Замовити демо

Trust Hub

Юридичні ресурси в PeopleForce

Додаток про обробку персональних даних
icon

Додаток про обробку персональних даних

Останнє оновлення: 28 жовтня 2025 року

Цей Додаток про обробку персональних даних (далі —«Додаток», «DPA») є невід’ємною частиною Угоди про надання послуг, укладеної між PeopleForce (далі —«PeopleForce», «Ми» або «Обробник даних») та Клієнтом (далі —«Контролер даних», «Ви» або «Клієнт»; разом —«Сторони»).

Цей Додаток визначає та регулює домовленості Сторін щодо обробки персональних даних у межах надання Послуг.

Клієнт укладає цей Додаток від свого імені та, у межах, передбачених законодавством про захист персональних даних, також від імені та в інтересах своїх Авторизованих афілійованих осіб, у тій мірі, в якій PeopleForce здійснює обробку персональних даних, щодо яких такі Авторизовані афілійовані особи виступають як Контролери даних.

Виключно для цілей цього Додатку, якщо прямо не зазначено інше, термін«Клієнт»охоплює Клієнта та його Авторизовані афілійовані особи.

У межах надання Послуг відповідно до Угоди про надання послуг PeopleForce може здійснювати обробку персональних даних від імені Клієнта. У зв’язку з цим Сторони погоджуються, що до такої обробки застосовуються положення цього Додатку щодо захисту персональних даних.

Застосування цього Додатку

Цей Додаток є додатком до Угоди про надання послуг та становить її невід’ємну частину. У зв’язку з цим юридична особа PeopleForce, яка є стороною Угоди про надання послуг, вважається стороною цього Додатку.

Умови обробки даних

Беручи до уваги, що

  1. (A)  Обробник даних, як Постачальник послуг, надає платформу PeopleForce в розпорядження Контролера даних відповідно до Угоди про надання послуг PeopleForce (далі – "Основна угода")
  2. (B) Користуючись послугами Обробника даних, Контролер даних повинен буде завантажувати персональні дані в системи Обробника даних, щодо яких Контролер даних виступає як Контролер даних, а Обробник даних – як Обробник даних.
  3. (C) Законодавство про захист даних означає, залежно від обставин:(i) Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року — Загальний регламент про захист даних (GDPR);(ii) Загальний регламент Великої Британії про захист даних (UK GDPR) та Закон Великої Британії «Про захист даних» 2018 року (Data Protection Act 2018), зі змінами та доповненнями;(iii) Закон України «Про захист персональних даних» № 2297-VI від 1 червня 2010 року, зі змінами та доповненнями;(iiii) Закон Польщі про захист персональних даних, Журнал законів 2018 р., позиція 1000, із змінами (RODO);а також будь-які інші застосовні закони та нормативно-правові акти у сфері захисту персональних даних, що можуть застосовуватися до Сторін у зв’язку з обробкою персональних даних.
  4. D) Сторони мають намір здійснювати обробку персональних даних відповідно до вимог застосовного законодавства про захист даних.
  5. (E) Сторони бажають визначити та зафіксувати свої відповідні права та обов’язки у зв’язку з такою обробкою персональних даних.

1. Визначення та тлумачення термінів

  1. Якщо інше прямо не передбачено цим Додатком, терміни та вирази, що вживаються з великої літери в цьому Додатку, мають значення, наведені нижче:

a. "DPA" означає цей Додаток про обробку даних та всі додатки;

b. "Персональні дані Контролера даних" – це Персональні дані, які обробляються Обробником даних від імені Контролера даних відповідно до Угоди про надання послуг або у зв'язку з нею та цим Додатком, зазначені в Додатку 1 до цього Додатку;

c. "Обробка даних" означає будь–яку операцію або набір операцій, які виконуються над Персональними даними або наборами Персональних даних, як автоматизованими, так і неавтоматизованими засобами, такі як збір, запис, організація, структурування, зберігання, адаптація або зміна, пошук, консультація, використання, розкриття шляхом передачі, розповсюдження або іншого надання, узгодження або комбінування, обмеження, видалення або знищення;

d. "Законодавство про захист даних" означає GDPR та, залежно від обставин, будь-які інші застосовні закони та нормативно-правові акти у сфері захисту персональних даних або конфіденційності, що діють у відповідній юрисдикції, зокрема Загальний регламент Великої Британії про захист даних (UK GDPR), Закон Великої Британії «Про захист даних» 2018 року, а також Закон України «Про захист персональних даних», Закон Польщі про захист персональних даних (RODO) у кожному випадку — зі змінами та доповненнями;

e. "ЄЕЗ" означає Європейський економічний простір;

f. "GDPR" означає Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року — Загальний регламент про захист даних;

g. "Передача даних" означає:

-передача Персональних даних Контролера даних від Контролера даних до Обробника даних; або

-подальша передача персональних даних Контролера даних Субобробнику або між двома Субобробниками;

h. "Основна угода" означає Угоду про надання послуг зазначену в пункті (А) вище;

i. "Послуги" означає послуги, що надаються Обробником даних Контролеру даних відповідно до Основної угоди;

j. "Субобробник" означає будь–яку особу, призначену Обробником даних або від його імені для обробки Персональних даних від імені Контролера даних у зв'язку з цим DPA.

k. Інші терміни, включаючи, але не обмежуючись ними: "Комісія", "Контролер", "Суб'єкт даних", "Держава–член", "Персональні дані", "Порушення персональних даних", "Обробка" та "Наглядовий орган", мають те саме значення, що й у GDPR, а їхні споріднені терміни тлумачаться відповідно.

2. Субʼєкт угоди та обсяг, мета і характер обробки персональних даних

  1. На підставі ст. 28 розділу 3 GDPR Контролер даних доручає Обробнику даних персональні дані для обробки, а Обробник даних зобов'язується обробляти їх відповідно до цього Додатку. 
  2. Метою обробки персональних даних є надання PeopleForce Послуг Клієнту відповідно до Основної угоди. У межах такої обробки PeopleForce, діючи як Обробник даних, здійснює операції з персональними даними, необхідні для надання Послуг, зокрема збір, запис, організацію, структурування, зберігання, використання, пошук, об’єднання та видалення персональних даних у Платформі PeopleForce.
  3. Персональні дані будуть оброблятися Обробником в електронній формі в інформаційних системах. Сторони заявляють, що з метою виконання своїх зобов'язань за Основним договором вони надаватимуть одна одній персональні дані лише в обсязі, необхідному для цієї мети, а саме:

    a. персональні дані представників кожної Сторони, такі як: ім'я, прізвище та посада,
    b. персональні дані працівників Контролера даних, які беруть участь у виконанні Договору, такі як: ім'я, прізвище, посада, адреса електронної пошти та номер робочого телефону.
  4. Кожна Сторона обробляє дані осіб, зазначених в Основному договорі, з метою виконання та врегулювання Основного договору, а також для цілей, що випливають із законних інтересів, пов'язаних із встановленням, ствердженням або захистом правових вимог, що випливають з Основного договору або у зв'язку з ним.
  5. Для уникнення будь–яких сумнівів, Сторони підтверджують, що коли Персональні дані передаються іншій стороні, інша сторона стає окремим контролером цих Персональних даних у значенні статті 4(7) GDPR, тобто вона обробляє їх для різних цілей і самостійно та незалежно приймає рішення про способи їх обробки.
  6. Обробник даних зобов'язується виконувати від імені Контролера даних зобов'язання щодо інформування вказаних ним осіб, зазначених у вищезазначеному DPA, включаючи інформування їх про надання їхніх даних Контролеру даних в обсязі та для цілей, описаних вище, зокрема, вказуючи інформацію, яка вимагається відповідно до статей 13 та 14 GDPR.

3. Принципи обробки персональних даних

  1. Обробник даних здійснює обробку Персональних даних виключно в обсязі, з метою та у спосіб, передбаченими цим Додатком про обробку персональних даних (DPA) та Основною угодою.Контролер даних доручає Обробнику даних обробляти Персональні дані з єдиною метою — надання Послуг відповідно до Основної угоди.З урахуванням того, що під час користування Послугами Контролер даних самостійно визначає склад Персональних даних та завантажує їх у системи Обробника даних, а PeopleForce у такому випадку діє виключно як Обробник даних, Сторони погодилися, зокрема, на встановлення певних обмежень відповідальності Обробника даних, а саме:

    a. Контролер передає свої Персональні дані, а Обробник даних збирає Персональні дані Контролера як суб'єкта персональних даних виключно з метою надання доступу до Платформи (її модулів), зокрема, такі дані, як ПІБ користувача або повна назва компанії, реєстраційні дані, адреса електронної пошти, інші дані, необхідні для реєстрації;
    b. Після надання Контролеру доступу до Платформи, Контролер самостійно та на власний розсуд збирає та завантажує Персональні дані своїх працівників, рекрутерів, третіх осіб до систем Обробника даних; таким чином, Обробник даних не збирає такі Персональні дані, а лише зберігає їх, а тому не несе відповідальності за їх достовірність, точність, законність, правомірність, законний спосіб їх збору тощо;
    c. Контролер даних несе повну відповідальність перед Суб'єктами даних, дані яких Контролер даних самостійно збирає та завантажує в системи Обробника даних, включаючи Персональні дані, отримані з систем, які інтегруються з Платформою, а саме за їх законність, точність, достовірність, законний спосіб їх збору тощо.
    d. Зазначається, що хоча модулі платформи PeopleForce надають користувачам можливість додавати додаткові поля і вводити в них будь–які дані, Обробник даних не сприяє введенню або зберіганню “чутливих” даних користувачами платформи. Це включає, але не обмежується, особисту інформацію про дітей, дані, пов'язані зі здоров'ям, та медичні записи, банківські реквізити користувачів тощо.
    Якщо Контролер даних (або будь–який Суб'єкт даних) завантажує такі “чутливі” дані, Обробник даних не несе відповідальності за законність збору та завантаження таких даних до системи Обробника даних.
  2. При обробці персональних даних Обробник даних зобов'язується дотримуватися положень про захист персональних даних, зокрема GDPR.
  3. Обробник даних заявляє, що він має ресурси, досвід, знання та кваліфікований персонал, які дозволяють йому належним чином виконувати дану Угоду та впроваджувати відповідні технічні та організаційні заходи для забезпечення того, щоб обробка відповідала вимогам законодавства.
  4. Обробник даних заявляє, що він вжив ефективних технічних та організаційних заходів для захисту Персональних даних від розголошення неуповноваженим особам, видалення неуповноваженою особою, обробки з порушенням закону та пошкодження, знищення, втрати або незаконної зміни. Обробник даних заявляє, що використовувані ним засоби залишаються відповідно до положень GDPR щодо безпеки обробки, включаючи ст. 32.
  5. Обробник даних зобов'язується зберігати конфіденційність Персональних даних та вживати заходів щодо їх захисту, включаючи також період після припинення дії даної Угоди, а також зобов'язується забезпечити, щоб його працівники та інші особи, уповноважені обробляти довірені Персональні дані, зобов'язувалися зберігати в таємниці Персональні дані та заходи щодо їх захисту, в тому числі після припинення дії цього DPA.
  6. Обробник даних зобов'язується, беручи до уваги характер обробки та наявну в нього інформацію, допомагати Контролеру даних у виконанні зобов'язань, викладених у ст. ст. 32–36 GDPR; зокрема, Обробник даних зобов'язується надавати Контролеру достатню інформацію та виконувати його вказівки щодо засобів захисту довірених персональних даних, порушень персональних даних, які є предметом DPA, та повідомлення наглядового органу або осіб, яких стосуються персональні дані, допомагати у проведенні оцінки впливу на захист даних, а також у попередній консультації з наглядовим органом та виконанні рекомендацій органу.
  7. Обробник даних зобов'язується негайно надати Контролеру даних інформацію про порушення персональних даних, довірених Обробнику даних, включаючи інформацію, необхідну для того, щоб Контролер даних міг повідомити про порушення наглядовий орган, зазначений у ст. 33 п. 3 GDPR.
  8. Обробник даних зобов'язується допомагати Контролеру даних, наскільки це можливо, за допомогою відповідних технічних та організаційних заходів та на основі окремих домовленостей, у виконанні зобов'язання відповідати на запити суб'єктів даних при здійсненні їхніх прав, викладених у Главі III GDPR.
  9. Обробник даних зобов'язується негайно інформувати Контролера даних, якщо, на думку Обробника даних, видані йому інструкції становлять порушення GDPR або інших положень законодавства про захист даних.
  10. Обробник даних зобов'язується негайно повідомити Контролера даних про:

a. ініціювання перевірки або розслідування з боку наглядового органу з питань захисту персональних даних у зв’язку з дорученням Обробнику даних обробки персональних даних, а також будь-які адміністративні рішення або заходи, застосовані до Обробника даних у зв’язку з таким дорученням;

b. розпочаті або триваючі адміністративні, судові або підготовчі провадження, пов'язані з дорученням Обробнику даних обробки Персональних даних, а також про будь–які рішення, розпорядження або постанови, винесені проти Обробника даних у зв'язку з вищезазначеним;

c. будь–які інциденти, що стосуються Персональних даних, довірених для обробки Обробнику даних, в тому числі випадковий або несанкціонований доступ до довірених Персональних даних, випадки зміни, втрати, пошкодження або знищення довірених Персональних даних.

4. Персонал обробника даних

  1. Обробник даних вживає необхідних заходів для забезпечення надійності будь–якого працівника, агента або підрядника Обробника даних або будь–якого Субобробника, який може мати доступ до Персональних даних, гарантуючи в кожному випадку, що доступ суворо обмежений тими особами, яким необхідно знати / мати доступ до відповідних Персональних даних, як це суворо необхідно для цілей Основної угоди, а також для дотримання чинного законодавства в контексті обов'язків цієї особи перед Обробником даних, гарантуючи, що на всіх таких осіб поширюються зобов'язання щодо дотримання конфіденційності або професійні чи статутні зобов'язання щодо конфіденційності.

