Додаток до Умов користування (Terms of Service) та Політики конфіденційності Amploo CRM

Цей Договір про обробку даних (надалі – «DPA») є частиною Договору між:

ТОВ «Амплу Юкрейн», зареєстрованим відповідно до законодавства України (надалі – «Процесор», «Amploo»), та

Клієнтом, який прийняв Умови користування Amploo (надалі – «Контролер»).

1. Предмет

1.1. Цей DPA регулює порядок, в якому Процесор обробляє персональні дані від імені Контролера відповідно до Регламенту (ЄС) 2016/679 (GDPR) та Закону України «Про захист персональних даних».

1.2. Процесор зобов'язується обробляти персональні дані виключно за документованими інструкціями Контролера та для цілей надання послуг Amploo.

1.3. Обробка включає, зокрема, такі операції: збирання, реєстрація, організація, структурування, зберігання, адаптація або зміна, витяг, перегляд, використання, розкриття шляхом передачі, розповсюдження або надання іншим способом доступу, узгодження чи поєднання, обмеження, видалення або знищення персональних даних, у межах, необхідних для надання послуг Amploo відповідно до інструкцій Контролера.

2. Категорії даних та суб'єкти

2.1. Категорії персональних даних можуть включати, але не обмежуються:

• Ім'я, прізвище, посада;
• Контактні дані (електронна пошта, телефон);
• Дані про зайнятість та кадрову інформацію;
• Логіни, IP-адреси, історію дій у системі;
• Інші дані, які Контролер завантажує до Amploo.

2.2. Категорії суб'єктів даних: співробітники, підрядники, адміністратори Клієнта та інші особи, персональні дані яких Контролер вносить у систему.

2.3. Якщо інше прямо не погоджено Сторонами у письмовій формі, особливі категорії персональних даних (у значенні ст. 9 GDPR), а також дані про судимість (ст. 10 GDPR) не є предметом обробки в рамках цього DPA.

3. Тривалість

3.1. Обробка персональних даних здійснюється протягом строку дії основного Договору між Сторонами.

3.2. Після припинення дії Договору Процесор зберігає дані протягом 30 (тридцяти) календарних днів для можливості їх повернення Контролеру, після чого дані видаляються з системи, якщо інше не передбачено законом.

3.3. Процесор не зберігає персональні дані довше, ніж це необхідно для цілей, визначених Контролером та/або законом, і діє відповідно до інструкцій Контролера щодо строків зберігання.

4. Права та обов'язки Контролера

4.1. Контролер підтверджує, що він має належні правові підстави для збору, передачі та обробки персональних даних відповідно до чинного законодавства (GDPR, Закону України «Про захист персональних даних» та ін.).

4.2. Контролер зобов'язується надавати Процесору лише ті персональні дані, які є необхідними для надання послуг Amploo.

4.3. Контролер несе повну відповідальність за зміст, достовірність і законність переданих персональних даних.

4.4. Контролер зобов'язаний негайно повідомити Процесора про будь-які зміни у переданих персональних даних, які можуть вплинути на їх обробку.

4.5. Контролер зберігає всі права суб'єкта даних (право на доступ, виправлення, видалення, обмеження обробки, заперечення тощо) та несе відповідальність за їх реалізацію.

4.6. Контролер гарантує, що не доручатиме Процесору обробку особливих категорій персональних даних або даних про судимість без належної правової підстави та письмових інструкцій з описом заходів захисту.

5. Права та обов'язки Процесора (Amploo)

5.1. Процесор зобов'язується обробляти персональні дані виключно за документованими інструкціями Контролера, за винятком випадків, коли інше прямо вимагається законодавством. Для цілей цього DPA «документовані інструкції Контролера» включають дії та налаштування в особистому кабінеті/адмін-панелі Продукту, а також листи з офіційної електронної адреси Контролера; такі листи вважаються підписаними простою електронною підпискою відповідно до застосовного законодавства.

5.2. Процесор гарантує впровадження та підтримання належних технічних та організаційних заходів захисту даних, включаючи:

• Шифрування даних під час передачі та зберігання;
• Обмеження доступу за принципом «необхідності знати»;
• Використання двофакторної аутентифікації для адміністративних доступів;
• Регулярне резервне копіювання;
• Моніторинг безпеки та аудит доступів.

Процесор може оновлювати технічні та організаційні заходи безпеки, за умови що такі оновлення не призводять до зменшення загального рівня захисту персональних даних. Детальний перелік технічних та організаційних заходів наведений у Додатку 2 до цього DPA.

5.3. Процесор забезпечує, що його працівники, які мають доступ до персональних даних, зобов'язані дотримуватися режиму конфіденційності.

