Угода про обробку даних (DPA)

Táto Zmluva o spracovaní osobných údajov (ďalej len „DPA") sa uzatvára podľa článku 28 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) medzi Používateľom služby Fakturuj.si (ďalej len „Prevádzkovateľ") a spoločnosťou Elite Digital Services, LLC, prevádzkovateľom služby Fakturuj.si (ďalej len „Sprostredkovateľ"). Táto DPA je neoddeliteľnou súčasťou Všeobecných obchodných podmienok.

1. Визначення

  • Оператор – Користувач сервісу Invoice.si, який визначає цілі та способи обробки персональних даних своїх клієнтів за допомогою сервісу.
  • Агенте – ТОВ "Елітні цифрові послуги", яке обробляє персональні дані від імені Контролера даних за допомогою сервісу Invoice.si.
  • Зацікавлена особа – фізична особа, чиї персональні дані обробляються (клієнти Користувача, контактні особи).
  • Персональні дані – будь-яка інформація, що стосується ідентифікованої або такої, що може бути ідентифікована, фізичної особи в розумінні статті 4(1) GDPR.
  • Обробка – будь-яка операція або сукупність операцій з персональними даними в розумінні статті 4(2) GDPR.
  • Субброкер – третя особа, яка за дорученням Обробника здійснює частину обробки персональних даних.

2. Обсяг та мета обробки

2.1 Тема

Предметом цієї DPA є обробка персональних даних Обробником від імені Контролера через платформу виставлення рахунків Fakturuj.si.

2.2 Тривалість

Обробка персональних даних триває протягом усього терміну дії договірних відносин між Оператором і Посередником (тобто протягом терміну дії активного облікового запису Користувача в сервісі Fakturuj.si).

2.3 Природа та мета

Метою обробки є надання платформи SaaS для створення, управління та надсилання рахунків-фактур та пов'язаних з ними документів. Персональні дані обробляються з метою:

  • Створення та керування рахунками-фактурами, комерційними пропозиціями та накладними
  • Клієнтські записи користувача
  • Створюйте та надсилайте документи електронною поштою
  • Експортуйте дані в різних форматах

2.4 Категорії суб'єктів даних

  • Клієнти Користувача (передплатники рахунків)
  • Контактні особи клієнтів Користувача

2.5 Типи персональних даних

  • Контактні дані: ім'я, прізвище, адреса електронної пошти, номер телефону, поштова адреса
  • Інформація для виставлення рахунків: адреса для виставлення рахунку, банківські реквізити (IBAN, SWIFT/BIC)
  • Ідентифікаційні дані компанії: назва компанії, реєстраційний номер компанії, номер платника ПДВ, номер платника ПДВ, юридична адреса компанії

3. Обов'язки посередника

Фасилітатор бере на себе зобов'язання:

  1. Обробляти персональні дані тільки відповідно до задокументованих інструкцій Контролера даних, включаючи інструкції, що стосуються передачі персональних даних третім країнам, якщо цього не вимагає законодавство Союзу або держав-членів.
  2. Переконайтеся, що особи, уповноважені обробляти персональні дані, пов'язані зобов'язанням щодо дотримання конфіденційності або підпадають під дію юридичного зобов'язання щодо дотримання конфіденційності.
  3. Вжити всіх заходів безпеки, передбачених статтею 32 GDPR, як зазначено в пункті 4 цього DPA.
  4. Дотримуватися умов залучення субфасилітаторів, викладених у пункті 5 цього ДПД.
  5. Надавати Контролеру допомогу в обробці запитів від суб'єктів даних щодо реалізації їхніх прав, передбачених Главою III GDPR (право на доступ, виправлення, видалення, перенесення даних тощо).
  6. Надавати Контролеру допомогу в забезпеченні дотримання зобов'язань, передбачених статтями 32-36 GDPR (безпека обробки, оцінка впливу на захист даних, попередні консультації).
  7. Після припинення надання послуг видалити або повернути всі персональні дані Контролеру на його вибір і видалити наявні копії, якщо тільки їх збереження не вимагається законодавством Союзу або держави-члена.
  8. Надавати Контролеру всю інформацію, необхідну для того, щоб продемонструвати дотримання зобов'язань, передбачених статтею 28 GDPR, а також сприяти проведенню аудитів, у тому числі перевірок.
  9. Вести облік усіх категорій діяльності з обробки даних, що здійснюється від імені Контролера, відповідно до статті 30(2) GDPR.
  10. Застосовуйте принципи захисту даних за задумом і за замовчуванням (privacy-by-design і privacy-by-default) відповідно до статті 25 GDPR.

