top of page
Inspectle Oprogramowanie do kontroli bezpieczeństwa żywności
Inspectle Food logo

Regulamin

Oprogramowanie jako usługa

Terminy

  1. Definicje

    1. Konto - centralny środek dostępu do Platformy.

    2. Umowa - prawnie wiążąca umowa między Klientem a Spółką, składająca się z Regulaminu, Umowy o gwarantowanym poziomie usług, Umowy o przetwarzaniu danych, Środków technicznych i organizacyjnych oraz Zabezpieczeń Platformy.

    3. Klient - podmiot subskrybujący Platformę, uzyskujący usługi od Spółki.

    4. Spółka - Inspectly Holdings OÜ, kod rejestru 16608614, dostarczająca Platformę zgodnie z niniejszymi Warunkami.

    5. Warunki Ogólne - wszystkie warunki zawarte w niniejszym dokumencie oraz wszystkie inne zasady operacyjne, polityki, ustalone dobre praktyki, wytyczne i procedury, które mogą być od czasu do czasu publikowane przez Spółkę lub w inny sposób udostępniane na Platformie lub za jej pośrednictwem.

    6. Platforma - platforma kontroli żywności wraz z usługami świadczonymi za jej pośrednictwem (dostępna pod adresem https://www.inspectle.online/).

    7. Plan Cenowy - warunki subskrypcji i opłaty podane na Platformie(https://www.inspectle.online/pricing-plans).

    8. Okres próbny - jeśli Klient uzgodnił okres próbny, którego szczegóły mogą być podane w Planie Cenowym, może on korzystać z Platformy bezpłatnie w uzgodnionym okresie.

  2. Warunki korzystania z Platformy

    1. Z zastrzeżeniem wszystkich ograniczeń zawartych w niniejszym dokumencie, Spółka przyznaje Klientowi niewyłączne i niezbywalne prawo do subskrypcji dostępu i korzystania z Platformy hostowanej przez Spółkę zgodnie z Umową.

    2. Klient rozumie i zgadza się, że Spółka korzysta z usług zewnętrznych dostawców i partnerów hostingowych w celu zapewnienia niezbędnego sprzętu, oprogramowania, sieci, pamięci masowej i powiązanych technologii wymaganych do uruchomienia Platformy.

    3. Klient nie może sprzedawać, modyfikować, ponownie wykorzystywać, odsprzedawać, dystrybuować, powielać ani w żaden inny sposób korzystać z Platformy, chyba że Strony uzgodniły inaczej.

    4. Klient nie może odtwarzać kodu źródłowego, dekompilować ani dezasemblować Platformy ani modyfikować innej strony internetowej, aby fałszywie sugerować, że jest ona powiązana z Platformą.

    5. Żadne prawa własności ani wyłączne prawa autorskie do Platformy nie są przyznawane Klientowi poprzez korzystanie przez niego z Platformy.

    6. Klient przyznaje Spółce prawo do wyświetlania nazwy i/lub znaku towarowego Klienta w materiałach sprzedażowych i marketingowych Spółki.

    7. Klient rozumie, że Spółka zastrzega sobie prawo do zawieszenia dostępu Klienta do Platformy, jeśli Klient zalega z płatnością faktury przez ponad 30 (trzydzieści) dni kalendarzowych.

    8. Klient przyjmuje do wiadomości, że Spółka zastrzega sobie prawo do niezawarcia umowy, zawieszenia lub rozwiązania zarówno Umowy, jak i dostępu Klienta do Platformy, jeżeli Klient korzysta z produktów Spółki na stronach internetowych lub za pośrednictwem innych środków technicznych, które Spółka uzna za niezgodne z prawem, dobrymi obyczajami lub dobrymi praktykami.

  3. Konto

    1. Klient zachowuje ostateczną kontrolę administracyjną nad swoim Kontem.

    2. Klient jest odpowiedzialny za zapewnienie bezpieczeństwa Konta podczas korzystania z Platformy. Klient jest odpowiedzialny za wszystkie przesłane dane i wszelkie działania podejmowane w ramach Konta. Klient jest odpowiedzialny za utrzymanie bezpieczeństwa Konta i jego hasła. Spółka nie może i nie będzie ponosić odpowiedzialności za jakiekolwiek straty lub szkody wynikające z nieprzestrzegania tego obowiązku przez Klienta. Klient niezwłocznie powiadomi Spółkę, jeśli dowie się o jakimkolwiek nieautoryzowanym użyciu lub dostępie do Platformy za pośrednictwem Konta, w tym o jakimkolwiek nieautoryzowanym użyciu hasła lub Konta.

