Trust Hub

Юридичні ресурси в PeopleForce

Угода про обробку персональних даних
icon

Угода про обробку персональних даних

Останнє оновлення: 1 червня 2025 року

Останнє оновлення: 1 червня 2025 року

Вітаємо на платформі PeopleForce. Ця Угода про обробку персональних даних (далі — «Угода») укладається між:

відповідною юридичною особою PeopleForce, що вказана в основному договорі (Угоді про надання послуг), з якою Клієнт уклав договірні відносини щодо надання Послуг та на користь якої здійснюється передплата Послуг  (далі — «PeopleForce», «Ми» або «Обробник»),

та

Вами (далі — «Контролер даних», «Ви» або «Клієнт»),

разом іменуються «Сторони».

У цій Угоді термін «PeopleForce» означає конкретну юридичну особу з групи компаній PeopleForce, яка уклала Умови надання послуг із Клієнтом. Це може бути одна з таких компаній, зокрема (але не обмежуючись):

  • PEOPLEFORCE LTD (Велика Британія)
  • PEOPLE FORCE Sp. z o.o. (Польща)
  • PEOPLEFORCE LLC (Україна)
  • PeopleApps OÜ (Естонія)

Юридична особа, що виступає Обробником персональних даних відповідно до цієї Угоди, завжди є тією самою юридичною особою, що визначена в Угоді про надання послуг з Клієнтом і яка відповідно є отримувачем передплати за Послуги.

Ця Угода про обробку персональних даних є невід’ємною частиною Угоди про надання послуг та визначає ролі й обов’язки Сторін відповідно до чинного законодавства про захист персональних даних у контексті обробки персональних даних у межах платформи PeopleForce.

Беручи до уваги, що

  1. (A) Обробник, як Постачальник послуг, надає платформу PeopleForce в розпорядження Контролера даних відповідно до Угоди про умови використання платформи PeopleForce (далі – "Основна угода"), підписаної Сторонами.
  2. (B) Користуючись послугами Обробника, Контролер даних повинен буде завантажувати персональні дані в системи Обробника, щодо яких Контролер даних виступає як Контролер даних, а Обробник даних – як Обробник даних.
  3. (C) Законодавство про захист даних, означає: Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року — Загальний регламент про захист даних (GDPR); Загальний регламент Великої Британії про захист даних (UK GDPR) та Закон про захист даних 2018 року (зі змінами), що застосовується у Великій Британії; Закон України «Про захист персональних даних» № 2297-VI від 1 червня 2010 року (зі змінами).
  4. (D) Сторони прагнуть виконувати угоду про обробку даних, яка відповідає законодавству про захист даних;
  5. (E) Сторони бажають викласти свої права та обов'язки.

Домовились про наступне:

1. Визначення та тлумачення термінів

  1. Якщо в цій Угоді не визначено інше, терміни та вирази з великої літери, що використовуються в цій Угоді, мають наступне значення:

a. "DPA" означає цю Угоду про обробку даних та всі додатки (за наявності);

b. "Персональні дані Контролера даних" – це Персональні дані, які обробляються Обробником даних від імені Контролера даних відповідно до Договору про надання послуг або у зв'язку з ним та цією Угодою, зазначені в Додатку 1 до цієї Угоди;

c. "Обробка" означає будь–яку операцію або набір операцій, які виконуються над Персональними даними або наборами Персональних даних, як автоматизованими, так і неавтоматизованими засобами, такі як збір, запис, організація, структурування, зберігання, адаптація або зміна, пошук, консультація, використання, розкриття шляхом передачі, розповсюдження або іншого надання, узгодження або комбінування, обмеження, видалення або знищення;

d. "Законодавство про захист даних" означає GDPR і, наскільки це застосовно, закони про захист даних або конфіденційність будь–якої країни, зокрема Британський закон про захист даних від 2018 року;

e. "ЄЕЗ" означає Європейський економічний простір;

f. "GDPR" означає Загальний регламент ЄС про захист даних 2016/679

g. "Передача даних" означає:

