Угода про обробку даних
(Data Processing Agreement, DPA — додаток до Публічної оферти)

Ця Угода про обробку даних (далі — «DPA») є невід'ємною частиною Публічної оферти між Замовником (далі — «Контролер») та Виконавцем — ФОП [[Прізвище Ім'я По батькові]], РНОКПП [[XXXXXXXXXX]] (далі — «Процесор», «TraineryApp»).

DPA регулює обробку персональних даних суб'єктів з ЄС/ЄЕЗ та застосовується щоразу, коли TraineryApp обробляє персональні дані за дорученням Замовника. У частині, що цього вимагає ст. 28 GDPR, ця DPA задовольняє вимогу до договірного оформлення.

1. Терміни

Терміни, не визначені у цій DPA, мають значення, надане їм у GDPR (Regulation (EU) 2016/679), Законі України «Про захист персональних даних» або Публічній оферті. Зокрема:

• «Персональні дані» — будь-яка інформація, що стосується ідентифікованої або ідентифіковної фізичної особи, що обробляється TraineryApp за дорученням Замовника через Сервіс.
• «Обробка» — будь-яка операція з Персональними даними у розумінні ст. 4(2) GDPR.
• «Субпроцесор» — третя особа, залучена TraineryApp для обробки Персональних даних.
• «Суб'єкт даних» — фізична особа, до якої належать Персональні дані (зазвичай учасник, тренер або співробітник організації Замовника).

2. Предмет, тривалість, природа та мета обробки

• Предмет: обробка Персональних даних, необхідна для надання Сервісу TraineryApp.
• Тривалість: протягом строку дії Публічної оферти, плюс період зберігання після припинення, передбачений Політикою конфіденційності.
• Природа та мета: хостинг, структурування, отримання, відображення, передача та видалення Персональних даних для забезпечення бронювань, розкладу, управління учасниками, сповіщень та аналітики.
• Категорії суб'єктів даних: учасники, тренери, адміністративний персонал, потенційні учасники організації Замовника.
• Категорії Персональних даних: ідентифікатори (ім'я, email, телефон), дані профілю, бронювання, абонементи, відвідуваність, метадані комунікацій, технічні/журнальні дані.
• Особливі категорії даних: Замовник зобов'язується не завантажувати дані особливих категорій (ст. 9 GDPR, у т.ч. дані про здоров'я) без попередньої письмової згоди TraineryApp.

3. Ролі сторін

Замовник є Контролером Персональних даних своїх учасників, тренерів та персоналу. TraineryApp є Процесором, що обробляє такі Персональні дані виключно за задокументованими дорученнями Замовника, у тому числі щодо передач, окрім випадків, коли цього вимагає право Союзу або держави-члена.

4. Обов'язки Процесора

TraineryApp зобов'язується:

• обробляти Персональні дані лише за задокументованими дорученнями Замовника (Публічна оферта, налаштування Сервісу, прямі письмові доручення);
• забезпечити, що персонал, уповноважений на обробку Персональних даних, пов'язаний зобов'язанням конфіденційності;
• вживати належні технічні та організаційні заходи (Розділ 7) для забезпечення рівня безпеки, відповідного ризику;
• дотримуватися умов залучення Субпроцесорів (Розділ 6);
• сприяти Замовнику у виконанні обов'язку відповідати на запити Суб'єктів даних (Розділ 5);
• сприяти Замовнику у дотриманні ст. 32–36 GDPR (безпека, повідомлення про порушення, DPIA);
• на вибір Замовника, видалити або повернути всі Персональні дані після завершення надання послуг, окрім випадків, коли збереження вимагається законом;
• надавати Замовнику всю інформацію, необхідну для підтвердження дотримання ст. 28 GDPR, та сприяти проведенню аудитів (Розділ 9).

5. Запити суб'єктів даних

TraineryApp невідкладно повідомляє Замовника про будь-який запит Суб'єкта даних, отриманий безпосередньо. TraineryApp не відповідає на такі запити самостійно, окрім випадків за дорученням Замовника або вимогою закону. Сервіс містить функції для самостійного виконання Замовником запитів на доступ, виправлення, видалення, обмеження, перенесення та заперечення; за необхідності додаткової допомоги TraineryApp надає її з урахуванням природи обробки.