5. Безпека обробки персональних даних

  1. Беручи до уваги сучасні умови, витрати на впровадження та характер, обсяг, контекст і цілі обробки, а також ризик різної ймовірності та серйозності для прав і свобод фізичних осіб, Обробник даних зобов'язаний вживати щодо Персональних даних відповідні технічні та організаційні заходи для забезпечення рівня безпеки, що відповідає цьому ризику, включаючи, у відповідних випадках, заходи, зазначені в статті 32(1) GDPR. 
  2. Оцінюючи належний рівень безпеки, Обробник даних повинен враховувати, зокрема, ризики, пов'язані з Обробкою даних, зокрема, з Порушенням персональних даних.

6. Права субʼєкта даних

  1. Беручи до уваги характер Обробки даних, Обробник даних повинен допомагати Контролеру даних шляхом впровадження відповідних технічних та організаційних заходів, наскільки це можливо, для виконання зобов'язань Контролера даних, як це розумно розуміє Контролер даних, відповідати на запити щодо реалізації даних відповідно до законодавства про захист персональних даних. Права суб'єкта відповідно до законів про захист даних. 
  2. Обробник даних повинен:

a. негайно (але не пізніше ніж протягом 3 днів з моменту отримання такого запиту) повідомляти Контролера даних про отримання запиту від Суб'єкта даних відповідно до будь–якого законодавства про захист персональних даних; та

b. гарантувати, що він не надаватиме відповідь на такий запит, за винятком випадків, коли це здійснюється на підставі задокументованих інструкцій Контролера даних або відповідно до вимог застосовного законодавства про захист даних, що поширюється на Обробника даних. У такому випадку Обробник даних, наскільки це дозволено застосовним законодавством, зобов’язується попередньо повідомити Контролера даних про відповідну юридичну вимогу до надання відповіді на запит.

с. гарантувати реалізацію інших прав суб'єкта персональних даних згідно ст. 8 ЗУ “Про захист персональних даних”.

7. Обовʼязки контролера даних

  1. Контролер даних з моменту отримання Персональних даних зобов'язується виконувати обов'язки, покладені на нього відповідними положеннями законодавства, в тому числі ЗУ “Про захист персональних даних” та GDPR.
  2. Зокрема, Контролер даних зобов'язується самостійно отримати відповідну правову основу для обробки Персональних даних, наданих Обробнику даних.

8. Обовʼязки обробника даних

  1. Якщо Обробник даних діє від імені Контролера даних, він зобов'язаний виконувати обов'язки, покладені на Контролера даних GDPR, в тому числі, але не обмежуючись цим, виконувати обов'язки, покладені на Контролера даних:
    a. надання суб'єкту даних інформації про обробку персональних даних відповідно до ст. ст. 13 та 14 GDPR;
    b. укладення договорів, для виконання яких необхідно обробляти персональні дані.
  2. На додаток до зобов'язання Обробника даних допомагати Контролеру даних відповідно до вищезазначених підрозділів, Обробник даних також повинен допомагати Контролеру даних у забезпеченні дотримання наступних зобов'язань, беручи до уваги характер Обробки даних та інформацію, доступну Обробнику даних:
    a. обов'язок проводити оцінку впливу запланованих операцій з обробки на захист персональних даних ("оцінка впливу на захист даних") у випадках, коли тип обробки може призвести до високого ризику для прав і свобод фізичних осіб;
    b. обов'язок консультуватися з компетентним наглядовим органом/ами перед обробкою даних, якщо оцінка впливу на захист даних вказує на те, що обробка даних може призвести до високого ризику за відсутності заходів, вжитих Контролером даних для зменшення ризику;
    c. зобов'язання забезпечувати точність та актуальність персональних даних шляхом негайного інформування Контролера даних, якщо Обробнику даних стане відомо, що персональні дані, які він обробляє, є неточними або застарілими.
  3. Обробник даних повинен мати можливість продемонструвати дотримання зобов'язань, викладених у цьому пункті, на вимогу Контролера даних.

