Угода про обробку даних (Data Processing Agreement / DPA)
Додаток до Умов використання Сервісу RentFlow
Дата набрання чинності: 2026-05-29
1. Вступ
Цей DPA — додаток до Умов використання, що регулює обробку Оператором (RentFlow / ФОП Глейзер Олександр) персональних даних від імені Користувача.
DPA застосовується автоматично, коли Користувач реєструється у Сервісі і вносить дані Контрагентів. Окремого підписання не вимагається — згода виражається фактом використання Сервісу.
Для Користувачів з ЄС та для випадків, коли вимагається підписаний DPA, можна запросити PDF-версію за адресою [email protected].
2. Сторони і ролі
| Сторона | Роль за GDPR | У відносинах щодо |
|---|---|---|
| Користувач | Контролер (Data Controller) | Даних Контрагентів |
| Оператор (RentFlow) | Процесор (Data Processor) | Даних Контрагентів |
Окремий випадок: дані власне Користувача (email, пароль, налаштування) — Оператор є Контролером. На них поширюється Політика конфіденційності, а не цей DPA.
3. Предмет обробки
| Параметр | Значення |
|---|---|
| Тип даних | Персональні дані Контрагентів (ПІБ, контакти, ІПН, реквізити, листування, документи тощо) |
| Категорії суб’єктів | Власники, орендарі, орендодавці, постачальники послуг та інші фізичні/юридичні особи |
| Тривалість обробки | Поки активний обліковий запис Користувача + 30 днів після видалення (90 днів у бекапах) |
| Характер обробки | Зберігання, систематизація, відображення, передача через інтеграції за вказівкою Користувача |
| Мета обробки | Надати Користувачу інструмент для ведення обліку |
4. Обовʼязки Користувача (Контролера)
Користувач гарантує:
4.1. Правомірність збору даних — має правові підстави обробляти дані Контрагентів (договір, згода, законний інтерес тощо) до внесення їх у Сервіс.
4.2. Інформування Контрагентів — повідомив їх про обробку даних, якщо це вимагається законом.
4.3. Відповіді на запити суб’єктів — обробляє запити Контрагентів про доступ, виправлення, видалення тощо. Оператор передає такі запити Користувачу і допомагає технічно.
4.4. Законність інструкцій — вказівки, які Користувач дає Оператору (через використання Сервісу), відповідають закону.
4.5. Категорії даних — не вносить у Сервіс особливі категорії даних (раса, релігія, стан здоровʼя тощо) без особливих правових підстав.
5. Обовʼязки Оператора (Процесора)
5.1. Обробляти дані Контрагентів тільки за інструкціями Користувача (внесення, зміна, видалення через інтерфейс).
5.2. Не використовувати дані Контрагентів для власних цілей (реклами, продажу, профілювання).
5.3. Забезпечити технічні та організаційні заходи безпеки: - Шифрування передачі (HTTPS/TLS) - Контроль доступу (ізоляція за організаціями) - Регулярні бекапи (90 днів) - Захист від несанкціонованого доступу - Логування подій безпеки
5.4. Допомагати Користувачу у виконанні обовʼязків Контролера: - Експорт даних на запит Користувача - Видалення даних на вимогу - Технічне сприяння у відповідях Контрагентам
5.5. Повідомляти про інциденти — у разі витоку або порушення безпеки повідомити Користувача протягом 72 годин з моменту виявлення.
5.6. Конфіденційність персоналу — особи, які мають доступ до даних з боку Оператора, повʼязані обовʼязком нерозголошення.
6. Суб-процесори
6.1. Оператор використовує наступних суб-процесорів:
| Суб-процесор | Призначення | Юрисдикція |
|---|---|---|
| Hetzner Online GmbH | Хостинг серверів | Німеччина (ЄС) |
| Cloudflare, Inc. | DNS, CDN, email-routing | США (Privacy Shield / SCC) |
| Telegram Messenger Inc. | Telegram-бот | UAE (відповідно до правил Telegram) |
| Resend Inc. | Email-нотифікації | США (SCC) |
6.2. При додаванні нових суб-процесорів — Оператор повідомить Користувача за 30 днів. Якщо Користувач незгодний — має право припинити користування Сервісом без зобовʼязань.
6.3. Оператор несе відповідальність за дії суб-процесорів так, ніби це власні дії.
7. Міжнародна передача даних
7.1. Основне зберігання — у ЄС (сервери Hetzner у Німеччині).
7.2. Передача за межі ЄС (наприклад, до Cloudflare у США) здійснюється на підставі Стандартних договірних положень ЄС (SCC) або інших передбачених GDPR механізмів.
7.3. Telegram — окремий випадок: коли Користувач свідомо використовує Telegram-бот, дані переходять через інфраструктуру Telegram відповідно до їх політики.
8. Права на аудит
8.1. Користувач має право один раз на рік запросити інформацію про заходи безпеки, які застосовує Оператор.
8.2. Для Користувачів-юридичних осіб з обґрунтованим попитом — можлива розширена форма аудиту (за окремою домовленістю).
9. Повернення або видалення даних
9.1. Після припинення відносин (видалення облікового запису Користувачем або припинення доступу) Оператор: - Протягом 30 днів зберігає дані (можливість відновлення) - Після 30 днів — видаляє дані з активної системи - З бекапів дані затираються протягом 90 днів
9.2. Користувач може запросити експорт усіх даних у машиночитаному форматі (JSON/CSV) до видалення — безкоштовно.
10. Відповідальність
10.1. Кожна сторона несе відповідальність за порушення своїх обовʼязків за цим DPA.
10.2. Користувач компенсує Оператору збитки, спричинені: - Внесенням у Сервіс даних без правових підстав - Порушенням обовʼязків Контролера - Претензіями Контрагентів щодо законності збору даних Користувачем
10.3. Загальні межі відповідальності Оператора визначені в Умовах використання (§8).
11. Контакт з питань даних
Email: [email protected]
Запити обробляються протягом 30 днів. Для термінових випадків (інциденти безпеки) — пріоритетна обробка.
12. Прикінцеві положення
12.1. У разі суперечності між цим DPA та Умовами використання щодо обробки даних — пріоритет має DPA.
12.2. Зміни в DPA публікуються на gleyzers.com з повідомленням Користувача за 30 днів.
12.3. DPA регулюється правом України з врахуванням імперативних норм GDPR для Користувачів з ЄС.
ФОП Глейзер Олександр ІПН: 2690308199 Адреса: м. Бердичів, 13312, вулиця Житомирська 11 Email: [email protected]