ДОДАТОК I. Угода про обробку даних

Ця Угода про обробку даних регулює, як ILOVEPDF обробляє персональні дані від імені Контролера відповідно до Регламенту (ЄС) 2016/679 (GDPR).

Ця угода про обробку даних («Угода про обробку даних») є угодою на обробку даних, що застосовується до обробки персональних даних, які компанія iLovePDF («iLovePDF»), з CIF B66921552 і зареєстрованим офісом за адресою C. Sabino de Arana, 60, 08028 Барселона, здійснює від вашого імені у зв'язку з персональними даними, які вона обробляє відповідно до положень, наведених нижче.

У цьому контексті ILOVEPDF надасть вам певні послуги, які здійснюються через програмне забезпечення або комп'ютерні програми, які належать ILOVEPDF. Використання цих послуг вимагатиме для компанії iLovePDF, як обробника даних (надалі — «обробник») можливості доступу й обробки стосовно деяких персональних даних, для яких ви виступаєте контролером (надалі — «контролер»).

Ця Угода про обробку даних є частиною Правил і умов ILOVEPDF і буде застосовуватися після прийняття вами цих Правил і умов. У випадку будь-якого конфлікту, заперечення або суперечності між Правилами та умовами й Угодою про обробку, Угода про обробку матиме пріоритет над Правилами та умовами.

Щоб відповідати положенням Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року щодо захисту фізичних осіб у зв'язку з обробкою персональних даних і вільним рухом таких даних («GDPR»), контролер та обробник підписують цю Угоду про обробку даних відповідно до наведених далі



ПОЛОЖЕНЬ

Положення 1

Мета та сфера дії

  1. Мета Угоди про обробку даних — забезпечення відповідності статті 28(3) і (4) GDPR.
  2. Контролер і обробник погодилися дотримуватися цієї Угоди, щоб забезпечити відповідність статті 28(3) і (4) GDPR.
  3. Ця Угода про обробку даних застосовується до обробки персональних даних, зазначених у Додатку I.
  4. Додатки I і II є частиною Угоди про обробку даних.
  5. Ці правила та умови не впливають на обов'язки, яких контролер зобов'язаний дотримуватися на підставі GDPR.
  6. Ці правила та умови самі по собі не забезпечують дотримання обов'язків щодо міжнародного передавання відповідно до глави V GDPR.

Положення 2

Тлумачення

  1. Коли в цій Угоді про обробку даних використовуються терміни, визначені в GDPR, вони мають те саме значення, що й у GDPR.
  2. Ці Угода про Обробку даних повинна читатися та тлумачитися в контексті правил GDPR
  3. Ця Угода про обробку даних не повинна тлумачитися всупереч правам та обов'язкам, передбаченим GDPR, та/або таким чином, що загрожує основним правам або свободам суб'єктів даних.

Положення 3

Ієрархія

У разі суперечності між цією Угодою про обробку даних і положеннями пов’язаних угод між Сторонами, що існують на момент погодження цих умов або укладаються після цього, переважну силу має ця Угода про обробку даних.

Положення 4

Опис обробки (обробок)

Додаток I містить деталі операцій обробки, зокрема категорії персональних даних і мети обробки, задля яких персональні дані обробляються від імені контролера.

Положення 5

Обов'язки Сторін

5.1. Інструкції

  1. Обробник має обробляти персональні дані тільки відповідно до з зафіксованими інструкціями від контролера, якщо інше не вимагається правом Союзу або держави-учасника, якому підпорядковується обробник. У такому випадку обробник має повідомити контролера про цю правову вимогу до початку обробки, якщо це не заборонено законом на підставі важливих причин суспільного інтересу. Контролер може давати додаткові інструкції протягом усього періоду обробки персональних даних. Ці інструкції мають бути завжди документально зафіксовані.
  2. Обробник має негайно попередити контролера, якщо, на думку обробника, інструкції, надані контролером, порушують GDPR або чинне законодавство Союзу чи держави-члена щодо захисту даних.

5.2. Обмеження за метою

Обробник має обробляти персональні дані лише з конкретними цілями обробки, вказаними у Додатку I, якщо не отримає подальших інструкцій від контролера.

