Угода про обробку персональних даних (Додаток: DPA)

Укладена в електронній формі між: Партнером (контролером даних) – бізнес-користувачем Послуг (салон/кабінет/самозайнята особа), який приймає Правила користування Terminka, та DOIT-BI Sp. z o.o. з офісом у Вроцлаві, pl. Powstańców Śląskich 1/11, 53-329 Wrocław, KRS 0001034827, NIP 8992959861, REGON 525250584 – що діє під брендом Terminka ("Обробник" / "Terminka").

November 17, 2025
§1. Предмет, строк дії та характер обробки

  1. Цей Додаток визначає правила доручення Terminka обробляти персональні дані, контролером яких є Партнер, у зв’язку з використанням Послуг (зокрема застосунку Terminka Partner та пов’язаних модулів).

  2. Строк дії: протягом дії договору про надання Послуг (Правила користування) та до моменту видалення/повернення даних відповідно до §10 DPA.

  3. Характер і мета: хостинг, зберігання, організація, структурування, отримання, надання на вимогу Партнера, передача, обмеження, видалення — з метою забезпечення обслуговування клієнтів Партнера, ведення календаря та записів, розрахунків, комунікації, звітності та інтеграцій, визначених Партнером.

§2. Категорії суб’єктів даних, категорії даних та обсяг дій з обробки

  1. Категорії суб’єктів: клієнти Партнера (наявні та потенційні), персонал Партнера, користувачі акаунтів Партнера.

  2. Категорії даних: ідентифікаційні та контактні дані (наприклад, ім’я та прізвище, телефон, e-mail), дані про записи (час, статуси, послуги), нотатки про візити, маркетингові згоди (якщо збираються), комунікація, ідентифікатори транзакцій та розрахунків, технічні дані (логи, IP, ідентифікатори пристроїв).

  3. Особливі категорії даних: Terminka не вимагає і не рекомендує обробляти дані про здоров’я.
    Якщо Партнер вирішує їх обробляти, він підтверджує наявність відповідної правової підстави та обмежує обсяг до необхідного мінімуму; Terminka обробляє такі дані виключно на документовану вказівку (§3 п. 2 DPA) і застосовує відповідні заходи безпеки.

§3. Інструкції та обов’язки Партнера (Контролера)

  1. Партнер заявляє, що має чинну правову підставу для обробки даних і передачі їх Terminka.

  2. Terminka обробляє дані виключно на підставі документованих вказівок Партнера (включно з налаштуваннями в панелі, API та письмовими/e-mail інструкціями), якщо тільки обробку не вимагає законодавство ЄС або РП.

  3. Партнер відповідає за виконання інформаційних обов’язків перед суб’єктами даних та за обробку їхніх запитів, за підтримки Terminka відповідно до §6 DPA.

§4. Обов’язки Terminka (Обробника)

Terminka зобов’язується, зокрема, до:

  1. забезпечення, щоб особи, допущені до даних, дотримувалися конфіденційності (зобов’язання/клаузули) та були належним чином навчені;

  2. застосування належних технічних та організаційних заходів відповідно до ст. 32 GDPR;

  3. підтримки Партнера у виконанні обов’язків за ст. 32–36 GDPR (безпека, повідомлення про порушення, оцінка впливу, консультації);

  4. надання допомоги у реалізації прав суб’єктів даних, про які йдеться в §6 DPA;

  5. ведення реєстру категорій операцій з обробки;

  6. не залучати іншого обробника без дотримання §5 DPA;

  7. інформування Партнера про будь-який обов’язковий правовий припис щодо розкриття даних, якщо закон не забороняє таке повідомлення;

  8. після завершення надання Послуг – видалити або повернути дані відповідно до §10 DPA.

§5. Субпроцесори

  1. Партнер надає загальний дозвіл Terminka на використання субпроцесорів.

  2. Актуальний перелік публікується на сторінці Субпроцесори (Додаток C до Політики конфіденційності).
    Terminka гарантує, що на кожного субпроцесора покладаються зобов’язання не менш суворі, ніж ті, що містяться в цьому DPA.

