Договір про обробку персональних даних

Цей Договір про обробку персональних даних (далі — «Договір» або «DPA») укладається між:

Обробник та Контролер разом іменуються «Сторони», а кожен окремо — «Сторона».

2.1. Цей DPA регулює обробку персональних даних Обробником від імені та за дорученням Контролера в рамках надання послуг Skyservice POS відповідно до Умов використання.

2.2. Обробник обробляє персональні дані виключно за документованими інструкціями Контролера, у тому числі щодо передачі персональних даних до третьої країни або міжнародної організації, за винятком випадків, коли це вимагається правом ЄС або державою-членом, якому підпорядкований Обробник.

2.3. Обробник негайно інформує Контролера, якщо, на думку Обробника, інструкція порушує GDPR або інші нормативні акти ЄС чи держав-членів щодо захисту даних.

3.1. Предмет обробки:

Надання хмарних POS-послуг (Software as a Service) для автоматизації управління закладами громадського харчування та роздрібної торгівлі.

3.2. Тривалість обробки:

Обробка здійснюється протягом дії договору про надання послуг (Умов використання) та 180 (ста вісімдесяти) календарних днів після його припинення для забезпечення можливості експорту даних.

3.3. Характер та цілі обробки:

• Збір, запис та зберігання даних для забезпечення функціональності Сервісу;
• Обробка транзакцій, управління замовленнями та розрахунками;
• Генерація фіскальних документів (чеків, накладних);
• Управління програмами лояльності (за наявності);
• Технічна підтримка та вирішення проблем;
• Аналітика та звітність (на агрегованій основі).

3.4. Категорії суб'єктів даних:

• Працівники та співробітники Контролера, що використовують Сервіс;
• Кінцеві клієнти (споживачі) закладів Контролера;
• Учасники програм лояльності Контролера.

3.5. Типи персональних даних:

• Ідентифікаційні дані: ім'я, прізвище, номер телефону, email;
• Дані транзакцій: дата, час, сума, перелік товарів/послуг;
• Фіскальні дані: номери чеків, коди ПРРО, податкові ідентифікатори;
• Дані лояльності: бали, знижки, історія покупок;
• Технічні дані: IP-адреси, логи сесій, дані пристроїв.

Обробник зобов'язується:

4.1. Обробляти персональні дані виключно відповідно до документованих інструкцій Контролера, включаючи передачу даних до третіх країн (Стаття 28(3)(a) GDPR).

4.2. Забезпечити, щоб особи, уповноважені обробляти персональні дані, взяли на себе зобов'язання щодо конфіденційності або перебували під відповідним юридичним обов'язком конфіденційності (Стаття 28(3)(b) GDPR).

4.3. Вжити всіх заходів, передбачених Статтею 32 GDPR, щодо безпеки обробки, включаючи:

• Шифрування при передачі (TLS/SSL 1.2+) та у стані спокою;
• Контроль доступу на основі принципу найменших привілеїв;
• Регулярне резервне копіювання;
• Регулярне тестування, оцінку та перевірку ефективності технічних і організаційних заходів.

4.4. Не залучати іншого обробника (субпроцесора) без попередньої загальної або спеціальної письмової згоди Контролера (Стаття 28(2) GDPR). Перелік поточних субпроцесорів наведено в Додатку 1.

4.5. Допомагати Контролеру у виконанні обов'язку відповідати на запити суб'єктів даних щодо здійснення їхніх прав, передбачених Главою III GDPR (Статті 15-22).

4.6. Допомагати Контролеру у забезпеченні дотримання зобов'язань, передбачених Статтями 32-36 GDPR (безпека обробки, повідомлення про порушення, оцінка впливу на захист даних).

4.7. За вибором Контролера видалити або повернути всі персональні дані після закінчення надання послуг та видалити існуючі копії, крім випадків, коли законодавство ЄС або держави-члена вимагає зберігання (Стаття 28(3)(g) GDPR).

4.8. Надавати Контролеру всю необхідну інформацію для підтвердження дотримання зобов'язань за Статтею 28 GDPR та сприяти проведенню аудитів, включаючи інспекції (Стаття 28(3)(h) GDPR).

5.1. Контролер надає Обробнику загальну письмову згоду на залучення субпроцесорів для надання послуг за цим Договором.

5.2. Обробник повідомляє Контролера про будь-які зміни щодо залучення нових або заміни існуючих субпроцесорів щонайменше за 30 (тридцять) календарних днів до запланованої зміни, надаючи Контролеру можливість заперечити.

5.3. Якщо Контролер заперечує проти залучення нового субпроцесора, Сторони докладають розумних зусиль для пошуку альтернативного рішення. Якщо рішення не знайдено протягом 30 днів, Контролер має право розірвати договір.