-передача Персональних даних Контролера даних від Контролера даних до Обробника даних; або

-подальша передача персональних даних Контролера даних Субобробнику або між двома Субобробниками;

h. "Основна угода" означає Угоду про надання послуг (використання платформи PeopleForce) зазначену в пункті (А) вище;

i. "Послуги" означає послуги, що надаються Обробником даних Контролеру даних відповідно до Основної угоди;

j. "Субобробник" означає будь–яку особу, призначену Обробником даних або від його імені для обробки Персональних даних від імені Контролера даних у зв'язку з цим DPA.

k. Інші терміни, включаючи, але не обмежуючись ними: "Комісія", "Контролер", "Суб'єкт даних", "Держава–член", "Персональні дані", "Порушення персональних даних", "Обробка" та "Наглядовий орган", мають те саме значення, що й у GDPR, а їхні споріднені терміни тлумачаться відповідно.

2. Субʼєкт угоди та обсяг, мета і характер обробки персональних даних

  1. На підставі ст. 28 розділу 3 GDPR Контролер даних доручає Обробнику персональні дані для обробки, а Обробник зобов'язується обробляти їх відповідно до Угоди. 
  2. Метою обробки Персональних даних є виконання Основної угоди, зокрема надання Послуг, таких як збір, запис, організація, структурування, зберігання, пошук, комбінування та видалення Персональних даних в рамках Обробника Платформи PeopleForce.
  3. Персональні дані будуть оброблятися Обробником в електронній формі в інформаційних системах. Сторони заявляють, що з метою виконання своїх зобов'язань за Основним договором вони надаватимуть одна одній персональні дані лише в обсязі, необхідному для цієї мети, а саме:

    a. персональні дані представників кожної Сторони, такі як: ім'я, прізвище та посада,
    b. персональні дані працівників Контролера даних, які беруть участь у виконанні Договору, такі як: ім'я, прізвище, посада, адреса електронної пошти та номер робочого телефону.
  4. Кожна Сторона обробляє дані осіб, зазначених в Основному договорі, з метою виконання та врегулювання Основного договору, а також для цілей, що випливають із законних інтересів, пов'язаних із встановленням, ствердженням або захистом правових вимог, що випливають з Основного договору або у зв'язку з ним.
  5. Для уникнення будь–яких сумнівів, Сторони підтверджують, що коли Персональні дані передаються іншій стороні, інша сторона стає окремим контролером цих Персональних даних у значенні статті 4(7) GDPR, тобто вона обробляє їх для різних цілей і самостійно та незалежно приймає рішення про способи їх обробки.
  6. Обробник зобов'язується виконувати від імені Контролера даних зобов'язання щодо інформування вказаних ним осіб, зазначених у вищезазначеному DPA, включаючи інформування їх про надання їхніх даних Контролеру даних в обсязі та для цілей, описаних вище, зокрема, вказуючи інформацію, яка вимагається відповідно до статей 13 та 14 GDPR. 

3. Принципи обробки персональних даних

  1. Обробник може обробляти Персональні дані лише в обсязі та з метою, передбаченими DPA та Основною угодою. Контролер даних доручає Обробнику обробляти Персональні дані з конкретною метою надання Послуг. Оскільки, користуючись Послугами Обробника, Контролер даних самостійно завантажує Персональні дані в системи Обробника, щодо яких Постачальник послуг виступає в якості Обробника даних, сторони домовилися, зокрема, про певні обмеження відповідальності Обробника даних, а саме:

