1. Сторони
Контролер даних
You, the customer
Процесор даних
ClientFlow
1. Сфера застосування та застосовність
Ця Угода про обробку даних ("DPA") доповнює Умови обслуговування ClientFlow та застосовується до обробки Персональних даних (як визначено в GDPR) компанією ClientFlow від імені клієнтів ("Контролерів даних"), що знаходяться в Європейській економічній зоні (ЄЕЗ), Великобританії або Швейцарії.
- Ця DPA автоматично включається та є частиною Умов обслуговування
- Окремий підпис не потрібен
- Використовуючи ClientFlow, ви визнаєте та погоджуєтесь з цією DPA
Діяльність з обробки
- Зберігання даних клієнтів (імена, контактна інформація)
- Обробка платіжних записів та фінансової історії
- Керування зустрічами та розкладом
- Обробка комунікацій та повідомлень
- Створення звітів та аналітики
2. Категорії даних
| Категорія | Приклади | Призначення |
|---|---|---|
| Дані облікового запису | Електронна адреса, ім'я, зображення профілю | Доступ до служби |
| Дані клієнта | Імена клієнтів, телефони, електронні адреси | Функції CRM |
| Платіжні записи | Суми, дати, статуси | Payment tracking |
| Usage Data | Login Times, Feature usage | Security, improved |
3. Зобов'язання процесора
Ми:
- Обробляти дані лише згідно з вашими задокументованими інструкціями
- Забезпечити конфіденційність персоналу
- Застосувати відповідні заходи безпеки
- Допомагати із запитами суб'єктів даних
- Сповіщати вас про порушення даних протягом 72 годин
- Видалити дані після завершення (після періоду зберігання)
4. Заходи безпеки
технічний
- TLS 1.3 (транзит)
- AES-256 (у стані спокою)
- Автентифікація OAuth 2.0
- Контроль доступу на основі ролей
- Моніторинг у реальному часі
Організаційні
- Політика безпеки
- План реагування на інциденти
- Регулярні аудити
- Перегляд безпеки постачальників
- Навчання співробітників
5. Підпроцесори
Ми використовуємо такі авторизовані субпроцесори:
| Постачальник | Сервіс | Розташування | DPF |
|---|---|---|---|
| Google Cloud | Authentication | USA | Так |
| iyzico | Платежі | Turkey | SCC |
| Meta (WhatsApp) | Messaging | USA | Так |
| Надіслати знову | Електронна пошта | USA | SCC |
| Hetzner | Hosting & Database | Germany (EU) | SCC |
| Cloudflare | CDN & Storage | EU | Так |
DPF = Сертифіковано ЄС-США
Повідомлення про зміни
Ми повідомимо вас про будь-які заплановані зміни субпроцесорів:
- Попереднє сповіщення принаймні за 14 днів перед додаванням або заміною субпроцесорів
- Сповіщення електронною поштою на адресу електронної пошти вашого зареєстрованого облікового запису
- Ви можете заперечувати проти змін протягом 14 днів, зв’язавшись з нами
- Якщо ваше заперечення не може бути вирішено, ви можете припинити роботу відповідних служб
7. Права на аудит
За обґрунтованим запитом та з повідомленням за 30 днів ми надамо інформацію про наші практики обробки даних для демонстрації відповідності цій DPA.
- Запити на аудит мають бути надіслані в письмовій формі на contact@clientflow.center
- Ми надамо відповідну документацію, сертифікати та звіти про аудит
- Аудити на місці можуть проводитись не частіше одного разу на рік за ваш рахунок
- Всі аудити мають проводитись таким чином, щоб мінімізувати порушення наших операцій
Охоплення аудиту
- Огляд заходів безпеки та політик
- Перевірка процедур обробки даних
- Оцінка керування субобробниками
- Перевірка логів доступу та журналів аудиту
- Перевірка процедур реагування на інциденти
Аудити на місці проводяться за рахунок Контролера. Ми надамо документацію та віддалену допомогу без додаткових витрат.