5.4. Обробник укладає з кожним субпроцесором договір, що містить зобов'язання щодо захисту даних, еквівалентні тим, що встановлені в цьому DPA.

5.5. Обробник залишається повністю відповідальним перед Контролером за виконання зобов'язань субпроцесорами.

6.1. Обробник повідомляє Контролера про будь-яке порушення безпеки персональних даних без невиправданої затримки та, у будь-якому випадку, не пізніше 48 (сорока восьми) годин після того, як Обробнику стало відомо про порушення.

6.2. Повідомлення має містити:

• Опис характеру порушення, включаючи категорії та приблизну кількість суб'єктів даних;
• Контактні дані відповідальної особи;
• Опис ймовірних наслідків порушення;
• Опис заходів, вжитих або запропонованих для усунення порушення та пом'якшення його наслідків.

6.3. Обробник сприяє Контролеру у виконанні обов'язку повідомити орган нагляду (протягом 72 годин, Стаття 33 GDPR) та суб'єктів даних (Стаття 34 GDPR), якщо це необхідно.

7.1. Персональні дані обробляються та зберігаються переважно на серверах у межах Європейського Союзу (Естонія, Німеччина).

7.2. Будь-яка передача персональних даних до третіх країн (за межі ЄС/ЄЕП) здійснюється виключно на підставі:

• Рішення Європейської Комісії про адекватність (Стаття 45 GDPR);
• Стандартних контрактних положень (SCC), затверджених Європейською Комісією (Стаття 46(2)(c) GDPR);
• Обов'язкових корпоративних правил (BCR) (Стаття 47 GDPR).

7.3. Обробник не передає персональні дані на тимчасово окуповані території України або до країн, щодо яких діють міжнародні санкції ЄС, США чи ООН.

8.1. Обробник надає Контролеру можливість проведення аудитів та інспекцій для перевірки дотримання зобов'язань за цим DPA.

8.2. Контролер повідомляє Обробника про намір провести аудит щонайменше за 30 (тридцять) календарних днів. Аудит проводиться в робочий час та не повинен необґрунтовано порушувати діяльність Обробника.

8.3. Витрати на проведення аудиту несе Контролер, за винятком випадків, коли аудит виявив суттєве порушення зобов'язань Обробника за цим DPA.

8.4. Замість фізичного аудиту Обробник може надати Контролеру актуальний звіт про відповідність (SOC 2 Type II або аналогічний), що покриває зобов'язання за цим DPA.

9.1. Кожна Сторона несе відповідальність за порушення GDPR відповідно до Статей 82-84 GDPR.

9.2. Обробник несе відповідальність за шкоду, спричинену обробкою, лише якщо він не виконав зобов'язання, покладені GDPR безпосередньо на обробників, або якщо він діяв всупереч або за межами законних інструкцій Контролера.

9.3. Загальна відповідальність Обробника за цим DPA обмежується сумою платежів, фактично здійснених Контролером на користь Обробника за останні 6 (шість) календарних місяців.

10.1. Цей DPA набирає чинності з моменту акцепту Контролером Умов використання та діє протягом усього строку надання послуг.

10.2. Зобов'язання щодо конфіденційності та захисту персональних даних зберігають чинність і після припинення цього DPA.

10.3. Після припинення DPA Обробник протягом 180 (ста вісімдесяти) календарних днів зберігає персональні дані для можливості їх експорту Контролером. Після закінчення цього строку Обробник видаляє всі персональні дані, крім випадків, коли законодавство вимагає їх збереження.

11.1. Обробник не обробляє персональні дані осіб, які перебувають у санкційних списках ЄС, OFAC (США), Великої Британії або ООН.

11.2. Обробник не передає персональні дані на тимчасово окуповані території України або до країн під міжнародними санкціями.

11.3. Контролер гарантує, що не направлятиме Обробнику інструкції, виконання яких призведе до порушення санкційного законодавства.

12.1. Цей DPA регулюється законодавством Естонської Республіки та правом Європейського Союзу, зокрема Регламентом (ЄС) 2016/679 (GDPR).

12.2. Спори, що виникають у зв'язку з цим DPA, вирішуються відповідно до процедури, визначеної в Умовах використання.

13.1. Цей DPA є невід'ємною частиною Умов використання SkyService POS.

13.2. У разі суперечності між цим DPA та Умовами використання щодо обробки персональних даних, положення цього DPA мають пріоритет.

13.3. Зміни до цього DPA вносяться у порядку, визначеному Умовами використання для зміни додатків.

13.4. Питання, не врегульовані цим DPA, регулюються Умовами використання та чинним законодавством.