A D S M A S T

Niniejsza Umowa o przetwarzanie danych („DPA”) stanowi integralny załącznik do umowy świadczenia usług („IO” lub „Umowa”) zawartej pomiędzy AdsMast Sp. z o.o., z siedzibą przy ul. Nowogrodzkiej 50/54 lok. 515, 00-695 Warszawa, KRS: 0001146141, NIP: 5273144568 („AdsMast”) a podmiotem korzystającym z usług („Klient”), zwanymi dalej łącznie „Stronami”.

§ 1. Postanowienia ogólne

1. Dla celów związanych z realizacją umowy określonej w preambule DPA Klient powierza AdsMast do przetwarzania dane osobowe, na warunkach określonych w DPA, w zakresie określonym w pkt. 5 ustępu.
2. AdsMast zobowiązuje się do przetwarzania danych osobowych, zgodnie z obowiązującymi na dzień zawarcia niniejszej Umowy aktami prawnymi, zwanych dalej Akty Prawne, tj. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r., Ustawa o ochronie danych osobowych z dnia 10 maja 2018r.
3. Klient oświadcza, że w rozumieniu Aktów Prawnych, jest administratorem danych osobowych powierzonych danych.
4. Powierzone przez Klienta dane osobowe mogą być przetwarzane przez AdsMast wyłącznie w celu realizacji zawartej pomiędzy Stronami umowy, w okresie obowiązywania niniejszej Umowy, w zakresie niezbędnym do świadczenia Usług przez AdsMast.
5. Na mocy DPA AdsMast jest upoważniony do przetwarzania danych osobowych w zakresie następujących danych osobowych: Imię i Nazwisko, Adres zamieszkania, Adres e-mail, Nr telefonu pracowników, zleceniobiorców oraz osób współpracujących.
6. AdsMast może powierzyć przetwarzanie danych osobowych podmiotom trzecim tylko i wyłącznie w celu i w zakresie określonym DPA. W tym celu Klient udziela ogólnej zgody na dalsze powierzenie przetwarzania danych osobowych.
7. W razie powierzenia, o którym mowa w ust. 6 AdsMast zapewni by na podmiot trzeci nałożone zostały co najmniej takie same obowiązki ochrony danych osobowych jak w DPA.

§ 2. Zasady Przetwarzania Danych

1. Przetwarzanie danych osobowych, będzie wykonywane przez osoby upoważnione przez AdsMast. W czasie przetwarzania przez AdsMast danych osobowych, dane te będą przetwarzane w systemie informatycznym AdsMast.
2. Podczas przetwarzania danych osobowych, AdsMast obowiązany jest podejmować wszelkie środki wymagane na mocy Aktów Prawnych, w szczególności stosować środki techniczne i organizacyjne zapewniające ochronę powierzonych do przetwarzania danych osobowych, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Aktów Prawnych, utratą, uszkodzeniem lub zniszczeniem;
3. Do przetwarzania powierzonych danych osobowych mogą być dopuszczone jedynie osoby związane z AdsMast umową o współpracy, umową zlecenia lub umową o pracę, posiadające imienne upoważnienie do przetwarzania powierzonych danych osobowych.
4. Klient upoważnia AdsMast do wydawania osobom, o których mowa w § 2 ust. 3 DPA, imiennych upoważnień do przetwarzania danych osobowych.
5. AdsMast prowadzi ewidencję osób upoważnionych do przetwarzania powierzonych danych osobowych w związku z wykonywaniem Umowy.
6. AdsMast jest zobowiązany do zachowania poufności wszystkich danych osobowych powierzonych mu w trakcie obowiązywania Umowy oraz do podjęcia wszelkich kroków służących zachowaniu w tajemnicy danych osobowych przez osoby związane z AdsMast umową o współpracy, umową zlecenia lub umową o pracę, mające do nich dostęp, zarówno w trakcie trwania stosunku pracy lub stosunku cywilnoprawnego, jak i po jego ustaniu.
7. AdsMast jest zobowiązany do niezwłocznego poinformowania Klienta o wszelkich przypadkach naruszenia bezpieczeństwa powierzonych do przetwarzania danych osobowych lub o ich niewłaściwym użyciu.
8. AdsMast niezwłocznie poinformuje Klienta o wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony powierzonych do przetwarzania danych osobowych, prowadzonych przez organy administracji państwowej, których uprawnienia i zakres czynności wynikają z Aktów Prawnych.
9. AdsMast zobowiązuje się ponadto:
1. przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających zgodność z RODO, w tym adekwatny stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą
2. dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3. po zakończeniu świadczenia usług związanych z przetwarzaniem niezwłocznie usunąć wszelkie dane osobowe oraz usunąć wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
4. W miarę możliwości pomagać Klientowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia. W razie wpływu do Podmiotu przetwarzającego żądania w zakresie realizacji praw osób, których dotyczą powierzone dane, Podmiot przetwarzający niezwłocznie informuje o tym Klienta. Udzielając informacji, Podmiot przetwarzający przekazuje dane nadawcy i treść żądania oraz określa, w jakim zakresie jest w stanie przyczynić się do realizacji żądania.

§ 3. Prawo Kontroli

1. Klient zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, mającej na celu weryfikację czy AdsMast spełnia obowiązki wynikające z DPA.
2. Klient realizować będzie prawo kontroli w godzinach pracy AdsMast i z minimum dwu dniowym uprzedzeniem.
3. Prawo do przeprowadzenia kontroli obejmuje: wstęp do pomieszczeń, w których znajdują się zasoby uczestniczące w operacjach przetwarzania powierzonych danych osobowych; żądanie złożenia pisemnych lub ustnych wyjaśnień od osób upoważnionych do przetwarzania powierzonych danych osobowych; wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z celem kontroli oraz przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych danych osobowych.
4. AdsMast zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli, w terminie wskazanym przez Klienta, nie dłuższym niż 7 dni.

§ 4. Odpowiedzialność

1. AdsMast jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią DPA, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. AdsMast zobowiązuje się do niezwłocznego poinformowania Klienta o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez AdsMast danych osobowych określonych w DPA, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do AdsMast, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w AdsMast tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Klienta.

§ 5. Dane Użytkowników Google API (Google API Services User Data Policy)

Wykorzystanie przez platformę Adsmast oraz przekazywanie do jakiejkolwiek innej aplikacji informacji otrzymanych od Google API odbywa się w ścisłej zgodności z Polityką Danych Użytkownika Usług API Google (Google API Services User Data Policy), w tym z wymogami dotyczącymi Ograniczonego Wykorzystania (Limited Use).

1. Wykorzystanie Danych: Aplikacja Adsmast wymaga dostępu do zakresu analytics.readonly. Odczytujemy dane raportowe z Google Analytics 4 (GA4) za pośrednictwem Google Analytics Data API, aby wyświetlać wskaźniki zaangażowania i konwersji w spersonalizowanym panelu Twojej organizacji, zestawiając je z danymi z innych kanałów reklamowych. Dane te zasilają również nasz moduł AI, który pomaga w analizie ruchu i optymalizacji kampanii reklamowych. Adsmast jest narzędziem działającym wyłącznie w trybie do odczytu (read-only) – nigdy nie modyfikujemy, nie tworzymy ani nie usuwamy żadnych Twoich danych ani konfiguracji w Google Analytics.
2. Udostępnianie Danych: Dane z GA4 są wyświetlane wyłącznie wewnątrz panelu uwierzytelnionego użytkownika. AdsMast Sp. z o.o. gwarantuje, że Twoje dane użytkownika Google nie są udostępniane stronom trzecim, nie są sprzedawane, ani nie są wykorzystywane do profilowania użytkowników końcowych w celach reklamowych.
3. Przechowywanie i Ochrona Danych: Twoje dane analityczne oraz tokeny autoryzacyjne Google są bezpiecznie przechowywane na naszych serwerach z wykorzystaniem standardowych w branży metod szyfrowania (zarówno w spoczynku, jak i podczas przesyłania danych via HTTPS/TLS), aby chronić je przed nieautoryzowanym dostępem, zgodnie z § 2 niniejszej Umowy.
4. Przechowywanie i Usuwanie Danych: Dane pobrane z GA4 są przechowywane w naszych systemach wyłącznie tak długo, jak długo Twoje konto Google jest połączone z platformą Adsmast. Możesz w każdej chwili cofnąć dostęp do konta Google, korzystając z przycisku „Disconnect” w ustawieniach integracji w panelu Adsmast. Aby zażądać całkowitego i natychmiastowego usunięcia swoich danych zebranych z Google API z pominięciem interfejsu aplikacji, skontaktuj się z nami bezpośrednio. Po odłączeniu integracji, usunięciu konta lub bezpośrednim żądaniu, Twoje tokeny OAuth oraz wszystkie powiązane dane analityczne Google są trwale usuwane z naszych systemów, zgodnie z § 2 ust. 9 lit. c) niniejszej Umowy.

