Угода про обробку даних
Last updated: 2026-05-071. Сфера застосування та визначення
Ця Угода про обробку даних ("DPA") є частиною Умов надання послуг між Touchly та клієнтом ("Клієнт") і застосовується щоразу, коли Touchly обробляє персональні дані від імені Клієнта. Терміни з великої літери, не визначені тут, мають значення, наведене в Умовах або в GDPR.
«Персональні дані Клієнта» означає персональні дані в Контенті клієнта, які Touchly обробляє як процесор від імені Клієнта.
2. Ролі
Клієнт є контролером, а Touchly — процесором Персональних даних Клієнта. Кожна сторона дотримуватиметься своїх обов'язків за чинним законодавством про захист даних (зокрема GDPR, UK GDPR і LGPD Бразилії).
3. Предмет, строк і мета
Touchly обробляє Персональні дані Клієнта з метою надання Сервісу протягом строку підписки та будь-якого періоду згортання.
4. Категорії суб'єктів даних і персональних даних
Суб'єкти даних: кінцеві клієнти й контакти Клієнта. Персональні дані: ідентифікатори (телефон, email, ім'я), атрибути контакту та теги сегментації, зміст і метадані повідомлень, стан підписки/відписки.
5. Інструкції Клієнта
Touchly обробляє Персональні дані Клієнта лише за задокументованими інструкціями Клієнта, зокрема наданими через інтерфейс і API Сервісу, а також у разі потреби для дотримання чинного законодавства.
6. Конфіденційність
Персонал, уповноважений обробляти Персональні дані Клієнта, пов'язаний зобов'язаннями щодо конфіденційності та пройшов навчання із захисту даних.
7. Безпека
Touchly впроваджує технічні та організаційні заходи, відповідні ризику, зокрема шифрування під час передачі та у спокої, контроль доступу за ролями, ротацію секретів, журналювання аудиту, тестування безпеки та процедури реагування на інциденти, відповідно до статті 32 GDPR.
8. Субпроцесори
Клієнт уповноважує Touchly залучати субпроцесорів, перелічених на /subprocessors. Touchly накладе на субпроцесорів зобов'язання щодо захисту даних не менш захисні, ніж ця DPA, і несе перед Клієнтом відповідальність за дії та упущення своїх субпроцесорів. Touchly повідомить Клієнта щонайменше за 30 днів до залучення нового або заміни існуючого субпроцесора. У цей строк Клієнт може заперечити з обґрунтованих підстав захисту даних; сторони добросовісно шукатимуть рішення, а в разі його відсутності Клієнт може припинити відповідну частину Сервісу.
9. Міжнародні передачі
Touchly створено в Україні, щодо якої наразі немає рішення Європейської Комісії про адекватність захисту. Передачі Персональних даних Клієнта з ЄЕЗ до Touchly здійснюються на підставі Стандартних договірних умов Європейської Комісії, Модуль 2 (контролер—процесор), які інкорпоровано до цієї DPA за посиланням. Передачі з Великої Британії спираються на UK International Data Transfer Addendum до SCC ЄС. Передачі з Бразилії — на механізми, схвалені ANPD. Коли Touchly залучає субпроцесорів за межами ЄЕЗ, між Touchly і таким субпроцесором застосовуються еквівалентні механізми передачі.
10. Запити суб'єктів даних
Touchly, ураховуючи характер обробки, допомагатиме Клієнту відповідними технічними та організаційними заходами виконувати обов'язки Клієнта щодо відповіді на запити суб'єктів даних.
11. Повідомлення про порушення
Touchly повідомить Клієнта без зайвої затримки після того, як стане відомо про порушення безпеки персональних даних, що зачіпає Персональні дані Клієнта, надавши інформацію, обґрунтовано потрібну для виконання Клієнтом своїх обов'язків щодо повідомлення.
12. Аудити
Touchly надасть Клієнту інформацію, необхідну для підтвердження дотримання цієї DPA, зокрема звіти аудитів третіх сторін (наприклад, SOC 2 Type II, коли вони стануть доступними). Якщо це вимагається законом, Клієнт може за обґрунтованим повідомленням і власним коштом перевірити дотримання Touchly цієї DPA.
13. Повернення або видалення
По завершенні Сервісу Touchly видалить або поверне Персональні дані Клієнта протягом 60 днів, якщо законом не вимагається їх зберігання. Записи самого Клієнта про обліковий запис і платежі (які Touchly обробляє як контролер, а не як процесор) зберігаються згідно з Політикою приватності та чинним податковим законодавством. Резервні копії послідовно видаляються протягом 35 днів, окрім кросрегіональних знімків аварійного відновлення, які видаляються протягом 90 днів.
14. Відповідальність і колізії
Відповідальність кожної сторони за цією DPA обмежується межею відповідальності в Умовах. У разі суперечності між цією DPA та Умовами щодо питань захисту даних переважає ця DPA.
15. Контакти
Повідомлення за DPA: [email protected].