5.3. Тривалість обробки персональних даних

Обробка силами обробника повинна здійснюватися тільки протягом періоду, визначеного в Додатку I.

5.4. Безпека обробки

  1. Обробник має щонайменше впровадити технічні та організаційні заходи, визначені в Додатку II, щоб забезпечити безпеку персональних даних. Це включає захист даних від порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, змінення, несанкціонованого розкриття або доступу до даних (порушення персональних даних). Під час оцінки належного рівня безпеки Сторони повинні враховувати рівень сучасних технологій, витрати на впровадження, природу, обсяг, контекст та цілі обробки, а також ризики для суб'єктів даних.
  2. Обробник має надати доступ до персональних даних членам своєї команди тільки в обсязі, що є суворо необхідним для впровадження, керування та контролю угоди. Обробник має забезпечити, щоб особи, уповноважені обробляти персональні дані, зобов’язалися дотримуватися конфіденційності або зв’язані відповідним законодавчим зобов'язанням про конфіденційність.

5.5. Чутливі дані

Якщо обробка включає персональні дані, що розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання чи членство у профспілках, генетичні чи біометричні дані, що дають змогу унікальної ідентифікації особи, дані про здоров'я, статеве життя чи сексуальну орієнтацію, або дані про судимості та правопорушення («чутливі дані»), обробник зобов'язаний застосувати конкретні обмеження та/або додаткові засоби захисту.

5.6. Документи та відповідність

  1. Сторони повинні бути спроможними продемонструвати відповідність цій Угоді про обробку даних.
  2. Обробник повинен оперативно й адекватно реагувати на запити від контролера щодо обробки даних відповідно до з цією Угодою про обробку даних.
  3. Обробник має надати контролеру або незалежній третій стороні всю необхідну інформацію для демонстрації відповідності тим обов'язкам, які викладено у цій Угоді про обробку даних і які безпосередньо випливають з GDPR. За запитом контролера обробник зобов'язаний дозволити й сприяти проведенню аудитів обробки даних відповідно до цієї Угоди про обробку даних. Аудити будуть обмежені за обсягом і в часі лише тим, що є суворо необхідним для того, щоб контролер міг здійснити необхідні перевірки у разі підозри — належним чином попередньо обґрунтованої в письмовій формі — щодо недотримання обробником даних будь-якого з положень цієї Угоди про обробку даних. У будь-якому разі аудити матимуть за мету виключно перевірку обставин невідповідності, будуть обмежені до максимуму одного (1) аудиту на рік, і повідомлення про них має надійти щонайменше за один (1) місяць до проведення. У будь-якому разі аудити будуть здійснюватися за рахунок контролера даних.
  4. Сторони надаватимуть компетентним наглядовим органам, на їх запит, інформацію, зазначену в цій статті, і, зокрема, результати аудитів.

5.7. Використання обробників-субпідрядників

  1. Обробник має загальний дозвіл контролера на залучення обробників-субпідрядників. Обробник повинен надати контролеру інформацію, необхідну для реалізації права на заперечення.
  2. Коли обробник залучає обробника-субпідрядника для виконання конкретних операцій обробки (від імені контролера), він повинен робити це шляхом укладання договору, який покладає на обробника-субпідрядника, в основному, такі самі обов'язки щодо захисту даних, як на даного обробника відповідно до цих положень. Обробник має забезпечити, що обробник-субпідрядник дотримується обов'язків, які накладено на обробника даних за цією Угодою про обробку даних і за GDPR.
  3. Обробник залишатиметься повністю відповідальним перед контролером за виконання обов'язків субпідрядника відповідно до його договору з обробником. Обробник повідомлятиме контролера про будь-яке невиконання обробником-субпідрядником його договірних обов'язків.