  4. Poufność

    1. Strony będą utrzymywać i zachowywać poufność oraz nie będą ujawniać bezpośrednio ani pośrednio żadnej stronie trzeciej Informacji Poufnych drugiej strony (zgodnie z definicją poniżej) i będą zapobiegać dostępowi stron trzecich do takich informacji (dalej „Zobowiązanie do zachowania poufności”). Zobowiązanie do zachowania poufności obejmuje zakaz wykorzystywania informacji poufnych do celów innych niż dostarczenie i odbiór Platformy. Informacje Poufne oznaczają wszelkie informacje (w tym informacje ustne i wizualne, informacje utrwalone na piśmie lub elektronicznie, lub na jakimkolwiek innym nośniku lub w jakikolwiek inny sposób) związane ze stroną lub spółką należącą do tej samej grupy co ta strona (dalej strona i spółki należące do tej samej grupy zwane Spółką Grupy), między innymi obejmujące:

      1. Umowę oraz wszelkie inne regulacje wewnętrzne i/lub dokumenty którejkolwiek ze Spółek Grupy.

      2. wszelkie dane i dokumentacja związane z działalnością i klientami Spółki Grupy, w tym informacje o klientach i bazy danych, informacje finansowe, wszelkie informacje o metodach szacowania kosztów, wielkości zakupów lub sprzedaży którejkolwiek ze Spółek Grupy, udziały w rynku, partnerzy biznesowi, plany marketingowe, struktura kosztów i cen, strategie sprzedaży, rozwój Platformy, informacje o umowach handlowych i innych (w tym sytuacja ekonomiczna, informacje księgowe, struktura, administracja wewnętrzna i dane o akcjonariuszach), informacje wpływające na pracę organów zarządzających, plany biznesowe, budżety itp;

      3. systemy informatyczne i oprogramowanie należące do Spółek Grupy lub licencjonowane przez nie; nazwy użytkownika i hasła wydane lub wygenerowane w celu korzystania z takich systemów informatycznych lub oprogramowania;

      4. wszelkie inne informacje dotyczące działalności biznesowej Spółek Grupy, których ujawnienie może mieć negatywny wpływ na którąkolwiek ze Spółek Grupy, lub wszelkie informacje, co do których strona mogłaby zasadnie oczekiwać, że Spółka Grupy uzna je za poufne.

    2. W przypadku jakichkolwiek uzasadnionych wątpliwości, czy dana informacja powinna być traktowana jako poufna oraz czy i w jakim zakresie może zostać ujawniona osobom trzecim, strony uznają taką informację za Informację Poufną.

    3. Odpowiednia Spółka Grupy pozostaje właścicielem Informacji Poufnych, niezależnie od ich ujawnienia. Strona ujawniająca może w dowolnym momencie zażądać od strony otrzymującej zwrotu wszelkich nośników zawierających Informacje Poufne.

    4. Zobowiązanie do zachowania poufności pozostaje w mocy przez czas nieokreślony po rozwiązaniu Umowy z jakiegokolwiek powodu.

  5. Prawa własności intelektualnej

    1. Własność intelektualna w rozumieniu niniejszej Umowy obejmuje wynalazki, projekty, procesy, formuły, bazy danych, algorytmy, ulepszenia, know-how, logo, znaki, plany, modele, projekty masek i wyświetlaczy graficznych, fotografie, cyfrowe i inne dzieła sztuki, wszystkie dzieła chronione prawem autorskim, a w odniesieniu do oprogramowania w szczególności i bez ograniczeń, kod źródłowy i architekturę oprogramowania oraz tajemnice handlowe, w tym szczegóły dotyczące wydajności lub projektu Platformy lub dowolnej części Platformy.

    2. Wszelkie prawa własności intelektualnej do komponentów Platformy, wszelkich aktualizacji oprogramowania oraz wszelkich dodatków, poprawek i ulepszeń do nich, a także do jakiegokolwiek innego zastrzeżonego oprogramowania udostępnionego Klientowi przez Spółkę, pozostają własnością Spółki. Strony potwierdzają, że Klient nie otrzyma żadnych praw własności intelektualnej do komponentów Platformy.

  6. Płatność

    1. Opłaty mające zastosowanie do świadczenia Platformy zostaną określone w Planie Cenowym. Klient może wybrać Plan Cenowy, a fakturowanie zostanie zautomatyzowane zgodnie z wybranym Planem Cenowym. Dostęp do Platformy zostanie przyznany po otrzymaniu przez Spółkę należnej płatności od Klienta na jego rachunek bankowy.

  7. Wyłączenie gwarancji

    1. Spółka udostępnia Platformę na zasadzie „tak jak jest” i „w miarę dostępności”, bez jakiejkolwiek gwarancji. Nie ograniczając tego, Spółka wyraźnie zrzeka się wszelkich gwarancji, wyraźnych, dorozumianych lub ustawowych, dotyczących Platformy, w tym między innymi wszelkich gwarancji przydatności handlowej, przydatności do określonego celu, tytułu, bezpieczeństwa, dokładności i nienaruszalności.

  8. Ograniczenie odpowiedzialności

    1. Wszelkie roszczenia związane z wykonaniem Umowy muszą być zgłaszane drugiej stronie bez zbędnej zwłoki w formacie, który można odtworzyć na piśmie.

    2. Strona ma prawo żądać od drugiej strony odszkodowania za szkody spowodowane naruszeniem lub niewykonaniem zobowiązań wynikających z Umowy, chyba że niniejsze Warunki stanowią inaczej lub strony wyraźnie uzgodniły inaczej w formie, którą można odtworzyć na piśmie.

    3. Klient rozumie i zgadza się, że Spółka nie będzie ponosić odpowiedzialności wobec Klienta lub jakiejkolwiek osoby trzeciej za jakąkolwiek utratę zysków, użytkowania, wartości firmy lub danych, ani za jakiekolwiek przypadkowe, pośrednie, specjalne, wynikowe lub przykładowe szkody, niezależnie od ich powstania, które wynikają z

      1. korzystania lub niemożności korzystania z Platformy przez Klienta;

      2. wszelkie modyfikacje, zmiany cen, zawieszenie lub zaprzestanie działania Platformy;

      3. ogólnie Platformy lub oprogramowania lub systemów, które udostępniają Platformę;

      4. nieautoryzowany dostęp lub zmiany transmisji lub danych Klienta;

      5. wszelkie inne kwestie związane z Platformą.

    4. Odpowiedzialność Spółki jest ograniczona niezależnie od tego, czy Spółka została poinformowana o możliwości wystąpienia takich szkód, nawet jeśli okaże się, że środek zaradczy określony w Umowie nie spełnił swojego podstawowego celu. Spółka nie ponosi odpowiedzialności za jakiekolwiek awarie lub opóźnienia wynikające z przyczyn pozostających poza uzasadnioną kontrolą Spółki. Jednakże maksymalna odpowiedzialność Spółki jest ograniczona do kwoty równej kwocie, którą Klient zapłacił Spółce w ciągu ostatnich trzech miesięcy od wystąpienia zdarzenia, które spowodowało odpowiedzialność Spółki.

    5. Wszelkie zobowiązania wynikające z lub związane z niniejszą Umową będą definiowane, regulowane i ograniczane wyłącznie przez warunki określone w Umowie o Poziomie Usług (SLA) zawartej między stronami. Strony wyraźnie potwierdzają i zgadzają się, że umowa SLA, która jest załączona do niniejszej Umowy i stanowi jej część, zawiera szczegółowe postanowienia dotyczące odpowiedzialności, w tym między innymi oświadczenia, gwarancje, środki zaradcze i ograniczenia odpowiedzialności. W przypadku jakichkolwiek niespójności lub konfliktów między warunkami niniejszej Umowy a Umową SLA dotyczącą odpowiedzialności, pierwszeństwo mają warunki Umowy SLA.

    6. Strony nie ponoszą odpowiedzialności za naruszenie lub niewykonanie swoich zobowiązań wynikających z Umowy, jeśli zostało to spowodowane działaniem siły wyższej. Jeśli działanie siły wyższej ma charakter tymczasowy, niewykonanie jest usprawiedliwione tylko przez okres, w którym siła wyższa utrudniała wykonanie zobowiązania. Zdarzenia siły wyższej to nieprzewidywalne okoliczności, których strona, która naruszyła zobowiązanie, nie jest w stanie kontrolować i których zapobieżenia nie można oczekiwać w oparciu o zasadę racjonalności. Przykłady siły wyższej obejmują między innymi poważne działania natury, wojnę, zamieszki, akty terroryzmu, działania władz publicznych (np. państwowych, samorządowych) i inne okoliczności niezależne od stron (np. strajk, ogólna awaria systemu komputerowego, awaria linii komunikacyjnych lub awaria zasilania, atak typu denial-of-service).