5.4. Процесор не має права передавати або використовувати персональні дані для власних цілей, маркетингу чи передачі третім особам поза межами умов цього DPA.

5.5. У випадку інциденту безпеки (data breach), що може призвести до порушення прав суб'єктів даних, Процесор зобов'язаний повідомити Контролера без невиправданої затримки, але не пізніше ніж через 72 години з моменту виявлення інциденту.

5.5.1. Повідомлення Процесора має містити щонайменше: (a) опис характеру інциденту та, за можливості, категорії й орієнтовну кількість суб'єктів даних/записів; (b) можливі наслідки; (c) вжиті або запропоновані заходи для усунення порушення та мінімізації його наслідків; (d) контактну особу для взаємодії.

5.5.2. Процесор у межах розумного надає Контролеру інформацію та сприяння, необхідні для виконання Контролером обов'язків повідомлення наглядового органу та/або суб'єктів даних про порушення безпеки персональних даних відповідно до ст. 33–34 GDPR.

5.6. Процесор надає Контролеру необхідну інформацію та сприяння у виконанні запитів суб'єктів даних у строк не пізніше 10 робочих днів від отримання відповідного запиту, але у будь-якому випадку не пізніше ніж у строк, встановлений GDPR (30 календарних днів із можливим продовженням ще на 2 місяці у випадках складності).

5.7. Процесор має право використовувати знеособлені та агреговані дані, отримані в ході надання послуг, виключно для статистики та покращення сервісу за умови, що такі дані не ідентифікують суб'єктів даних чи Контролера.

5.8. Якщо, на думку Процесора, інструкції Контролера порушують законодавство про захист даних, Процесор негайно повідомляє Контролера про це, вказуючи причини такої відмови, і має право призупинити виконання таких інструкцій до їх уточнення або заміни.

5.9. Процесор веде реєстр операцій з обробки персональних даних у частині обробки, що здійснюється від імені Контролера, та надає витяги з нього Контролеру на запит у розумний строк.

5.10. Процесор у межах розумного сприяє Контролеру у виконанні його обов'язків щодо оцінки впливу на захист даних (DPIA) та, за необхідності, попередніх консультацій з регуляторним органом, надаючи наявну релевантну інформацію про заходи безпеки, ризики та субпроцесорів.

5.11. У разі отримання Процесором прямого запиту від суб'єкта даних (право на доступ/видалення тощо) Процесор без зволікання пересилає його Контролеру та не відповідає по суті без попередніх документованих інструкцій Контролера, за винятком випадків, коли відповідь прямо вимагається законом.

5.12. У разі отримання Процесором запиту від державного органу/правоохоронного органу щодо розкриття персональних даних, Процесор, якщо це не заборонено законом, негайно повідомляє Контролера та обмежує розкриття лише мінімально необхідним обсягом даних, після попереднього погодження з Контролером, якщо це дозволяє закон. Процесор вживає доступних правових заходів для оскарження очевидно надмірних або незаконних запитів, якщо таке оскарження є можливим та не заборонене законом.

6. Субпроцесори

6.1. Контролер надає Процесору загальний дозвіл на залучення субпроцесорів для виконання цього DPA.

6.2. Процесор зобов'язаний забезпечити, щоб субпроцесори прийняли на себе ті ж самі обов'язки щодо захисту даних, які встановлені цим DPA.

6.2.1. Процесор залишається повністю відповідальним перед Контролером за дії та/або бездіяльність будь-якого субпроцесора в тій самій мірі, як за власні.

6.3. Список чинних субпроцесорів наведений у Додатку 1 до цього DPA та може оновлюватися Процесором відповідно до п. 6.4. Актуальна редакція Додатка 1 публікується у відкритому доступі та/або надається Контролеру за запитом.

6.4. Процесор повідомляє Контролера про залучення нового субпроцесора не менше ніж за 14 календарних днів. Якщо Контролер обґрунтовано заперечує, Сторони в добросовісний спосіб вживають заходів для уникнення залучення такого субпроцесора щодо відповідної частини послуг. За відсутності прийнятного рішення протягом 30 днів Контролер має право припинити лише відповідну частину послуг без штрафних санкцій.

7. Передача даних за межі ЄС

7.1. У випадку передачі персональних даних у країни, що не забезпечують адекватного рівня захисту відповідно до рішення Єврокомісії, Процесор зобов'язується застосовувати Стандартні договірні положення (SCC) або інші правові механізми, передбачені GDPR. Процесор погоджується використовувати Стандартні договірні положення (SCC) у редакції, затвердженій Єврокомісією (EU 2021/914), або інші правові механізми, прийняті ЄС.