6. Зберігання та видалення даних
Ваші дані зберігаються для відновлення облікового запису та відповідності нормативним вимогам.
| Терміни | Дія |
|---|---|
| Негайно | Обліковий запис дезактивовано |
| Невизначений | Дані збережено (архівовано) |
| Будь-коли | Обліковий запис можна повторно активувати |
7. Положення CCPA
Відповідно до CCPA ми виступаємо як «Постачальник послуг» і:
- Обробляти дані лише для певних бізнес-цілей
- Не продавати особисту інформацію
- Допомагати із запитами щодо захисту прав споживачів
- Запроваджувати розумні заходи безпеки
8. Процедура повідомлення про порушення даних
У випадку порушення даних ми виконаємо наступну процедуру повідомлення:
Часові рамки повідомлення
- Повідомити вас протягом 72 годин після виявлення порушення
- Надати початкову оцінку обсягу та впливу порушення
- Надати детальне письмове повідомлення протягом 5 робочих днів
Зміст повідомлення
- Характер порушення та обставини виявлення
- Категорії та приблизна кількість постраждалих суб'єктів даних
- Категорії та приблизна кількість постраждалих записів персональних даних
- Ймовірні наслідки порушення даних
- Вжиті або запропоновані заходи для вирішення порушення
- Контактна особа для отримання додаткової інформації
Ми будемо повністю співпрацювати з вами для виконання будь-яких юридичних зобов'язань з повідомлення наглядових органів або суб'єктів даних.
9. Міжнародні передачі даних
Вся основна обробка даних відбувається в Європейському Союзі (Франкфурт, Німеччина), забезпечуючи повну відповідність GDPR. Коли субобробники обробляють дані за межами ЄС/ЄЕЗ, ми забезпечуємо адекватний захист через відповідні механізми передачі.
Механізми передачі
Рішення про адекватність
Використовуємо рішення про адекватність Комісії ЄС для країн, визнаних такими, що надають адекватний рівень захисту даних
Рамкова угода про конфіденційність даних ЄС-США
Для субобробників у США, які сертифіковані за DPF, забезпечуючи відповідність вимогам ЄС до захисту даних
Стандартні договірні застереження
Впроваджуємо затверджені ЄС Стандартні договірні застереження (Модуль 2: Контролер до Процесора) із субобробниками в третіх країнах
Додаткові заходи безпеки
Застосовуємо технічні заходи, такі як шифрування при передачі та зберіганні, контроль доступу та регулярні оцінки безпеки
Ми проводимо оцінку передачі для всіх міжнародних передач даних та впроваджуємо додаткові заходи безпеки, де це необхідно для забезпечення еквівалентного рівня захисту.
За запитом ми надамо копії відповідних механізмів передачі та документацію щодо додаткових заходів безпеки.
10. Відповідальність
Відповідальність процесора
ClientFlow несе відповідальність за збитки, спричинені обробкою, яка не відповідає цьому DPA, або коли ми діяли поза законом або всупереч законним інструкціям Контролера.
Відповідальність контролера
Контролер несе відповідальність за збитки, спричинені обробкою, яка порушує чинне законодавство про захист даних або не відповідає зобов’язанням Контролера згідно з цим DPA.
Обмеження
- Загальна відповідальність обмежена відповідно до Умов обслуговування
- Жодна зі сторін не несе відповідальності за непрямі, випадкові або штрафні збитки
- Обмеження не застосовуються до порушень конфіденційності або зобов'язань щодо безпеки даних
- Обмеження не застосовуються там, де це заборонено застосовним законодавством
Кожна сторона відшкодовує іншій стороні претензії третіх осіб, що виникають внаслідок порушення нею зобов'язань за цією DPA.
11. Припинення та повернення даних
Тривалість
Цей DPA залишається чинним протягом терміну дії Угоди про надання послуг і доки ми обробляємо персональні дані від вашого імені.
Після припинення
- Ви можете експортувати всі ваші дані протягом 30 днів після припинення
- Ви можете повторно активувати ваш обліковий запис у будь-який час — всі дані зберігаються безстроково
- Ви можете запросити постійне видалення всіх даних (займає до 30 днів для завершення)
- Після підтвердження видалення всі Персональні дані будуть безповоротно видалені з наших активних систем
- Резервні копії видаляються відповідно до нашого звичайного циклу ротації резервних копій (максимум 90 днів)
Положення щодо конфіденційності, аудиту та відповідальності залишаються чинними після припинення.