    a. Контролер передає свої Персональні дані, а Обробник збирає Персональні дані Контролера як суб'єкта персональних даних виключно з метою надання доступу до Платформи (її модулів), зокрема, такі дані, як ПІБ користувача або повна назва компанії, реєстраційні дані, адреса електронної пошти, інші дані, необхідні для реєстрації;
    b. Після надання Контролеру доступу до Платформи, Контролер самостійно та на власний розсуд збирає та завантажує Персональні дані своїх працівників, рекрутерів, третіх осіб до систем Обробника; таким чином, Обробник не збирає такі Персональні дані, а лише зберігає їх, а тому не несе відповідальності за їх достовірність, точність, законність, правомірність, законний спосіб їх збору тощо;
    c. Контролер даних несе повну відповідальність перед Суб'єктами даних, дані яких Контролер даних самостійно збирає та завантажує в системи Обробника даних, включаючи Персональні дані, отримані з систем, які інтегруються з Платформою, а саме за їх законність, точність, достовірність, законний спосіб їх збору тощо.
    d. Зазначається, що хоча модулі платформи PeopleForce надають користувачам можливість додавати додаткові поля і вводити в них будь–які дані, Обробник даних не сприяє введенню або зберіганню “чутливих” даних користувачами платформи. Це включає, але не обмежується, особисту інформацію про дітей, дані, пов'язані зі здоров'ям, та медичні записи, банківські реквізити користувачів тощо.
    Якщо Контролер даних (або будь–який Суб'єкт даних) завантажує такі “чутливі” дані, Обробник даних не несе відповідальності за законність збору та завантаження таких даних до системи Обробника даних.
  2. При обробці персональних даних Обробник зобов'язується дотримуватися положень про захист персональних даних, зокрема GDPR.
  3. Якщо Обробка стосується Персональних даних, що розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство в профспілках, генетичні дані або біометричні дані з метою однозначної ідентифікації фізичної особи, дані, що стосуються здоров'я, статевого життя або сексуальної орієнтації особи, або дані, що стосуються судимості та правопорушень, Обробник застосовує конкретні обмеження, заборони та/або додаткові заходи безпеки відповідно до вимог чинного законодавства, зокрема, відповідно до ст. 7 ЗУ “Про захист персональних даних”.
  4. Обробник заявляє, що він має ресурси, досвід, знання та кваліфікований персонал, які дозволяють йому належним чином виконувати дану Угоду та впроваджувати відповідні технічні та організаційні заходи для забезпечення того, щоб обробка відповідала вимогам законодавства.
  5. Обробник заявляє, що він вжив ефективних технічних та організаційних заходів для захисту Персональних даних від розголошення неуповноваженим особам, видалення неуповноваженою особою, обробки з порушенням закону та пошкодження, знищення, втрати або незаконної зміни. Обробник заявляє, що використовувані ним засоби залишаються відповідно до положень GDPR щодо безпеки обробки, включаючи ст. 32.
  6. Обробник зобов'язується зберігати конфіденційність Персональних даних та вживати заходів щодо їх захисту, включаючи також період після припинення дії даної Угоди, а також зобов'язується забезпечити, щоб його працівники та інші особи, уповноважені обробляти довірені Персональні дані, зобов'язувалися зберігати в таємниці Персональні дані та заходи щодо їх захисту, в тому числі після припинення дії DPA.
  7. Обробник зобов'язується, беручи до уваги характер обробки та наявну в нього інформацію, допомагати Контролеру даних у виконанні зобов'язань, викладених у ст. ст. 32–36 GDPR; зокрема, Обробник зобов'язується надавати Контролеру достатню інформацію та виконувати його вказівки щодо засобів захисту довірених персональних даних, порушень персональних даних, які є предметом DPA, та повідомлення наглядового органу або осіб, яких стосуються персональні дані, допомагати у проведенні оцінки впливу на захист даних, а також у попередній консультації з наглядовим органом та виконанні рекомендацій органу.
  8. Обробник зобов'язується негайно надати Контролеру даних інформацію про порушення персональних даних, довірених Обробнику, включаючи інформацію, необхідну для того, щоб Контролер даних міг повідомити про порушення наглядовий орган, зазначений у ст. 33 п. 3 GDPR.
  9. Обробник зобов'язується допомагати Контролеру даних, наскільки це можливо, за допомогою відповідних технічних та організаційних заходів та на основі окремих домовленостей, у виконанні зобов'язання відповідати на запити суб'єктів даних при здійсненні їхніх прав, викладених у Главі III GDPR.
  10. Обробник зобов'язується негайно інформувати Контролера даних, якщо, на думку Обробника, видані йому інструкції становлять порушення GDPR або інших положень законодавства про захист даних.
  11. Обробник зобов'язується негайно повідомити Контролера даних про:

a. ініціювання перевірки наглядовим органом, що займається захистом персональних даних, у зв'язку з дорученням Обробнику обробки персональних даних, а також будь–які адміністративні рішення, прийняті щодо Обробника у зв'язку з вищезазначеним;

b. розпочаті або триваючі адміністративні, судові або підготовчі провадження, пов'язані з дорученням Обробнику обробки Персональних даних, а також про будь–які рішення, розпорядження або постанови, винесені проти Обробника у зв'язку з вищезазначеним;

c. будь–які інциденти, що стосуються Персональних даних, довірених для обробки Обробнику, в тому числі випадковий або несанкціонований доступ до довірених Персональних даних, випадки зміни, втрати, пошкодження або знищення довірених Персональних даних.

4. Персонал обробника

  1. Обробник вживає необхідних заходів для забезпечення надійності будь–якого працівника, агента або підрядника Обробника або будь–якого Субобробника, який може мати доступ до Персональних даних, гарантуючи в кожному випадку, що доступ суворо обмежений тими особами, яким необхідно знати / мати доступ до відповідних Персональних даних, як це суворо необхідно для цілей Основної угоди, а також для дотримання чинного законодавства в контексті обов'язків цієї особи перед Обробником, гарантуючи, що на всіх таких осіб поширюються зобов'язання щодо дотримання конфіденційності або професійні чи статутні зобов'язання щодо конфіденційності.

5. Безпека

  1. Беручи до уваги сучасні умови, витрати на впровадження та характер, обсяг, контекст і цілі обробки, а також ризик різної ймовірності та серйозності для прав і свобод фізичних осіб, Обробник зобов'язаний вживати щодо Персональних даних відповідні технічні та організаційні заходи для забезпечення рівня безпеки, що відповідає цьому ризику, включаючи, у відповідних випадках, заходи, зазначені в статті 32(1) GDPR. 
  2. Оцінюючи належний рівень безпеки, Обробник повинен враховувати, зокрема, ризики, пов'язані з Обробкою, зокрема, з Порушенням персональних даних.

6. Права субʼєкта даних

  1. Беручи до уваги характер Обробки, Обробник повинен допомагати Контролеру даних шляхом впровадження відповідних технічних та організаційних заходів, наскільки це можливо, для виконання зобов'язань Контролера даних, як це розумно розуміє Контролер даних, відповідати на запити щодо реалізації даних відповідно до законодавства про захист персональних даних. Права суб'єкта відповідно до законів про захист даних. 
  2. Обробник повинен:

a. негайно (але не пізніше ніж протягом 3 днів з моменту отримання такого запиту) повідомляти Контролера даних про отримання запиту від Суб'єкта даних відповідно до будь–якого законодавства про захист персональних даних; та

b. гарантувати, що він не відповідатиме на цей запит, за винятком задокументованих інструкцій Контролера даних або відповідно до вимог чинного законодавства про захист даних, на яке поширюється дія Обробника, і в цьому випадку Обробник повинен, наскільки це дозволено чинним законодавством, інформувати Контролера даних про цю юридичну вимогу перед надсиланням відповіді на запит.

с. гарантувати реалізацію інших прав суб'єкта персональних даних згідно ст. 8 ЗУ “Про захист персональних даних”.

7. Обовʼязки контролера даних

  1. Контролер даних з моменту отримання Персональних даних зобов'язується виконувати обов'язки, покладені на нього відповідними положеннями законодавства, в тому числі ЗУ “Про захист персональних даних” та GDPR.
  2. Зокрема, Контролер даних зобов'язується самостійно отримати відповідну правову основу для обробки Персональних даних, наданих Обробнику.

