Archivio legale

GOCOTECH Ltd · GOAi&digital

Data Processing Agreement

DPAv1.2In vigore: 8 giugno 2026SHA-256: 1b1e9004da94...

Accordo sul Trattamento dei Dati (DPA) — Data Processing Agreement

GOCOTECH Ltd · Sofia, Bulgaria · EIK 208828892 · powered by GOAi&digital

**Documento bilingue IT/EN.** La versione italiana precede quella inglese. In caso di conflitto interpretativo prevale la **lingua italiana**. *Bilingual document IT/EN. The Italian version precedes the English one. In case of interpretative conflict, the **Italian language** prevails.*

PARTE I — VERSIONE ITALIANA

Premesse

Il presente Accordo sul trattamento dei dati ("**DPA**" o "**Accordo**") è stipulato ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("**GDPR**") tra:

  • il Cliente identificato nel Contratto Principale, nell'Order Form, nel checkout o nel record d'ordine, in qualità di **Titolare del trattamento** ("**Titolare**" o "**Cliente**");

e

  • **GOCOTECH Ltd** („ГОКОТЕХ" ЕООД), società a responsabilità limitata unipersonale di diritto bulgaro, EIK **208828892**, VAT **BG208828892**, con sede in Sofia 1336, distretto Lyulin, "Fortov pat" Str. No. 15, fl. 2, apt. 2, Bulgaria, operante tramite la divisione **GOAi&digital**, in qualità di **Responsabile del trattamento** ("**Responsabile**" o "**GOCOTECH**");

collettivamente le "**Parti**", singolarmente la "**Parte**".

Il presente DPA forma parte integrante e sostanziale del Contratto di servizio (Master Services Agreement / Termini di Servizio) sottoscritto tra le Parti (il "**Contratto Principale**"). In caso di conflitto tra il presente DPA e il Contratto Principale relativamente al trattamento dei dati personali, prevale il presente DPA.

1. Definizioni

1.1. I termini "**dato personale**", "**trattamento**", "**titolare del trattamento**", "**responsabile del trattamento**", "**interessato**", "**violazione dei dati personali**", "**categorie particolari di dati**" e "**autorità di controllo**" hanno il significato loro attribuito dal GDPR.

1.2. "**Sub-responsabile**" indica qualsiasi terzo incaricato dal Responsabile di trattare dati personali per conto del Titolare nell'ambito dell'esecuzione del Contratto Principale.

1.3. "**Dati del Cliente**" indica i dati personali che il Responsabile tratta per conto del Titolare nell'esecuzione dei Servizi.

1.4. "**Servizi**" indica la piattaforma SaaS dedicata multi-modulo (gestionale + e-commerce) con assistenti AI (Sofia, Sara) fornita da GOCOTECH ai sensi del Contratto Principale.

1.5. "**SCC**" indica le Clausole Contrattuali Tipo adottate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021.

1.6. "**TOMs**" indica le misure tecniche e organizzative di sicurezza di cui all'**Allegato 2**.

2. Oggetto e durata del trattamento

2.1. **Oggetto.** Il presente DPA disciplina il trattamento dei Dati del Cliente da parte del Responsabile per conto del Titolare, esclusivamente ai fini dell'erogazione dei Servizi.

2.2. **Durata.** Il trattamento ha la durata del Contratto Principale e prosegue fino alla cessazione, per qualsiasi causa, del medesimo, fatti salvi gli obblighi di cancellazione/restituzione di cui all'art. 11.

2.3. I dettagli del trattamento (natura, finalità, tipi di dati, categorie di interessati) sono specificati nell'**Allegato 1**, che costituisce parte integrante del presente DPA.

3. Natura e finalità del trattamento

3.1. Il Responsabile tratta i Dati del Cliente per le seguenti finalità: erogazione e manutenzione dei Servizi; hosting su database dedicato; elaborazione tramite assistenti AI su istruzione del Cliente e dei suoi utenti; supporto tecnico; sicurezza, backup e continuità operativa.

3.2. Le operazioni di trattamento includono: raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, uso, comunicazione mediante trasmissione, cancellazione e distruzione, nei limiti necessari all'erogazione dei Servizi.

