dla Administratora Danych do dokonania zgłoszenia naruszenia organowi nadzorczemu, o którym mowa w art. 33 ust. 3 RODO.
7. Podmiot Przetwarzający zobowiązuje się wspierać Administratora Danych w możliwym zakresie za pomocą odpowiednich środków technicznych i organizacyjnych, jak również na podstawie osobnych uzgodnień, w wykonywaniu obowiązku odpowiadania na żądania osób, których dane dotyczą, związanych z wykonywaniem przez te osoby swoich praw wynikających z rozdziału III RODO.
8. Podmiot Przetwarzający zobowiązuje się niezwłocznie powiadomić Administratora Danych, jeśli w jego opinii przekazane mu polecenia stanowią naruszenie RODO lub przepisów o ochronie danych.
9. Podmiot Przetwarzający zobowiązuje się przestrzegać wszelkich wytycznych i rekomendacji wydanych przez organ nadzorczy lub unijny organ doradczy zajmujący się ochroną Danych Osobowych, które dotyczyć będą Przetwarzania Danych Osobowych, w szczególności stosowania przepisów RODO.

4. PODPOWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1. Administrator Danych przyjmuje do wiadomości i wyraża zgodę na podpowierzenie przez Podmiot Przetwarzający Przetwarzania Danych Osobowych w związku ze świadczeniem Usług. Zgoda ta obejmuje wskazane poniżej podmioty (podprocesorzy będący osobami trzecimi), jak również inne podmioty, o zaangażowaniu których Podmiot Przetwarzający powiadomi Administratora Danych (w formie pisemnej lub elektronicznej) i w odniesieniu do których Administrator Danych nie wyrazi sprzeciwu w ciągu 7 dni od otrzymania powiadomienia (w formie pisemnej lub elektronicznej). Podmiot Przetwarzający zobowiązany jest zapewnić, że na podprocesorów nałożone zostaną odpowiednie obowiązki w zakresie ochrony danych wynikające z niniejszej UPD. Podmiot Przetwarzający zobowiązany jest dołożyć racjonalnych starań w celu udostępnienia Administratorowi Danych zmiany Usług lub zalecenia mu racjonalnej handlowo zmiany konfiguracji lub sposobu korzystania z Usług w celu uniknięcia Przetwarzania Danych Osobowych przez nowego podprocesora, w odniesieniu do którego Administrator Danych wyraził sprzeciw, bez nieracjonalnego obciążania Administratora Danych. Jeśli Podmiot Przetwarzający nie jest w stanie udostępnić takiej zmiany w racjonalnym terminie, który nie może być dłuższy niż trzydzieści (30) dni, Administrator Danych może wypowiedzieć niniejszą UPD, wyłącznie jednak w odniesieniu do Usług, które nie mogą być świadczone przez Podmiot Przetwarzający bez korzystania z podprocesora, w odniesieniu do którego Administrator Danych wyraził sprzeciw, przekazując Podmiotowi Przetwarzającemu pisemne powiadomienie w tym zakresie. Podmiot Przetwarzający zobowiązany będzie zwrócić Administratorowi Danych wszelkie przedpłacone kwoty dotyczące zakończonych Usług.
2. Poniżej przedstawiono wykaz aktualnych podprocesorów:

Nazwa podprocesora	Lokalizacja	Usługa	Mechanizm transferu danych do państw trzecich
Great Place to Work Institute Inc.	Stany Zjednoczone 1999 Harrison Street, Suite 2070 Oakland, CA 94612 Dane kontaktowe: https://www.greatplacetowork.com/	Przeprowadzanie ankiet za pomocą platformy SaaS Emprising	Standardowe klauzule umowne przyjęte przez Komisję UE + środki dodatkowes
Microsoft Corp.	Stany Zjednoczone /Holandia One Microsoft Way, Redmond, Waszyngton 98052 Dane kontaktowe: HR Privacy, Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. Telefon: (+1) 425 882 8080	Hosting danych klientów przetwarzanych przez Emprising w chmurze Microsoft Azure, dostawca usług Office 365	Standardowe klauzule umowne przyjęte przez Komisję UE + środki dodatkowe (wyłącznie w odniesieniu do danych przekazywanych do USA)
HTEC Group	Serbia Bulwar Milutina Milankovica 11B, 11000 Belgrad  Dane kontaktowe: Aleksandar Cabrilo, President, Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.	Utrzymanie platformy ankietowej Emprising	Standardowe klauzule umowne przyjęte przez Komisję UE + środki dodatkowe
UKG, Inc.	Stany Zjednoczone 900 Chelmsford Street, Lowell, MA 01851 Dane kontaktowe: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.	Spółka macierzysta GPTW, która może mieć dostęp do Danych Osobowych Klienta	Standardowe klauzule umowne przyjęte przez Komisję UE + środki dodatkowe
Twilio	Stany Zjednoczone 101 Spear Street, Pierwsze Piętro, San Francisco, CA 94105 Dane kontaktowe: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.	Dostawca usług dostarczania poczty elektronicznej	Standardowe klauzule umowne przyjęte przez Komisję UE + środki dodatkowe
MongoDB	Stany Zjednoczone 1633 Broadway, 38 Piętro, Nowy Jork, NY 10019 Dane kontaktowe: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.	Dostawca usług zarządzania bazami danych i ich przechowywania	Standardowe klauzule umowne przyjęte przez Komisję UE + środki dodatkowe

5. PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH

W zakresie, w jakim Dane Osobowe są przetwarzane zgodnie z Umową Główną i zastosowanie ma do nich CCPA, Podmiot Przetwarzający i Administrator Danych 1) działają jako usługodawca w rozumieniu CCPA; 2) zobowiązują się wobec klienta, że Podmiot Przetwarzający nie będzie zatrzymywać, wykorzystywać lub ujawniać tych danych do celów innych niż określone w niniejszej UPD i dozwolonych w myśl CCPA, w tym na podstawie wyłączeń dotyczących sprzedaży, przy czym Podmiot Przetwarzający w żadnym wypadku nie dokona sprzedaży tych danych; 3) nie będą łączyć danych klienta z danymi osobowymi, które otrzymają od lub w imieniu osoby innej lub podmiotu innego niż klient. Powyższe postanowienia dotyczące CCPA nie ograniczają ani nie zmniejszają zakresu zobowiązań Podmiotu Przetwarzającego w odniesieniu do ochrony danych, które wynikają z niniejszej UPD lub z Umowy Głównej.

6. AUDYTY

Administrator Danych może weryfikować przestrzeganie przez Podmiot Przetwarzający zasad Przetwarzania Danych Osobowych określonych w niniejszej UPD i w obowiązujących przepisach, w szczególności poprzez wnioskowanie o przekazanie informacji na temat Przetwarzania Danych Osobowych przez Podmiot Przetwarzający w zakresie koniecznym do wykazania wykonania zobowiązań określonych w art. 28 RODO oraz na temat środków technicznych i organizacyjnych zapewniających, że Przetwarzanie ma miejsce zgodnie z prawem lub poprzez przeprowadzenie kontroli w Podmiocie Przetwarzającym po uzgodnieniu przez Strony jej terminu z wyprzedzeniem 30 dni. Co do zasady kontrole mogą być przeprowadzane za pomocą środków komunikacji na odległość.

7. ODPOWIEDZIALNOŚĆ

1. Strony uzgadniają, że odpowiedzialność Podmiotu Przetwarzającego wobec Administratora Danych powstaje w razie wykazanego bezpośredniego albo pośredniego naruszenia lub niewykonania jakiegokolwiek zobowiązania określonego w niniejszej UPD w odniesieniu do ochrony danych (w tym, bez ograniczeń, postanowień niniejszej UPD lub przepisów RODO) przez Podmiot Przetwarzający.
2. Strony uzgadniają, że Podmiot Przetwarzający nie ponosi odpowiedzialności za działania Administratora Danych, tj. za zbieranie i wprowadzanie przez Administratora Danych Danych Osobowych pracowników, rekruterów i osób będących wobec Administratora Danych osobami trzecimi. Administrator Danych zobowiązuje się w szczególności uzyskać we własnym zakresie odpowiednią podstawę prawną do przetwarzania Danych Osobowych przekazanych Podmiotowi Przetwarzającemu.
3. Bez uszczerbku względem poniższych postanowień w zakresie obowiązku zwolnienia od odpowiedzialności, odpowiedzialność każdej ze Stron z tytułu niniejszej UPD podlega wyłączeniom i ograniczeniom odpowiedzialności określonym w Umowie Głównej.