8. Обовʼязки обробника

  1. Якщо Обробник діє від імені Контролера даних, він зобов'язаний виконувати обов'язки, покладені на Контролера даних GDPR, в тому числі, але не обмежуючись цим, виконувати обов'язки, покладені на Контролера даних:
    a. надання суб'єкту даних інформації про обробку персональних даних відповідно до ст. ст. 13 та 14 GDPR;
    b. укладення договорів, для виконання яких необхідно обробляти персональні дані.
  2. На додаток до зобов'язання Обробника допомагати Контролеру даних відповідно до вищезазначених підрозділів, Обробник даних також повинен допомагати Контролеру даних у забезпеченні дотримання наступних зобов'язань, беручи до уваги характер Обробки даних та інформацію, доступну Обробнику:
    a. обов'язок проводити оцінку впливу запланованих операцій з обробки на захист персональних даних ("оцінка впливу на захист даних") у випадках, коли тип обробки може призвести до високого ризику для прав і свобод фізичних осіб;
    b. обов'язок консультуватися з компетентним наглядовим органом/ами перед обробкою, якщо оцінка впливу на захист даних вказує на те, що обробка може призвести до високого ризику за відсутності заходів, вжитих Контролером даних для зменшення ризику;
    c. зобов'язання забезпечувати точність та актуальність персональних даних шляхом негайного інформування Контролера даних, якщо Обробнику стане відомо, що персональні дані, які він обробляє, є неточними або застарілими.
  3. Обробник повинен мати можливість продемонструвати дотримання зобов'язань, викладених у цьому пункті, на вимогу Контролера даних.

9. Субобробка

  1. Обробник має право надалі доручати обробку Персональних даних іншим Субобробникам, в тій мірі, в якій це необхідно для надання послуг відповідно до Основного договору. Ця згода поширюється на суб'єктів, про залучення яких Обробник повідомить Контролера даних (у письмовій або електронній формі), і проти яких Контролер даних не заперечуватиме протягом 7 днів з моменту отримання повідомлення (у письмовій або електронній формі).
  2. У разі заперечення, Обробник докладе зусиль для зміни залучення подальшого суб'єкта відповідно до висунутого заперечення. Контролер даних не повинен заперечувати проти призначення Субобробника, якщо обробка Персональних даних за допомогою зазначеного Субобробника буде можлива без порушення закону або спричинить значний ризик для прав чи свобод осіб, чиї дані будуть передані на обробку. 
  3. Обробник гарантує, що з кожним Субпроцесором буде укладено відповідну угоду про обмін даними або інший документ, і що така угода або документ включатиме відповідні заходи щодо захисту Персональних даних на рівні, який є не менш суворим, ніж той, що випливає з цієї Угоди.
  4. Обробник може передавати Персональні дані, довірені йому для обробки, суб'єктам, розташованим у країнах, що не входять до Європейського економічного простору. Обробник гарантує, що кожного разу, коли рішення Європейської Комісії про відсутність адекватного рівня захисту для такої держави не було прийнято, застосовується відповідний механізм, що дозволяє законну передачу даних, а також відповідні Заходи безпеки, якщо це необхідно.

    Опціональне використання штучного інтелекту (ШІ)
  5. PeopleForce може надавати опційний функціонал на основі технологій штучного інтелекту (ШІ), зокрема інструменти для генерації документів, семантичного пошуку, розпізнавання мовлення (voice-to-text) та витягу структурованих даних. Ці функції реалізовані через інтеграцію з перевіреними сторонніми постачальниками.
  6. Функції ШІ за замовчуванням вимкнені та активуються лише за прямої ініціативи Клієнта через налаштування платформи. У разі їх активації обробка персональних даних здійснюється виключно від імені Клієнта, відповідно до положень цієї Угоди про обробку персональних даних та вимог чинного законодавства про захист персональних даних.
  7. PeopleForce не використовує Дані Клієнта для навчання, перенавчання або вдосконалення базових моделей ШІ. Крім того, провайдери ШІ не отримують жодних прав на використання Даних Клієнта з метою навчання моделей.
  8. Додаткову інформацію, включаючи перелік субпроцесорів ШІ та застосовувані механізми захисту, наведено в Додатку щодо використання ШІ від PeopleForce, який є невід’ємною частиною наших Угоди про надання послуг.

