Договір про обробку персональних даних
Останнє оновлення: 21 червня 2026 р.
Цей договір про обробку персональних даних (далі: «Договір про обробку») є невід'ємною частиною умов використання між De Rechter Software та Замовником (далі: «Договір»). Він закріплює домовленості щодо обробки персональних даних, яку De Rechter Software здійснює від імені Замовника під час надання Stippa, відповідно до статті 28 Загального регламенту про захист даних (GDPR).
1. Сторони та ролі
- Контролер (володілець) даних: Замовник, який визначає цілі та засоби обробки персональних даних своїх кінцевих клієнтів.
- Обробник: De Rechter Software, одноосібне підприємство (eenmanszaak) із місцезнаходженням за адресою Molenwater 20, 4511 BN Breskens, Нідерланди, номер торгової палати (KvK) 98466402, номер ПДВ NL005332100B80, оператор Stippa, який обробляє персональні дані виключно від імені та за дорученням Замовника.
2. Предмет, характер, тривалість і мета обробки
Обробник обробляє персональні дані виключно для надання сервісу Stippa: платформи для керування та бронювання записів, керування клієнтами та працівниками, надсилання сповіщень та обробки платежів. Обробка триває доти, доки чинний Договір, і завершується відповідно до розділу 10.
3. Категорії даних та суб'єктів даних
Обробка стосується таких категорій суб'єктів даних та персональних даних:
- Суб'єкти даних: кінцеві клієнти Замовника та працівники Замовника.
- Дані: ім'я, адреса електронної пошти, номер телефону, дані про записи (дата, час, послуга, працівник, нотатки) та дані, пов'язані з платежами (через Stripe; без повних даних картки).
Обробник не обробляє особливих категорій персональних даних, окрім випадків, коли Замовник вводить їх самостійно; за це відповідає Замовник, який гарантує наявність правомірної підстави.
4. Зобов'язання Обробника
- Обробник обробляє персональні дані виключно на підставі задокументованих інструкцій Замовника, зокрема Договору, у тому числі щодо передачі до третьої країни, окрім випадків, коли законодавство встановлює інше; у такому разі Обробник заздалегідь повідомляє Замовника, якщо тільки таке законодавство цього не забороняє.
- Обробник негайно повідомляє Замовника, якщо, на його думку, інструкція порушує GDPR або інші застосовні правила захисту даних.
- Обробник гарантує, що особи, які мають доступ до персональних даних, зобов'язані дотримуватися конфіденційності.
- Обробник вживає належних технічних та організаційних заходів (див. розділ 5).
- Обробник надає Замовнику розумне сприяння у відповідях на запити суб'єктів даних (доступ, виправлення, видалення, обмеження, портативність даних та заперечення) та у виконанні його зобов'язань згідно зі статтями 32-36 GDPR (безпека, повідомлення про витоки даних, оцінки впливу на захист даних та попередні консультації з наглядовим органом).
- Обробник не використовує персональні дані для власних цілей і ніколи їх не продає.
5. Заходи безпеки
Обробник вживає щонайменше таких заходів:
- Шифрування даних під час передачі (TLS 1.2 або вище) та у стані спокою;
- Шифрування чутливих токенів за допомогою AES-256-GCM перед зберіганням;
- Рольове керування доступом із захистом на рівні рядків (row-level security) у базі даних;
- Ведення журналу змін (журнали аудиту) для безпеки та простежуваності;
- Регулярну оцінку ефективності заходів.
6. Субпідрядники з обробки
Замовник надає Обробнику загальний дозвіл на залучення наведених нижче субпідрядників з обробки (подальших обробників):
- Supabase Inc. для хостингу бази даних (хостинг у ЄС)
- Vercel Inc. для хостингу вебзастосунку
- Upstash, Inc. для обмеження частоти запитів і запобігання зловживанням (тимчасова обробка IP-адрес)
- Cloudflare, Inc. для захисту від ботів і зловживань (Turnstile)
- Sentry (Functional Software, Inc.) для моніторингу помилок і стабільності
- Inngest, Inc. для виконання фонових завдань (наприклад, нагадувань)
- Grafana Labs для керування журналами (Loki; лише якщо ввімкнено)
- Stripe Payments Europe Ltd. та Mollie B.V. для обробки платежів (Mollie розміщено в ЄС)
- Resend, Inc. для надсилання транзакційних електронних листів
- Twilio Inc. / WhatsApp Business для служб повідомлень (опційно)
- PostHog для продуктової аналітики; сервери в ЄС
Наведені нижче інтеграції активуються лише тоді, коли Замовник або працівник їх підключає: Google LLC для синхронізації календаря (див. політику конфіденційності) та Moneybird B.V. для бухгалтерської інтеграції.