6. Субпроцесори

Замовник надає загальний письмовий дозвіл TraineryApp на залучення Субпроцесорів. Поточний перелік Субпроцесорів опубліковано в Політиці конфіденційності, Розділ 6.

TraineryApp зобов'язується:

• покладати на Субпроцесорів договірні зобов'язання з захисту даних, не менш суворі, ніж у цій DPA;
• залишатися повністю відповідальним перед Замовником за виконання Субпроцесорами своїх зобов'язань;
• повідомляти про намір змін у переліку Субпроцесорів щонайменше за 30 днів (через email або в Сервісі). Замовник може заперечити з обґрунтованих причин захисту даних; за відсутності розв'язання Замовник може припинити Публічну оферту.

7. Заходи безпеки (ст. 32 GDPR)

• шифрування трафіку (TLS 1.2+);
• шифрування у спокої там, де його підтримує сховище;
• хешування паролів сучасними алгоритмами (Argon2/bcrypt);
• фізична ізоляція баз даних між організаціями (database-per-tenant);
• рольова модель доступу за принципом мінімально необхідних привілеїв;
• централізоване логування та моніторинг подій безпеки;
• регулярні шифровані резервні копії з тестуванням відновлення;
• періодичний перегляд прав доступу персоналу;
• план реагування на інциденти з визначеними ролями;
• попередній аудит Субпроцесорів перед залученням.

8. Порушення безпеки персональних даних

TraineryApp повідомляє Замовника без невиправданої затримки, але не пізніше 48 годин після виявлення порушення, що зачіпає його дані. Повідомлення містить, у відомому обсязі: характер порушення, категорії та орієнтовну кількість постраждалих суб'єктів та записів, ймовірні наслідки, а також вжиті чи пропоновані заходи. TraineryApp співпрацює щодо обов'язків Замовника за ст. 33–34 GDPR.

9. Аудити

TraineryApp надає Замовнику на запит, не частіше одного разу на календарний рік (окрім випадку підтвердженого інциденту), інформацію, необхідну для підтвердження дотримання DPA, у формі:

• відповідей на письмову анкету з безпеки;
• копій звітів незалежних аудитів або сертифікатів за наявності;
• опису технічних та організаційних заходів.

Очні аудити можуть проводитись Замовником (або незалежним аудитором за його дорученням з зобов'язанням конфіденційності) за письмовим повідомленням не менш ніж за 30 днів, у робочий час, без надмірного порушення роботи. Витрати на очний аудит несе Замовник, окрім випадку виявлення суттєвої невідповідності.

10. Транскордонні передачі

Основна обробка TraineryApp здійснюється у ЄС (Hetzner, Німеччина). У разі передачі Персональних даних Субпроцесору в третю країну без рішення про адекватність застосовуються Стандартні договірні положення ЄС (Commission Implementing Decision (EU) 2021/914) — Модуль 2 (Контролер–Процесор) між Замовником і TraineryApp та Модуль 3 (Процесор–Субпроцесор) між TraineryApp та відповідним Субпроцесором. Сторони цим погоджуються бути зв'язаними такими SCC так, ніби вони підписані.

11. Повернення або видалення даних

Після припинення Публічної оферти TraineryApp видаляє Персональні дані з робочих систем протягом 30 днів, резервні копії — протягом наступних 30 днів. До припинення Замовник може експортувати Персональні дані через Сервіс. Якщо подальше зберігання вимагається законом, TraineryApp зберігає лише необхідні дані на необхідний строк та захищає їх відповідно до DPA.

12. Відповідальність

Відповідальність за DPA регулюється обмеженнями та виключеннями Розділу 7 Публічної оферти, без шкоди для імперативних положень ст. 82 GDPR щодо компенсації Суб'єктам даних.

13. Порядок переваги

У разі конфлікту між цією DPA, Публічною офертою та SCC (де застосовно) переважають SCC, далі — DPA, далі — Публічна оферта.

14. Прийняття

DPA автоматично включається до Публічної оферти за посиланням з моменту її акцепту Замовником. Замовники, що потребують зустрічно-підписаної копії, можуть отримати її за запитом на privacy@trainery.app.