4. Заходи безпеки

Посередник зобов'язаний впроваджувати та підтримувати такі технічні та організаційні заходи безпеки:

  • Шифрування передачі даних: TLS 1.2+ для всієї взаємодії між клієнтом і сервером.
  • Шифрування даних: шифрування конфіденційних даних у сховищі в стані спокою.
  • Контроль доступу: контроль доступу на основі ролей (RBAC) та багатофакторна автентифікація (MFA) для адміністративного доступу.
  • Підкріплення: щоденне автоматичне резервне копіювання зі збереженням протягом 30 днів.
  • Хостинг: сервіс розміщено на хмарній інфраструктурі (регіон: ЄС) з сертифікатами SOC 2 Type II та ISO 27001.
  • Оновлення: регулярні оновлення програмного забезпечення та патчі безпеки
  • Хешування паролів: паролі користувачів зберігаються виключно в хешованому вигляді з використанням сучасних алгоритмів.
  • Ведення журналу та моніторинг: реєстрація доступів і подій безпеки, моніторинг доступності та продуктивності.
  • Реагування на інцидент: процедуру реагування на інциденти безпеки, включаючи повідомлення про витік даних.

5. Субброкери

5.1 Затверджені субагенти

Контролер повинен надати загальний письмовий дозвіл на залучення субпроцесорів. Поточний список затверджених субброкерів:

Субброкер Мета Штаб-квартира
Постачальник хмарної інфраструктури Хостинг та інфраструктура ЄС
Brevo (Sendinblue) Електронна комунікація (надсилання рахунків, повідомлень) Франція, ЄС
Sentry (Functional Software, Inc.) Моніторинг помилок та продуктивності додатків США (дані ЄС обробляються в ЄС)
Stripe, Inc. Обробка платіжних транзакцій США / ЄС

Провайдер не володіє, не орендує і не управляє власними центрами обробки даних або фізичною інфраструктурою в будь-якій країні. Усі послуги надаються через хмарну інфраструктуру вищезазначених субпроцесорів.

5.2 Повідомлення про зміни

Обробник повинен інформувати Контролера про будь-які заплановані зміни в списку субпроцесорів щонайменше за 30 днів до їх внесення, тим самим даючи можливість Контролеру заперечити проти таких змін.

Якщо Контролер висуває законні заперечення проти нового субпроцесора протягом 30 днів з моменту повідомлення, Обробник повинен докласти розумних зусиль для надання альтернативного рішення. Якщо альтернативне рішення неможливе, Оператор має право розірвати договір в обсязі відповідних послуг.

5.3 Рівні зобов'язання

Обробник повинен забезпечити, щоб на кожного субпроцесора за договором були покладені такі ж зобов'язання щодо захисту даних, які викладені в цьому DPA.

6. Права суб'єктів даних

  • Обробник зобов'язаний без невиправданої затримки повідомляти Контролера про будь-який запит Суб'єкта даних на здійснення його прав (DSAR - Data Subject Access Request).
  • Обробник повинен надавати Контролеру обґрунтовану допомогу в роботі із запитами суб'єктів даних.
  • Сервіс Fakturuj.si надає інструменти для експорту та видалення даних клієнтів, які Оператор може використовувати для обробки запитів суб'єктів даних.