  9. Zwolnienie i odszkodowanie

    1. Klient zabezpiecza, broni i chroni Spółkę przed wszelkimi roszczeniami, zobowiązaniami i wydatkami, w tym kosztami obsługi prawnej, wynikającymi z korzystania przez Klienta z Platformy, w tym między innymi z naruszenia przez Klienta Umowy, pod warunkiem, że Spółka (1) niezwłocznie przekaże Klientowi pisemne powiadomienie o roszczeniu, żądaniu, pozwie lub postępowaniu; (2) zapewni Klientowi wyłączną kontrolę nad obroną i rozstrzygnięciem roszczenia, żądania, pozwu lub postępowania (pod warunkiem, że Klient nie może rozstrzygnąć żadnego roszczenia, żądania, pozwu lub postępowania, chyba że ugoda bezwarunkowo zwalnia Spółkę z wszelkiej odpowiedzialności); oraz (3) zapewni Klientowi wszelką uzasadnioną pomoc na koszt Klienta.

  10. Okres obowiązywania i rozwiązanie

    1. Niniejsza Umowa zostaje zawarta na czas nieokreślony. Każda ze Stron może wypowiedzieć Umowę z zachowaniem 30-dniowego okresu wypowiedzenia.

    2. Spółka jest uprawniona do rozwiązania Umowy bez wcześniejszego powiadomienia w przypadku, gdy Klient narusza niniejszą Umowę, jakiekolwiek obowiązujące przepisy prawa lub regulacje, lub szkodzi marce, reputacji lub działalności Spółki.

    3. Podczas Okresu Próbnego Klient może rozwiązać niniejszą Umowę bez wcześniejszego powiadomienia i bez podania przyczyny.

    4. Rozwiązanie Umowy nie zwalnia Stron z ich zaległych zobowiązań wynikających z Umowy i nie wpływa na prawa lub środki zaradcze strony wynikające z naruszenia Umowy.

  11. Różne

    1. Umowa między Klientem a Spółką oraz jakikolwiek dostęp do Platformy lub korzystanie z niej podlega prawu Republiki Estońskiej, z wyjątkiem norm kolizyjnych. Wszelkie spory wynikające z Umowy lub korzystania z Platformy będą rozstrzygane w drodze negocjacji. Jeśli polubowne rozstrzygnięcie nie będzie możliwe, spór zostanie ostatecznie rozstrzygnięty zgodnie z prawem Republiki Estońskiej, w Sądzie Okręgowym Harju w Tallinie.

    2. Klient nie może cedować ani delegować żadnych praw lub obowiązków wynikających z Umowy bez uprzedniej pisemnej zgody Spółki, a wszelkie nieautoryzowane cesje i delegacje przez Klienta są nieważne.

    3. Wszystkie postanowienia Umowy, które ze względu na swój charakter powinny obowiązywać po jej rozwiązaniu, będą obowiązywać po rozwiązaniu Umowy, w tym między innymi postanowienia dotyczące własności, zobowiązania do zachowania poufności, wyłączenia gwarancji, odszkodowania i ograniczenia odpowiedzialności.

    4. Spółka komunikuje się z Klientem w formie elektronicznej za pośrednictwem osoby kontaktowej i/lub adresu e-mail podanego przez Klienta. Pilne wiadomości informacyjne mogą być przekazywane telefonicznie, ale będą powtarzane pocztą elektroniczną najpóźniej następnego dnia roboczego. Klient zgadza się, że wszystkie umowy, powiadomienia, ujawnienia i inne komunikaty, które Spółka przekazuje Klientowi drogą elektroniczną, spełniają wszelkie wymogi prawne, które spełniałyby te komunikaty, gdyby były w formie papierowej. Klient zobowiązuje się niezwłocznie powiadomić Spółkę o zmianie przekazanych danych kontaktowych.

    5. Jeśli którekolwiek z postanowień Umowy zostanie uznane za nieważne lub niewykonalne, pozostałe postanowienia pozostaną w pełnej mocy. Jakiekolwiek zaniechanie przez Spółkę egzekwowania któregokolwiek z postanowień Umowy nie będzie uważane za zrzeczenie się przez Spółkę prawa do egzekwowania takiego postanowienia.

