Договір про обробку персональних даних
Укладається відповідно до статті 28(3) GDPR. Він є невід'ємною частиною Умов надання послуг і автоматично застосовується до кожного клієнта WorkAist Cloud.
Діє з: 2026-07-10
Цей документ публікується кількома мовами. У разі будь-яких розбіжностей визначальною є англійська версія.
1. Сторони та ролі
Цей Договір про обробку персональних даних («DPA») укладається між клієнтом, зазначеним в обліковому записі WorkAist («Контролер»), та ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 («Обробник»).
Щодо Даних клієнта, що обробляються у WorkAist Cloud, Контролер визначає цілі та засоби обробки, а Обробник здійснює обробку від імені Контролера. Якщо Контролер сам є обробником для третьої особи, Контролер гарантує, що має повноваження укласти цей DPA і що надані ним інструкції відповідають інструкціям цієї третьої особи.
Цей DPA не застосовується до WorkAist Self-Hosted, де Дані клієнта не потрапляють до систем Обробника, а також до даних, щодо яких контролером є сам Обробник, — вони регулюються Політикою конфіденційності.
2. Порядок пріоритетності
Якщо цей DPA суперечить Умовам надання послуг, у питаннях захисту даних переважну силу має цей DPA. Якщо він суперечить індивідуально узгодженій формі замовлення або підписаному договору про обробку персональних даних, переважну силу має відповідний документ.
3. Предмет, тривалість, характер і мета
Предметом є надання WorkAist Cloud. Характер і мета обробки полягають у розміщенні, зберіганні, передачі та автоматизованій обробці Даних клієнта, щоб налаштовані Контролером агенти, коннектори та процеси могли працювати, разом із діяльністю з підтримки, безпеки, обліку та тарифікації, необхідною для надання Послуги.
Обробка триває, доки чинний договір Контролера на WorkAist Cloud, плюс строки видалення, зазначені в пункті 11.
4. Категорії суб'єктів даних і персональних даних
Контролер вирішує, що він завантажує. Зазвичай обробка стосується:
| Категорії суб'єктів даних | Категорії персональних даних |
|---|---|
| Працівники та уповноважені користувачі Контролера | Ім'я, робоча електронна пошта, роль, дані автентифікації, записи журналу аудиту |
| Клієнти, ліди та контакти Контролера | Ім'я, електронна пошта, номер телефону, компанія, кореспонденція, записи CRM, будь-який ідентифікатор, який Контролер обирає для синхронізації |
| Постачальники та партнери Контролера | Контактні дані, дані договорів і рахунків |
| Будь-який суб'єкт даних, що фігурує в документах або повідомленнях, які обробляє Контролер | Будь-які персональні дані, що містяться у файлах, електронних листах, транскриптах, зображеннях або повідомленнях, які Контролер надає до Послуги |
Особливі категорії персональних даних відповідно до статті 9 GDPR та персональні дані, пов'язані з кримінальними судимостями та правопорушеннями відповідно до статті 10 GDPR, не повинні оброблятися в Послузі, якщо сторони заздалегідь письмово не погодили додаткові заходи захисту.
Джерело даних
Дані клієнта потрапляють до Послуги тому, що Контролер підключає зовнішні системи, завантажує файли або доручає своїм агентам їх отримувати. Лише Контролер обирає ці джерела та визначає, що імпортується.
Контролер гарантує, що має законну підставу відповідно до статті 6 GDPR — а за необхідності статті 9 — для збору цих персональних даних та їх передачі Обробнику, а також що будь-яке повідомлення чи згода, необхідні у вихідній системі, наявні. Обробник не має доступу до вихідних систем Контролера, не обирає їх і не перевіряє (і не може перевірити), чи відповідають вони законодавству про захист даних. Визначення цього є обов'язком Контролера як контролера.
5. Обробка за документованими інструкціями
Обробник обробляє Дані клієнта лише за документованими інструкціями Контролера, включно з питаннями передачі до третіх країн, якщо інше не вимагається законодавством Європейського Союзу чи держави-члена, якому підпорядковується Обробник. У такому разі Обробник інформує Контролера про цю юридичну вимогу до початку обробки, якщо законодавство не забороняє це з важливих підстав суспільного інтересу.
Умови надання послуг, цей DPA, а також налаштування та використання Послуги Контролером становлять повні документовані інструкції Контролера. Будь-яка додаткова інструкція має бути надана у письмовій формі і, якщо вона вимагає зусиль, що виходять за межі стандартної функціональності Послуги, може підлягати розумній оплаті, узгодженій заздалегідь.
Обробник без невиправданої затримки інформує Контролера, якщо, на його думку, інструкція порушує GDPR чи інше законодавство Європейського Союзу або держави-члена про захист даних.
6. Конфіденційність
Обробник забезпечує, щоб особи, уповноважені обробляти Дані клієнта, взяли на себе зобов'язання щодо конфіденційності або підпадали під відповідне законодавче зобов'язання щодо нерозголошення, а також щоб доступ був обмежений тими, кому він потрібен для виконання договору.
7. Безпека обробки
Беручи до уваги рівень розвитку технологій, витрати на впровадження, а також характер, обсяг, контекст і цілі обробки, а також ризик для прав і свобод фізичних осіб, Обробник впроваджує наведені нижче технічні та організаційні заходи відповідно до статті 32 GDPR.
Додаток II — Технічні та організаційні заходи
| Захід | Реалізація |
|---|---|
| Шифрування під час передачі | Увесь трафік до Послуги та з неї передається через TLS з автоматично поновлюваними сертифікатами. Внутрішній трафік між сервісами не залишає мережу хоста. |
| Шифрування секретів | Облікові дані клієнтів і секрети коннекторів шифруються в стані спокою за допомогою AES-256-GCM під ключем, що зберігається поза базою даних застосунку. |
| Псевдонімізація | Записи телеметрії та обліку посилаються на орендарів і агентів за ідентифікатором, а не за іменем чи електронною поштою, там, де ідентифікатора достатньо. |
| Конфіденційність — контроль доступу | Рольовий контроль доступу для кожного робочого простору. Кожен агент обмежений власним префіксом сховища та власною схемою бази даних; міжорендарний доступ відхиляється на рівні даних, а не лише в інтерфейсі користувача. |
| Конфіденційність — персонал | Адміністративний доступ за принципом найменших привілеїв, наданий індивідуально та переглянутий у разі зміни ролі. Усі адміністративні дії записуються до журналу аудиту, доступного лише для додавання. |
| Цілісність | Наскрізна валідація вхідних даних і параметризовані запити. Кожна зміна через операційний API фіксується записом у журналі аудиту, що ідентифікує суб'єкта дії. |
| Доступність і стійкість | Кероване розміщення в дата-центрі класу Tier III у Німеччині. Автоматизоване щоденне резервне копіювання бази даних, зашифроване та відокремлене від робочого середовища. |
| Відновлення | Документована процедура відновлення з найновішої резервної копії; відновлення відпрацьовується в рамках змін інфраструктури. |
| Тестування та оцінка | Сканування вразливостей залежностей у процесі безперервної інтеграції, перегляд коду перед злиттям та періодичний перегляд цих заходів щонайменше раз на рік і при суттєвих змінах Послуги. |
| Мінімізація даних за задумом | Коннектори синхронізують лише поля, увімкнені Контролером. Контролер може видалити будь-яку синхронізовану таблицю в будь-який час. |
Обробник може оновлювати ці заходи в міру розвитку технологій за умови, що рівень захисту не знижується. Актуальною завжди є версія, опублікована на цій сторінці.
8. Субобробники
Контролер надає Обробнику загальний письмовий дозвіл на залучення субобробників. Обробник договірно покладає на кожного субобробника зобов'язання щодо захисту даних, не менш захисні, ніж передбачені цим DPA, і залишається повністю відповідальним перед Контролером за дії субобробника.
Додаток III — Уповноважені субобробники
Наведені нижче субобробники залучаються для кожного клієнта WorkAist Cloud, оскільки вони є частиною інфраструктури, на якій працює Послуга.
| Субобробник | Мета | Місцезнаходження | Гарантія передачі |
|---|---|---|---|
| Hetzner Online GmbH | Розміщення серверів застосунку, бази даних і резервних копій | Німеччина (ЄС) | Не застосовується |
| Cloudflare, Inc. | DNS, зворотний проксі, завершення TLS-з'єднань, захист від DDoS | Глобальна edge-мережа, включно з ЄС | SCC; EU-US Data Privacy Framework |
| Stripe Payments Europe, Ltd. | Обробка платежів та підписок | Ірландія (ЄС) | SCC для внутрішньогрупових передач; EU-US Data Privacy Framework |
| Resend, Inc. | Доставка транзакційної електронної пошти | Сполучені Штати | SCC |
Постачальники моделей
До постачальників великих мовних моделей застосовується інший підхід, оскільки їх обирає Контролер.
- Якщо Контролер надає власні облікові дані постачальника, цей постачальник залучається Контролером, за інструкціями Контролера та в рамках власної угоди Контролера з ним. Він не є субобробником Обробника. Обробник лише передає запит, використовуючи надані облікові дані, і не надає жодних гарантій щодо безпеки цього постачальника, місця обробки, практик навчання моделей чи відповідності вимогам.
- Якщо Контролер використовує керований облік токенів Обробника, постачальника обирає Обробник, і такий постачальник є субобробником Обробника. Постачальником, що наразі залучається в цій якості, є Anthropic PBC (Сполучені Штати) для інференсу великих мовних моделей, на підставі стандартних договірних положень і з договірною забороною навчатися на даних, що йому надсилаються.
Контролер може в будь-який час у Послузі побачити, якого постачальника моделі використовує кожен з його агентів, і змінити його.
Зміни субобробників
Обробник повідомляє Контролера щонайменше за 30 днів електронною поштою до додавання чи заміни субобробника. Контролер може заперечити з обґрунтованих підстав, пов'язаних із захистом даних, протягом цих 30 днів. Якщо сторони не можуть врегулювати заперечення, Контролер може припинити дію відповідної частини Послуги без штрафу та отримати пропорційне повернення передплачених коштів.
9. Сприяння у реалізації прав суб'єктів даних
Беручи до уваги характер обробки, Обробник сприяє Контролеру за допомогою належних технічних та організаційних заходів, наскільки це можливо, у виконанні зобов'язання Контролера відповідати на запити щодо реалізації прав суб'єкта даних відповідно до Розділу III GDPR.
Послуга надає Контролеру прямий доступ до Даних клієнта, щоб він міг самостійно знаходити, експортувати, виправляти та видаляти персональні дані. Якщо запит все ж потребує участі Обробника, Обробник відповідає без невиправданої затримки і в будь-якому разі протягом 10 робочих днів. Якщо суб'єкт даних звертається безпосередньо до Обробника щодо Даних клієнта, Обробник не відповідає по суті; він без невиправданої затримки передає запит Контролеру.
10. Сприяння відповідно до статей 32–36
Обробник сприяє Контролеру в забезпеченні дотримання зобов'язань, передбачених статтями 32–36 GDPR, з урахуванням характеру обробки та інформації, доступної Обробнику, — зокрема щодо безпеки обробки, повідомлення про порушення захисту персональних даних, повідомлення суб'єктів даних, оцінки впливу на захист даних і попередніх консультацій.
Порушення захисту персональних даних
Обробник повідомляє Контролера без невиправданої затримки і в будь-якому разі протягом 48 годин після того, як йому стало відомо про порушення захисту персональних даних, що стосується Даних клієнта. Повідомлення описує характер порушення, категорії та приблизну кількість суб'єктів даних і записів, яких воно стосується, ймовірні наслідки, вжиті або запропоновані заходи та контактну особу. Якщо не вся інформація доступна одразу, вона надається поетапно без подальшої невиправданої затримки. Обробник не повідомляє наглядовий орган чи суб'єктів даних від імені Контролера, якщо не отримав відповідної інструкції.
11. Видалення та повернення Даних клієнта
На вибір Контролера Обробник видаляє або повертає всі Дані клієнта після завершення надання послуг, пов'язаних з обробкою, та видаляє наявні копії, якщо законодавство Європейського Союзу чи держави-члена не вимагає зберігання персональних даних.
- Протягом 30 днів після завершення договору Контролер може експортувати Дані клієнта з Послуги або вимагати їх повернення у структурованому, загальновживаному, машинозчитуваному форматі.
- Обробник видаляє Дані клієнта з робочих систем протягом 30 днів після закінчення цього періоду для експорту.
- Зашифровані резервні копії, що містять Дані клієнта, перезаписуються під час їх звичайної ротації і в будь-якому разі протягом 90 днів після видалення з робочих систем.
- На письмовий запит Обробник письмово підтверджує видалення.
12. Аудити та інформація
Обробник надає Контролеру всю інформацію, необхідну для підтвердження дотримання статті 28 GDPR, а також уможливлює аудити, включно з перевірками, що проводяться Контролером або іншим аудитором, уповноваженим Контролером, і сприяє їх проведенню.
На практиці Обробник спочатку надає свою актуальну документацію щодо технічних та організаційних заходів, перелік субобробників і письмові відповіді на анкету з безпеки. Якщо цього недостатньо для підтвердження відповідності, Контролер може провести аудит на місці або дистанційно, з письмовим повідомленням за 30 днів, не частіше одного разу на календарний рік, якщо не сталося порушення захисту персональних даних або цього не вимагає наглядовий орган. Аудити проводяться в робочий час, не повинні необґрунтовано порушувати діяльність Обробника і підлягають конфіденційності. Контролер несе власні витрати на аудит; Обробник несе свої, якщо аудит не виявить суттєвого порушення цього DPA.
13. Міжнародні передачі даних
Обробник зберігає Дані клієнта в стані спокою в Німеччині. Передачі субобробникам за межами Європейського економічного простору, перелічені в Додатку III, здійснюються на підставі Стандартних договірних положень Європейської Комісії (Імплементаційне рішення (EU) 2021/914), Модуль третій, у якому Обробник діє як обробник, що залучає субобробника, доповнених за необхідності додатковими гарантіями, а також — якщо отримувач сертифікований — на підставі рішення про належний рівень захисту для EU-US Data Privacy Framework.
Укладаючи цей DPA, Контролер доручає Обробнику укласти зазначені Стандартні договірні положення з кожним субобробником від імені та за дорученням Контролера.
14. Відповідальність
Відповідальність за цим DPA регулюється обмеженням відповідальності, передбаченим Умовами надання послуг, за винятком того, що ніщо не обмежує відповідальність жодної зі сторін перед суб'єктом даних відповідно до статті 82 GDPR або перед наглядовим органом.
15. Строк дії, застосовне право та контакти
Цей DPA набуває чинності з моменту початку дії договору Контролера на WorkAist Cloud і залишається чинним, доки Обробник обробляє Дані клієнта. Він регулюється законодавством Португалії, і суди Лісабона мають виключну юрисдикцію, без шкоди для статті 79 GDPR.
Контакти з усіх питань за цим DPA: [email protected].