Ця Угода про обробку персональних даних (далі — «DPA») є невід’ємною частиною Публічної оферти JuristCRM та визначає умови обробки персональних даних, які Користувач (Ліцензіат) вносить до Сервісу. DPA застосовується автоматично з моменту акцепту Оферти і не потребує окремого підписання, проте на вимогу Користувача може бути оформлена окремим документом.

1. СТОРОНИ ТА РОЛІ

1.1. Володілець (Контролер) — Користувач (Ліцензіат), який визначає мету та засоби обробки персональних даних, що вносяться до Сервісу.

1.2. Оператор (Процесор) — КОРОЛЬКОВ СЕРГІЙ ЮРІЙОВИЧ (JuristCRM), який обробляє персональні дані виключно за дорученням та в інтересах Володільця.

1.3. Терміни вживаються у значенні Закону України «Про захист персональних даних» та, де застосовно, Загального регламенту про захист даних ЄС (GDPR).

2. ПРЕДМЕТ, ХАРАКТЕР І МЕТА ОБРОБКИ

2.1. Оператор обробляє персональні дані з єдиною метою — забезпечення функціонування Сервісу JuristCRM та надання його можливостей Володільцю.

2.2. Характер обробки: зберігання, упорядкування, систематизація, відображення, резервне копіювання, видалення та інші операції, технічно необхідні для роботи Сервісу.

2.3. Строк обробки відповідає строку дії Оферти та строкам зберігання даних, передбаченим Офертою (пункти 6.4–6.6).

3. КАТЕГОРІЇ СУБ’ЄКТІВ ТА ДАНИХ

3.1. Категорії суб’єктів даних визначає Володілець; зазвичай це клієнти, контрагенти, працівники та представники Володільця.

3.2. Категорії даних визначає Володілець шляхом їх внесення до Сервісу (зокрема ПІБ, контакти, реквізити, відомості про справи, документи, фінансові дані).

3.3. Володілець самостійно та під власну відповідальність вирішує, які дані вносити, і гарантує наявність правових підстав для їх обробки.

4. ОБОВ’ЯЗКИ ОПЕРАТОРА

4.1. Обробляти персональні дані виключно за документально оформленими інструкціями Володільця (якими, зокрема, вважаються налаштування та дії Володільця в Сервісі), за винятком випадків, передбачених законом.

4.2. Забезпечувати конфіденційність даних і допускати до обробки лише уповноважених осіб, які взяли на себе зобов’язання щодо конфіденційності.

4.3. Не використовувати дані Володільця у власних цілях і не передавати їх третім особам, окрім випадків, передбачених цією DPA або законом.

4.4. Вживати технічних та організаційних заходів безпеки відповідно до розділу 5.

4.5. Сприяти Володільцю у виконанні його обов’язків щодо запитів суб’єктів даних, повідомлень про інциденти та оцінки впливу — у розумних межах та можливостях Сервісу.

5. ЗАХОДИ БЕЗПЕКИ

5.1. Оператор вживає розумних технічних та організаційних заходів, зокрема: шифрування каналів передачі даних, розмежування прав доступу, журналювання дій, регулярне резервне копіювання, моніторинг і контроль доступу до інфраструктури.

5.2. Заходи безпеки можуть оновлюватися з урахуванням розвитку технологій без зниження загального рівня захисту.

6. ЗАЛУЧЕННЯ СУБПРОЦЕСОРІВ

6.1. Володілець надає Оператору загальний дозвіл залучати субпроцесорів (зокрема хостинг-провайдерів, платіжні системи, сервіси розсилок, телефонії та аналітики) для забезпечення роботи Сервісу.

6.2. Оператор зобов’язує субпроцесорів дотримуватися рівня захисту даних, не нижчого за передбачений цією DPA, та залишається відповідальним за їхні дії перед Володільцем у межах, визначених Офертою.

6.3. Актуальний перелік ключових субпроцесорів надається на запит Володільця.

7. МІЖНАРОДНА ПЕРЕДАЧА ДАНИХ

7.1. Дані можуть оброблятися та зберігатися на серверах, розташованих за кордоном, у країнах із належним рівнем захисту даних. Акцептуючи Оферту, Володілець надає згоду на таку передачу.

8. ПОВІДОМЛЕННЯ ПРО ІНЦИДЕНТИ

8.1. У разі виявлення порушення безпеки персональних даних, що з високою ймовірністю становить ризик для суб’єктів даних, Оператор без невиправданої затримки повідомляє Володільця та надає доступну інформацію для реагування.

9. ПОВЕРНЕННЯ ТА ВИДАЛЕННЯ ДАНИХ

9.1. Володілець може у будь-який момент експортувати свої дані передбаченими функціоналом способами.

9.2. Після припинення дії ліцензії дані обробляються та видаляються відповідно до пунктів 6.4–6.6 Оферти. Після видалення облікового запису відновлення даних не гарантується.

10. ВІДПОВІДАЛЬНІСТЬ

10.1. Володілець несе повну відповідальність за правомірність збору й обробки даних, які він вносить до Сервісу, та за наявність необхідних правових підстав і згод суб’єктів даних.

10.2. Відповідальність Оператора обмежується в порядку та межах, визначених розділом 8 Публічної оферти.

10.3. Володілець зобов’язується відшкодувати Оператору збитки, що виникли внаслідок претензій третіх осіб або органів, пов’язаних із неправомірністю даних чи дій Володільця, відповідно до розділу 13 Оферти.

11. ПРИКІНЦЕВІ ПОЛОЖЕННЯ

11.1. У разі суперечності між цією DPA та Публічною офертою щодо обробки персональних даних переважну силу має ця DPA.

11.2. До цієї DPA застосовується законодавство України; спори вирішуються відповідно до розділу 18 Оферти.

11.3. У разі розбіжностей між мовними версіями переважну силу має україномовна версія.