Договір про обробку персональних даних

1.1Цей Договір про обробку персональних даних («DPA») регулює обробку персональних даних під час надання послуг Accquix, якщо Постачальник обробляє персональні дані від імені Клієнта.

1.2Клієнт виступає контролером персональних даних, якщо він визначає цілі та засоби обробки персональних даних, що містяться в його бухгалтерських, комерційних або податкових документах.

1.3Постачальник виступає процесором у тій мірі, в якій він обробляє персональні дані від імені Клієнта з метою надання послуги.

1.4При обробці персональних даних для власного виставлення рахунків, ведення власного бухгалтерського обліку, AML/KYC, захисту правових вимог, безпеки та виконання власних законних обов'язків Постачальник виступає самостійним контролером.

2.1Предметом обробки є обробка персональних даних, необхідних для надання бухгалтерських, адміністративних, консультаційних, разових і пов'язаних послуг Accquix.

2.2Метою обробки є, зокрема, ведення бухгалтерії або обліку, обробка бухгалтерських документів, підготовка податкових і бухгалтерських результатів, електронна комунікація з органами публічної влади, перевірка або систематизація обліку, надання консультаційних результатів, архівування і комунікація між сторонами.

2.3Обробка може здійснюватися автоматизованими і неавтоматизованими засобами, зокрема в бухгалтерському програмному забезпеченні, хмарному сховищі, e-mail комунікації, таблицях, експортах і пов'язаних цифрових інструментах.

3.1Персональні дані обробляються протягом договірних відносин, а потім протягом періоду, необхідного для виконання законних, бухгалтерських, податкових, AML, архівних або правових обов'язків.

3.2Якщо подальше зберігання не є необхідним або обґрунтованим, Постачальник видалить персональні дані або поверне їх Клієнту відповідно до характеру даних, технічних можливостей і умов цього DPA.

4.1Оброблювані дані можуть включати, зокрема, такі категорії: ім'я та прізвище, комерційне найменування, адресу, IČO, DIČ, IČ DPH, контактні дані, банківські дані, дані для виставлення рахунків, дані про платежі, дані в бухгалтерських документах, дані клієнтів і постачальників Клієнта, дані про транзакції та дані, необхідні для ідентифікації або AML/KYC перевірки.

4.2При послугах, які не включають зарплатну або HR-агенду, Постачальник зазвичай не обробляє великі спеціальні категорії персональних даних працівників. Якщо така агенда має надаватися, вона повинна бути погоджена окремо.

5.1Суб'єктами даних можуть бути, зокрема, Клієнт, його клієнти, постачальники, контактні особи ділових партнерів, представники, працівники, особи, зазначені в рахунках, виписках, договорах або інших документах.

6.1Постачальник обробляє персональні дані лише на підставі цього DPA, індивідуального договору, Умов, документованих інструкцій Клієнта або вимог правових норм.

6.2Якщо Постачальник вважає, що інструкція Клієнта порушує GDPR або інші правові норми, він повідомить про це Клієнта, якщо цьому не перешкоджає правовий обов'язок.

7.1Постачальник зобов'язується обробляти персональні дані лише в обсязі, необхідному для надання послуги, зберігати конфіденційність, приймати належні технічні та організаційні заходи, забезпечити інструктаж осіб із доступом до даних, допомагати Клієнту у виконанні розумних обов'язків за GDPR і надавати розумну інформацію, необхідну для підтвердження відповідності цьому DPA.

7.2Постачальник не зобов'язаний виконувати юридичну або compliance-агенду Клієнта щодо його клієнтів, працівників або інших суб'єктів даних, якщо це не погоджено окремо.

7.3Якщо Постачальник отримає запит від суб'єкта даних щодо реалізації його прав за GDPR, який стосується персональних даних, що обробляються від імені Клієнта, Постачальник не відповідатиме на такий запит напряму. Натомість він без необґрунтованої затримки передасть запит Клієнту, який відповідає за його опрацювання.