10. Порушення персональних даних

  1. Обробник зобов'язаний повідомити Контролера даних без невиправданої затримки (але в жодному разі не пізніше ніж протягом 72 годин з моменту виникнення такого Порушення персональних даних), коли йому стане відомо про Порушення персональних даних, що стосується персональних даних, надавши Контролеру даних достатню інформацію, щоб дозволити Контролеру даних виконати будь-які зобов'язання щодо повідомлення або інформування Суб'єктів даних та наглядових органів про Порушення персональних даних відповідно до законів про захист даних.
  2. У випадку Порушення персональних даних, що стосується персональних даних, і на конкретний письмовий запит Контролера даних, Обробник повинен надати допомогу Контролеру даних:
    a. повідомляти про порушення персональних даних компетентний(і) наглядовий(і) орган(и) (в тому числі відповідно до ст. 22 ЗУ “Про захист персональних даних”) без невиправданої затримки після того, як про це стало відомо Контролеру даних, якщо це доречно/(якщо тільки порушення персональних даних навряд чи призведе до ризику для прав і свобод фізичних осіб);
    b. в отриманні наступної інформації, яка, згідно зі статтею 33(3) GDPR, повинна бути зазначена в повідомленні і, як мінімум, включати наступне:

    i. характер Персональних даних, включаючи, за можливості, категорії та приблизну кількість відповідних Суб'єктів даних, а також категорії та приблизну кількість відповідних записів Персональних даних;
    ii. ймовірні наслідки витоку персональних даних;
    iii. заходи, які було вжито або запропоновано вжити для усунення Порушення персональних даних, включаючи, за необхідності, заходи для пом'якшення його можливих негативних наслідків.

    Якщо і в тій мірі, в якій неможливо надати всю цю інформацію одночасно, первинне повідомлення повинно містити наявну на той момент інформацію, а подальша інформація, в міру її надходження, надається без невиправданої затримки.
  3. Обробник повинен співпрацювати з Контролером даних і вживати всіх необхідних заходів за вказівкою Контролера даних, щоб допомогти в розслідуванні, пом'якшенні та виправленні кожного такого Порушення персональних даних.

11. Оцінка впливу на захист даних, попередні консультації та права на аудит

  1. Обробник повинен надавати допомогу Контролеру даних у проведенні будь-яких оцінок впливу на захист даних та попередніх консультацій з Наглядовим органом/ами або іншими компетентними органами з питань захисту даних, які Контролер даних обґрунтовано вважає необхідними відповідно до статті 35 або 36 GDPR або аналогічних положень будь-якого Закону про захист даних, у зв'язку з обробкою персональних даних обробником, а також з урахуванням характеру обробки та інформації, доступної для обробника та субобробників.
  2. Обробник повинен надати Контролеру даних всю інформацію, необхідну для демонстрації дотримання зобов'язань, які викладені в цій Угоді та/або безпосередньо випливають з GDPR або іншого застосовного законодавства про захист даних. На вимогу Контролера даних, Обробник також повинен дозволити та сприяти проведенню аудитів діяльності з обробки даних, охопленої цією Угодою, через розумні проміжки часу або за наявності ознак невідповідності. Приймаючи рішення про перевірку або аудит, Контролер даних може взяти до уваги відповідні сертифікати, наявні у Обробника.
  3. Контролер даних або уповноважений ним зовнішній аудитор має право перевіряти дотримання Обробником правил обробки Персональних даних, зазначених в Угоді і в чинному законодавстві, зокрема, шляхом запиту інформації про обробку Персональних даних Обробником, необхідної для демонстрації дотримання конкретних зобов'язань, передбачених ст. 28 GDPR, технічних та організаційних заходів, що використовуються для забезпечення того, щоб обробка здійснювалася відповідно до закону, або перевіряти Обробника, після попередньої домовленості Сторін за 10 днів до запланованого контролю. Обробник виконає необхідні дії, щоб дозволити Контролеру даних реалізувати це право.
  4. Контролер даних може надавати інформацію, зазначену в цьому розділі, включаючи результати будь–яких перевірок, компетентним наглядовим органам за запитом.