9. Субобробка

  1. Загальна авторизація. Контролер даних надає Обробнику даних загальну авторизацію відповідно до статті 28(2) GDPR залучати Субобробників з метою надання Послуг.
    Авторизовані Субобробники. Контролер даних погоджується, що: (a) Обробник може залучати Субобробників, зазначених у «Списку Субобробників PeopleForce», який може періодично оновлюватись; та (b) Контролер даних надає попередній загальний дозвіл Обробнику даних залучати подальших Субобробників за умови дотримання таких вимог:
    (a) Обробник даних обмежує доступ подальшого Субобробника до Персональних даних Клієнта лише обсягом, який є строго необхідним для надання Послуг та відповідно до Основної Угоди, і забороняє Субобробнику обробляти Персональні дані Клієнта з будь-якою іншою метою.
    (b) Обробник зобов’язується покласти на будь-якого залученого Субобробника договірні зобов’язання щодо захисту даних, включаючи відповідні технічні та організаційні заходи для захисту персональних даних, які зобов’язують такого Субобробника забезпечувати захист Персональних даних Клієнта на рівні, що вимагається Застосовним законодавством про захист даних.
    (c) Обробник даних залишається відповідальним і підзвітним за будь-яке порушення цього додатку про обробку персональних даних, спричинене дією або бездіяльністю його Субобробників.
  2. Повідомлення про зміни Субобробників. PeopleForce може, завчасно повідомивши Контролера даних, додавати або змінювати Субобробників, зазначених у Списку Субобробників PeopleForce. PeopleForce повідомлятиме Контролера даних щонайменше за двадцять (20) днів до таких змін шляхом (i) оновлення Списку Субобробників та (ii) надсилання автоматичних електронних листів усім Контролерам даних, які підписалися на розсилку оновлень щодо Субобробників. Щоб отримувати такі повідомлення, Контролер даних має підписатися через автоматичну форму, доступну на вебсайті PeopleForce (Trust Hub – Повідомлення PeopleForce Trust). Після підписки Контролера даних буде додано до спеціального списку розсилки, і він автоматично отримуватиме електронні повідомлення про будь-які оновлення у Списку Субобробників.
  3. Заперечення проти нових Субобробників. Контролер даних не повинен заперечувати проти призначення Субобробника, якщо обробка Персональних даних із залученням такого Субобробника може здійснюватися без порушення закону та без створення істотного ризику для прав чи свобод осіб, чиї дані передаються для обробки. Якщо Контролер даних обґрунтовано заперечує проти призначення нового Субобробника протягом двадцяти (20) днів з моменту отримання такого повідомлення, з міркувань захисту Персональних даних Контролера, Обробник даних добросовісно співпрацюватиме з Контролером даних для пошуку альтернативного рішення. Якщо сторони впродовж розумного часу не досягнуть взаємоприйнятного врегулювання,  Контролер даних має право припинити користування Послугами та розірвати як Основну угоду (Угоду про надання послуг), так і цей Додаток про обробку персональних даних, повідомивши про це PeopleForce.
    Якщо Контролер даних не подасть заперечення у встановлений вище строк, відсутність заперечення вважається згодою Контролера на залучення нового Субобробника.
  4. Обробник даних забезпечить укладення з кожним Субобробником належної угоди про обмін даними або іншого правового інструмента, який міститиме відповідні заходи захисту Персональних даних на рівні не нижчому за вимоги цієї Угоди про обробку персональних даних.
  5. Обробник даних має право передавати Персональні дані, довірені йому для обробки, отримувачам у країнах за межами Європейської економічної зони. У разі якщо щодо відповідної держави відсутнє рішення Європейської Комісії про належний рівень захисту, Обробник даних забезпечує застосування належного механізму міжнародної передачі даних, який уможливлює таку передачу на законних підставах, а також, за необхідності, впровадження відповідних технічних та організаційних заходів безпеки.

    Опціональне використання штучного інтелекту (ШІ)
  6. PeopleForce може надавати опційний функціонал на основі технологій штучного інтелекту (ШІ), зокрема інструменти для генерації документів, семантичного пошуку, розпізнавання мовлення (voice-to-text) та витягу структурованих даних. Ці функції реалізовані через інтеграцію з перевіреними сторонніми постачальниками.
  7. Функції ШІ за замовчуванням вимкнені та активуються лише за прямої ініціативи Клієнта через налаштування платформи. У разі їх активації Обробка персональних даних здійснюється виключно від імені Клієнта, відповідно до положень цього Додатку про обробку персональних даних та вимог чинного законодавства про захист персональних даних.
  8. PeopleForce не використовує Дані Клієнта для навчання, перенавчання або вдосконалення базових моделей ШІ. Крім того, провайдери ШІ не отримують жодних прав на використання Даних Клієнта з метою навчання моделей.
  9. Додаткову інформацію, включаючи перелік субпроцесорів ШІ та застосовувані механізми захисту, наведено в Додатку щодо використання ШІ від PeopleForce, який є невід’ємною частиною наших Угоди про надання послуг.

