Регламент доручення обробки персональних даних

Додаток 1 до Умов використання сервісу BitFaktura

§1 ОСНОВНІ ПОНЯТТЯ

1. Використані в Регламенті поняття означають:
• Персональні дані або Дані - у розумінні ст. 4 п. 1) ЗРЗД, тобто будь-яка інформація про ідентифіковану або таку, що може бути ідентифікована фізичну особу, передана Постачальнику послуг Клієнтом з метою виконання Договору про надання Послуг;
• Регламент- цей Регламент доручення обробки персональних даних, який регулює правила доручення та обробки Постачальником послуг Персональних Даних у зв’язку з виконанням Договору про надання Послуг;
• Умови використання сервісу BitFaktura- Умови використання сервісу BitFaktura доступні за адресою: https://bitfaktura-ua24.siteor.pl/umovy-vykorystannya-servisu
• ЗРЗД- Регламент Європейського Парламенту та Ради (ЄС) 2016/679 від 27.04.2016 р. щодо захисту фізичних осіб у зв’язку з обробкою персональних даних та про вільний рух таких даних, а також скасування Директиви 95/46/ЄС (Загальний регламент про захист даних);
• Договір про надання Послуг lub Договір - договір про надання Послуг в електронній формі, укладений між Клієнтом та Постачальником послуг на умовах, визначених в Умовах використання сервісом BitFaktura.
2. Поняття, написані з великої літери, які не визначені у п. 1 вище, мають значення, надане їм у BitFaktura.com.ua.

---

§2 ОБ'ЄКТ ДОРУЧЕННЯ

1. Клієнт, діючи на підставі ст. 28 п. 3 ЗРЗД, доручає Постачальнику послуг обробку Персональних Даних на умовах і для цілей, визначених у цьому Регламенті.
2. Клієнт заявляє, що має право обробляти Персональні Дані в обсязі та для цілей, для яких він доручає їх Постачальнику послуг на підставі Регламенту.
3. Постачальник послуг зобов’язується обробляти доручені йому Персональні Дані відповідно до цього Регламенту, ЗРЗД та загальноприйнятого законодавства, що захищає права осіб, яких стосуються ці Дані.

---

§3 ОБСЯГ ТА МЕТА ОБРОБКИ

1. Обсяг Персональних Даних, що передаються для обробки, включає Персональні Дані, введені Клієнтом у Сервіс, обробка яких Постачальником послуг здійснюється з метою та для потреб виконання замовлених Клієнтом Послуг, про які йдеться у § 2 п. 2 Умов використання сервісу BitFaktura. Доручення обробки Персональних Даних може зокрема охоплювати Персональні Дані клієнтів та контрагентів Клієнта та їх представників, а також працівників та співробітників Клієнта, які є Користувачами Сервісу, у межах, відкритих Постачальнику послуг через Сервіс, зокрема у такому обсязі:
   • а) основні ідентифікаційні дані, такі як: ім'я, прізвище, назва компанії, адреса ведення господарської діяльності, адреса проживання, номер податкового ідентифікаційного коду, обсяг повноважень, відділ компанії, до якого належить особа;
   • б) контактні дані, такі як: адреса кореспонденції, номер телефону, адреса електронної пошти, факс;
   • в) фінансові та транзакційні дані, такі як: номер банківського рахунку, дані щодо договорів або транзакцій, які Клієнт здійснює зі своїми клієнтами або контрагентами (обсяг наданих послуг, дані щодо фінансових розрахунків);
   • г) усі інші Дані, якщо вони були введені Клієнтом у Сервіс, а їх обробка Постачальником послуг є необхідною для виконання укладеного з Клієнтом Договору про надання Послуг.
2. Обсяг Персональних Даних, що передаються для обробки, визначається щоразу з обсягу Послуг, що надаються Постачальником послуг Клієнту, і відповідає функціональним можливостям вибраного Клієнтом Плану Підписки. Для уникнення сумнівів Сторони підтверджують, що зміна Плану Підписки є рівнозначною розширенню або обмеженню Клієнтом обсягу переданих Персональних Даних відповідно до функціональності, за винятком інших положень Умов використання сервісом BitFaktura. Зміна обсягу переданих Постачальнику послуг Персональних Даних не є зміною Регламенту.
3. Метою доручення обробки Персональних Даних Клієнтом є забезпечення виконання Сторонами предмету Договору про надання Послуг.
4. Постачальник послуг має право обробляти Персональні Дані у межах усіх операцій обробки, зазначених у ст. 4 п. 2 ЗРЗД, необхідних для правильного виконання Договору про надання Послуг відповідно до вибраного Клієнтом Плану Підписки.
5. Обробка Персональних Даних Постачальником послуг здійснюється виключно через інформаційні системи і не здійснюється із застосуванням паперових картотек.