§ 6. Postanowienia końcowe

1. DPA została zawarta na czas obowiązywania IO.
2. W kwestiach nie uregulowanych niniejszą umową mają zastosowanie przepisy Kodeksu Cywilnego oraz Akty Prawne.

Rozstrzyganie rozbieżności: W przypadku jakichkolwiek rozbieżności lub konfliktów pomiędzy polską a angielską wersją językową niniejszego dokumentu, wersja polska jest prawnie wiążąca i ma znaczenie rozstrzygające.

This Data Processing Agreement (“DPA”) constitutes an integral appendix to the service agreement (“IO” or “Agreement”) concluded between AdsMast Sp. z o.o., registered at ul. Nowogrodzkiej 50/54 lok. 515, 00-695 Warsaw, Poland, KRS: 0001146141, NIP: 5273144568 (“AdsMast”), and the entity using the services (“Client”), hereinafter jointly referred to as the “Parties”.

§ 1. General Provisions

1. For the purposes related to the implementation of the agreement specified in the preamble of the DPA, the Client entrusts AdsMast with the processing of personal data, on the terms specified in the DPA, within the scope specified in point 5.
2. AdsMast undertakes to process personal data in accordance with the legal acts in force on the date of conclusion of this Agreement, hereinafter referred to as Legal Acts, i.e., Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (GDPR), and the Polish Personal Data Protection Act of 10 May 2018.
3. The Client declares that, within the meaning of the Legal Acts, it is the controller of the entrusted personal data.
4. The personal data entrusted by the Client may be processed by AdsMast exclusively for the purpose of implementing the agreement concluded between the Parties, during the term of this Agreement, to the extent necessary for the provision of Services by AdsMast.
5. Under the DPA, AdsMast is authorized to process personal data in the scope of the following data: First and Last Name, Residential Address, E-mail address, Phone number of employees, contractors, and associates.
6. AdsMast may entrust the processing of personal data to third parties solely and exclusively for the purpose and to the extent specified in the DPA. For this purpose, the Client grants general consent for further entrustment of personal data processing.
7. In the event of entrustment referred to in section 6, AdsMast shall ensure that the third party is subject to at least the same personal data protection obligations as those in the DPA.

§ 2. Data Processing Rules

1. Processing of personal data will be performed by persons authorized by AdsMast. While AdsMast processes personal data, this data will be processed within AdsMast’s IT system.
2. During the processing of personal data, AdsMast is obliged to take all measures required under the Legal Acts, in particular to apply technical and organizational measures ensuring the protection of personal data entrusted for processing, appropriate to the threats and categories of data protected, and in particular must secure the data against their disclosure to unauthorized persons, removal by an unauthorized person, processing in violation of the Legal Acts, loss, damage, or destruction.
3. Only persons bound to AdsMast by a cooperation agreement, mandate contract, or employment contract, holding a nominal authorization to process the entrusted personal data, may be admitted to processing the entrusted personal data.
4. The Client authorizes AdsMast to issue nominal authorizations to process personal data to the persons referred to in § 2 sec. 3 of the DPA.
5. AdsMast keeps a record of persons authorized to process the entrusted personal data in connection with the performance of the Agreement.
6. AdsMast is obliged to keep confidential all personal data entrusted to it during the term of the Agreement and to take all steps to maintain the secrecy of personal data by persons bound to AdsMast by a cooperation agreement, mandate contract, or employment contract who have access to them, both during the employment or civil law relationship and after its termination.
7. AdsMast is obliged to immediately inform the Client of any instances of breach of security of the personal data entrusted for processing or their improper use.
8. AdsMast will immediately inform the Client of any activities with its own participation in matters regarding the protection of personal data entrusted for processing, conducted by state administration authorities, whose powers and scope of activities result from the Legal Acts.
9. AdsMast further undertakes to:
1. when processing the entrusted personal data, secure them by applying appropriate technical and organizational measures ensuring compliance with the GDPR, including an adequate level of security corresponding to the risk of violating the rights or freedoms of data subjects.
2. exercise due diligence in processing the entrusted personal data.
3. upon termination of the provision of services related to processing, immediately delete all personal data and delete any existing copies thereof, unless Union law or Member State law requires storage of the personal data.
4. To the extent possible, assist the Client to the necessary extent in fulfilling the obligation to respond to requests from the data subject and in fulfilling the obligations specified in Articles 32-36 of the Regulation. In the event a request regarding the exercise of the rights of data subjects whose data has been entrusted is received by the Processor, the Processor shall immediately inform the Client thereof. When providing information, the Processor shall forward the sender’s data and the content of the request and determine the extent to which it is able to contribute to fulfilling the request.

