1 Визначення термінів

У цій Угоді наступні терміни мають такі значення:

  • «Персональні дані» — будь-яка інформація, що стосується ідентифікованої або ідентифікованої фізичної особи (субʼєкта даних).
  • «Контролер» (Володілець) — Клієнт, який визначає цілі та засоби обробки персональних даних.
  • «Обробник» (Processor) — LekkoLot (ТОВ «ПАРТС-ІМПОРТ»), який обробляє персональні дані від імені Контролера.
  • «Субобробник» — третя сторона, залучена Обробником для обробки персональних даних.
  • «Порушення даних» — порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних.
  • «GDPR» — Загальний регламент захисту даних (Regulation (EU) 2016/679).
  • «Сервіс» — платформа LekkoLot та всі повʼязані послуги.

2 Предмет та сфера застосування

2.1. Ця Угода регулює обробку персональних даних, яку Обробник здійснює від імені Контролера у звʼязку з наданням Сервісу.

2.2. Угода застосовується до всіх операцій з обробки персональних даних, що здійснюються у межах використання Сервісу.

2.3. Ця Угода є невідʼємною частиною Політики користування та набирає чинності з моменту початку використання Сервісу Контролером.

3 Ролі сторін

Контролер (Клієнт)

  • Визначає цілі та законні підстави обробки
  • Несе відповідальність за законність збору даних
  • Забезпечує права субʼєктів даних
  • Надає інструкції Обробнику

Обробник (LekkoLot)

  • Обробляє дані лише за інструкціями Контролера
  • Забезпечує технічну безпеку даних
  • Повідомляє про порушення безпеки
  • Сприяє виконанню прав субʼєктів

4 Деталі обробки даних

Параметр Опис
Цілі обробки Надання Сервісу: зберігання, обробка, синхронізація даних; технічна підтримка; виконання договірних зобовʼязань
Категорії субʼєктів даних Співробітники Контролера; клієнти Контролера; контактні особи партнерів Контролера
Категорії персональних даних Імʼя, email, телефон; IP-адреси, cookies; дані транзакцій; дані з інтегрованих платформ
Особливі категорії даних Не обробляються (за винятком випадків, коли Контролер завантажує такі дані самостійно)
Тривалість обробки Протягом строку дії договору + 30 днів для видалення + до 1 місяця в резервних копіях
Характер обробки Збір, запис, зберігання, структурування, використання, передача (синхронізація), видалення

5 Зобовʼязання Обробника

LekkoLot як Обробник зобовʼязується:

  • 5.1. Обробляти персональні дані лише на підставі документально оформлених інструкцій Контролера, включаючи передачу даних до третіх країн, якщо це не вимагається законодавством.
  • 5.2. Забезпечити, щоб особи, уповноважені на обробку персональних даних, взяли на себе зобовʼязання щодо конфіденційності.
  • 5.3. Вжити всіх технічних та організаційних заходів безпеки відповідно до статті 32 GDPR.
  • 5.4. Дотримуватися умов залучення субобробників згідно з розділом 6 цієї Угоди.
  • 5.5. Сприяти Контролеру у виконанні його зобовʼязань щодо прав субʼєктів даних.
  • 5.6. Допомагати Контролеру у забезпеченні виконання зобовʼязань щодо безпеки, повідомлення про порушення та оцінки впливу на захист даних (DPIA).
  • 5.7. На вибір Контролера видалити або повернути всі персональні дані після завершення надання послуг.
  • 5.8. Надавати Контролеру інформацію, необхідну для демонстрації відповідності зобовʼязанням.

6 Субобробники

6.1. Контролер надає загальний дозвіл Обробнику на залучення субобробників для надання Сервісу.

6.2. Обробник інформуватиме Контролера про будь-які зміни щодо додавання або заміни субобробників, надаючи можливість заперечити проти таких змін.

6.3. Актуальний перелік субобробників:

Субобробник Послуга Місцезнаходження
Hetzner Online GmbH Хостинг серверів, зберігання даних Німеччина, ЄС
Amazon Web Services (AWS) Хмарна інфраструктура, CDN ЄС (Frankfurt)
Cloudflare, Inc. CDN, захист від DDoS, DNS США (з SCCs)
Google LLC (Analytics) Аналітика використання США (з SCCs)

6.4. Обробник укладає з кожним субобробником договір, що містить зобовʼязання щодо захисту даних, еквівалентні зобовʼязанням у цій Угоді.

7 Права субʼєктів даних

7.1. Обробник сприяє Контролеру у виконанні запитів субʼєктів даних щодо реалізації їхніх прав:

Основні права (GDPR)

  • Право на доступ (ст. 15)
  • Право на виправлення (ст. 16)
  • Право на видалення (ст. 17)
  • Право на обмеження обробки (ст. 18)

Додаткові права

  • Право на портабельність (ст. 20)
  • Право на заперечення (ст. 21)
  • Права щодо автоматизованих рішень (ст. 22)
  • Право на відкликання згоди

7.2. При отриманні запиту від субʼєкта даних Обробник негайно повідомляє про це Контролера та не відповідає на запит самостійно без інструкцій Контролера.