8. OKRES OBOWIĄZYWANIA I ROZWIĄZANIE UMOWY

1. Niniejsza UPD pozostaje w mocy do chwili zakończenia obowiązywania Umowy Głównej, na warunkach w niej określonych. W razie konieczności UPD pozostaje w mocy po rozwiązaniu Umowy Głównej przez okres konieczny do dalszego Przetwarzania Danych, w szczególności jeśli konieczność taka wynika z obowiązujących przepisów.
2. W wypadku rozwiązania UPD Podmiot Przetwarzający zobowiązany jest, w zależności od decyzji Administratora Danych, usunąć wszelkie Dane Osobowe powierzone mu na podstawie UPD lub przekazać je Administratorowi Danych w sposób i w formacie, które umożliwiają dalsze przetwarzanie. Jeśli Administrator Danych nie przekaże swojej decyzji w tym zakresie, Podmiot Przetwarzający zobowiązany będzie usunąć Dane Osobowe zgodnie z postanowieniami Umowy Głównej. Zobowiązania wskazane w zdaniach poprzedzających nie mają zastosowania, jeśli Podmiot Przetwarzający posiada inną zgodną z prawem podstawę dalszego przetwarzania danych, w tym w odniesieniu do przechowywania danych w celu wykazania prawidłowości wykonania usług na rzecz Administratora Danych – do czasu przedawnienia roszczeń.

9. POSTANOWIENIA RÓŻNE

1. Prawem właściwym do wykonywania UPD jest prawo wskazane jako właściwe w odpowiednich postanowieniach Umowy Głównej.
2. Wszelkie powiadomienia, wnioski, dodatkowe umowy i konsultacje pomiędzy Stronami podlegają dokonaniu zgodnie z postanowieniami Umowy Głównej.

ZAŁĄCZNIK NR 1

SZCZEGÓŁOWE INFORMACJE O PRZETWARZANIU DANYCH

Przedmiot i charakter Przetwarzania

1. Świadczenie Usług na podstawie Umowy Głównej, w szczególności dostęp do Danych Osobowych Administratora Danych w celu przeprowadzenia procesu certyfikacji Great Place To Work®  Certification™
2. Usprawnianie Usług, opracowywanie nowych produktów lub usług, analiza porównawcza.
3. Publikowanie list Najlepszych Miejsc Pracy (Great Place To Work®  Best Workplaces ™) oraz profilu Great Place To Work® Profile™, jak również opracowywanie i publikowanie powiązanych materiałów, w tym raportów, badań, artykułów i książek.

Kategorie osób, których dane dotyczą

Administrator Danych może przekazywać Podmiotowi Przetwarzającemu Dane Osobowe w ramach korzystania przez niego z Usług, w zakresie określonym i kontrolowanym przez Podmiot Przetwarzający wedle jego wyłącznego uznania, a Dane te mogą obejmować w szczególności Dane Osobowe dotyczące następujących kategorii osób, których dane dotyczą:

1. pracownicy, stażyści, praktykanci, przedstawiciele, wykonawcy, kandydaci do pracy, klienci, dostawcy, podwykonawcy, partnerzy biznesowi, sprzedawcy i użytkownicy Administratora Danych;
2. członkowie zarządu, osoby pełniące wyższe funkcje, pracownicy, stażyści, praktykanci, przedstawiciele, wykonawcy, klienci lub partnerzy biznesowi klientów Administratora Danych;
3. osoby trzecie, z którymi Podmiot Przetwarzający pozostaje lub musi pozostawać w kontakcie w związku ze świadczeniem, eksploatacją lub utrzymywaniem Usług w imieniu Administratora Danych.