  12. Zmiany niniejszych Warunków

    1. Spółka zastrzega sobie prawo, według własnego uznania, do zmiany niniejszych Ogólnych Warunków w dowolnym momencie i zaktualizuje niniejsze Warunki w przypadku wprowadzenia takich zmian. Spółka powiadomi Klienta o drobnych zmianach w Regulaminie co najmniej 30 dni kalendarzowych przed wejściem zmiany w życie, powiadamiając Klienta pocztą elektroniczną. W przypadku istotnych zmian Strony podejmą negocjacje. W celu uniknięcia wątpliwości, modyfikacje funkcjonalności Platformy nie będą uważane za istotne zmiany.
       

ZAŁĄCZNIKI

ZAŁĄCZNIK 1 - Umowa o gwarantowanym poziomie usług

ZAŁĄCZNIK 2 - Umowa o przetwarzaniu danych

ZAŁĄCZNIK 3 - Środki techniczne i organizacyjne (TOM)

ZAŁĄCZNIK 4 - Bezpieczeństwo Platformy
 

ZAŁĄCZNIK 1

Umowa o gwarantowanym poziomie usług

  1. Zakres

    1. Spółka będzie świadczyć następujące Usługi na rzecz Klienta:

    2. Oprogramowanie Inspectle do kontroli higieny żywności, w tym platforma internetowa i oprogramowanie mobilne;

      1. wsparcie telefoniczne;

      2. monitorowane wsparcie e-mail;

      3. proaktywne monitorowanie oprogramowania w czasie rzeczywistym

      4. rozwiązywanie problemów z oprogramowaniem;

      5. aktualizacje oprogramowania i wersji systemu;

  2. Składanie wniosków o wsparcie

    1. Wszelkie problemy z Usługami lub Systemem należy niezwłocznie zgłaszać Spółce.

    2. Problemy można zgłaszać za pośrednictwem poczty e-mail lub w przypadku blokowania lub krytycznych problemów priorytetowych, za pośrednictwem połączenia telefonicznego z infolinią pomocy technicznej w standardowych godzinach pracy pomocy technicznej.

  3. Dostępność

    1. Usługi będą dostępne dla Klienta zgodnie z następującymi standardowymi godzinami wsparcia:

      1. Infolinia wsparcia: gotowość/na żądanie 8:00 - 17:00 (EET).

    2. Świadczenie Usług poza standardowymi godzinami wsparcia zostanie uzgodnione i wycenione na żądanie.

    3. Spółka będzie świadczyć Usługi w języku estońskim i angielskim.

  4. Ustalanie priorytetów, terminy odpowiedzi i rozwiązywania problemów

    1. Spółka będzie obsługiwać problemy zgodnie z priorytetami i terminami rozwiązania wskazanymi poniżej:

Sprawdź warunki dotyczące żywności

  1. The response and resolution deadlines shall be calculated from the receipt of the notification. If the notification is sent outside the standard support service hours, the response and resolution deadlines shall be calculated from the time the standard support service is available to the Client.

  2. The Client is aware that some of the requests may require further investigation and/or internal escalation by Company technical specialists. The resolution of such issues may be dependent on the availability of the diagnostics information from the Client and the Client shall cooperate with the Company to ensure timely resolution of issues and problems. In this case, the Company shall monitor events at every stage throughout the diagnostic process and keep the Client informed of the progress.

  1. Violation of Service Availability

  2.         In the event of the Company indisputably violating any of the provisions of Clause 4.1 related to Blocking priority resolution terms, the Client is entitled to service credit totalling up to the amount of one month’s service per violation. For each full day that the breach continues, the Client is entitled to service credit to the amount of 10% of the monthly service fee, without prejudice to any other rights provided for by law or under this agreement such as the right to specific performance, the right to an injunction or the right to claim damages in lieu of this penalty. However, the Company cannot be held liable for the incidents or resolution that they do not have control over.

  3. Expenses

    1. The Client shall compensate the Company for all the expenses incurred due to the Company’s processing of a support request, the resolution of which is out of the scope of responsibility of the Company according to hourly rates specified in the Company’s price list or agreed separately between the Parties.

  4. Changes to the Service Level Agreement

    1. In the case of any changes imposed on the Company by a regulator or the cloud computing party, the Company reserves the right, at their sole discretion, to amend the SLA at any time and will update this SLA in the event of any such amendments. Company will notify the Client of material changes to the SLA at least 30 calendar days prior to the change taking effect by sending a notice to the Client. For non-material modifications, the Client’s continued use of the Services constitutes agreement to the Company’s revisions of the SLA.