3.3. Il Responsabile **non** tratta i Dati del Cliente per finalità proprie, **non** li vende, **non** li utilizza per addestrare modelli di intelligenza artificiale propri o di terzi, salvo istruzione documentata e contraria del Titolare.

3.4. I dati inviati ai provider AI tramite API sono trattati esclusivamente per generare l'output richiesto, non sono usati per addestramento dei modelli e sono conservati dai provider solo per il periodo previsto dai rispettivi DPA/termini API o per obblighi di sicurezza e abuse monitoring. Il Responsabile applica minimizzazione e, ove disponibile, redazione o esclusione di PII non necessarie prima dell'invio.

4. Tipi di dati e categorie di interessati

4.1. I tipi di dati personali e le categorie di interessati trattati sono dettagliati nell'**Allegato 1**. In via indicativa:

  • **Categorie di interessati**: utenti finali del Cliente, clienti del Cliente, dipendenti/collaboratori del Cliente, contatti commerciali, prospect.
  • **Tipi di dati**: dati anagrafici e di contatto; dati di fatturazione e contabili; contenuti delle conversazioni con gli assistenti AI (testo, voce, immagini); dati di autenticazione; metadati d'uso; eventuali token OAuth di account marketplace forniti dal Cliente.

4.2. Il Titolare si impegna a **non** trasmettere ai Servizi categorie particolari di dati (art. 9 GDPR) o dati relativi a condanne penali (art. 10 GDPR) salvo accordo scritto preventivo e adozione di misure aggiuntive adeguate.

4.3. Se il Titolare abilita o usa moduli voce, immagini, OCR, upload documentale o marketplace che possono comportare inserimento accidentale di categorie particolari, dati biometrici, sanitari, giudiziari o dati di minori, il Titolare deve configurare basi giuridiche, informative e misure supplementari adeguate. GOCOTECH può offrire modalità di minimizzazione, logging ridotto, retention breve, restrizioni PII/special-data e supporto DPIA ove disponibili nel piano o in un allegato tecnico.

5. Obblighi del Responsabile

Il Responsabile si obbliga a:

5.1. **Istruzioni documentate.** Trattare i Dati del Cliente esclusivamente sulla base di istruzioni documentate del Titolare, ivi compreso il presente DPA, il Contratto Principale e le configurazioni impostate dal Titolare tramite i Servizi, anche in caso di trasferimento verso un Paese terzo, salvo che lo richieda il diritto dell'Unione o dello Stato membro cui è soggetto il Responsabile; in tal caso il Responsabile informa il Titolare prima del trattamento, salvo divieto legale. Qualora il Responsabile ritenga che un'istruzione violi il GDPR o altre disposizioni applicabili in materia di protezione dei dati, ne informa immediatamente il Titolare.

5.2. **Riservatezza del personale.** Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e ricevano formazione adeguata in materia di protezione dei dati.

5.3. **Misure di sicurezza (art. 32).** Adottare tutte le misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, come dettagliate nell'**Allegato 2 (TOMs)**, ivi inclusi: cifratura in transito e at-rest; isolamento multi-tenant (database dedicato per cliente, Row Level Security a 4 policy); controllo degli accessi; capacità di assicurare riservatezza, integrità, disponibilità e resilienza; backup e ripristino; procedure di test e valutazione periodica dell'efficacia delle misure.

5.4. **Sub-responsabili.** Ricorrere a sub-responsabili nel rispetto dell'art. 6 del presente DPA.

5.5. **Assistenza per i diritti degli interessati.** Tenuto conto della natura del trattamento, assistere il Titolare con misure tecniche e organizzative adeguate, nella misura del possibile, per dar seguito alle richieste degli interessati che esercitano i diritti di cui agli artt. 12-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione). Qualora una richiesta dell'interessato pervenga direttamente al Responsabile, questi la inoltra senza ritardo al Titolare e non vi dà autonomamente seguito, salvo diversa istruzione.

5.6. **Assistenza per obblighi di sicurezza, DPIA e consultazione preventiva.** Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica delle violazioni, valutazione d'impatto sulla protezione dei dati — DPIA, consultazione preventiva), tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile.