Обробник за договором покладає на кожного субпідрядника з обробки ті самі зобов'язання щодо захисту даних, що передбачені цим Договором про обробку. Обробник залишається повністю відповідальним перед Замовником за виконання зобов'язань субпідрядником з обробки.
У разі запланованої зміни чи додавання субпідрядника з обробки Обробник інформує Замовника щонайменше за 30 днів. Протягом цього строку Замовник може на розумних підставах заперечити проти зміни; у такому разі сторони вступають у переговори. Якщо рішення не досягнуто, Замовник може розірвати відповідний сервіс або Договір.
7. Передача за межі ЄЕП
У тій мірі, в якій персональні дані передаються субпідряднику з обробки за межами Європейського економічного простору, така передача здійснюється виключно на підставі належної гарантії відповідно до глави V GDPR: при передачі до Сполучених Штатів насамперед на підставі Рамкової угоди ЄС-США про конфіденційність даних (рішення про адекватність Європейської Комісії від 10 липня 2023 року) для сертифікованих за нею сторін, а як додаткова або резервна гарантія на підставі стандартних договірних положень Європейської Комісії (Standard Contractual Clauses, виконавче рішення (ЄС) 2021/914).
8. Місце обробки даних та користувачі в Україні
Усі персональні дані обробляються та зберігаються в межах Європейського Союзу / Європейського економічного простору (зокрема в Нідерландах). Для Замовників або суб'єктів даних, які перебувають в Україні, Україна є третьою країною щодо ЄС/ЄЕП. Будь-яка передача даних із ЄС/ЄЕП в Україну ґрунтується на стандартних договірних положеннях (SCC) або на винятках згідно зі статтею 49 GDPR. Передача даних з України до ЄС/ЄЕП дозволена, оскільки держави ЄЕП визнаються такими, що забезпечують належний рівень захисту персональних даних відповідно до Закону України № 2297-VI «Про захист персональних даних». GDPR залишається базовим режимом захисту даних для цього сервісу.
9. Витоки даних
Обробник інформує Замовника без невиправданої затримки та не пізніше ніж протягом 48 годин після того, як йому стало відомо про порушення, пов'язане з персональними даними. При цьому Обробник надає інформацію, яка обґрунтовано необхідна Замовнику для виконання його можливого обов'язку повідомлення Нідерландському органу із захисту даних (Autoriteit Persoonsgegevens) та суб'єктам даних.
10. Аудити
Обробник на запит надає Замовнику інформацію, необхідну для підтвердження дотримання зобов'язань, передбачених статтею 28 GDPR. Замовник може з дотриманням розумного строку та не частіше одного разу на рік провести (доручити проведення) аудит самостійно або через уповноваженого Замовником незалежного аудитора. Розумні витрати на це покладаються на Замовника, окрім випадків, коли аудит виявляє суттєве невиконання з боку Обробника.
11. Повернення та видалення
Після припинення Договору Обробник за вибором Замовника або надасть Замовнику всі персональні дані у вигляді експорту даних, або видалить їх та видалить наявні копії, окрім випадків, коли законом передбачено обов'язок зберігання (наприклад, податковий обов'язок зберігання платіжних даних). За відсутності вибору протягом зазначеного в умовах використання строку в 30 днів дані видаляються.
12. Відповідальність та застосовне право
До цього Договору про обробку застосовуються положення про відповідальність та застосовне право з умов використання. У разі суперечності між цим Договором про обробку та умовами використання цей Договір про обробку має перевагу в тій мірі, в якій це стосується обробки персональних даних.
13. Контакти
З питань щодо цього Договору про обробку або для отримання підписаного примірника ви можете зв'язатися через support@stippa.nl.