10. Порушення персональних даних

  1. Обробник даних зобов'язаний повідомити Контролера даних без невиправданої затримки (але в жодному разі не пізніше ніж протягом 72 годин з моменту виникнення такого Порушення персональних даних), коли йому стане відомо про Порушення персональних даних, що стосується персональних даних, надавши Контролеру даних достатню інформацію, щоб дозволити Контролеру даних виконати будь-які зобов'язання щодо повідомлення або інформування Суб'єктів даних та наглядових органів про Порушення персональних даних відповідно до законів про захист даних.
  2. У випадку Порушення персональних даних, що стосується персональних даних, і на конкретний письмовий запит Контролера даних, Обробник даних повинен надати допомогу Контролеру даних:
    a. повідомляти про порушення персональних даних компетентний(і) наглядовий(і) орган(и) (в тому числі відповідно до ст. 22 ЗУ “Про захист персональних даних”) без невиправданої затримки після того, як про це стало відомо Контролеру даних, якщо це доречно/(якщо тільки порушення персональних даних навряд чи призведе до ризику для прав і свобод фізичних осіб);
    b. в отриманні наступної інформації, яка, згідно зі статтею 33(3) GDPR, повинна бути зазначена в повідомленні і, як мінімум, включати наступне:

    i. характер Персональних даних, включаючи, за можливості, категорії та приблизну кількість відповідних Суб'єктів даних, а також категорії та приблизну кількість відповідних записів Персональних даних;
    ii. ймовірні наслідки витоку персональних даних;
    iii. заходи, які було вжито або запропоновано вжити для усунення Порушення персональних даних, включаючи, за необхідності, заходи для пом'якшення його можливих негативних наслідків.

    Якщо і в тій мірі, в якій неможливо надати всю цю інформацію одночасно, первинне повідомлення повинно містити наявну на той момент інформацію, а подальша інформація, в міру її надходження, надається без невиправданої затримки.
  3. Обробник даних повинен співпрацювати з Контролером даних і вживати всіх необхідних заходів за вказівкою Контролера даних, щоб допомогти в розслідуванні, пом'якшенні та виправленні кожного такого Порушення персональних даних.

11. Оцінка впливу на захист даних, попередні консультації та права на аудит

  1. Обробник даних повинен надавати допомогу Контролеру даних у проведенні будь-яких оцінок впливу на захист даних та попередніх консультацій з Наглядовим органом/ами або іншими компетентними органами з питань захисту даних, які Контролер даних обґрунтовано вважає необхідними відповідно до статті 35 або 36 GDPR або аналогічних положень будь-якого Закону про захист даних, у зв'язку з обробкою персональних даних Обробником даних, а також з урахуванням характеру обробки та інформації, доступної для Обробника даних та субобробників.
  2. Обробник даних повинен надати Контролеру даних всю інформацію, необхідну для демонстрації дотримання зобов'язань, які викладені в цій Угоді та/або безпосередньо випливають з GDPR або іншого застосовного законодавства про захист даних. На вимогу Контролера даних, Обробник даних також повинен дозволити та сприяти проведенню аудитів діяльності з обробки даних, охопленої цим Додатком, через розумні проміжки часу або за наявності ознак невідповідності. Приймаючи рішення про перевірку або аудит, Контролер даних може взяти до уваги відповідні сертифікати, наявні у Обробника даних.
  3. Контролер даних або уповноважений ним зовнішній аудитор має право перевіряти дотримання Обробником даних правил обробки Персональних даних, зазначених в Угоді і в чинному законодавстві, зокрема, шляхом запиту інформації про обробку Персональних даних Обробником даних, необхідної для демонстрації дотримання конкретних зобов'язань, передбачених ст. 28 GDPR, технічних та організаційних заходів, що використовуються для забезпечення того, щоб обробка даних здійснювалася відповідно до закону, або перевіряти Обробника даних, після попередньої домовленості Сторін за 10 днів до запланованого контролю. Обробник даних виконає необхідні дії, щоб дозволити Контролеру даних реалізувати це право.
  4. Контролер даних може надавати інформацію, зазначену в цьому розділі, включаючи результати будь–яких перевірок, компетентним наглядовим органам за запитом.

12. Передача даних

  1. Якщо персональні дані, що обробляються за цим Додатком, передаються з країни, що входить до Європейського економічного простору, до країни, що не входить до Європейського економічного простору, Сторони повинні забезпечити належний захист персональних даних. Кожного разу, коли рішення Європейської Комісії, що визначає належний рівень захисту, не було видано для такої держави, застосовується відповідний механізм, що дозволяє законну передачу даних, а також відповідні Заходи безпеки, якщо це необхідно.  Для досягнення цієї мети Сторони, якщо не погоджено інше, покладаються на затверджені ЄС стандартні договірні положення щодо передачі персональних даних.