5.7. **Notifica delle violazioni.** Notificare al Titolare ogni violazione dei dati personali **senza ingiustificato ritardo e comunque non oltre 48 (quarantotto) ore** dal momento in cui ne è venuto a conoscenza. La notifica contiene, nella misura del possibile: la natura della violazione, le categorie e il numero approssimativo di interessati e di record coinvolti, le probabili conseguenze, le misure adottate o proposte per porvi rimedio. Il Responsabile coopera con il Titolare e fornisce le informazioni ragionevolmente necessarie affinché il Titolare possa adempiere ai propri obblighi di notifica all'autorità di controllo (art. 33, entro 72 ore) e di comunicazione agli interessati (art. 34). Resta inteso che la valutazione e l'eventuale notifica all'autorità competono al Titolare.

5.8. **Registro delle attività.** Tenere un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare ai sensi dell'art. 30, par. 2, GDPR e renderlo disponibile su richiesta.

5.9. **Designazione DPO.** Designare, ove richiesto, un punto di contatto privacy. Il punto di contatto per le questioni relative al presente DPA è: **privacy@gocotech.com** (o l'indirizzo comunicato dal Responsabile).

6. Sub-responsabili

6.1. **Autorizzazione generale.** Il Titolare conferisce al Responsabile un'**autorizzazione generale** al ricorso a sub-responsabili per l'esecuzione dei Servizi. L'elenco dei sub-responsabili attuali è riportato nell'**Allegato 3** (documento separato `04-sub-processors-list-it-en.md`) ed è parte integrante del presente DPA.

6.2. **Obblighi a cascata.** Il Responsabile impone a ciascun sub-responsabile, mediante contratto o altro atto giuridico, obblighi di protezione dei dati equivalenti a quelli previsti dal presente DPA, in particolare l'adozione di adeguate misure tecniche e organizzative. Qualora un sub-responsabile non adempia ai propri obblighi, il Responsabile ne risponde nei confronti del Titolare.

6.3. **Modifiche all'elenco e diritto di obiezione.** Il Responsabile informa il Titolare di qualsiasi modifica intesa ad aggiungere o sostituire sub-responsabili con un **preavviso di almeno 30 (trenta) giorni**, dando così al Titolare la possibilità di **opporsi** a tali modifiche per motivi ragionevoli e documentati relativi alla protezione dei dati. In caso di obiezione fondata e non risolvibile, il Titolare ha facoltà di sospendere la parte di Servizio interessata o di recedere dal Contratto Principale limitatamente alla stessa, quale unico rimedio.

7. Trasferimenti internazionali

7.1. Il Responsabile e i sub-responsabili trattano i Dati del Cliente prevalentemente all'interno dello **Spazio Economico Europeo** (database e storage su datacenter UE — Francoforte/Parigi).

7.2. Taluni sub-responsabili (in particolare i fornitori di servizi di intelligenza artificiale e di alcune funzioni accessorie — cfr. Allegato 3) hanno sede o trattano dati negli **Stati Uniti** o in altri Paesi terzi. Per tali trasferimenti, la base giuridica è costituita da:

(a) una **decisione di adeguatezza** della Commissione Europea (ove applicabile, es. EU-U.S. Data Privacy Framework per i soggetti certificati); o, in subordine,

(b) le **Clausole Contrattuali Tipo (SCC)** di cui alla Decisione (UE) 2021/914, integrate da idonee misure supplementari ove necessarie a seguito di una valutazione d'impatto sul trasferimento (TIA).

7.3. Il Responsabile mette a disposizione del Titolare, su richiesta, copia o evidenza delle garanzie applicabili a ciascun trasferimento.

8. Audit e ispezioni

8.1. Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consente e contribuisce agli audit, comprese le ispezioni, svolti dal Titolare o da un terzo da questi incaricato.

8.2. **Modalità.** Gli audit si svolgono con preavviso scritto di almeno **30 giorni**, durante l'orario lavorativo, non più di **una volta l'anno** (salvo violazioni accertate o richieste motivate dell'autorità di controllo), nel rispetto della riservatezza e senza pregiudizio per la sicurezza degli altri clienti del Responsabile.

8.3. Il Responsabile può soddisfare gli obblighi di audit mettendo a disposizione documentazione di sicurezza, descrizione delle TOMs, evidenze di conformità e — ove disponibili — relazioni di audit indipendenti o certificazioni dei propri sub-responsabili.

