Почати!
Почати!

Угода про обробку даних

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Цей документ перекладено для вашої зручності. У разі будь-яких розбіжностей англійська версія має переважну силу.

Ця Угода про обробку даних ("DPA") є частиною договору між замовником ("Контролер") та Skiwo AS, що керує платформою Report Securely ("Обробник"), щодо надання послуг системи повідомлень про порушення та безпечного звітування ("Послуга").

Ця DPA укладається відповідно до вимог статті 28 Загального регламенту про захист даних (ЄС) 2016/679 ("GDPR") та регулює обробку персональних даних Обробником від імені Контролера.

1. Визначення

Терміни, що використовуються в цій DPA, мають те саме значення, що й у GDPR, якщо не визначено інше. "Персональні дані" означають будь-які персональні дані, що обробляються Обробником від імені Контролера у зв'язку з Послугою. "Субобробник" означає будь-яку третю сторону, залучену Обробником для обробки Персональних даних від імені Контролера.

2. Обсяг та мета обробки

Обробник обробляє Персональні дані виключно з метою надання Послуги Контролеру, як описано в основному договорі про надання послуг та цій DPA.

Категорії суб'єктів даних включають: заявників (викривачів), осіб, згаданих у звітах, обробників справ та уповноважених користувачів в організації Контролера. Типи персональних даних, що обробляються, можуть включати: імена, контактні дані, зміст звітів, комунікації між заявниками та обробниками справ, метадані справ та журнали аудиту.

Тривалість обробки відповідає терміну дії основного договору про надання послуг, плюс будь-який період зберігання, що вимагається чинним законодавством або узгоджений між сторонами.

3. Зобов'язання Обробника

Обробник зобов'язується:

  • Обробляти Персональні дані лише за документованими інструкціями Контролера, якщо це не вимагається чинним законодавством
  • Забезпечити, щоб особи, уповноважені обробляти Персональні дані, були зобов'язані дотримуватися конфіденційності
  • Впровадити відповідні технічні та організаційні заходи для забезпечення рівня безпеки, що відповідає ризику
  • Не залучати іншого обробника (субобробника) без попереднього письмового дозволу Контролера
  • Допомагати Контролеру у відповіді на запити суб'єктів даних відповідно до статей 15–22 GDPR
  • Допомагати Контролеру у забезпеченні відповідності статтям 32–36 GDPR (безпека, повідомлення про порушення, оцінка впливу)
  • На вибір Контролера видалити або повернути всі Персональні дані після припинення надання Послуги, якщо зберігання не вимагається чинним законодавством
  • Надати Контролеру всю інформацію, необхідну для демонстрації відповідності зобов'язанням, викладеним у цій DPA та статті 28 GDPR

4. Заходи безпеки

Обробник впроваджує та підтримує наступні технічні та організаційні заходи безпеки:

  • Шифрування даних під час передачі (TLS 1.2 або вище) та у стані спокою (AES-256)
  • Рольовий контроль доступу з принципом найменших привілеїв
  • Журналювання аудиту всіх значущих дій на платформі
  • Регулярне тестування безпеки та оцінка вразливостей
  • Практики безпечної розробки програмного забезпечення відповідно до рекомендацій OWASP
  • Автоматичне резервне копіювання з шифрованим сховищем
  • Суворі заголовки безпеки (HSTS, CSP, X-Frame-Options)

Обробник регулярно переглядає та оновлює ці заходи, щоб відображати поточний стан технологій та характер, обсяг і цілі обробки.

5. Субобробники

Контролер надає загальний дозвіл Обробнику залучати субобробників за умов, викладених у цьому розділі.

Обробник повідомляє Контролера про будь-які заплановані зміни щодо додавання або заміни субобробників, надаючи Контролеру можливість заперечити проти таких змін.

Коли Обробник залучає субобробника, він накладає ті самі зобов'язання щодо захисту даних, що викладені в цій DPA, шляхом укладення договору, забезпечуючи, що субобробник надає достатні гарантії для впровадження відповідних технічних та організаційних заходів.

Обробник залишається повністю відповідальним перед Контролером за виконання зобов'язань субобробника.

6. Передача даних

Усі Персональні дані зберігаються та обробляються в межах Європейської економічної зони (ЄЕЗ).

Обробник не повинен передавати Персональні дані до країни за межами ЄЕЗ або міжнародній організації, якщо: (a) Контролер не надав попередню письмову авторизацію, та (b) не впроваджено відповідні гарантії згідно з Розділом V GDPR, такі як Стандартні договірні положення ЄС або рішення про адекватність Європейської комісії.

7. Повідомлення про порушення даних

Обробник повинен повідомити Контролера без зайвої затримки після того, як дізнається про порушення персональних даних, що стосується Персональних даних, оброблених відповідно до цієї DPA.

Повідомлення повинно включати: опис характеру порушення, категорії та приблизну кількість суб'єктів даних, яких це стосується, ймовірні наслідки порушення та заходи, вжиті або запропоновані для усунення порушення.

8. Права на аудит

Обробник повинен надати Контролеру всю інформацію, необхідну для демонстрації дотримання зобов'язань, викладених у статті 28 GDPR та цій DPA, і повинен дозволяти та сприяти проведенню аудитів, включаючи інспекції, які проводяться Контролером або іншим аудитором, уповноваженим Контролером.

Аудити повинні проводитися з розумним попередженням та в звичайний робочий час і не повинні необґрунтовано порушувати операції Обробника.

9. Видалення та повернення даних

Після припинення надання Послуги Обробник повинен, на вибір Контролера, видалити або повернути всі Персональні дані Контролеру та видалити наявні копії, якщо чинне законодавство не вимагає продовження зберігання.

Контролер може запросити експорт даних у загальновживаному машиночитаному форматі до припинення надання послуг.

10. Відповідальність

Відповідальність кожної сторони за цією DPA підлягає обмеженням та виключенням, викладеним в основній угоді про надання послуг між сторонами.

Ніщо в цій DPA не обмежує відповідальність будь-якої сторони за порушення законодавства про захист даних тією мірою, якою така відповідальність не може бути обмежена відповідно до чинного законодавства.

11. Застосовне право

Ця DPA регулюється норвезьким законодавством. Будь-який спір, що виникає з цієї DPA або у зв'язку з нею, підлягає виключній юрисдикції Окружного суду Осло, якщо імперативне законодавство не передбачає інше.

12. Контакти

З питань щодо цієї DPA або питань захисту даних звертайтеся:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com