Доповнення про обробку даних

Примітка: Юридично обовʼязковою є англомовна версія цього документа. Український переклад наведено для зручності і не має юридичної сили в разі розбіжностей із англійським оригіналом.

1. Визначення

У цьому Доповненні про обробку даних ("DPA") наступні терміни мають значення, наведене нижче:

• "Контролер" — Клієнт (ви), хто визначає цілі та засоби обробки персональних даних.
• "Обробник" — Solutions4sf, у виконанні Сергія Скрипника (ФОП, зареєстрований в Україні), хто обробляє персональні дані від імені Контролера.
• "Персональні дані" — будь-яка інформація, що стосується ідентифікованої або ідентифіковної фізичної особи, як визначено в GDPR Стаття 4(1).
• "Обробка" — будь-яка операція над персональними даними, включаючи збір, зберігання, модифікацію, отримання, передачу або видалення.
• "Субобробник" — будь-яка третя сторона, залучена Solutions4sf для обробки персональних даних у звʼязку з Послугами.
• "Субʼєкт даних" — ідентифікована або ідентифіковна фізична особа, до якої належать персональні дані.
• "GDPR" — Регламент (ЄС) 2016/679 (Загальний регламент про захист даних), а також, де застосовується, UK GDPR та Data Protection Act 2018.
• "Послуги" — консалтингові, імплементаційні, аудиторські, навчальні та супровідні послуги, що надає Solutions4sf за основною угодою (MSA) або Statement of Work (SOW).

2. Обсяг та ролі

Цей DPA застосовується щоразу, коли Solutions4sf обробляє Персональні дані від імені Клієнта в процесі надання Послуг. Сторони погоджуються:

• Клієнт виступає як Контролер усіх Персональних даних, до яких надається доступ під час надання послуг.
• Solutions4sf виступає як Обробник згідно з GDPR Стаття 28.
• Цей DPA включається за посиланням до MSA, SOW або іншої керуючої угоди між сторонами.
• У разі конфлікту між цим DPA та будь-якою іншою угодою, умови цього DPA мають перевагу щодо питань захисту даних.

3. Предмет та тривалість обробки

Предмет: Обробка Персональних даних, необхідна для надання послуг Salesforce, Pardot (Marketing Cloud Account Engagement), RevOps консалтингу, аудиту, імплементації, інтеграції та повʼязаних послуг.

Тривалість: Обробка триває протягом тривалості співпраці, визначеної в SOW, плюс розумний пост-співпрацний період, необхідний для передачі справ, передачі знань або зберігання записів.

Природа та мета: Налаштування, аудит, інтеграція та міграція середовищ Salesforce/Pardot. Читання, структурування та (за вказівкою) модифікація даних про лідів, контактів, акаунтів та engagement.

4. Категорії субʼєктів даних

Персональні дані, оброблювані за цим DPA, можуть стосуватися наступних категорій Субʼєктів даних:

• Працівники та підрядники Клієнта (наприклад, Salesforce користувачі, marketing operations команда).
• Проспекти, ліди та клієнти Клієнта, які зберігаються в Pardot/Salesforce.
• Відвідувачі сайтів Клієнта, чиї дані захоплюються через форми, tracking pixels або campaign URL.
• Інші особи, чиї дані обробляються в CRM або marketing automation платформах Клієнта.

5. Категорії персональних даних

Персональні дані, оброблювані як правило, включають (залежно від конфігурації Клієнта):

• Ідентифікатори: імʼя, email-адреса, номер телефону, посада, назва компанії.
• Engagement-дані: відкриття листів, кліки, відправлення форм, перегляди сторінок, відповіді на кампанії.
• Атрибути лідів/акаунтів: галузь, розмір компанії, рівень доходу, джерело ліда, lead score, lead grade.
• Контент комунікації: вміст листів, лог автоматизованих повідомлень, історія розмов (де застосовується).
• Системні дані: credentials користувачів, audit logs, історія конфігурації (обмежено до необхідного).