9. Responsabilità

9.1. La responsabilità delle Parti derivante dal o connessa al presente DPA è soggetta ai limiti e alle esclusioni di responsabilità previsti dal Contratto Principale, nella misura consentita dalla legge applicabile e senza pregiudizio per i diritti inderogabili degli interessati e per l'art. 82 GDPR.

9.2. Ciascuna Parte risponde dei danni cagionati dal trattamento solo se non ha adempiuto agli obblighi del GDPR specificatamente diretti ai responsabili o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare, ai sensi dell'art. 82 GDPR.

10. Legge applicabile e foro

10.1. Il presente DPA è regolato dalla **legge bulgara** e dal diritto dell'Unione Europea applicabile.

10.2. Ogni controversia tra le Parti derivante dal presente DPA è devoluta al meccanismo di risoluzione delle controversie previsto dal Contratto Principale, incluso l'arbitrato amministrato dalla Camera Arbitrale di Milano ove applicabile, salvo competenze inderogabili previste dal GDPR, dalle autorità di controllo o dalle norme a tutela degli interessati.

11. Cancellazione o restituzione dei dati

11.1. Alla cessazione, per qualsiasi causa, dei Servizi, il Responsabile, a scelta del Titolare, **cancella** o **restituisce** tutti i Dati del Cliente e cancella le copie esistenti, salvo che il diritto dell'Unione o dello Stato membro richieda la conservazione.

11.2. La scelta del Titolare è esercitata entro **30 giorni** dalla cessazione. In assenza di istruzione, decorso tale termine il Responsabile procede alla cancellazione.

11.3. La cancellazione è completata entro **90 giorni** dalla cessazione, salvo i dati contenuti in backup cifrati, che sono cancellati secondo il normale ciclo di rotazione dei backup, durante il quale restano isolati e protetti.

11.4. Su richiesta, il Responsabile certifica per iscritto l'avvenuta cancellazione.

12. Disposizioni finali

12.1. Eventuali modifiche al presente DPA sono valide solo se concordate per iscritto.

12.2. Gli Allegati 1, 2 e 3 sono parte integrante e sostanziale del presente DPA.

12.3. La nullità o invalidità di una clausola non pregiudica la validità delle restanti.

ALLEGATO 1 — Dettagli del trattamento

| Voce | Descrizione |
|---|---|
| **Titolare** | Cliente identificato nel Contratto Principale, Order Form, checkout o record d'ordine |
| **Responsabile** | GOCOTECH Ltd, Sofia, Bulgaria, EIK 208828892 |
| **Oggetto** | Erogazione piattaforma SaaS dedicata con assistenti AI (Sofia, Sara) |
| **Durata** | Durata del Contratto Principale + periodi di cancellazione |
| **Natura e finalità** | Hosting, elaborazione dati, assistenza AI conversazionale, e-commerce, supporto, sicurezza, backup |
| **Tipi di dati personali** | Dati anagrafici e di contatto; dati di fatturazione/contabili; contenuti conversazioni AI (testo/voce/immagini); credenziali di autenticazione; metadati d'uso; token OAuth marketplace forniti dal Titolare |
| **Categorie particolari** | Nessuna trattata di default. Vietate salvo accordo scritto preventivo (cfr. art. 4.2) |
| **Categorie di interessati** | Utenti finali, clienti del Titolare, dipendenti/collaboratori, contatti commerciali, prospect |
| **Frequenza** | Continuativa per la durata dei Servizi |
| **Sub-responsabili** | Cfr. Allegato 3 |

ALLEGATO 2 — Misure tecniche e organizzative (TOMs)

Le misure tecniche e organizzative di sicurezza ai sensi dell'art. 32 GDPR sono descritte in dettaglio nel documento separato **`05-toms-misure-tecniche-organizzative-it-en.md`**, che costituisce l'Allegato 2 del presente DPA e ne forma parte integrante.

ALLEGATO 3 — Elenco dei sub-responsabili

L'elenco aggiornato dei sub-responsabili è contenuto nel documento separato **`04-sub-processors-list-it-en.md`**, che costituisce l'Allegato 3 del presente DPA e ne forma parte integrante.