5.8. Міжнародне передавання

  1. Передавання даних третій країні або міжнародній організації обробником буде здійснюватися відповідно до глави V GDPR.
  2. Контролер погоджується, що якщо обробник залучає обробника-субпідрядника відповідно до зі статтею 5.7 для здійснення конкретних операцій обробки (від імені контролера) та ці операції включають передавання персональних даних у значенні, зафіксованому главою V GDPR, обробник і його субпідрядник-обробник можуть забезпечити відповідність главі V GDPR шляхом: (i) передавання персональних даних до країн, для яких Європейська Комісія прийняла рішення про адекватність, відповідно до зі статтею 45 GDPR; або (ii) використання стандартних договірних положень, прийнятих Комісією відповідно до статті 46(2) GDPR, за умови виконання умов використання цих стандартних договірних положень. Зазвичай, якщо контролер не обрав інше, обробник буде обробляти персональні дані всередині Європейської економічної зони. Незважаючи на вищезазначене, для контролерів з-за меж Європейської економічної зони з метою оптимізації ефективності та продуктивності наших послуг обробник може обробляти ваші персональні дані в географічних територіях, що ближчі до вашого місцезнаходження, за умови, що попередні заходи безпеки дотримано.
  3. Зокрема, якщо передавання персональних даних від обробника до контролера тягне за собою передавання персональних даних у сенсі, зафіксованому главою V GDPR, обробник і контролер мають підписати стандартні договірні положення (модуль 4), прикладені як Додаток II.

Положення 6

Допомога контролеру

  1. Обробник повинен негайно повідомити контролера про будь-який запит, отриманий від суб'єкта даних. Він не повинен відповідати на запит самостійно, якщо не має дозволу від контролера.
  2. Обробник передасть контролеру всі запити на реалізацію прав суб'єктів даних, які він отримає, і на які відповіді надає контролер, якщо вони стосуються персональних даних, щодо яких контролер діє як контролер даних.
  3. Додатково до обов'язку обробника надавати допомогу контролеру відповідно до статті 6(b), обробник також повинен надавати допомогу контролеру в забезпеченні відповідності наведеним нижче зобов'язанням, враховуючи природу обробки даних і наявну інформацію в обробника:
    1. Обов'язок проводити оцінку впливу на захист персональних даних передбачених операцій обробки («оцінка впливу на захист даних»), якщо спосіб обробки, ймовірно, викликає високу загрозу правам і свободам фізичних осіб;
    2. Обов'язок консультуватися з компетентними наглядовими органами до початку обробки, коли оцінка впливу на захист даних вказує, що обробка викликала б високий ризик у випадку відсутності заходів, вжитих контролером для зменшення ризику;
    3. Обов'язок забезпечити, щоб персональні дані були точними і актуальними, негайно інформуючи контролера, якщо обробнику стає відомо, що оброблювані персональні дані є неточними або застарілими;
    4. обов'язки відповідно до статті 32 GDPR.
  4. Сторони мають викласти в Додатку II відповідні технічні та організаційні заходи за якими обробник зобов'язаний надавати допомогу контролеру в застосуванні цього положення, а також обсяг і рівень необхідної допомоги.

Положення 7

Повідомлення про порушення персональних даних

  1. У разі порушення персональних даних обробник має співпрацювати та надавати допомогу контролеру для виконання контролером своїх зобов'язань за статтями 33 і 34 GDPR, враховуючи природу обробки та наявну інформацію обробника.
  2. У разі порушення безпеки персональних даних, оброблюваних обробником від імені контролера, обробник має повідомити контролера без невиправданих затримок, як тільки обробник дізнається про це. Таке повідомлення має включати як мінімум:
    1. опис природи порушення (включаючи, де можливо, категорії та приблизну кількість суб'єктів даних і даних, яких це стосується);
    2. деталі контактної особи для отримання більш детальної інформації про порушення персональних даних;
    3. ймовірні наслідки та заходи, вжиті або запропоновані для вжиття для усунення порушення, включаючи зменшення його можливого негативного впливу.
  3. Якщо та тією мірою, наскільки всю інформацію не можна надати одночасно, спершу надана інформація повинна бути у початковому повідомленні, і, коли вона зібрана, додаткова інформація повинна надаватися без невиправданих затримок.

ДОДАТОК I: ОПИС ОБРОБКИ

Категорії суб'єктів даних, чиї персональні дані обробляється
Ті категорії суб'єктів даних, чиї дані містяться у файлах, які контролер завантажує під час використання послуг, наданих ILOVEPDF (наприклад, співробітники, клієнти, постачальники тощо).