  3. Terminka повідомить Партнера про заплановані зміни у переліку не менш ніж за 15 днів (e-mail або повідомлення в панелі).
    Відсутність заперечення протягом цього строку означає згоду.
    У разі заперечення Сторони докладуть зусиль, щоб знайти рішення (наприклад, відключення відповідної інтеграції); якщо вирішити питання неможливо — Партнер може розірвати договір у частині, що стосується відповідної функціональності.

§6. Права суб’єктів даних

  1. Враховуючи характер обробки, Terminka допомагає Партнеру у виконанні запитів суб’єктів даних (доступ, виправлення, видалення, обмеження, перенесення, заперечення).

  2. Якщо запит надходить безпосередньо до Terminka, ми передаємо його Партнеру, якщо тільки на нас не покладено юридичний обов’язок відповісти самостійно.

  3. Terminka впроваджує процеси, що забезпечують своєчасне опрацювання таких запитів і ведення відповідної документації.

§7. Порушення захисту персональних даних

  1. Terminka повідомить Партнера про будь-яке порушення захисту даних без невиправданої затримки після виявлення порушення, надавши щонайменше інформацію, передбачену ст. 33(3) GDPR, у межах її доступності.

  2. Terminka співпрацює під час оцінки ризику, підготовки повідомлень до наглядового органу/суб’єктів даних та під час здійснення виправних заходів.

§8. Технічні та організаційні заходи (TOM)

Щонайменше: шифрування передачі (TLS), контроль доступу та прав (ролі/ACL, MFA для персоналу), сегментація середовищ, псевдонімізація там, де це можливо, шифрування вибраних даних у стані спокою, журналювання та моніторинг подій, тестування безпеки та управління вразливостями, резервне копіювання та відновлення, процедури безперервності діяльності, верифікація постачальників, принцип мінімізації даних.
Детальний опис TOM може бути наданий Партнерам на запит у вигляді контрольного листа.

§9. Аудити та інспекції

  1. Партнер має право провести аудит (дистанційний аудит на підставі анкет/звітів) не частіше ніж раз на 12 місяців, із 14-денним попереднім повідомленням, у робочі години та без надмірного порушення діяльності Terminka; аудит on-site можливий у обґрунтованих випадках.

  2. Сторони забезпечують конфіденційність та безпеку інформації. Витрати на позапланові аудити несе Партнер, якщо тільки аудит не виявить суттєвих порушень з боку Terminka.

§10. Повернення та видалення даних

  1. Після завершення надання Послуг Terminka, за вибором Партнера, повідомленим протягом 30 днів, надає експорт даних у структурованому форматі (наприклад, CSV/JSON) і надалі видаляє дані з операційних систем протягом 60 днів, якщо триваліше зберігання не вимагається законом (у такому разі дані будуть належним чином заблоковані).

  2. Резервні копії перезаписуються/видаляються відповідно до стандартних циклів зберігання.

§11. Трансфери за межі ЄЕЗ

Якщо дані передаються за межі ЄЕЗ, Terminka забезпечує наявність правової підстави відповідно до розділу V GDPR (наприклад, SCC) та — за потреби — додаткові заходи (наприклад, шифрування, обмеження доступу).
Переважні локації дата-центрів: ЄЕЗ.

§12. Відповідальність та пріоритет

Відповідальність Сторін визначається основним договором (Правила користування) у межах, дозволених законом; положення GDPR мають пріоритет. У разі будь-яких суперечностей цей Додаток — DPA — має пріоритет у питаннях обробки даних.

§13. Набрання чинності та форма

  1. DPA набирає чинності з моменту прийняття Партнером Правил користування (click-wrap) і є їх невід’ємною частиною.

  2. Сторони підтверджують, що DPA укладено в електронній формі (ст. 28(9) GDPR) і вона є рівноцінною письмовій формі.

  3. Terminka веде облік прийняття (зокрема дата/час, ідентифікатор акаунту, IP-адреса, версія документа) та надає актуальну версію онлайн.

Контактні дані з питань захисту даних:

DPO/IOD: rodo@doit-bi.com
Кореспонденційна адреса: DOIT-BI Sp. z o.o., pl. Powstańców Śląskich 1/11, 53-329 Wrocław, Польща.