PART II — ENGLISH VERSION

Recitals

This Data Processing Agreement ("**DPA**" or "**Agreement**") is entered into pursuant to Article 28 of Regulation (EU) 2016/679 ("**GDPR**") between:

  • the Customer identified in the Main Agreement, Order Form, checkout or order record, acting as **Data Controller** ("**Controller**" or "**Customer**");

and

  • **GOCOTECH Ltd** („ГОКОТЕХ" ЕООД), a single-member limited liability company under Bulgarian law, EIK **208828892**, VAT **BG208828892**, having its registered office at Sofia 1336, Lyulin district, "Fortov pat" Str. No. 15, fl. 2, apt. 2, Bulgaria, operating through its **GOAi&digital** division, acting as **Data Processor** ("**Processor**" or "**GOCOTECH**");

collectively the "**Parties**", individually a "**Party**".

This DPA forms an integral and substantial part of the Service Agreement (Master Services Agreement / Terms of Service) executed between the Parties (the "**Main Agreement**"). In the event of conflict between this DPA and the Main Agreement regarding the processing of personal data, this DPA prevails.

1. Definitions

1.1. The terms "**personal data**", "**processing**", "**controller**", "**processor**", "**data subject**", "**personal data breach**", "**special categories of data**" and "**supervisory authority**" have the meaning assigned to them by the GDPR.

1.2. "**Sub-processor**" means any third party engaged by the Processor to process personal data on behalf of the Controller in the performance of the Main Agreement.

1.3. "**Customer Data**" means the personal data the Processor processes on behalf of the Controller in performing the Services.

1.4. "**Services**" means the dedicated multi-module SaaS platform (management + e-commerce) with AI assistants (Sofia, Sara) provided by GOCOTECH under the Main Agreement.

1.5. "**SCC**" means the Standard Contractual Clauses adopted by the European Commission by Implementing Decision (EU) 2021/914 of 4 June 2021.

1.6. "**TOMs**" means the technical and organizational security measures set out in **Annex 2**.

2. Subject matter and duration

2.1. **Subject matter.** This DPA governs the processing of Customer Data by the Processor on behalf of the Controller, solely for the purpose of providing the Services.

2.2. **Duration.** Processing lasts for the term of the Main Agreement and continues until its termination for any reason, subject to the deletion/return obligations under Section 11.

2.3. The processing details (nature, purpose, data types, categories of data subjects) are specified in **Annex 1**, which forms an integral part of this DPA.

3. Nature and purpose of processing

3.1. The Processor processes Customer Data for the following purposes: provision and maintenance of the Services; hosting on a dedicated database; processing via AI assistants on the instruction of the Customer and its users; technical support; security, backup and business continuity.

3.2. Processing operations include: collection, recording, organization, structuring, storage, retrieval, use, disclosure by transmission, erasure and destruction, as necessary to provide the Services.

3.3. The Processor does **not** process Customer Data for its own purposes, does **not** sell it, and does **not** use it to train its own or third-party AI models, unless on documented contrary instruction of the Controller.

3.4. Data sent to AI providers via API is processed exclusively to generate the requested output, is not used for model training and is retained by providers only for the period stated in their DPA/API terms or for security and abuse-monitoring obligations. The Processor applies minimisation and, where available, redaction or exclusion of unnecessary PII before transmission.

4. Data types and categories of data subjects

4.1. The types of personal data and categories of data subjects processed are detailed in **Annex 1**. Indicatively:

  • **Categories of data subjects**: Customer's end users, Customer's clients, Customer's employees/collaborators, business contacts, prospects.
  • **Data types**: identity and contact data; billing and accounting data; content of conversations with AI assistants (text, voice, images); authentication data; usage metadata; any OAuth tokens of marketplace accounts provided by the Customer.

4.2. The Controller undertakes **not** to transmit special categories of data (Art. 9 GDPR) or data on criminal convictions (Art. 10 GDPR) to the Services unless agreed in writing in advance and subject to adequate additional measures.

4.3. If the Controller enables or uses voice, image, OCR, document-upload or marketplace modules that may cause accidental input of special categories, biometric, health, criminal-offence or minors' data, the Controller must configure appropriate legal bases, notices and supplementary measures. GOCOTECH may provide minimisation modes, reduced logging, short retention, PII/special-data restrictions and DPIA support where available in the plan or a technical annex.