Kategorie danych osobowych

Administrator Danych może przekazywać Dane Osobowe w ramach korzystania przez niego z Usług (w szczególności poprzez umożliwianie dostępu do nich), w zakresie określonym i kontrolowanym przez Podmiot Przetwarzający wedle jego wyłącznego uznania, a Dane te mogą obejmować w szczególności Dane Osobowe dotyczące następujących kategorii Danych Osobowych:

1. imię i nazwisko pracownika, numer identyfikacyjny pracownika, służbowy adres e-mailowy, służbowy numer telefonu, kod działu, dane demograficzne, numer identyfikatora grupy pracowników (np. dział, zespół), stanowisko pracy, informacje o nieobecności, dane identyfikacyjne i kontaktowe osób, których dane dotyczą, po stronie Administratora Danych, dane dotyczące zatrudnienia i wykształcenia osób, których dane dotyczą, po stronie Administratora Danych, historia zatrudnienia osób, których dane dotyczą, po stronie Administratora Danych, inne informacje, które Administrator Danych może zbierać w celu zarządzania swoją siłą roboczą i wypłacania wynagrodzenia jej członkom;
2. historia klienta;
3. fakturowanie dotyczące danej umowy i dane dotyczące płatności;
4. adresy IP;
5. referencje, notatki ze spotkań;
6. kategorie danych osobowych dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, które Administrator lub jej przedstawiciel może okresowo wprowadzać lub wgrywać.

ZAŁĄCZNIK NR 2

ŚRODKI TECHNICZNE I ORGANIZACYJNE

1. Podmiot Przetwarzający stosuje następujące środki ochrony danych osobowych:
   1. środki organizacyjne:
      1. sporządzono i wdrożono Politykę Ochrony Danych Osobowych;
      2. do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia;
      3. stworzono procedurę postępowania w sytuacji naruszenia ochrony danych;
      4. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych;
      5. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;
      6. przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;
         przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w warunkach zapewniających bezpieczeństwo danych;
      7. dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonując takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści, aby po dokonaniu usunięcia danych niemożliwa była identyfikacja osób,
   2. środki techniczne:
      1. wewnętrzna sieć komputerowa zabezpieczona poprzez odseparowanie od sieci publicznej;
      2. stanowiska komputerowe wyposażone w indywidualną ochronę antywirusową i serwerową;
      3. komputery zabezpieczone przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania;
      4. użytkownikom systemu nie wolno udostępniać swojego identyfikatora i hasła innym osobom,
      5. dyski pamięci zabezpieczone przed możliwością dostępu przez osoby nieuprawnione za pomocą szyfrowania,
      6. dane podlegają synchronizacji z systemem OneDrive oraz cyklicznemu kopiowaniu na serwer dzierżawiony (Lizard z o.o. Sp. K.)
   3. środki ochrony fizycznej:
      1. obszar, na którym przetwarzane są dane osobowe, poza godzinami pracy, chroniony jest przez agencję ochrony mienia (Solid Security Sp. z o.o.);
      2. wejście na teren Spółki, na którym przetwarzane są dane osobowe objęty jest całodobowym monitoringiem;
      3. dostęp do pomieszczeń użytkowanych przez Spółkę posiadają tylko osoby upoważnione.
2. We wszystkich przypadkach, w których istnieje konieczność przetwarzania danych osobowych przez inną niż Spółka jednostkę organizacyjną lub podmiot należy sporządzić pisemną umowę o powierzeniu przetwarzania danych, o której mowa w pkt 3.20.2. Polityki Ochrony Danych Osobowych. Wyjątkiem od stosowania powyższej zasady są sytuacje, w których przetwarzanie danych odbywa się przez podmiot posiadający uprawnienia z mocy ustawy do przetwarzania danych osobowych, których dysponentem jest Spółka.

Ostatnia aktualizacja: 6.03.2026

Data Processing Agreement

This Data Processing Agreement (“DPA”) forms part of the Services Agreement (“Principal Agreement”) concluded by and between GPTW PL (hereinafter referred to as: “Processor”) and Customer (hereinafter referred to as: “Controller”).

The Data Controller and the Processor jointly referred to as the “Parties” and individually as the “Party”.

Whereas GPTW PL, providing the services under the Principal Agreement (hereinafter referred to as: “Services”), may process (e.g. gain access) to personal data of individuals on behalf of Customer, the Parties agreed to conclude this DPA to regulate the principles of entrusting the processing of the personal data.