  5. Payment

    1. Company’s pricing and payment terms are agreed upon in the Special Terms.

  6. Miscellaneous

    1. The terms and conditions set forth in the General Terms shall apply to the SLA.

    2. In the event of any discrepancy between the SLA and the General Terms, the SLA shall prevail.

 

 

ANNEX 2

Data Processing Agreement

Client - hereinafter referred to as "CONTROLLER " and Company - hereinafter referred to as "PROCESSOR "

1.              Subject matter

1.1.           Subject matter of the DPA, type and purpose of the data processing, types of personal data and categories of data subjects are described in Schedule 1.

1.2.           This DPA shall – unless otherwise agreed – apply as long as PROCESSOR processes personal data on behalf of CONTROLLER.

2.              Processing of Data bound by Instructions

2.1.           The PROCESSOR shall process the personal data based on the instructions provided by the CONTROLLER using the Software as a Service (SaaS) platform.

2.2.            The CONTROLLER is responsible for the transparency and information provided to its customers in its service terms, privacy policies and contracts regarding the details of the services provided by the PROCESSOR.

3.              Commitment to Confidentiality

3.1.           The PROCESSOR shall engage for the implementation of this DPA only the persons authorised to process the personal data, who have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.

3.2.           The PROCESSOR shall work with due care towards accomplishing that its employees comply with all applicable legal requirements for data protection and that the information obtained from the CONTROLLER is not released to unauthorised third parties or otherwise used/exploited.

4.              Security of Processing / Technical and Organisational Measures (TOMs)

4.1.           The PROCESSOR takes all TOMs required pursuant to Article 32 GDPR.

4.2.           TOMs are subject to technical progress and development. During the duration of this DPA, the PROCESSOR shall continuously adapt the TOMs to the requirements of this DPA and according to technological progress.

4.3.           Insofar as the PROCESSOR provides a technical system/ solution for the CONTROLLER; the PROCESSOR has to ensure that the technical system/ solution meets the requirements of the GDPR.

5.              Engaging Another Processor (SUBPROCESSOR)

5.1.           The PROCESSOR may engage SUBPROCESSORS listed in Schedule 2. The CONTROLLER gives the authorisation of engaging these SUBPROCESSORS.

5.2.           The PROCESSOR shall inform the CONTROLLER of any intended changes concerning the addition or replacement of SUBPROCESSORS by updating Schedule 2.

5.3.           The PROCESSOR shall impose on the SUBPROCESSORS the same data protection obligations, which are set out in this DPA. Where the SUBPROCESSOR fails to comply with the data protection obligations set out in this DPA, the PROCESSOR shall remain fully liable to the CONTROLLER for compliance with the data protection obligations of the SUBPROCESSOR.

5.4.           The PROCESSOR shall properly verify compliance with the data protection obligations by the engaged SUBPROCESSOR on a regular basis.

5.5.           Any transfer into a third country (incl. giving access to personal data) either by the PROCESSOR itself or any SUBPROCESSOR is subject to prior written approval, including in electronic form, by the CONTROLLER. The CONTROLLER gives the authorisation for third-country transfers to engaged SUBPROCESSORS, which are listed in Schedule 2.

5.6.           Where personal data is transferred from the PROCESSOR located in the European Union (EU) or the European Economic Area (EEA) to a SUBPROCESSOR located in a country not recognised by the European Commission as providing an adequate level of protection for personal data, CONTROLLER appoints PROCESSOR and PROCESSOR assures to enter into the EU Standard Contractual Clauses on CONTROLLER's behalf with such SUBPROCESSOR based outside of the EEA or the EU. PROCESSOR will accede to these Standard Contractual Clauses concluded between PROCESSOR and the SUBPROCESSOR.

6.              Cooperation & Support Obligations

6.1.           The PROCESSOR assists the CONTROLLER with all necessary and economically appropriate means as well as by appropriate technical and organisational measures for the fulfilment of the CONTROLLER's obligation to respond to requests for exercising the data subject's rights.

6.2.           Direct communication with the data subject shall only take place with the prior written permission of the CONTROLLER. The PROCESSOR shall forward all inquiries related to the data subject's rights to the CONTROLLER without undue delay.