7.2. Якщо обробка відбувається на території України, Контролер вважає це передачею даних за межі ЄЕЗ і погоджується, що Процесор забезпечує рівень захисту, який відповідає вимогам GDPR.

7.3. Передача персональних даних субпроцесорам, переліченим у Додатку 1, які зареєстровані поза ЄЕЗ, здійснюється виключно за наявності правового механізму згідно з GDPR (зокрема, SCC EU 2021/914). Процесор забезпечує укладення відповідних положень із кожним таким субпроцесором.

7.4. На запит Контролера Процесор надає наявну релевантну інформацію для проведення Transfer Impact Assessment (TIA) та сприяє імплементації додаткових технічних та організаційних заходів згідно з практикою Schrems II.

8. Конфіденційність

8.1. Процесор зобов'язаний забезпечити, щоб усі працівники, підрядники та субпроцесори, які мають доступ до персональних даних, підписали зобов'язання про конфіденційність або перебували під дією відповідних договірних чи законодавчих зобов'язань щодо нерозголошення.

8.2. Процесор не має права розкривати персональні дані будь-яким третім особам без попереднього письмового дозволу Контролера, за винятком випадків, коли таке розкриття прямо вимагається законом.

9. Видалення та повернення даних

9.1. Після припинення або закінчення строку дії основного договору Процесор надає Контролеру можливість експортувати персональні дані у структурованому загальновживаному форматі.

9.2. Протягом 30 (тридцяти) календарних днів після розірвання договору Процесор видаляє персональні дані з активних систем обробки; видалення з резервних копій здійснюється шляхом їх перезапису у ході стандартного циклу ротації резервних копій, який у будь-якому разі не перевищує 90 (дев'яноста) календарних днів, якщо інше не вимагається законом. Протягом цього строку дані залишаються технічно недоступними для звичайної обробки.

9.3. На вимогу Контролера Процесор підтверджує факт видалення персональних даних шляхом надання відповідного звіту.

10. Аудити та перевірки

10.1. Контролер має право проводити аудит дотримання Процесором вимог цього DPA не частіше ніж один раз на 12 місяців, за умови попереднього письмового повідомлення за 30 днів.

10.2. Аудит може включати:

• перевірку документації щодо безпеки;
• ознайомлення з політиками та процедурами захисту даних;
• доступ до відповідних приміщень і систем у межах, необхідних для перевірки.

10.3. Аудит може проводитися самим Контролером або незалежним аудитором, призначеним за його рахунок.

10.4. Якщо аудит виявив істотні порушення, Процесор зобов'язаний усунути їх у розумний строк, погоджений Сторонами.

10.5. Аудити за цим розділом проводяться у спосіб і час, що розумно мінімізують перешкоди у роботі Процесора; за можливості — віддалено на підставі документів/заяв.

10.6. Вартість аудиту несе Контролер, крім випадків, коли аудитом встановлено істотне порушення Процесором цього DPA; у такому разі обґрунтовані витрати відшкодовує Процесор.

10.7. Результати аудиту та пов'язана документація є конфіденційною інформацією Процесора і не можуть розкриватись третім особам без його письмової згоди, за винятком вимог закону.

10.8. З метою мінімізації втручання в операційну діяльність Процесора, останній може надавати актуальні незалежні аудиторські звіти/сертифікації (наприклад, ISO/IEC 27001, SOC 2 Type II) як достатнє підтвердження дотримання вимог цього DPA, якщо такі звіти охоплюють релевантний період та сферу.

11. Відповідальність

11.1. Процесор несе відповідальність за збитки, завдані Контролеру або суб'єктам даних унаслідок порушення своїх зобов'язань за цим DPA або вимог GDPR, у межах, визначених цим розділом.

11.2. Відповідальність Процесора у будь-якому випадку обмежується сумою фактично сплачених Контролером коштів за останні три (3) календарні місяці користування Продуктом; у будь-якому разі є сукупною (aggregate) та не перевищує еквіваленту 1000 (однієї тисячі) доларів США за офіційним курсом НБУ на дату пред'явлення претензії. Це обмеження не застосовується у випадках навмисного порушення або грубої недбалості Процесора.

11.3. Процесор не несе відповідальності за збитки, спричинені діями або бездіяльністю Контролера, зокрема: наданням недостовірних даних, незаконними інструкціями, порушенням правових підстав для обробки.

12. Застосовне право та юрисдикція

12.1. Цей DPA регулюється та тлумачиться відповідно до законодавства: для клієнтів з території Європейського Союзу — законодавства Естонії (або іншої юрисдикції ЄС, узгодженої Сторонами); для клієнтів з території України — законодавства України; для клієнтів з інших юрисдикцій — законодавства України.