12. Передача даних

  1. Якщо персональні дані, що обробляються за цією Угодою, передаються з країни, що входить до Європейського економічного простору, до країни, що не входить до Європейського економічного простору, Сторони повинні забезпечити належний захист персональних даних. Кожного разу, коли рішення Європейської Комісії, що визначає належний рівень захисту, не було видано для такої держави, застосовується відповідний механізм, що дозволяє законну передачу даних, а також відповідні Заходи безпеки, якщо це необхідно.  Для досягнення цієї мети Сторони, якщо не погоджено інше, покладаються на затверджені ЄС стандартні договірні положення щодо передачі персональних даних.

13. Конфіденційність

  1.  Кожна Сторона зобов'язана зберігати конфіденційність цієї Угоди та інформації, яку вона отримує про іншу Сторону та її діяльність у зв'язку з цією Угодою, а також будь–яких Персональних даних, отриманих від іншої Сторони ("Конфіденційна інформація"), і не повинна використовувати або розголошувати цю Конфіденційну інформацію без попередньої письмової згоди іншої Сторони, за винятком випадків, коли це є необхідним:
    a. розкриття інформації вимагається законом;
    b. відповідна інформація вже є суспільним надбанням (якщо тільки вона не стала суспільним надбанням внаслідок порушення зобов'язання про конфіденційність);
    c. відповідно до вимог ст. 5 ЗУ “Про захист персональних даних”.

14. Строк дії угоди

  1. Угода укладається на строк дії Основного договору між Сторонами.
  2. Обробка персональних даних в рамках Угоди відбуватиметься протягом періоду, необхідного для надання послуг Контролеру даних, але не довше, ніж до припинення дії Угоди або Основного договору. Розірвання будь–якого з договорів, зазначених у попередньому реченні, призводить до автоматичного розірвання обох договорів.

15. Недотримання умов та розірвання угоди

  1. Без шкоди для будь–яких положень GDPR, якщо Обробник порушує свої зобов'язання за цією Угодою або застосовних Законів про захист даних, Контролер даних може доручити Обробнику призупинити обробку Персональних даних до тих пір, поки останній не буде дотримуватися цієї Угоди та Законів про захист даних або поки не буде припинено дію цієї Угоди. Обробник повинен негайно повідомити Контролера даних, якщо він з будь–якої причини не може виконати цю Угоду або Закони про захист даних.
  2. Контролер даних має право розірвати цю Угоду (і Основний договір) без попереднього повідомлення у випадках, якщо:
    a. Обробка персональних даних Обробником була призупинена Контролером даних і не відновлена протягом розумного терміну, але в будь–якому випадку не пізніше, ніж протягом 14 днів після призупинення, відповідно до Законів про захист даних;
    b. Обробник суттєво або постійно порушує цю Угоду або свої зобов'язання за GDPR;
    c. Обробник не виконує обов'язкове рішення компетентного суду або компетентного наглядового органу щодо своїх зобов'язань відповідно до цієї Угоди та/або GDPR та/або інших законів про захист даних.
    Наведені вище причини розірвання не повинні тлумачитися як обмеження будь–якого права на розірвання Основного договору, як це передбачено в ній.
  3. Обробник має право розірвати цю Угоду, якщо після повідомлення Контролера даних про те, що його інструкції порушують чинні правові вимоги, Контролер даних наполягає на дотриманні інструкцій.

16. Видалення або повернення персональних даних

  1. Обробник зобов'язується негайно після припинення надання будь–яких Послуг, пов'язаних з обробкою Персональних даних Контролера даних (включаючи, без обмежень, видалення облікового запису Контролера даних відповідно до Основного договору або припинення дії цієї Угоди), на вибір Контролера даних, видалити всі Персональні дані, оброблені від імені Контролера даних, і засвідчити Контролеру даних, що він це зробив, або повернути всі Персональні дані Контролеру даних і видалити наявні копії, якщо тільки законодавство Союзу або Держави-члена не вимагає зберігання персональних даних. Доки дані не будуть видалені або повернуті, Обробник даних повинен продовжувати забезпечувати дотримання цієї Угоди.