7. Оцінка впливу на захист даних (DPIA)

Відповідальність за проведення оцінки впливу на захист даних (DPIA) відповідно до статті 35 GDPR несе Контролер даних. Обробник зобов'язаний надати Контролеру всю інформацію, необхідну для проведення DPIA щодо обробки персональних даних за допомогою сервісу Fakturuj.si.

8. Повідомлення про порушення конфіденційності

Фасилітатор бере на себе зобов'язання:

  • Повідомляти Контролера про будь-яке порушення персональних даних без невиправданої затримки, не пізніше ніж через 72 години після виявлення порушення.
  • Надавати Контролеру достатню інформацію для виконання зобов'язання щодо повідомлення відповідно до статей 33 та 34 GDPR, включаючи характер порушення, категорії та кількість суб'єктів даних, ймовірні наслідки та вжиті заходи.

9. Зберігання та видалення даних

  • Після розірвання договору (закриття акаунта) Оператор має 30 днів для експорту всіх своїх даних за допомогою інструментів експорту Сервісу.
  • Після закінчення 30-денного терміну Обробник повинен надійно видалити всі персональні дані, оброблені від імені Контролера, за винятком випадків, коли закон вимагає їх подальшого зберігання.
  • На вимогу Контролера даних, Обробник повинен надати письмове підтвердження видалення даних.

10. Міжнародна передача даних

У разі передачі персональних даних за межі Європейської економічної зони (ЄЕЗ), Обробник повинен забезпечити належні гарантії відповідно до Глави V GDPR, зокрема:

  • Стандартні договірні умови (SCC), затверджені Європейською Комісією відповідно до статті 46(2) GDPR.
  • EU-US Data Privacy Framework (EU-US Data Privacy Framework), якщо одержувач даних сертифікований за цією програмою.
  • Оцінка впливу на передачу (ОВП) для забезпечення належного рівня захисту в цільовій країні.

11. Аудити та контроль

  • Оператор має право проводити перевірку дотримання Посередником цього DPA за умови попереднього письмового повідомлення щонайменше за 30 днів.
  • Перевірки проводяться не частіше одного разу на 12 місяців, крім випадків, коли перевірка викликана конкретним порушенням або запитом контролюючого органу.
  • Витрати на проведення аудиту несе Оператор, якщо тільки аудит не виявить суттєвих порушень цього DPA з боку Посередника.

12. Відповідальність

Відповідальність договірних сторін регулюється положеннями Загальних умов користування сервісом Fakturuj.si та відповідним законодавством.

13. Представник ЄС

Обробник, як компанія, заснована за межами ЄС, призначив представника в ЄС відповідно до статті 27 GDPR. Представник ЄС виконує лише функції, передбачені статтею 27 GDPR, і не здійснює жодної комерційної діяльності від імені Обробника. Представник не створює постійного представництва Обробника в ЄС.

Euro business company Kft.
Штаб-квартира: Rómer Flóris utca 8/B. 3.em., 1024 Budapest, Угорщина
Податковий номер: 28959364-2-41
НОМЕР ПДВ: HU28959364
E-mail: [email protected]

14. Законодавство, що застосовується

Ця Угода про обробку персональних даних регулюється законодавством штату Делавер, США, і є невід'ємною частиною Умов. У питаннях захисту даних обов'язкові положення Регламенту (ЄС) 2016/679 (GDPR) застосовуються виключно в тій мірі, в якій вони мають пряму дію.

15. Контакти

Якщо у вас виникли запитання щодо цього DPA, будь ласка, зв'яжіться з нами:

Elite Digital Services, LLC
Штаб-квартира: 1111B S Governors Ave #21653, Dover, DE 19904, USA
E-mail: [email protected]
Web: www.fakturuj.si

Останнє оновлення: Квітень 2026