1. DEFINITIONS

Any capitalized terms not otherwise defined in this DPA shall have the following meaning:

2. SUBJECT OF THE DPA AND THE SCOPE, PURPOSE AND NATURE OF THE PROCESSING OF PERSONAL DATA

1. The Data Controller entrusts the Processor with Personal Data within the material scope of Personal Data as set in Attachment 1 to this DPA for Processing, and the Processor undertakes to process them in accordance with this DPA.
2. The purpose of processing Personal Data is the performance of the Principal Agreement, in particular the provision of services.

3. PRINCIPLES FOR THE PROCESSING OF PERSONAL DATA

1. The Processor may process Personal Data only to the extent and for the purpose provided for in the DPA and the Principal Agreement.
2. When Processing Personal Data, the Processor undertakes to comply with the provisions on the protection of Personal Data, in particular the GDPR and CCPA (if applicable).
3. The Processor declares that it has the resources, experience, expertise and qualified staff that enable it to properly perform the DPA and implement appropriate technical and organizational measures to ensure that the Processing meets the requirements of the provisions of law, in particular the measures to protect Personal Data against disclosure to unauthorized persons, removal by an unauthorized person, Processing in violation of the law and damage, destruction, loss or unlawful modification (attachment 2 to this DPA).
4. The Processor undertakes to keep the Personal Data confidential and to introduce measures to secure it, including also the period after termination of the DPA, and undertakes to ensure that its employees and other persons authorized to process entrusted Personal Data, undertake to keep the Personal Data and their security measures secret, including after termination of the DPA.
5. The Processor undertakes, taking into account the nature of the Processing and the information available to him, to help the Data Controller in fulfilling the obligations set out in art. 32-36 GDPR; in particular, the Processor undertakes to provide the Data Controller with sufficient information and to perform its instructions regarding the means of securing entrusted Personal Data, Breaches of Personal Data being the subject of the DPA and notifying the supervisory authority or persons to whom the personal data relate, to assist in carrying out data protection impact assessments and in prior consultation with the supervisory authority and implementation of the authority's recommendations.
6. The Processor undertakes to provide the Data Controller without undue delay, with information about a Breach of Personal Data entrusted to the Processor including information necessary for the Data Controller to report the breach to the supervisory authority referred to in art. 33 item 3 GDPR.
7. The Processor undertakes to assist the Data Controller, as far as possible, by appropriate technical and organizational measures and on the basis of separate arrangements, in fulfilling the obligation to respond to the requests of data subjects in the exercise of their rights set out in Chapter III of the GDPR.
8. The Processor undertakes to immediately inform the Data Controller if, in the opinion of the Processor, the instructions issued to it constitute a violation of the GDPR or other provisions of law on data protection.
9. The Processor undertakes to comply with any guidelines or recommendations issued by the supervisory authority or the EU advisory body dealing with the protection of Personal Data regarding the Processing of Personal Data, in particular regarding the application of the GDPR.

4. SUBPROCESSING

1. The Controller acknowledges and agrees that the Processor may engage third-party sub-processors in connection with the provision of the Services. This consent includes the entities indicated below (third-party sub-processors), as well as other entities, about the involvement of which the Processor will notify the Data Controller (in a written or electronic form), and to which the Controller will not object within 7 days of receiving the notification (in a written or electronic form). The Processor will ensure that the relevant data protection obligations under this DPA are also imposed on the sub-processors. The Processor will use reasonable efforts to make available to the Controller a change in the Services or recommend a commercially reasonable change to Controller's configuration or use of the Services to avoid Processing of Personal Data by the objected new sub-processor without unreasonably burdening the Controller. If the Processor is unable to make available such change within a reasonable period of time, which shall not exceed thirty (30) days, the Controller may terminate this DPA with respect only to those Services which cannot be provided by the Processor without the use of the objected new sub-processor by providing written notice to the Processor. The Processor will refund the Controller any prepaid fees with respect to such terminated Services.
2. The list of current third-party sub-processors is as set hereinbelow:

Name of sub-processor	Location	Service	Transborder transfer of data mechanism
Great Place to Work Institute Inc.	United States of America 1999 Harrison Street, Suite 2070 Oakland, CA 94612 Contact details: https://www.greatplacetowork.com/	Carrying out the survey through the Emprising SaaS platform	Standard contractual clauses as adopted by the EU Commission + supplementary measures
Microsoft Corp.	United States of America /Netherlands One Microsoft Way, Redmond, Washington 98052 Contact details: HR Privacy, Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. Phone: (+1) 425 882 8080	Cloud host of Client Data processed through Emprising, provider of the Office 365 services	Standard contractual clauses as adopted by the EU Commission + supplementary measures  (only for data transferred to USA)
HTEC Group	Serbia Bulevar Milutina Milankovica 11B, 11000 Belgrade Contact details: Aleksandar Cabrilo, President, Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.	Maintenance of the Emprising software platform	Standard contractual clauses as adopted by the EU Commission + supplementary measures
UKG, Inc.	United States of America 900 Chelmsford Street, Lowell, MA 01851 Contact details: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.	GPTW’s parent company that may access the Customer Personal Data	Standard contractual clauses as adopted by the EU Commission + supplementary measures
Twilio	United States of America 101 Spear Street, First Floor, San Francisco, CA 94105 Contact details: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.	Provider of email delivery services	Standard contractual clauses as adopted by the EU Commission + supplementary measures
MongoDB	United States of America 1633 Broadway, 38th Floor, New York, NY 10019 Contact details: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.	Provider of database management and storage services	Standard contractual clauses as adopted by the EU Commission + supplementary measures

5. INTERNATIONAL DATA TRANSFER MECHANISMS

To the extent that Personal Data is processed in accordance with the Principal Agreement, which Personal Data is within the scope of the CCPA, 1)  the Processor and the Controller act as a CCPA Service Provider; and 2) make the following additional commitments to Customer: the Processor will not retain, use, or disclose that data for any purpose other than for the purposes set out in this DPA and as permitted under the CCPA, including under any “sale” exemption. In no event will the Processor sell any such data; 3) will not combine Customer’s Data with personal data that it receives from, or on behalf of, another person or entity than Customer. These CCPA terms do not limit or reduce any data protection commitments the Processor make in this DPA or the Principal Agreement.

6. AUDITS

The Controller has the right to check the Processor's compliance with the rules for the Processing of Personal Data referred to in the DPA and in applicable laws, in particular by requesting information on the Processing of Personal Data by the Processor necessary to demonstrate compliance with specific obligations in art. 28 GDPR, technical and organizational measures used to ensure that the Processing is carried out in accordance with the law or to inspect the Processor, after prior arrangement by the Parties 30 days before the planned control. In principle, controls take place by means of remote communication.

7. LIABILITY

1. The Parties agree that the liability of the Processor to the Data Controller shall arise as a result of a proven direct or indirect breach or failure to comply with any obligation specified in this DPA related to data protection (including, without limitation, the provisions of this DPA or the GDPR) by the Processor.
2. The Parties agree that the Processor is not responsible for the actions of the Data Controller, namely for the collection by the Data Controller and uploading Personal Data of employees, recruiters, any third parties of the Data Controller. The Data Controller undertakes in particular to obtain on its own an appropriate legal basis for the processing of Personal Data provided to the Processor.
3. Notwithstanding the below provisions of indemnity, the liability of each Party under this DPA shall be subject to the exclusions and limitations of liability set out in the Principal Agreement.

8. TERM AND TERMINATION

1. This DPA shall remain in force until the termination of the Principal Agreement, under the conditions of termination stipulated therein. If necessary, the DPA shall remain in force after the termination of the Principal Agreement for the period necessary for further processing of Personal Data, in particular if required so based on the applicable laws.
2. In the event of termination of the DPA, the Processor shall be obliged, depending on the Data Controller's decision, to delete any Personal Data entrusted under the DPA or to transfer it to the Data Controller in a manner and format that allows further processing. If the decision is not communicated by the Data Controller, the Processor shall delete the Personal Data in accordance with the provisions contained in the Principal Agreement. The obligations indicated in the preceding sentences shall not apply if the Processor has another lawful basis for further data processing, including in terms of storing the data to demonstrate the correctness of the performance of services to the Data Controller - until the expiry of the period of limitation of claims.