5. Processor obligations

The Processor undertakes to:

5.1. **Documented instructions.** Process Customer Data solely on documented instructions from the Controller, including this DPA, the Main Agreement and the configurations set by the Controller through the Services, including regarding transfers to a third country, unless required by Union or Member State law to which the Processor is subject; in such case the Processor shall inform the Controller before processing, unless legally prohibited. Where the Processor considers that an instruction infringes the GDPR or other applicable data protection provisions, it shall immediately inform the Controller.

5.2. **Confidentiality of personnel.** Ensure that persons authorized to process data have committed to confidentiality or are under an appropriate statutory obligation of confidentiality, and receive adequate data protection training.

5.3. **Security measures (Art. 32).** Implement all appropriate technical and organizational measures to ensure a level of security appropriate to the risk, as detailed in **Annex 2 (TOMs)**, including: encryption in transit and at-rest; multi-tenant isolation (dedicated database per customer, 4-policy Row Level Security); access control; the ability to ensure confidentiality, integrity, availability and resilience; backup and restore; procedures for periodically testing and assessing the effectiveness of the measures.

5.4. **Sub-processors.** Engage sub-processors in compliance with Section 6 of this DPA.

5.5. **Assistance with data subject rights.** Taking into account the nature of processing, assist the Controller by appropriate technical and organizational measures, insofar as possible, to fulfil requests from data subjects exercising their rights under Arts. 12-22 GDPR (access, rectification, erasure, restriction, portability, objection). Where a data subject request is received directly by the Processor, it shall forward it to the Controller without undue delay and shall not act on it autonomously, unless otherwise instructed.

5.6. **Assistance with security, DPIA and prior consultation.** Assist the Controller in ensuring compliance with the obligations under Arts. 32-36 GDPR (security, breach notification, data protection impact assessment — DPIA, prior consultation), taking into account the nature of processing and the information available to the Processor.

5.7. **Breach notification.** Notify the Controller of any personal data breach **without undue delay and in any case no later than 48 (forty-eight) hours** from becoming aware of it. The notification shall contain, insofar as possible: the nature of the breach, the categories and approximate number of data subjects and records concerned, the likely consequences, and the measures taken or proposed to remedy it. The Processor shall cooperate with the Controller and provide the information reasonably necessary for the Controller to comply with its obligations to notify the supervisory authority (Art. 33, within 72 hours) and to communicate to data subjects (Art. 34). It is understood that the assessment and any notification to the authority are the Controller's responsibility.

5.8. **Records of activities.** Maintain a record of all categories of processing activities carried out on behalf of the Controller pursuant to Art. 30(2) GDPR and make it available on request.

5.9. **DPO designation.** Designate, where required, a privacy point of contact. The contact point for matters relating to this DPA is: **privacy@gocotech.com** (or the address communicated by the Processor).

6. Sub-processors

6.1. **General authorization.** The Controller grants the Processor a **general authorization** to engage sub-processors for the performance of the Services. The list of current sub-processors is set out in **Annex 3** (separate document `04-sub-processors-list-it-en.md`) and forms an integral part of this DPA.

6.2. **Flow-down obligations.** The Processor imposes on each sub-processor, by contract or other legal act, data protection obligations equivalent to those set out in this DPA, in particular the implementation of adequate technical and organizational measures. Where a sub-processor fails to fulfil its obligations, the Processor remains liable to the Controller.

6.3. **Changes to the list and right to object.** The Processor shall inform the Controller of any intended change concerning the addition or replacement of sub-processors with **at least 30 (thirty) days' prior notice**, thereby giving the Controller the opportunity to **object** to such changes on reasonable, documented data-protection grounds. In case of a well-founded and unresolvable objection, the Controller may suspend the affected part of the Service or terminate the Main Agreement limited to that part, as its sole remedy.

7. International transfers

7.1. The Processor and sub-processors process Customer Data predominantly within the **European Economic Area** (database and storage on EU datacenters — Frankfurt/Paris).

7.2. Certain sub-processors (in particular AI service providers and some ancillary functions — see Annex 3) are established in or process data in the **United States** or other third countries. For such transfers, the legal basis consists of:

(a) an **adequacy decision** of the European Commission (where applicable, e.g. the EU-U.S. Data Privacy Framework for certified entities); or, alternatively,

(b) the **Standard Contractual Clauses (SCC)** under Decision (EU) 2021/914, supplemented by appropriate supplementary measures where necessary following a transfer impact assessment (TIA).