7.              Assistance in Ensuring Compliance with the Obligations of the CONTROLLER

7.1.           The PROCESSOR is aware that in case of a personal data breach, the CONTROLLER must notify the personal data breach the supervisory authority and/or the data subject without undue delay and, where feasible, not later than 72 hours after having become aware of the personal data breach. In the event of a personal data breach, the PROCESSOR will support the CONTROLLER by all necessary and economically reasonable means in performing his notification duties pursuant to Art. 28 (3) (f) GDPR. The PROCESSOR will inform the CONTROLLER of any personal data breach as well as suspected cases and provide at least the following information:

7.1.1.       the nature of the personal data breach including, where possible, the categories and approximate number of data subjects concerned and of personal data records concerned;

7.1.2.       the name and contact details of the data protection officer or another contact point, where more information can be obtained;

7.1.3.       the likely consequences of the personal data breach;

7.1.4.       the measures taken or proposed to be taken by the CONTROLLER to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.

8.              Deletion and Return of Personal Data                                 

8.1.           CONTROLLER has the option to configure how personal data is stored on Software as a Service (SaaS) platform and set a retention policy specifying the duration after which the data is automatically deleted

9.              Demonstrating Compliance with the Obligations and Contributing to Audits

9.1.           The PROCESSOR makes available to the CONTROLLER all information necessary to demonstrate compliance with the obligations laid down in Art. 28 GDPR.

10.            Further Obligations

10.1.        In the event of suspicion of violations of the data protection obligations or other data breaches or complaints regarding the processing of personal data or resulting from inspections or other measures taken by the supervisory authorities, CONTROLLER shall be immediately notified.

10.2.        Where required by law, PROCESSOR shall appoint in writing a data protection officer according to Art. 37 GDPR and a representative according to Art. 27 GDPR.

11.            Other Provisions

11.1.        The Parties shall keep confidential all business secrets and data security measures they gain knowledge of in the context of the contractual relationship. Business secrets are all (but not limited to) business-related facts, circumstances and activities which are not generally accessible, but only accessible to a limited group of persons unless the PROCESSOR has no legitimate interest in non-proliferation. Data security measures are all TOMs taken by one contracting party. This obligation of secrecy remains effective after the termination of this DPA.

11.2.        The liability of the Parties for data protection violations is regulated in Art. 82 GDPR.

11.3.        In the event of contradictions, inconsistencies, or discrepancies between this DPA and the Terms and Conditions, the provisions of this DPA shall take precedence over the provisions of the main contract. Furthermore, the provisions of the standard contractual clauses/standard data protection clauses shall take precedence, if applicable.

11.4.        Should any of the provisions of this DPA be or become invalid, the remaining provisions shall remain valid and unaffected.

11.5.        Any modification of this DPA, including its termination and this clause, must be in electronic form and made available as the update of the Terms and Conditions.

11.6.        Irrespective of the provisions concerning the duration of the DPA, both Parties shall be entitled to termination upon good cause in the event of serious violations of the data protection provisions laid down in this DPA.

 Schedule 1:

Sprawdź warunki dotyczące żywności

ANNEX 3

Technical and Organisational Measures (TOM)

  1. Overview

The following Technical and Organisational Measures are being provided in compliance with Article 32(1) of the GDPR. Company maintains its production environment on Vultr (Sweden server) and relies on Microsoft Azure Blob Storage for image storage. As such, it relies in large part on the technical security measures adopted by Vultr and Azure. All physical security controls are managed by the cloud hosting providers we use. To the extent that Company processes Personal Data outside the Vultr and Azure systems, the following technical and organisational measures have been implemented with respect to your Personal Data. The structure of the content below is derived from Article 32(1) of the GDPR.

  1. Pseudonymisation and Encryption

Data is encrypted both at rest and in transit. We use TLS encryption to protect the data in transit and we leverage industry-standard encryption tools to encrypt data at rest.

  1. Confidentiality

  • We have access controls designed to manage access to Data and system functionality based on authority levels and job functions. Documented access removal processes are utilised to revoke access of personnel who no longer need it.

  • We enforce password policies and require multi-factor authentication when available to protect our accounts.

  • All personnel laptops are encrypted and password protected enforced through a centralised endpoint protection solution that enforces best practices on devices.

  • Automatically activated and password-protected computer locking solutions.

  • We protect our user login against a number of attack vectors including brute force attacks by utilising industry-standard third-party services. Passwords are cryptographically hashed and salted based on industry best practices by our authorisation provider and user authorisation tokens to manage connections to the Platform.

  • We do not run our own routers, load balancers, DNS servers, or physical servers. Our Platform operates in a cloud-based environment, utilizing virtual private servers provided by Vultr and image storage solutions from Azure.

  • We have implemented procedures and rules for the safe and permanent destruction of data that is redundant.