17. Інші положення

  1. Сторони погоджуються, що відповідальність Обробника перед Контролером даних виникає в результаті доведеного прямого або непрямого порушення або невиконання будь–якого зобов'язання, зазначеного в цій Угоді, пов'язаного із захистом даних (включаючи, без обмежень, положення цієї Угоди або GDPR) з боку Обробника.
  2. Сторони погоджуються, що Обробник не несе відповідальності за дії Контролера даних, а саме за збір Контролером даних і завантаження в системи Обробника Персональних даних працівників, рекрутерів, будь–яких третіх осіб Контролера даних, включаючи Персональні дані, які Контролер даних збирає з систем, що інтегруються з Платформою Обробника.
  3. Усі повідомлення та комунікації, що надаються в рамках цієї Угоди, повинні бути в письмовій формі та надсилатися електронною поштою на адресу contact@peopleforce.io або на електронну адресу уповноваженого з питань захисту персональних даних security@peopleforce.io
  4. Цю Угоду слід читати та тлумачити у світлі положень GDPR. Ця Угода не повинна тлумачитися у спосіб, що суперечить правам та обов'язкам, передбаченим GDPR, або у спосіб, що завдає шкоди основоположним правам та свободам Суб'єктів даних.

 Додаток № 1

Обсяг довірених даних

Категорії суб'єктів даних, чиї дані довіряються

Категорії даних

Діяльність з обробки даних

Тривалість обробки даних

Дані співробітників, волонтерів, агентів, тимчасових та сезонних працівників, кандидатів, акціонерів, родичів, опікунів і співробітників суб'єкта даних, експертів, консультантів та інших професійних фахівців.

Усі особисті дані, які Контролер даних та будь-який користувач, якому Контролер даних надав доступ до Платформи PeopleForce, завантажують до систем Обробника, включаючи, зокрема, але не обмежуючись:

контактні та адресні дані, такі як:

Ім'я та прізвище користувача.

Адреса електронної пошти.

Поштова адреса.

Номер телефону.

Поштовий індекс.

Адреса місця проживання або роботи.

Країна/регіон.

Додаткові контактні дані (наприклад, Skype, Telegram і т. д.).

Інша інформація для зв'язку та адресування.

дані, що містяться у документах кандидатів, включаючи резюме, анкети, тести, результати співбесід, такі як:

Резюме кандидатів.

Анкети, заповнені кандидатами.

Результати пройдених тестів кандидатами.

Результати співбесід.

Цілі співробітників, KPI, результати, результати періодичного оцінювання, оціночні листи, відгуки,

результати опитувань щодо задоволеності робочим місцем та залученості співробітників

дані, надані в заявках, запитах, скаргах, пропозиціях, такі як:

Показники продуктивності.

Результати періодичної оцінки.

Оціночні листи.

Зворотний зв'язок.

Результати опитувань з задоволення роботою та залученістю співробітників.

Дані, надані в заявках, запитах, скаргах, пропозиціях.

дані про відвідуваність, відсутності, відпустки

дані про укладення та припинення трудових відносин,

заробітна плата та інші працевлаштування, такі як:

Відвідуваність.

Відсутності.

Відпустки.

Дані про створення та припинення трудових відносин.

Дані про виплати заробітної плати.

будь-які інші дані, що стосуються працевлаштування або пов'язані з послугами, наданими Контролеру даних, введені в Платформу Peopleforce

дані, що випливають зі складання вищезазначених даних.

Всі операції, які можуть бути виконані з особистими даними, незалежно від того, чи вони виконуються автоматизованим шляхом, включаючи збір, запис, організацію, структурування, зберігання, адаптацію або зміну, витяг, консультацію, використання, розкриття за допомогою передачі, поширення або іншим чином доступу, вирівнювання або комбінацію, обмеження, видалення або знищення даних.

Протягом дії основної Угоди.