7.3. Обробник надає технічні засоби для експорту даних у машинозчитуваному форматі (JSON, CSV).

8 Безпека даних

8.1. Обробник впроваджує та підтримує відповідні технічні та організаційні заходи для забезпечення рівня безпеки, що відповідає ризику, включаючи:

Технічні заходи

  • Шифрування даних при передачі (TLS 1.2+)
  • Шифрування даних у стані спокою (AES-256)
  • Регулярне резервне копіювання
  • Захист від DDoS-атак
  • Моніторинг безпеки 24/7
  • Багатофакторна автентифікація

Організаційні заходи

  • Політика контролю доступу
  • Навчання персоналу з безпеки
  • Угоди про конфіденційність
  • Процедури реагування на інциденти
  • Регулярний перегляд політик
  • Принцип мінімальних привілеїв

8.2. Обробник регулярно тестує та оцінює ефективність технічних та організаційних заходів для забезпечення безпеки обробки.

9 Повідомлення про порушення безпеки даних

  • 9.1. Обробник повідомляє Контролера про будь-яке порушення безпеки персональних даних без невиправданої затримки, але не пізніше ніж протягом 48 годин після виявлення порушення.
  • 9.2. Повідомлення містить:
    • опис характеру порушення;
    • категорії та приблизну кількість постраждалих субʼєктів даних;
    • категорії та приблизну кількість постраждалих записів;
    • імʼя та контактні дані відповідальної особи;
    • опис можливих наслідків порушення;
    • опис заходів, вжитих або запропонованих для усунення порушення.
  • 9.3. Обробник документує всі порушення безпеки, включаючи факти, наслідки та вжиті заходи.
Важливо: Контролер несе відповідальність за повідомлення наглядового органу (протягом 72 годин) та субʼєктів даних відповідно до статей 33-34 GDPR.

10 Міжнародна передача даних

10.1. Персональні дані зберігаються переважно на серверах у межах Європейського Союзу (Німеччина).

10.2. У разі передачі персональних даних за межі ЄЕЗ, Обробник забезпечує наявність відповідних гарантій відповідно до глави V GDPR:

  • Стандартні договірні умови (SCCs), затверджені Європейською Комісією;
  • Рішення про адекватність (для відповідних країн);
  • Обовʼязкові корпоративні правила (BCRs) субобробників.

10.3. Для передачі даних до США застосовуються Стандартні договірні умови (SCCs) та додаткові технічні заходи відповідно до рекомендацій EDPB.

11 Аудит та перевірки

  • 11.1. Обробник надає Контролеру інформацію, необхідну для демонстрації відповідності зобовʼязанням за цією Угодою, та дозволяє проведення аудитів.
  • 11.2. Контролер або уповноважений ним аудитор може проводити перевірки з попереднім повідомленням за 30 днів, у робочий час, з дотриманням конфіденційності.
  • 11.3. Витрати на аудит несе Контролер, якщо інше не погоджено сторонами.
  • 11.4. На запит Контролера Обробник може надати:
    • звіти про відповідність безпеці;
    • сертифікати (за наявності);
    • результати тестування на проникнення (penetration testing);
    • іншу документацію щодо заходів безпеки.

12 Видалення та повернення даних

  • 12.1. Після припинення надання послуг Обробник, на вибір Контролера:
    • видаляє всі персональні дані; або
    • повертає всі персональні дані Контролеру у машинозчитуваному форматі.
  • 12.2. Контролер має 30 днів після припинення договору для експорту своїх даних.
  • 12.3. Після видалення основних даних, резервні копії видаляються протягом одного (1) місяця.
  • 12.4. Обробник може зберігати дані довше, якщо це вимагається законодавством, з повідомленням Контролера про такі вимоги.

13 Відповідальність

  • 13.1. Кожна сторона несе відповідальність за шкоду, завдану обробкою, що порушує GDPR або цю Угоду, відповідно до статті 82 GDPR.
  • 13.2. Обмеження відповідальності, встановлені в Політиці користування, застосовуються до цієї Угоди в максимально допустимому законом обсязі.
  • 13.3. Сторона, яка сплатила компенсацію за шкоду, має право на регресну вимогу до іншої сторони відповідно до її частки відповідальності.

14 Строк дії

  • 14.1. Ця Угода набирає чинності з моменту початку використання Сервісу Контролером та діє протягом усього строку надання Сервісу.
  • 14.2. Зобовʼязання щодо конфіденційності та безпеки даних залишаються чинними після припинення Угоди до повного видалення персональних даних.
  • 14.3. Зміни до цієї Угоди вносяться відповідно до процедури, встановленої в Політиці користування.

15 Контактна інформація

З питань захисту персональних даних та цієї Угоди звертайтесь:

Обробник даних

ТОВ «ПАРТС-ІМПОРТ»
15332, Чернігівська обл., Корюківський р-н, с. Козилівка, вул. Червоний Шлях, 54
Email: [email protected]
Загальні питання: [email protected]