---

§4 ПРАВА ТА ОБОВ'ЯЗКИ СТОРІН

1. Постачальник послуг обробляє Персональні Дані виключно на документоване розпорядження Клієнта, при цьому таким документованим розпорядженням вважається цей Регламент. Постачальник послуг також може обробляти Персональні Дані в обсязі, в якому це зобов’язує його право Європейського Союзу або польське законодавство. Постачальник послуг невідкладно інформує Клієнта, якщо на його думку, видане розпорядження порушує ЗРЗД або інші нормативи щодо захисту даних.
2. Клієнт зобов’язаний мати правову основу для операцій обробки Персональних Даних, які він доручає Постачальнику послуг для обробки на підставі цього Регламенту.
3. Постачальник послуг буде обробляти Персональні Дані протягом часу, необхідного для виконання замовлених Послуг та виконання всіх зобов’язань, покладених Клієнтом на підставі Договору. За винятком інших положень Умов використання сервісу BitFaktura, після закінчення строку дії Договору про надання Послуг Постачальник послуг, залежно від рішення Клієнта та технічних можливостей Постачальника послуг, видалить або поверне Клієнту Персональні Дані та всі їх існуючі копії, якщо лише право Європейського Союзу або польське законодавство не зобов’язує зберігати Дані.
4. Постачальник послуг зобов’язаний докласти належної старанності при обробці доручених Персональних Даних. Враховуючи рівень технічних знань, витрати на впровадження, характер, обсяг, контекст і цілі обробки, а також ризик порушення прав чи свобод фізичних осіб з різною ймовірністю та ступенем загрози, Постачальник послуг зобов’язаний впровадити відповідні технічні та організаційні заходи для забезпечення ступеня безпеки, відповідного цьому ризику.
5. Постачальник послуг зобов’язаний надати повноваження на обробку Персональних Даних усім особам, які будуть обробляти доручені Дані з метою виконання Договору.
6. Постачальник послуг зобов’язаний забезпечити збереження таємниці доручених Персональних Даних, про що йдеться у ст. 28 п. 3 літері b ЗРЗД, усіма особами, яким він надає повноваження на обробку Персональних Даних, як під час їх працевлаштування (співпраці з Постачальником послуг), так і після її припинення.
7. Постачальник послуг, враховуючи характер обробки, за можливості допомагає Клієнту за допомогою відповідних технічних та організаційних заходів виконати обов’язок реагування на запити осіб, яких стосуються Персональні Дані, у межах реалізації їх прав, визначених у розділі III ЗРЗД, а також обов’язків, встановлених у ст. 32–36 ЗРЗД.
8. Постачальник послуг, у разі виявлення порушення захисту Персональних Даних, зобов’язаний повідомити про це Клієнта без зайвої затримки. Повідомлення про порушення має бути надіслано на електронну адресу Клієнта, що є його логіном у Сервісі, або на електронну адресу для контакту з Клієнтом, прив’язану до його облікового запису в Сервісі. Повідомлення про порушення має містити щонайменше інформацію, зазначену у ст. 33 п. 3 ЗРЗД.
9. Постачальник послуг надає Клієнту всю необхідну інформацію для підтвердження виконання обов’язків, встановлених у ст. 28 ЗРЗД.

---

§5 ПРАВИЛА ДОРУЧЕННЯ

1. Клієнт цим надає згоду на подальше доручення обробки Персональних Даних субпідрядникам Постачальника послуг, зазначеним у Додатку № 1 до Регламенту. Зміна Додатку № 1 є зміною Регламенту і здійснюється на умовах, визначених в Умовах використання сервісу BitFaktura.
2. У разі доручення обробки Персональних Даних субпідрядника на субпідрядника на них поширюються ті самі обов’язки щодо захисту Даних, що й у Регламенті, зокрема обов’язок забезпечити належні гарантії впровадження відповідних технічних та організаційних заходів, щоб обробка Даних відповідала вимогам ЗРЗД. Якщо субпідрядник, якому Постачальник послуг доручив обробку Персональних Даних, не виконає свої обов’язки щодо захисту Даних, повна відповідальність перед Клієнтом за виконання обов’язків субпідрядника лежить на Постачальнику послуг.
3. Постачальник послуг може передавати Персональні Дані до третьої країни, що знаходиться поза Європейською економічною зоною, за умови виконання вимог, зазначених у розділі V ЗРЗД (ст. 44-50).