Категорії персональних даних, які обробляються
Ті категорії персональних даних, які містяться у файлах, що їх контролер завантажує під час використання послуг, наданих ILOVEPDF.

Обробка конфіденційних даних (якщо застосовно) та застосовані обмеження або заходи безпеки, які повністю враховують природу даних і ризики, що можуть виникнути, зокрема, наприклад, суворе обмеження мети, обмеження доступу (включно з доступом тільки для персоналу, який пройшов спеціалізоване навчання), реєстрація доступу до даних, обмеження подальших передавань або додаткові заходи безпеки.<> Спеціальні категорії даних будуть оброблятися тією мірою, в якій файли, які завантажує контролер, використовуючи послуги, надані iLovePDF, містять такі спеціальні категорії персональних даних.

Характер обробки
Обробник здійснить всі необхідні дії для надання послуг (наприклад, перетворення, редагування та стиснення документа, що містить персональні дані).

Мета(и) обробки персональних даних від імені контролера
Надання послуг від імені ILOVEPDF.

Тривалість обробки
Тільки настільки, наскільки це необхідно для надання послуг.

Обробники-субпідрядники та тип наданих послуг

У контексті надання своїх послуг, ILOVEPDF використовує сторонніх постачальників послуг, що діють як обробники-субпідрядники персональних даних. Серед них ILOVEPDF використовує Cloudscale, Digital Ocean, Hetzner, OVHcloud, Vultr як постачальників веб-хостингу й рішень для хмарних обчислень, які забезпечують надання технологічної інфраструктури для забезпечення безпечної обробки, тимчасового зберігання даних і безперервності роботи платформи.

Обробники-субпідрядники діють відповідно до інструкцій ILOVEPDF, застосовуючи відповідні технічні та організаційні заходи для забезпечення захисту персональних даних відповідно до з Регламентом (ЄС) 2016/679 (GDPR) та іншими застосовними нормами щодо захисту даних.

Детальнішу інформацію про субпроцесорів ILOVEPDF ви зможете отримати, натиснувши тут.

ДОДАТОК II: ТЕХНІЧНІ ТА ОРГАНІЗАЦІЙНІ ЗАХОДИ, ВКЛЮЧНО З ТЕХНІЧНИМИ ТА ОРГАНІЗАЦІЙНИМИ ЗАХОДАМИ ДЛЯ ГАРАНТУВАННЯ БЕЗПЕКИ ДАНИХ

Обробник зобов'язується застосувати такі технічні та організаційні заходи безпеки для операцій обробки, що виконуються за цією Угодою про обробку даних:

  • Технічні заходи для захисту від перехоплення, копіювання, зміни, помилок маршрутизації та знищення переданої інформації.
  • Технічні процедури та внутрішні політики для виявлення, захисту та пом'якшення шкідливих додатків (шкідливого програмного забезпечення), які могли бути переданими через електронні комунікації.
  • Технічний захист конфіденційної інформації при її передаванні як вкладень.
  • Внутрішня політика щодо прийнятного використання ресурсів зв'язку.
  • Організаційні заходи для забезпечення відповідальності всіх користувачів (персоналу та третіх осіб) з авторизованим доступом до ресурсів обробника щодо їх власної інформації.
  • Використання криптографічних технологій для захисту конфіденційності, цілісності та автентичності інформації.
  • Організаційні рекомендації для зберігання та видалення всього ділового листування, зокрема повідомлення, відповідно до з відповідними національними та місцевими законами й нормативними актами.
  • Регулярне інформування та встановлення внутрішніх політик для персоналу щодо нерозголошення конфіденційної інформації, зокрема про те, що слід не залишати повідомлення з конфіденційною інформацією на автовідповідачах, не мати конфіденційних розмов в громадських місцях, не використовувати небезпечні канали зв'язку, не вести конфіденційні розмови у відкритих офісах тощо.

Контроль версій: четвер, 19 лютого 2026 р.

Ой! Якісь негаразди з вашим підключенням до мережі Інтернет...