Solutions4sf не навмисно обробляє дані спеціальної категорії (раса, етнос, релігія, політичні погляди, біометричні дані, дані здоровʼя, сексуальна орієнтація тощо), якщо це явно не вимагається SOW і не супроводжується посиленими заходами безпеки. Клієнт повинен повідомити Solutions4sf заздалегідь, якщо такі дані можуть бути присутніми.

6. Зобовʼязання Solutions4sf як Обробника

Solutions4sf погоджується на наступне:

6.1 Документовані інструкції

Solutions4sf обробляє Персональні дані лише за документованими інструкціями Клієнта, включно щодо міжнародних трансферів даних, якщо інше не вимагається законом ЄС або держави-члена, до яких підпорядковується Solutions4sf. У таких випадках Solutions4sf повідомить Клієнта про цю юридичну вимогу до обробки, якщо це не заборонено законом.

6.2 Конфіденційність

Solutions4sf забезпечує, щоб персонал, авторизований обробляти Персональні дані, був повʼязаний відповідними зобовʼязаннями про конфіденційність — за договором або статутним обовʼязком.

6.3 Заходи безпеки (GDPR Стаття 32)

Solutions4sf впроваджує відповідні технічні та організаційні заходи для забезпечення рівня безпеки, відповідного ризику, включаючи:

• Контроль доступу: двофакторна автентифікація на всіх акаунтах, які обробляють дані Клієнта; принцип найменших привілеїв; password manager для зберігання credentials.
• Шифрування: усі дані Клієнта доступні через HTTPS/TLS; credentials Клієнта ніколи не зберігаються у відкритому вигляді.
• Безпека endpoint: зашифровані диски на всіх пристроях; актуальні операційні системи та security patches.
• Логування та моніторинг: ведуться activity logs для security incidents та audit trails.
• Безпека мережі: VPN використовується для чутливих операцій; жодного публічного Wi-Fi для роботи Клієнта.
• Бекап та відновлення: періодичні зашифровані бекапи; протестовані процедури відновлення.
• Реагування на інциденти: визначена процедура для security incidents та сповіщень про порушення.

6.4 Субобробники

Solutions4sf може залучати Субобробників для підтримки Послуг. Клієнт надає загальну письмову авторизацію на використання Субобробників, відповідно до умов у Розділі 7 нижче.

6.5 Допомога з правами субʼєктів даних

Solutions4sf допомагає Клієнту, через відповідні технічні та організаційні заходи, у виконанні зобовʼязань Клієнта на запити Субʼєктів даних згідно з GDPR Статтями 15-22 (доступ, виправлення, видалення, обмеження, переносність, заперечення).

6.6 Сповіщення про порушення

Solutions4sf повідомляє Клієнта без невиправданої затримки (і в будь-якому випадку протягом 72 годин) після того, як стане відомо про порушення Персональних даних, що впливає на дані Клієнта. Сповіщення включає:

• Опис природи порушення.
• Приблизну кількість Субʼєктів даних та записів, які постраждали.
• Імовірні наслідки порушення.
• Заходи, вжиті або заплановані для усунення порушення.
• Контактний пункт для подальшої інформації.

6.7 Допомога з оцінкою впливу на захист даних

Solutions4sf надає розумну допомогу Клієнту в проведенні Оцінок впливу на захист даних (DPIAs) та попередніх консультаціях з наглядовими органами, де це вимагається згідно з GDPR Статтями 35-36.

6.8 Права на аудит

Solutions4sf надає Клієнту всю інформацію, необхідну для демонстрації відповідності цьому DPA. Solutions4sf співпрацює з аудитами, включно з інспекціями, проведеними Клієнтом або іншим аудитором, призначеним Клієнтом, з урахуванням:

• Письмового сповіщення за 30 днів (за винятком термінових регуляторних або повʼязаних з порушеннями аудитів).
• Аудитів, проведених у звичайні робочі години.
• Розумного захисту конфіденційності інших клієнтів Solutions4sf.
• Клієнта, що несе розумні витрати на аудит.