7.4Якщо Постачальник зобов'язаний розкрити персональні дані на підставі обов'язкового запиту органу публічної влади, він без зволікання повідомить Клієнта про такий запит до розкриття даних, якщо відповідна правова норма не перешкоджає цьому, наприклад судовий наказ, що забороняє повідомлення.

8.1Клієнт відповідає за законність обробки персональних даних, визначення правової підстави, інформування суб'єктів даних, правильність і повноту даних, виконання прав суб'єктів даних, а також за те, що персональні дані, передані Постачальнику, були отримані законним способом.

8.2Клієнт не повинен передавати Постачальнику персональні дані, які не потрібні для надання послуги або які Клієнт не має права обробляти.

9.1Клієнт надає Постачальнику загальний дозвіл залучати додаткових процесорів і технологічних постачальників, необхідних для надання послуги.

9.2Список основних процесорів і технологічних постачальників опублікований на сторінці /legal/subprocessors або надається Клієнту на запит.

9.3Постачальник має право оновлювати список, якщо зміна не знижує належний рівень захисту персональних даних. При суттєвій зміні в межах повторюваної послуги Постачальник може повідомити Клієнта електронною поштою або шляхом публікації оновленого списку.

9.4Клієнт має право подати обґрунтоване заперечення проти залучення нового додаткового процесора або заміни наявного додаткового процесора протягом 14 днів з моменту повідомлення про зміну. Якщо Клієнт подає обґрунтоване заперечення і сторони не домовляться про рішення, яке усунуло б занепокоєння Клієнта, це може вважатися підставою для припинення договірних відносин Клієнтом відповідно до умов індивідуального договору або Умов.

10.1Постачальник приймає належні технічні та організаційні заходи, зокрема управління доступом, використання захищених акаунтів і хмарних сервісів, належні паролі, обмеження доступу особами, яким він потрібен, резервне копіювання відповідно до характеру послуги, захист пристроїв і передачу даних захищеними каналами там, де це доречно.

10.2Рівень заходів безпеки відповідає характеру обробки, обсягу даних, ризику для суб'єктів даних і розміру наданої послуги.

11.1Якщо Постачальник дізнається про порушення захисту персональних даних, яке стосується даних, що обробляються від імені Клієнта, він без необґрунтованої затримки повідомить Клієнта і надасть інформацію, доступну на момент повідомлення.

11.2Клієнт відповідає за оцінку того, чи потрібно повідомляти наглядовий орган або суб'єктів даних, якщо законом не встановлено інше.

12.1При використанні деяких хмарних, аналітичних, комунікаційних, платіжних або перевірочних інструментів може відбутися передача персональних даних або доступ до них за межами Європейського Союзу або Європейської економічної зони.

12.2Постачальник забезпечить, щоб така передача здійснювалася відповідно до GDPR, зокрема на підставі рішення про адекватність, стандартних договірних положень, Data Privacy Framework або інших належних гарантій, які використовує відповідний постачальник.

13.1Постачальник надасть Клієнту розумне сприяння, необхідне для підтвердження виконання обов'язків за цим DPA. Сприяння має бути пропорційним розміру послуги, характеру обробки та можливостям Постачальника.

13.2Якщо Клієнт вимагає широкого аудиторського або security-сприяння понад звичайну комунікацію, таке сприяння може бути платним за індивідуальною домовленістю.

14.1Після завершення надання послуги, яке веде до припинення обробки, Постачальник зазвичай безпечно видаляє всі персональні дані, що обробляються від імені Клієнта, за винятком даних, подальше зберігання яких вимагають бухгалтерські, податкові, AML або інші правові норми.

14.2Якщо Клієнт до припинення договірних відносин письмово попросить повернути персональні дані замість їх видалення, Постачальник надасть розумне сприяння. Повернення даних у формі спеціального експорту або в іншому нестандартному форматі вважається додатковою платною послугою, ціна якої буде погоджена індивідуально.

15.1Цей DPA є частиною договірних відносин між Постачальником і Клієнтом, якщо на нього є посилання в індивідуальному договорі, замовленні або Умовах.

15.2У питаннях захисту персональних даних цей DPA має перевагу над Умовами, якщо між документами є суперечність.