12.2. Усі спори, що виникають з цього DPA, підлягають вирішенню у компетентному суді за місцезнаходженням Процесора, якщо інше прямо не погоджено Сторонами.

13. Прикінцеві положення

13.1. Цей DPA є невід'ємною частиною Умов користування (Terms of Service) Amploo та Політики конфіденційності.

13.2. У разі суперечностей між положеннями DPA та Умовами користування, пріоритет має DPA у частині, що стосується обробки персональних даних.

13.3. DPA набирає чинності з моменту прийняття Умов користування Контролером та діє протягом усього строку обробки даних Процесором.

13.4. Для питань, пов'язаних із цим DPA, суб'єкти даних та Контролери можуть звертатися на адресу електронної пошти: privacy@amploo.com.ua

13.5. Зобов'язання щодо конфіденційності (розд. 8), видалення та повернення даних (розд. 9), відповідальності (розд. 11) залишаються чинними після припинення цього DPA.

Додаток 1. Список субпроцесорів Amploo

У рамках виконання цього DPA Процесор може залучати наступних субпроцесорів:

Компанія залишає за собою право залучати інших субпроцесорів. Інформація про оновлення списку буде публікуватися у цьому Додатку та/або повідомлятися Контролеру згідно з п. 6.4 цього DPA.

Усі субпроцесори, залучені Процесором, зобов'язані дотримуватись умов, еквівалентних вимогам цього DPA, включно з GDPR та Законом України «Про захист персональних даних».

Додаток 2. Технічні та організаційні заходи (TOMs)

Відповідно до п. 5.2 цього DPA, Процесор впроваджує та підтримує такі технічні та організаційні заходи для забезпечення безпеки персональних даних:

1. Криптографічний захист

• Шифрування даних у транзиті: TLS 1.2/1.3.
• Шифрування даних у стані спокою: AES-256 або еквівалент.
• Управління ключами через KMS (AWS KMS та інші провайдери).
• VPN/SSH-тунелі для адміністративного доступу.

2. Керування доступом

• Рольова модель доступів (RBAC).
• Принцип «need-to-know» для всіх користувачів.
• Двофакторна аутентифікація (2FA) для адміністративних акаунтів.
• Перегляд прав доступу не рідше одного разу на квартал.
• Негайна деактивація доступів при звільненні/зміні ролі.
• Журналювання всіх входів і критичних дій.

3. Сегментація середовищ

• Відокремлення prod/stage/dev.
• Окремі облікові дані та мережеві політики для різних середовищ.
• Мінімізація використання прод-даних у тестових середовищах.

4. Резервне копіювання та відновлення

• Щоденне резервне копіювання критичних систем.
• Ротація резервних копій ≤ 90 календарних днів.
• Резервні копії зберігаються у зашифрованому вигляді.
• Тестове відновлення з резервних копій проводиться не рідше одного разу на 6 місяців.
• Встановлені RPO ≤ 24 години, RTO ≤ 48 годин.

5. Управління вразливостями та патчами

• Регулярне сканування вразливостей (автоматизовані інструменти).
• Критичні вразливості усуваються протягом 7 днів, високі — протягом 30 днів.
• Постійне оновлення ОС, ПЗ, бібліотек.
• Контроль змін через систему CI/CD.

6. Тестування безпеки

• Щорічне проведення незалежних penetration tests.
• Security review перед релізом значних змін.
• Використання статичного та динамічного аналізу коду (SAST/DAST).

7. Фізична безпека (через дата-центри провайдерів)

• Контроль доступу з багатофакторною автентифікацією.
• 24/7 охорона, відеоспостереження.
• Сертифікації ISO 27001, SOC 2 у провайдерів (AWS, DigitalOcean, Vercel).

8. Навчання персоналу

• Щорічні тренінги з інформаційної безпеки (security awareness).
• NDA та політика конфіденційності для всіх співробітників і підрядників.
• Регулярні інструктажі з handling personal data.

9. Безпека розробки (DevSecOps)

• Code review кожної зміни.
• Secrets manager (AWS Secrets Manager тощо).
• Використання лінтерів і dependency checkers.
• Контроль доступів до CI/CD, окремі ключі для середовищ.
• Принципи privacy by design та privacy by default при розробці/налаштуванні функціоналу.

10. Інцидент-менеджмент та моніторинг

• Політика реагування на інциденти.
• Моніторинг подій безпеки в реальному часі.
• Журналювання всіх системних подій.
• Журнали доступів і безпеки зберігаються не менше 12 місяців та захищені від модифікації.
• Повідомлення Контролера про інцидент — у строк, визначений п. 5.5–5.5.1 DPA (не пізніше 72 годин).
• Звіт для Контролера з переліком коригувальних дій — протягом 10 робочих днів після локалізації інциденту.