---

§6 ПРАВО КОНТРОЛЮ

1. Постачальник послуг надає Клієнту або уповноваженій ним особі можливість проведення контролю та сприяє йому. Контроль може проводитись не частіше одного разу на календарний рік і тривати не довше одного Робочого Дня кожен.
2. Кожна зі Сторін зобов’язана нести власні витрати, пов’язані з проведенням контролю.
3. Аудитором Клієнта не може бути суб’єкт, що здійснює конкурентну діяльність стосовно Постачальника послуг, або пов’язаний з ним суб’єкт, його працівник чи співпрацівник, незалежно від підстави працевлаштування чи співпраці.
4. Клієнт зобов’язаний повідомити Постачальника послуг про запланований контроль не пізніше ніж за 30 днів. Постачальник послуг має право відмовити у проведенні контролю в запропонований Клієнтом термін, якщо існує висока ймовірність того, що проведення контролю у цей термін порушить поточне функціонування підприємства Постачальника послуг. У такому випадку Постачальник послуг запропонує інший термін проведення контролю, не пізніше ніж через 5 Робочих днів після запропонованого Клієнтом. Особи, що беруть участь у контролю, перед початком контролю зобов’язані підписати угоду про конфіденційність або заяву про збереження конфіденційності згідно з вказівками Постачальника послуг.
5. Клієнт здійснюватиме право контролю виключно у Робочі дні, у дистанційному режимі, у робочі години Постачальника послуг (9:00 – 17:00 за варшавським часом) та у спосіб, який максимально не порушує його робочий процес. Під час контролю Клієнт та його аудитор зобов’язані дотримуватися внутрішніх процедур і політик Постачальника послуг або його субпідрядника щодо безпеки та конфіденційності.
6. Для проведення контролю Постачальник послуг надасть та сприятиме проведенню контрольних дій, якщо вони безпосередньо пов’язані з виконанням Договору, зокрема надасть Клієнту письмові або усні роз’яснення щодо обробки доручених Персональних Даних — за виключенням інформації або дій, що містять комерційну таємницю Постачальника послуг. Контроль не може охоплювати інформацію чи документи, що стосуються інших Клієнтів Постачальника послуг, а також не повинен спрямовуватись або призводити до доступу Клієнта до персональних даних інших осіб, окрім його власних, або до конфіденційних даних Постачальника послуг чи інших суб’єктів.
7. Проведений контроль завершується складанням протоколу з результатами контролю. У разі виявлення у протоколі порушень, пов’язаних із невиконанням положень Регламенту, Клієнт має право направити Постачальнику послуг письмові рекомендації щодо усунення порушень із визначенням строку їх виконання, який має бути відповідним і не меншим за 30 Робочих днів. Рекомендації не повинні виходити за межі вимог цього Регламенту або чинного законодавства, включно з ЗРЗД, а також мають бути об’єктивно обґрунтованими і здійсненними без зміни організації або порушення безперервності діяльності підприємства Постачальника послуг чи його субпідрядника.

---

§7 КІНЦЕВІ ПОЛОЖЕННЯ

1. Постачальник послуг несе відповідальність за невиконання або неналежне виконання положень Регламенту на умовах, зазначених в Умовах використання сервісу BitFaktura. Відповідальність Постачальника послуг за виконання розпоряджень і рекомендацій Клієнта, що суперечать ЗРЗД або іншим загальноприйнятим нормативним актам, виключається.
2. Положення Регламенту становлять повний обсяг зобов’язань і умов доручення обробки Персональних Даних у зв’язку з виконанням Договору про надання Послуг. З моменту набрання чинності цього Регламенту його положення замінюють усі попередні домовленості Сторін щодо доручення обробки Персональних Даних, якщо Сторони не домовилися інакше.
3. У питаннях, не врегульованих цим Регламентом, застосовуються відповідні положення Умов використання сервісу BitFaktura.
4. У разі суперечностей між положеннями цього Регламенту та Умовами використання сервісу BitFaktura застосовуються положення цього Регламенту.
5. Цей Регламент є іншим правовим інструментом у розумінні ст. 28 п. 3 ЗРЗД.

---

Додаток 1 – Перелік субпідрядників

Постачальник рішення	Адреса
Twilio	Inc.1801 California Street Suite 500 Boulder, CO 80202 USA
Getresponse	Al. Grunwaldzka 413, 80-309 Gdańsk, Polska
Vercom S.A.	ul. Wierzbięcice 1B, 61-569 Poznań, Polska
Amazon	410 Terry Ave N, Seattle 98109, WA
Google LLC	1600 Amphitheatre Parkway Mountain View, CA 94043
Meta Platforms	Inc. 1601 Willow Road, Menlo Park, CA 94025 USA
Microsoft Corporation	1 Microsoft Way, Redmond, WA 98052 USA
OpenAI Ireland Ltd	The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland
Eskom IT sp. z o.o.	ul. Puławska 543, 02-844 Warszawa, Polska
QuickEmailVerification	Krushna Nagar 10, Near Swaminarayan Chowk, Behind PDM College, Rajkot Gujarat, 360004, Indie
Radgost sp. z o.o.	Компанія, пов’язана з Оператором Сервісу, з місцезнаходженням у Варшаві, вул. Юліана Смуліковського 6/8, 00-389, Варшава, Польща
Sugester sp. z o.o.	Компанія, пов’язана з Оператором Сервісу, з місцезнаходженням у Варшаві, вул. Юліана Смуліковського 6/8, 00-389, Варшава, Польща
Intum sp. z o.o.	Компанія, пов’язана з Оператором Сервісу, з місцезнаходженням у Варшаві, вул. Юліана Смуліковського 6/8, 00-389, Варшава, Польща
Księgosoft sp. z o.o.	Компанія, пов’язана з Оператором Сервісу, з місцезнаходженням у Варшаві, вул. Юліана Смуліковського 6/8, 00-389, Варшава, Польща