6.9 Повернення або видалення даних

Після завершення Послуг, Solutions4sf, на вибір Клієнта, повертає або видаляє всі Персональні дані, за винятком випадків, коли зберігання вимагається законом. Solutions4sf надає письмове підтвердження видалення протягом 30 днів з дати запиту.

7. Субобробники

Клієнт авторизує Solutions4sf на залучення Субобробників, перелічених у Розділі "Наші Субобробники" Privacy Policy, який наразі включає хостинг-провайдерів, інструменти комунікації, аналітичні сервіси та продуктивні інструменти.

Сповіщення про зміни: Solutions4sf надасть Клієнту як мінімум 30 днів сповіщення до додавання або заміни Субобробника, що обробляє Персональні дані Клієнта. Клієнт може заперечити проти нового Субобробника на розумних підставах, повʼязаних із захистом даних. Якщо сторони не можуть вирішити заперечення протягом 30 днів, Клієнт може припинити відповідні Послуги.

Зобовʼязання Субобробників: Solutions4sf накладає на кожного Субобробника зобовʼязання щодо захисту даних, які не менш захисні, ніж ті, що в цьому DPA, через письмову угоду.

8. Міжнародні трансфери даних

Solutions4sf базується в Україні. Клієнт може знаходитися в ЄС, Великій Британії, США або іншій юрисдикції. Міжнародні трансфери Персональних даних можуть відбуватися у звʼязку з Послугами.

Для трансферів з ЄС/ЄЕЗ, Великої Британії або Швейцарії до України або інших третіх країн, Solutions4sf покладається на:

• Standard Contractual Clauses (SCCs) прийняті Європейською Комісією у Рішенні 2021/914, автоматично включені до цього DPA, де застосовуються.
• UK International Data Transfer Addendum для трансферів з Великої Британії.
• Adequacy decisions де вони застосовуються.
• Додаткові заходи за необхідності, включно зі шифруванням під час передачі та зберігання.

Україна визнана за еквівалентний рівень захисту персональних даних Європейською Комісією з моменту прийняття національного законодавства про захист даних, узгодженого з принципами GDPR.

9. Відповідальність

Відповідальність кожної сторони за цим DPA підлягає обмеженням відповідальності, викладеним у MSA або SOW, за винятком випадків, передбачених застосовним законодавством про захист даних (наприклад, GDPR Стаття 82 про право на компенсацію збитків).

10. Термін та припинення

Цей DPA набуває чинності з дати укладення основної угоди про Послуги (MSA або SOW) і залишається в силі, доки Solutions4sf обробляє Персональні дані від імені Клієнта.

Після припинення угоди про Послуги, Розділи 6.9 (Повернення або видалення даних), 7 (Субобробники), 8 (Міжнародні трансфери даних) та 9 (Відповідальність) залишаються в силі після припинення.

11. Конфлікт та подільність

Якщо будь-яке положення цього DPA визнано недійсним або таким, що не може бути виконане, інші положення залишаються в повній силі. Сторони замінять недійсне положення таким, що досягає тієї ж мети в межах застосовного законодавства.

Цей DPA є повним і виключним договором сторін щодо обробки даних. Він замінює будь-які попередні умови обробки даних, якщо явно не збережено.

12. Контакт

Для запитів щодо захисту даних, включаючи запити на підписану копію DPA, сповіщення про порушення або координацію аудиту:

Email: [email protected]
Префікс теми для DPA: "DPA — [Назва вашої компанії]"

Solutions4sf управляється Сергієм Скрипником, ФОП, зареєстрованим в Україні.

Цей DPA набуває чинності з 27 квітня 2026 року. Solutions4sf може періодично оновлювати цей DPA. Про істотні зміни буде повідомлено активних Клієнтів. Остання версія завжди доступна на solutions4sf.com/dpa.