  • We log and monitor activity on our system, which includes, but is not limited to, Azure Blob Storage and Vultr system events, Grafana metrics derived from PostgreSQL data and SendGrid. We actively store these logs and analyze them for unusual activity. Grafana is specifically used for monitoring the level of interaction with our system by analyzing data from our PostgreSQL databases. Processes are in place to alert our dedicated security team of any suspicious activity for immediate review.

  1. Integrity

  • The deployment of the Platform is entirely automated and changes to both infrastructure and code are subject to automated testing using our Continuous Integration (CI) tool before being released to production.

  • Our infrastructure is provisioned via code solutions, enabling consistent, reliable, and secure deployments of cloud infrastructure. We utilize tools compatible with Azure and Vultr environments for this purpose, ensuring a programmatically managed and standardized setup.

  • Changes to our Platform are reviewed by peers, and such code reviews are designed to ensure the security, performance and quality of code released to production.

  • We engage an independent organisation to assess the security of our Platform, which is reviewed a no less than once every 12 months.

  1. Availability and Resilience

  • We leverage fully managed services to deliver the Platform. Providers such as Azure Functions and Vultr Compute Instances are responsible for administering and patching services within their respective ecosystems.

  • All Client data is stored in Cloud storage services and is backed up on at least a daily basis.

Ability to Restore the Availability and Access to Personal Data

  • We have a written Business Continuity and Disaster Recovery Plan setting forth processes to restore the Platform.

  1. Processes of Regular Testing, Assessing and Evaluating the Effectiveness of Technical and Organisational Measures for Ensuring the Security of the Processing

  • We regularly review data privacy measures.

  • We have a security expert who collaborates with all other departments at the Company to ensure security across the Platform and services.

  • All members of our team (including both full-time employees and independent contractors) are required to comply with internal security policies and practices, including but not limited to, an Information Security Incident Management Policy, and Information Security Policy and Standards – Data Encryption Policy, an Acceptable Use Policy, an Email Policy and a Data Classification and Access Control Policy.

  • We perform regular penetration test audits with a contracted third party.

ANNEX 4

 

Platform Security

  1. Infrastructure

Physical access

Company operates in a cloud-based environment and utilizes a shared cloud security model. We do not run our own routers, load balancers, DNS servers, or physical servers. Our infrastructure is hosted on virtual private servers provided by Vultr and image storage is handled by Azure Blob Storage.

  1. Application security

Code reviews

All code is reviewed by a senior engineer before being deployed to production systems. Code reviews are designed to ensure the security, performance and quality of code released to production

User Logins

We protect our user login against a number or attack vectors including brute force attacks, by utilising third party services. Passwords are cryptographically hashed and salted based on industry best practises by our authorisation provider and user authorisation tokens to manage connections to the Platform.

Development Process

The deployment of the Platform is entirely automated. Changes to both infrastructure and code are subject to automated testing using our Continuous Integration (CI) tool before being released to production. A change that passes our review and testing process is then deployed to production using our CI tool.

Penetration Testing

Company performs regular penetration test audits with a contracted third party.

Data encryption and transfer

Company encrypts data both at rest and in transit. All network communication uses TLS encryption to protect it in transit. We leverage the encryption tools included in public cloud data stores to encrypt data at rest.

  1. Policies and Compliance

Overview

Company is committed to protecting your information. While Company has not undergone a 3rd party security audit for SOC-2 or ISO27001, 27018, we hold ourselves to the security controls present in those frameworks and have chosen our cloud hosting providers that are SOC and ISO compliant.

Employee Access to Data

Company restricts access to systems and infrastructure to Company personnel who require access as part of their job responsibilities. Access removal processes are used to revoke access to personnel who no longer need it.

Company enforces a password policy and a requirement for multi-factor authentication when available to protect our accounts.

Documentation and Change Control

We manage all our infrastructure as code, allowing us to audit and peer review any changes and to provide a secure and automated process for applying these changes.

Notification of Security Breach

Company complies with GDPR requirements for data breach notification standards. In the event of a security breach Company will take actions to contain, investigate and mitigate the breach. Company will notify Clients in the event of a breach in writing within 48-hours of a breach being confirmed.

An unsuccessful Security Incident will not be subject to notification. An unsuccessful Security Incident is one that results in no unauthorised access to Personal Data or to any equipment or facilities storing Personal Data, and may include, without limitation, pings and other broadcast attacks on firewalls or edge servers, port scans, unsuccessful log-on attempts, denial of service attacks, packet sniffing (or other unauthorised access to traffic data that does not result in access beyond headers) or similar incidents.

bottom of page