7.3. The Processor shall make available to the Controller, on request, a copy or evidence of the safeguards applicable to each transfer.

8. Audits and inspections

8.1. The Processor makes available to the Controller all information necessary to demonstrate compliance with the obligations under Art. 28 GDPR and allows for and contributes to audits, including inspections, conducted by the Controller or a third party mandated by it.

8.2. **Modalities.** Audits take place with at least **30 days' written notice**, during business hours, no more than **once a year** (save for established breaches or reasoned requests from the supervisory authority), respecting confidentiality and without prejudice to the security of the Processor's other customers.

8.3. The Processor may satisfy audit obligations by making available security documentation, a description of the TOMs, compliance evidence and — where available — independent audit reports or certifications of its sub-processors.

9. Liability

9.1. The Parties' liability arising out of or in connection with this DPA is subject to the limitations and exclusions of liability set out in the Main Agreement, to the extent permitted by applicable law.

9.2. Each Party is liable for damage caused by processing only where it has not complied with the GDPR obligations specifically directed to processors or has acted outside or contrary to the lawful instructions of the Controller, pursuant to Art. 82 GDPR.

10. Governing law and jurisdiction

10.1. This DPA is governed by **Bulgarian law** and applicable European Union law.

10.2. Any dispute between the Parties arising out of this DPA shall follow the dispute-resolution mechanism set out in the Main Agreement, including arbitration administered by the Milan Chamber of Arbitration where applicable, without prejudice to mandatory jurisdiction under the GDPR, supervisory authorities or data-subject protection rules.

11. Deletion or return of data

11.1. On termination of the Services for any reason, the Processor shall, at the Controller's choice, **delete** or **return** all Customer Data and delete existing copies, unless Union or Member State law requires storage.

11.2. The Controller's choice shall be exercised within **30 days** of termination. In the absence of instruction, upon expiry of that period the Processor shall proceed with deletion.

11.3. Deletion shall be completed within **90 days** of termination, except for data contained in encrypted backups, which are deleted according to the normal backup rotation cycle, during which they remain isolated and protected.

11.4. On request, the Processor shall certify deletion in writing.

12. Final provisions

12.1. Any amendment to this DPA is valid only if agreed in writing.

12.2. Annexes 1, 2 and 3 form an integral and substantial part of this DPA.

12.3. The nullity or invalidity of any clause does not affect the validity of the remaining clauses.

ANNEX 1 — Processing details

| Item | Description |
|---|---|
| **Controller** | Customer identified in the Main Agreement, Order Form, checkout or order record |
| **Processor** | GOCOTECH Ltd, Sofia, Bulgaria, EIK 208828892 |
| **Subject matter** | Provision of a dedicated SaaS platform with AI assistants (Sofia, Sara) |
| **Duration** | Term of the Main Agreement + deletion periods |
| **Nature and purpose** | Hosting, data processing, conversational AI assistance, e-commerce, support, security, backup |
| **Types of personal data** | Identity and contact data; billing/accounting data; AI conversation content (text/voice/images); authentication credentials; usage metadata; marketplace OAuth tokens provided by the Controller |
| **Special categories** | None processed by default. Prohibited unless agreed in writing in advance (see Sec. 4.2) |
| **Categories of data subjects** | End users, Controller's clients, employees/collaborators, business contacts, prospects |
| **Frequency** | Continuous for the duration of the Services |
| **Sub-processors** | See Annex 3 |

ANNEX 2 — Technical and Organizational Measures (TOMs)

The technical and organizational security measures pursuant to Art. 32 GDPR are described in detail in the separate document **`05-toms-misure-tecniche-organizzative-it-en.md`**, which constitutes Annex 2 to this DPA and forms an integral part of it.

ANNEX 3 — List of sub-processors

The up-to-date list of sub-processors is contained in the separate document **`04-sub-processors-list-it-en.md`**, which constitutes Annex 3 to this DPA and forms an integral part of it.

*GOCOTECH Ltd · Sofia, Bulgaria · EIK 208828892 · powered by GOAi&digital*