13. Конфіденційність

  1. Кожна зі Сторін зобов’язується зберігати конфіденційність цього Додатку, а також будь-якої інформації, отриманої від іншої Сторони у зв’язку з виконанням цього Додатку, що стосується іншої Сторони, її діяльності або Персональних даних (далі —«Конфіденційна інформація»).

Сторони не мають права використовувати або розкривати Конфіденційну інформацію без попередньої письмової згоди іншої Сторони, за винятком випадків, коли таке розкриття є необхідним:
a. у разі, якщо розкриття Конфіденційної інформації прямо вимагається законодавством;
b. якщо відповідна інформація є загальнодоступною, за умови що вона не стала такою внаслідок порушення зобов’язань щодо конфіденційності;
c. у випадках та в обсязі, передбачених статтею 5 Закону України «Про захист персональних даних».

14. Строк дії додатку

  1. Цей Додаток укладається на строк дії Основного договору між Сторонами.
  2. Обробка персональних даних у межах цього Додатку здійснюється протягом строку, необхідного для надання Послуг Контролеру даних, але в будь-якому разі не довше, ніж до припинення або закінчення строку дії Угоди про надання послуг (Основного договору).

Припинення або розірвання Основного договору тягне за собою автоматичне припинення дії цього Додатку.

15. Порушення умов та розірвання Додатку

  1. Без шкоди для будь-яких положень GDPR та застосовного законодавства про захист персональних даних, у разі якщо Обробник даних порушує свої зобов’язання за цим Додатком або вимоги законодавства про захист персональних даних, Контролер даних має право доручити Обробнику даних призупинити обробку Персональних даних до моменту усунення такого порушення та відновлення дотримання вимог цього Додатку і законодавства про захист персональних даних або до припинення дії цього Додатку.
  2. Обробник даних зобов’язується негайно повідомити Контролера даних, якщо з будь-яких причин він не може виконувати вимоги цього Додатку або застосовного законодавства про захист персональних даних.
  3. Контролер даних має право розірвати цей Додаток та Основний договір без попереднього повідомлення, якщо настане будь-яка з таких обставин:

a) обробку Персональних даних Обробником даних було призупинено Контролером даних і така обробка не була відновлена протягом розумного строку, але в будь-якому разі не пізніше ніж протягом чотирнадцяти (14) календарних днів з дати призупинення, відповідно до вимог законодавства про захист персональних даних;

b) Обробник даних суттєво або систематично порушує положення цього Додатку або свої зобов’язання відповідно до GDPR чи іншого застосовного законодавства про захист персональних даних;

c) Обробник даних не виконує обов’язкове до виконання рішення компетентного суду або наглядового органу щодо своїх зобов’язань за цим Додатком, GDPR та/або іншим застосовним законодавством про захист персональних даних.

  1. Підстави для розірвання, визначені в цьому розділі, не обмежують будь-які інші права Контролера даних на розірвання Основного договору, передбачені його умовами.
  2. Обробник даних має право розірвати цей Додаток, якщо після належного повідомлення Контролера даних про те, що надані ним інструкції порушують застосовні правові вимоги, Контролер даних наполягає на виконанні таких інструкцій.

16. Видалення або повернення персональних даних

  1. Обробник даних зобов'язується негайно після припинення надання будь–яких Послуг, пов'язаних з обробкою Персональних даних Контролера даних (включаючи, без обмежень, видалення облікового запису Контролера даних відповідно до Основного договору або припинення дії Основного договору та/або цього Додатку), на вибір Контролера даних, видалити всі Персональні дані, оброблені від імені Контролера даних, і засвідчити Контролеру даних, що він це зробив, або повернути всі Персональні дані Контролеру даних і видалити наявні копії, якщо тільки законодавство Союзу або Держави-члена не вимагає зберігання персональних даних. Доки дані не будуть видалені або повернуті, Обробник даних повинен продовжувати забезпечувати дотримання цієї Угоди.

17. Інші положення

1. Зміна умов. PeopleForce може час від часу оновлювати цей Додаток про обробку персональних даних, щоб відобразити:
(a) зміни, необхідні для дотримання чинних законів і нормативних вимог; або
(b) технологічні та організаційні оновлення, спрямовані на підвищення якості та безпеки Продукту;
за умови, що такі оновлення не призводитимуть до істотного зниження рівня захисту персональних даних Клієнта, встановленого цим Додатком про обробку персональних даних.
Будь-яка оновлена версія цим Додатком про обробку персональних даних публікується на веб-сайті PeopleForce і, якщо не вказано пізнішу дату набрання чинності, є обов’язковою для всіх Клієнтів з дати публікації.
2. Оновлення, здійснені відповідно до цього Розділу, не скасовують індивідуально узгоджених умов підписаного Додатку про обробку персональних даних між PeopleForce та конкретним Клієнтом. Якщо оновлення впливають на такі індивідуально погоджені умови, Клієнт може протягом чотирнадцяти (14) днів з моменту отримання повідомлення про оновлення звернутися до Юридичного відділу PeopleForce за адресою security@peopleforce.io з проханням про:

(a) внесення змін до підписаного Додатку про обробку персональних даних; або
(b) заміну чинного Додатку про обробку персональних даних на оновлену версію, опубліковану PeopleForce.
Якщо Клієнт не висуне заперечень у встановлений вище строк, відсутність заперечення вважається згодою Клієнта з оновленою версією Додатку про обробку персональних даних.
3. Сторони погоджуються, що відповідальність Обробника даних перед Контролером даних виникає в результаті доведеного прямого або непрямого порушення або невиконання будь–якого зобов'язання, зазначеного в цьому Додатку, пов'язаного із захистом даних (включаючи, без обмежень, положення цієї Угоди або GDPR) з боку Обробника даних.
4. Сторони погоджуються, що Обробник даних не несе відповідальності за дії Контролера даних, а саме за збір Контролером даних і завантаження в системи Обробника даних Персональних даних працівників, рекрутерів, будь–яких третіх осіб Контролера даних, включаючи Персональні дані, які Контролер даних збирає з систем, що інтегруються з Платформою Обробника даних.
5. Усі повідомлення та комунікації, що надаються в рамках цього Додатку, повинні бути в письмовій формі та надсилатися електронною поштою на адресу contact@peopleforce.io або на електронну адресу уповноваженого з питань захисту персональних даних security@peopleforce.io
6. Цей Додаток підлягає тлумаченню та застосуванню з урахуванням положень GDPR та іншого застосовного законодавства про захист персональних даних. Жодне положення цього Додатку не може тлумачитися або застосовуватися таким чином, що обмежує, звужує чи іншим чином суперечить правам та обов’язкам, встановленим таким законодавством, або порушує основоположні права і свободи Суб’єктів даних.

 Додаток № 1

Обсяг довірених даних

Категорії суб'єктів даних, чиї дані довіряються

Категорії даних

Діяльність з обробки даних

Тривалість обробки даних

Дані співробітників, волонтерів, агентів, тимчасових та сезонних працівників, кандидатів, акціонерів, родичів, опікунів і співробітників суб'єкта даних, експертів, консультантів та інших професійних фахівців.

Усі особисті дані, які Контролер даних та будь-який користувач, якому Контролер даних надав доступ до Платформи PeopleForce, завантажують до систем Обробника, включаючи, зокрема, але не обмежуючись:

контактні та адресні дані, такі як:

Ім'я та прізвище користувача.

Адреса електронної пошти.

Поштова адреса.

Номер телефону.

Поштовий індекс.

Адреса місця проживання або роботи.

Країна/регіон.

Додаткові контактні дані (наприклад, Skype, Telegram і т. д.).

Інша інформація для зв'язку та адресування.

дані, що містяться у документах кандидатів, включаючи резюме, анкети, тести, результати співбесід, такі як:

Резюме кандидатів.

Анкети, заповнені кандидатами.

Результати пройдених тестів кандидатами.

Результати співбесід.

Цілі співробітників, KPI, результати, результати періодичного оцінювання, оціночні листи, відгуки,

результати опитувань щодо задоволеності робочим місцем та залученості співробітників

дані, надані в заявках, запитах, скаргах, пропозиціях, такі як:

Показники продуктивності.

Результати періодичної оцінки.

Оціночні листи.

Зворотний зв'язок.

Результати опитувань з задоволення роботою та залученістю співробітників.

Дані, надані в заявках, запитах, скаргах, пропозиціях.

дані про відвідуваність, відсутності, відпустки

дані про укладення та припинення трудових відносин,

заробітна плата та інші працевлаштування, такі як:

Відвідуваність.

Відсутності.

Відпустки.

Дані про створення та припинення трудових відносин.

Дані про виплати заробітної плати.

будь-які інші дані, що стосуються працевлаштування або пов'язані з послугами, наданими Контролеру даних, введені в Платформу Peopleforce

дані, що випливають зі складання вищезазначених даних.

Всі операції, які можуть бути виконані з особистими даними, незалежно від того, чи вони виконуються автоматизованим шляхом, включаючи збір, запис, організацію, структурування, зберігання, адаптацію або зміну, витяг, консультацію, використання, розкриття за допомогою передачі, поширення або іншим чином доступу, вирівнювання або комбінацію, обмеження, видалення або знищення даних.

Протягом дії основної Угоди.