Угода про обробку даних (DPA)

1. Предмет і строк

Обробник обробляє персональні дані від імені Контролера даних для надання DocTracker SaaS application.

Строк обробки: протягом строку дії основної угоди та будь-якого застосовного періоду зберігання.

2. Характер і мета обробки

Обробка включає зберігання, організацію, структурування, отримання, ознайомлення, передачу, обмеження та видалення Customer Data.

Мета: надання платформи workspace для управління документами.

3. Типи персональних даних

Можуть включати:

• ідентифікаційні дані (ім’я, email)
• документи, завантажені Контролером даних або його клієнтами
• фінансові або ділові записи
• метадані (строки, статуси, activity logs)

Обробник навмисно не збирає спеціальні категорії даних, але може обробляти їх, якщо вони завантажені Контролером даних.

4. Категорії суб’єктів даних

• клієнти Контролера даних
• співробітники
• підрядники
• інші особи, чиї дані завантажуються

5. Обов’язки Обробника

Обробник зобов’язаний:

• Обробляти дані лише на підставі документованих інструкцій Контролера даних.
• Забезпечувати конфіденційність.
• Впроваджувати відповідні технічні та організаційні заходи (Annex I).
• Повідомляти Контролера даних без невиправданої затримки та не пізніше ніж через 48 годин з моменту, коли стало відомо про порушення захисту персональних даних.
• Надавати Контролеру даних допомогу щодо запитів суб’єктів даних.
• Надавати допомогу під час DPIA, коли це необхідно.
• Видаляти або повертати персональні дані після припинення.
• Надавати інформацію, необхідну для підтвердження відповідності.

6. Субобробники

Контролер даних надає загальний дозвіл на залучення субобробників.

Поточні субобробники включають:

• Vercel (EU region - Germany)
• Neon (EU region - Germany)
• Cloudflare, Inc. (EU region)
• Google LLC (United States and/or European Union)
• Resend (USA)
• Stripe (United States and/or European Union)
• Upstash (EU region - Germany)

Обробник буде інформувати Контролера даних про зміни.

Обробник зберігає повну відповідальність за субобробників.

7. Міжнародна передача

Customer Data можуть передаватися за межі ЄЕЗ окремими субобробниками (наприклад, Resend та/або Stripe, коли це застосовно).

Обробник покладається на відповідні гарантії, включаючи Standard Contractual Clauses, коли це застосовно.

8. Зберігання та видалення

• Дані зберігаються, поки обліковий запис активний.
• Після видалення облікового запису: soft deletion негайно.
• Постійне видалення з основної бази даних протягом 30 днів.
• Усі пов’язані дані, включаючи документи, метадані та журнали активності, видаляються після видалення відповідного workspace.
• Деякі операційні журнали (включаючи журнали доставки електронної пошти) можуть оброблятися та зберігатися субобробниками відповідно до їхніх власних політик зберігання даних.

9. Аудит

Контролер даних може проводити аудити на основі документації один раз на рік за умови попереднього повідомлення за 30 днів.

Аудит не повинен порушувати операції Обробника або надавати доступ до даних інших клієнтів.

Annex I - Заходи безпеки

• TLS-шифрування під час передачі
• Шифрування під час зберігання (на рівні бази даних)
• Рольовий контроль доступу (owner/client)
• Логічна ізоляція workspace
• Activity logging
• Щоденне автоматизоване очищення видалених даних
• Відсутність доступу співробітників до production data