9. MISCELLANEOUS

1. The DPA is governed by the law indicated as the governing law in the respective provisions of the Principal Agreement.
2. All notices, notifications, requests, additional agreements and consultations between the Parties shall be made in accordance with the terms set forth in the Agreement.

ATTACHEMENT 1

DETAILS OF DATA PROCESSING

Subject matter and nature of the Processing

1. Performance of the Services pursuant to the Principal Agreement, particularly access to the Personal Data of the Controller for the purpose of conducting the Great Place To Work® certification process.
2. Improving the Services, developing new products or services, benchmarking purposes
3. Publishing Great Place To Work® Best Workplaces™ lists and Great Place To Work® Profile™ as well as developing and publishing related findings including reports, studies, articles and books

Categories of data subjects

The Controller may submit the Processor the Personal Data in the course of its use of the Services, the extent of which is determined and controlled by the Controller in its sole discretion, and which may include, but is not limited to Personal Data relating to the following categories of data subjects:

1. the Controller’s employees, interns, trainees, agents, contractors, job applicants, customers, suppliers, subcontractors, business contacts, vendors, users;
2. the Controller’s clients’ directors, officers, employees, interns, trainees, agents, contractors, customers or business contracts;
3. Any third party with whom the Processor interacts or is requested to interact in connection with the provision, operation, or maintenance of the Services on behalf of the Controller.

Categories of personal data

The Controller may submit the Personal Data in the course of its use of the Services (particularly by giving access to them), the extent of which is determined and controlled by the Controller in its sole discretion, and which may include, but is not limited to Personal Data relating to the following categories of Personal Data:

1. Employee first and last name, employee ID number, business e-mail, business telephone number, department code, demographic information, employee groups (e.g. department, team) badge number, job title, absence information, identification and contact information of Controller’s data subjects, employment and education details of Controller’s data subjects, employment history of Controller’s data subjects, other information that Controller may collect in order to pay and manage its workforce;
2. Customer history;
3. Contract billing and bank data;
4. IP Addresses;
5. References, meeting notes; and
6. Such categories of personal data pertaining to an identified or identifiable individual as Company or Company’s representative may enter or upload from time to time into the Service.

ATTACHMENT 2

TECHNICAL AND ORGANIZATIONAL MEASURES

1. The Processor uses the following measures for the protection of personal data:
   1. organizational security measures:
      1. the Personal Data Protection Policy has been drafted and implemented;
      2. only the authorized persons are allowed to process data;
      3. a procedure in case of a personal data breach has been developed;
      4. the persons who process data have been caused to read and understand data protection regulations;
      5. the persons who process personal data have been obliged to keep this data confidential;
      6. personal data is processed in conditions securing data against access from unauthorized persons;
      7. unauthorized persons may stay in the rooms in which personal data is processed only in conditions that guarantee data security;
      8. documents and media carriers containing personal data which are subject to destruction are neutralized using devices intended for that purpose or by making such modifications that make it impossible to reconstruct their contents, so that identification of persons is impossible following data erasure;
   2. technical security measures:
      1. the internal computer network is secured by means of its separation from the public network;
      2. computers are equipped with individual anti-virus and server protection;
      3. computers are protected against use by persons who are not authorized to process personal data, by means of individual user IDs;
      4. system users are prohibited from sharing their IDs and passwords with others;
      5. memory disks are secured against access from unauthorized persons by means of encryption;
      6. data synchronized with OneDrive and periodically copied to a leased server (Lizard sp. z o.o. sp. k.);
   3. physical security measures:
      1. outside of business hours, the area in which personal data is processed is protected by asset protection agency (Solid Security Sp. z o.o.);
      2. the entrance to the Processor premises on which personal data is processed is covered with 24/7 CCTV surveillance;
      3. access to the rooms used by the Processor is granted exclusively to authorized persons.
2. In all cases where personal data has to be processed by an organization or entity other than the Processor, a written agreement of entrusting personal data for processing, as referred to in section 3.20.2 of the Personal Data Protection Policy, has to be executed. An exception from the above rule is a situation where data processing is carried out by an entity authorized under statutory regulations to process the personal data held by the Processor.

Last Updated: 6.03.2026