§ 3. Right of Control

1. In accordance with Article 28 sec. 3 lit. h) of the Regulation, the Client has the right of control aimed at verifying whether AdsMast fulfills the obligations arising from the DPA.
2. The Client will exercise the right of control during AdsMast’s working hours and with a minimum of two days’ notice.
3. The right to conduct an inspection includes: access to rooms where resources participating in the operations of processing entrusted personal data are located; demanding written or oral explanations from persons authorized to process the entrusted personal data; access to all documents and all data directly related to the purpose of the inspection, and carrying out inspections of devices, media, and IT systems used to process the entrusted personal data.
4. AdsMast undertakes to remedy the deficiencies identified during the inspection within the time limit indicated by the Client, not longer than 7 days.

§ 4. Liability

1. AdsMast is responsible for providing or using personal data in a manner inconsistent with the content of the DPA, and in particular for providing personal data entrusted for processing to unauthorized persons.
2. AdsMast undertakes to immediately inform the Client of any proceedings, in particular administrative or judicial, regarding the processing by AdsMast of personal data specified in the DPA, of any administrative decision or ruling regarding the processing of such data directed to AdsMast, as well as of any planned, if known, or implemented controls and inspections regarding the processing of such personal data by AdsMast, in particular those conducted by inspectors authorized by the President of the Personal Data Protection Office. This paragraph applies exclusively to personal data entrusted by the Client.

§ 5. Google API Services User Data Policy

Adsmast’s use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

1. Data Usage: The Adsmast application requests access to the analytics.readonly scope. We read Google Analytics 4 (GA4) reporting data via the Google Analytics Data API to display engagement and conversion metrics within your organization’s authenticated dashboard, alongside other advertising channel data. This data also powers our AI module, which assists in traffic analysis and ad campaign optimization. Adsmast operates strictly in read-only mode—we never modify, create, or delete any of your Google Analytics data or configurations.
2. Data Sharing: Your GA4 data is displayed exclusively within your authenticated dashboard. AdsMast Sp. z o.o. guarantees that your Google user data is never shared with third parties, is not sold, and is not used for profiling end-users for advertising purposes.
3. Data Storage & Protection: Your analytics data and Google authorization tokens are stored securely on our servers using industry-standard encryption methods (both at rest and in transit via HTTPS/TLS) to protect against unauthorized access, in accordance with § 2 of this Agreement.
4. Data Retention & Deletion: Data retrieved from GA4 is retained in our systems only for as long as your Google account remains connected to the Adsmast platform. You can revoke Google account access at any time using the “Disconnect” button in the integration settings within the Adsmast panel. To request the complete and immediate deletion of your Google API data outside of the application interface, please contact us directly. Upon disconnecting the integration, account deletion, or a direct request, your OAuth tokens and all associated Google analytics data are permanently deleted from our systems, in accordance with § 2 sec. 9 lit. c) of this Agreement.

§ 6. Final Provisions

1. The DPA has been concluded for the duration of the IO.
2. In matters not regulated by this agreement, the provisions of the Polish Civil Code and Legal Acts shall apply.

Discrepancy Resolution: In the event of any discrepancies or conflicts between the Polish and English language versions of this document, the Polish version shall be legally binding and shall prevail.