Угода про обробку даних

1. Визначення

• «Персональні дані» означає будь-яку інформацію, що стосується ідентифікованої або ідентифікованої фізичної особи («Суб'єкта даних»), як визначено у статті 4(1) GDPR.
• «Обробка» означає будь-яку операцію або набір операцій, що виконуються з Персональними даними, з використанням автоматизованих засобів або без них, включно зі збором, записом, організацією, структуруванням, зберіганням, адаптацією, отриманням, консультуванням, використанням, розкриттям шляхом передачі, поширенням, видаленням або знищенням.
• «Субобробник» означає будь-яку третю сторону, залучену Обробником для обробки Персональних даних від імені Контролера.
• «Суб'єкт даних» означає ідентифіковану або ідентифіковану фізичну особу, до якої належать Персональні дані.
• «GDPR» означає Загальний регламент про захист даних (ЄС) 2016/679 Європейського парламенту і Ради.
• «Стандартні договірні положення» (SCC) означає договірні положення, затверджені Європейською Комісією для передачі Персональних даних до третіх країн.

2. Обсяг і мета

Обробник обробляє Персональні дані від імені Контролера виключно в наступних цілях:

• Надання сервісу INCI API, включно з аналізом інгредієнтів, пошуком продуктів, оцінкою безпеки, виявленням алергенів та аналізом сумісності з типами шкіри
• Керування обліковим записом, автентифікація та авторизація
• Відстеження використання, обмеження частоти запитів і білінг
• Покращення сервісу, моніторинг продуктивності та аналітика
• Підтримка клієнтів та комунікація

Обробник не оброблятиме Персональні дані з будь-якою метою, крім вказаних у цій DPA або задокументованих Контролером у письмовій формі.

3. Типи Персональних даних, що обробляються

• Дані облікового запису: ім'я, адреса електронної пошти, хешований пароль
• Дані використання API: журнали запитів, мітки часу, IP-адреси, використовувані точки доступу, коди відповіді, ідентифікатори ключів API
• Білінгові дані: рівень підписки, метадані методу оплати (повні платіжні дані обробляються виключно Stripe і ніколи не зберігаються на наших серверах)
• Технічні дані: тип браузера, інформація про пристрій, операційна система, реферальні URL-адреси (збираються через аналітику для покращення сервісу)

Обробник не обробляє спеціальні категорії Персональних даних (стаття 9 GDPR) або Персональні дані, що стосуються кримінальних судимостей (стаття 10 GDPR).

4. Категорії суб'єктів даних

Персональні дані, що обробляються згідно з цією DPA, стосуються наступних категорій Суб'єктів даних:

• Працівники та підрядники Замовника, які мають доступ до INCI API і використовують його
• Кінцеві користувачі застосунків Замовника, що інтегруються з INCI API (у мірі, в якій їхні дані передаються через запити API)

5. Зобов'язання Обробника

Обробник зобов'язується:

1. Обробляти Персональні дані лише за задокументованими інструкціями Контролера, у тому числі щодо передачі Персональних даних до третьої країни, якщо це не вимагається правом Союзу або держави-члена, якому підпорядкований Обробник
2. Забезпечувати, щоб особи, уповноважені обробляти Персональні дані, зобов'язалися дотримуватися конфіденційності або були пов'язані відповідним законодавчим обов'язком конфіденційності
3. Впроваджувати відповідні технічні та організаційні заходи безпеки, як вимагається статтею 32 GDPR, для забезпечення рівня безпеки, що відповідає ризику
4. Не залучати іншого обробника (субобробника) без попереднього конкретного або загального письмового дозволу Контролера. У разі загального письмового дозволу Обробник інформує Контролера про будь-які заплановані зміни щодо додавання або заміни субобробників, надаючи Контролеру можливість заперечити
5. З урахуванням характеру обробки надавати Контролеру допомогу відповідними технічними та організаційними заходами, наскільки це можливо, для виконання зобов'язання Контролера відповідати на запити про здійснення прав Суб'єкта даних
6. Надавати Контролеру допомогу в забезпеченні дотримання зобов'язань відповідно до статей 32-36 GDPR, з урахуванням характеру обробки та інформації, доступної Обробнику
7. За вибором Контролера видалити або повернути всі Персональні дані Контролеру після завершення надання послуг та видалити існуючі копії, якщо право Союзу або держави-члена не вимагає зберігання Персональних даних
8. Надавати Контролеру всю інформацію, необхідну для демонстрації дотримання зобов'язань, викладених у статті 28 GDPR, та допускати аудити, включно з інспекціями, що проводяться Контролером або іншим аудитором, уповноваженим Контролером, і сприяти їм

6. Заходи безпеки

Обробник впроваджує наступні технічні та організаційні заходи для захисту Персональних даних відповідно до статті 32 GDPR:

• Шифрування під час передавання: Усі дані, що передаються між клієнтами та серверами, шифруються за допомогою TLS 1.2 або вище (HTTPS)
• Шифрування в стані спокою: Зберігання в базі даних використовує шифрування MongoDB у стані спокою для всіх збережених Персональних даних
• Контроль доступу: Автентифікація через токени JWT та ключі API; рольовий контроль доступу; принцип найменших привілеїв
• Безпека паролів: Паролі користувачів зберігаються з використанням хешування bcrypt з відповідними факторами вартості; ключі API зберігаються як захищені хеші
• Безпека інфраструктури: Інфраструктура з міжмережевим екраном (UFW з обмеженими портами), регулярні оновлення безпеки та патчі
• Розташування сервера: Інфраструктура DigitalOcean (наразі в США; запланована міграція до дата-центру ЄС/ЄЕЗ)
• Платіжні дані: Жодного зберігання даних платіжних карток на наших серверах. Уся обробка платежів виконується Stripe, який підтримує відповідність PCI DSS Level 1
• Моніторинг: Автоматизований моніторинг, журналювання та сповіщення про події безпеки та аномалії

7. Субобробники

Контролер надає Обробнику загальний дозвіл на залучення наступних субобробників. Обробник сповіщає Контролера про будь-які заплановані зміни щодо додавання або заміни субобробників із письмовим повідомленням принаймні за 30 днів, надаючи таким чином Контролеру можливість заперечити проти таких змін.

Якщо Контролер заперечує проти нового субобробника з обґрунтованих причин, пов'язаних із захистом даних, сторони сумлінно обговорюють це питання. Якщо рішення не досягнуто протягом 30 днів, Контролер може припинити порушені послуги без штрафу.

8. Передача даних

Персональні дані можуть передаватися та оброблятися в країнах за межами Європейського Союзу та Європейської економічної зони. Коли такі передачі відбуваються, Обробник забезпечує наявність відповідних гарантій згідно з Главою V GDPR, включно з:

• Стандартними договірними положеннями (SCC), затвердженими Європейською Комісією (Імплементаційне рішення Комісії (ЄС) 2021/914)
• Рішеннями Європейської Комісії про достатність, де це застосовно
• Додатковими технічними та організаційними заходами для доповнення механізмів передачі там, де це необхідно, відповідно до рішення Schrems II (Справа C-311/18)

9. Сповіщення про порушення даних

Обробник сповіщає Контролера без невиправданої затримки і в будь-якому випадку протягом 72 годин після того, як стало відомо про порушення Персональних даних, як визначено у статті 4(12) GDPR. Сповіщення включає:

• Опис характеру порушення Персональних даних, включно з категоріями та приблизною кількістю порушених Суб'єктів даних і записів
• Ім'я та контактні дані фахівця із захисту даних, у якого можна отримати додаткову інформацію
• Опис ймовірних наслідків порушення
• Опис заходів, вжитих або запропонованих для усунення порушення, включно із заходами для пом'якшення його можливих несприятливих наслідків

Обробник співпрацює з Контролером і вживає розумних комерційних заходів для надання допомоги в розслідуванні, пом'якшенні наслідків та усуненні кожного такого порушення.

10. Права суб'єкта даних

Обробник допомагає Контролеру у виконанні його зобов'язань відповідати на запити Суб'єктів даних, які здійснюють свої права згідно з Главою III GDPR, включно з:

• Право доступу (стаття 15)
• Право на виправлення (стаття 16)
• Право на видалення / право бути забутим (стаття 17)
• Право на обмеження обробки (стаття 18)
• Право на переносимість даних (стаття 20)
• Право на заперечення (стаття 21)

Якщо Обробник отримує запит безпосередньо від Суб'єкта даних, він негайно сповіщає Контролера і не відповідає на запит без попереднього письмового дозволу Контролера, якщо це не вимагається юридично.

11. Права на аудит

Контролер може перевіряти дотримання Обробником цієї DPA. Аудити підлягають наступним умовам:

• Контролер надає письмове повідомлення принаймні за 30 днів
• Аудити проводяться не частіше одного разу на календарний рік, якщо тільки це не вимагається наглядовим органом або після порушення Персональних даних
• Аудити проводяться у звичайні години роботи і не повинні необґрунтовано заважати діяльності Обробника
• Контролер несе витрати на аудит, за винятком випадків, коли аудит виявляє суттєву невідповідність з боку Обробника
• Контролер може залучити кваліфікованого незалежного стороннього аудитора з дотриманням розумних зобов'язань про конфіденційність

12. Термін і припинення

Ця DPA залишається чинною протягом усього терміну дії угоди про послуги між сторонами. Після завершення угоди про послуги:

• Обробник за вибором Контролера видаляє або повертає всі Персональні дані протягом 30 днів від дати припинення
• Обробник видаляє існуючі копії Персональних даних, якщо право Союзу або держави-члена не вимагає зберігання (наприклад, податкові та фінансові записи, що вимагаються іспанським законодавством)
• Обробник надає письмове підтвердження видалення на запит Контролера

13. Застосовне право

Ця DPA регулюється і тлумачиться відповідно до законів Королівства Іспанія, без урахування його положень про колізію законів. GDPR застосовується до всіх питань, що стосуються обробки Персональних даних. Будь-які спори, що виникають у рамках цієї DPA, підпадають під виключну юрисдикцію судів Канарських островів, Іспанія (Santa Cruz de Tenerife).

14. Контакт

З питань, занепокоєнь або запитів, пов'язаних з цією Угодою про обробку даних, зв'яжіться з нами: