Обробка даних

1. Сторони та автоматичне укладення

Процесор: Goup Space Sp. z o. o., ul. Hoża 86/210, 00-682 Warszawa, Польща; KRS 0000932799; REGON 520583134; NIP 7011061440; контакт info@pages.otack.eu.

Контролер: фізична або юридична особа, яка має Обліковий запис на Платформі та публікує один або більше Згенерованих сайтів, що збирають дані відвідувачів через форми.

Ця Угода автоматично укладається між Процесором і Контролером у момент прийняття Контролером Умов використання та замінює будь-які попередні домовленості між ними щодо того ж предмета.

Ця Угода виконує ст. 28(3) GDPR і є невід’ємною частиною Умов використання.

2. Предмет

Процесор обробляє персональні дані кінцевих відвідувачів Контролера, які подаються через форми на Згенерованих сайтах Контролера й зберігаються у сховищі Процесора form_submissions, від імені Контролера та для його цілей.

3. Тривалість

Угода діє доти, доки Обліковий запис Контролера активний і опубліковано принаймні один Згенерований сайт, плюс період зберігання надсилань форм у 365 днів, як визначено в Політиці конфіденційності §7.

4. Характер і мета обробки

Характер обробки: збір, зберігання та обмежене ретранслювання (повідомлення e-mail Контролеру, опціональна доставка через Telegram або SMTP, відображення у панелі) надсилань форм.

Мета: надати Контролеру можливість отримувати та обробляти запити, ліди, звернення й будь-які інші дані, які Контролер вирішує збирати через форми свого Згенерованого сайту.

5. Тип персональних даних

  • Поля персональних даних, які Контролер вирішує збирати через свої форми — зазвичай ім’я, e-mail, номер телефону, текст повідомлення, назва бізнесу, значення користувацьких полів.
  • Технічні метадані, пов’язані з кожним надсиланням: IP-адреса відвідувача, час надсилання, URL сторінки, на якій було надіслано форму.

6. Категорії суб’єктів даних

Відвідувачі Згенерованих сайтів Контролера, які надсилають форми (потенційні клієнти, ліди, заявники, користувачі контактних форм).

7. Обов’язки Процесора згідно зі ст. 28(3)(a)–(h) GDPR

  1. (a) Задокументовані інструкції — Процесор обробляє персональні дані лише на підставі задокументованих інструкцій Контролера. Конфігурація опублікованої форми Контролером (зібрані поля, e-mail отримувача, увімкнені інтеграції) є задокументованою інструкцією для цілей цієї Угоди. Процесор повідомить Контролера, якщо вважатиме, що інструкція порушує GDPR або інше законодавство ЄС/держави-члена щодо захисту даних.
  2. (b) Конфіденційність — Процесор забезпечує, щоб особи, уповноважені обробляти персональні дані, взяли на себе зобов’язання дотримання конфіденційності або були під відповідним законним обов’язком конфіденційності.
  3. (c) Безпека (ст. 32) — Процесор вживає всіх заходів, необхідних згідно зі ст. 32 GDPR, включно з технічними й організаційними заходами, описаними на сторінці Безпека даних.
  4. (d) Субпроцесори — Процесор залучає субпроцесорів лише за загальним письмовим дозволом Контролера, наданим цією Угодою. Поточний перелік субпроцесорів відображає перелік у Політиці конфіденційності §5 і наведений у §8 нижче. Процесор повідомляє Контролера про будь-які заплановані зміни шляхом повідомлення в застосунку або електронною поштою не менше ніж за 30 календарних днів до набрання змін чинності; Контролер може заперечити у цьому вікні. Якщо Контролер заперечує з обґрунтованих міркувань захисту даних, сторони добросовісно співпрацюють; за відсутності рішення Контролер може припинити відповідну обробку шляхом видалення відповідного Згенерованого сайту або Облікового запису. Процесор залишається повністю відповідальним перед Контролером за виконання зобов’язань будь-якого субпроцесора.
  5. (e) Допомога з правами суб’єктів даних — З урахуванням характеру обробки Процесор допомагає Контролеру належними технічними й організаційними заходами, наскільки це можливо, у виконанні обов’язку Контролера відповідати на запити суб’єктів даних, що користуються правами за Главою III GDPR (статті 15–22). Якщо суб’єкт даних надсилає запит безпосередньо Процесору щодо даних Контролера, Процесор без невиправданої затримки пересилає такий запит Контролеру.
  6. (f) Допомога зі ст. 32-36 — Процесор допомагає Контролеру забезпечувати дотримання обов’язків за статтями 32 (безпека), 33 (повідомлення наглядового органу про порушення), 34 (повідомлення суб’єктів даних про порушення), 35 (оцінка впливу на захист даних) та 36 (попередня консультація) GDPR, з урахуванням характеру обробки та інформації, наявної у Процесора.
  7. (g) Видалення або повернення після припинення — Після припинення цієї Угоди Процесор, на вибір Контролера, видаляє або повертає всі персональні дані Контролеру та видаляє наявні копії, якщо законодавство ЄС або держави-члена не вимагає їх зберігання. За замовчуванням — видалення впродовж 30 днів після припинення; Контролер може запросити JSON-експорт до видалення.
  8. (h) Інформація для аудиту — Процесор надає Контролеру всю інформацію, необхідну для підтвердження дотримання ст. 28, та допускає й сприяє аудиту, включно з інспекціями, що проводяться Контролером або уповноваженим Контролером аудитором за рахунок Контролера, після обґрунтованого попереднього повідомлення (не менше 30 днів), у робочий час та у спосіб, що не створює необґрунтованих перешкод діяльності Процесора.

8. Субпроцесори (поточний перелік)

Поточний перелік субпроцесорів відображає Політику конфіденційності §5:

  • Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Ірландія — обробка платежів за покупки Контролера на Платформі; не використовується для обробки даних кінцевих відвідувачів Контролера (уточнення обсягу).
  • Anthropic, PBC (США) — інференс AI-моделей (родина Claude); лише якщо Контролер використовує AI-функції на резервному ключі платформи під час демо/пробного періоду.
  • OpenAI, L.L.C. (США) — інференс AI-моделей (родина GPT); той самий обсяг, що й Anthropic.
  • Google Ireland Ltd. та Google LLC (Ірландія / США) — інференс AI-моделей (родина Gemini); той самий обсяг.
  • Moonshot AI (Китайська Народна Республіка) — інференс AI-моделей (родина Kimi); той самий обсяг; примітка щодо впливу передачі — як у Privacy §5.
  • Telegram FZ-LLC (ОАЕ) — канал повідомлень оператору щодо брифа сайту Контролера (НЕ передає дані форм кінцевих відвідувачів).
  • Intuition Machines, Inc. (США) — анти-бот hCaptcha для самої Платформи.
  • Hostovita.pl Sp. z o.o. (Польща) та HostPro.ua (Україна) — хостингова інфраструктура, на якій зберігаються form_submissions.
  • SMTP / e-mail-провайдер — для доставки сповіщень про надсилання форм на сконфігурований Контролером e-mail отримувача (особа доступна на запит за адресою info@pages.otack.eu).

З них субпроцесори, які фактично обробляють персональні дані кінцевих відвідувачів від імені Контролера, — це хостинг-провайдери (Hostovita / HostPro) та SMTP-провайдер, що використовується для сповіщень. Інші вказані субпроцесори не використовуються для обробки даних кінцевих відвідувачів за цією Угодою — вони наведені для прозорості та для випадків, коли конфігурація Контролера поширюється на них (наприклад, доставка сповіщень через Telegram).

9. Міжнародні передачі (ст. 44-49)

Якщо персональні дані передаються за межі ЄЕЗ субпроцесору з §8, передачі ґрунтуються на гарантіях, описаних у Політиці конфіденційності §6:

  • Стандартні договірні положення Європейської Комісії згідно з Рішенням (ЄС) 2021/914;
  • EU-US Data Privacy Framework, якщо одержувач сертифікований;
  • згода за ст. 49(1)(a) для конкретних передач, які Контролер явно сконфігурував (наприклад, сповіщення через Telegram).

Копії інструментів гарантій надаються на запит за адресою info@pages.otack.eu.

10. Повідомлення про порушення безпеки персональних даних

Якщо Процесор дізнається про порушення безпеки персональних даних, що обробляються за цією Угодою, він повідомляє Контролера без невиправданої затримки та у будь-якому разі впродовж 72 годин з моменту, коли стало відомо.

Повідомлення містить характер порушення, категорії та приблизну кількість суб’єктів даних і записів, ймовірні наслідки та вжиті або запропоновані заходи.

Контролер відповідає за повідомлення наглядового органу та відповідних суб’єктів даних згідно зі ст. 33 і 34 GDPR.

11. Відповідальність

Відповідальність Процесора за цією Угодою регулюється положеннями про відповідальність Умов використання, і будь-які встановлені там обмеження застосовуються, за винятком того, що жодне положення цієї Угоди не виключає й не обмежує відповідальність, яку не можна виключити за імперативним правом ЄС або Польщі (зокрема відповідальність за ст. 82 GDPR та імперативні споживчі права Польщі).

Якщо Процесор сплачує компенсацію за ст. 82 GDPR, а Контролер ніс відповідальність за основне порушення, сторони добросовісно співпрацюють щодо розподілу відповідно до ст. 82(5).

12. Строк і припинення

Ця Угода набирає чинності, коли Контролер приймає Умови використання, і діє протягом періоду, визначеного у §3.

Будь-яка сторона може припинити цю Угоду шляхом припинення відповідного Облікового запису згідно з Умовами використання.

Після припинення Процесор дотримується процедури видалення або повернення з §7(g) вище.

13. Застосовне право, наглядовий орган і контакти

Ця Угода регулюється польським правом і безпосередньо застосовними положеннями GDPR.

Щодо питань захисту даних стосовно Процесора Користувач може подати скаргу до Prezes Urzędu Ochrony Danych Osobowych (UODO), Варшава — https://uodo.gov.pl.

Контакт Процесора: Goup Space Sp. z o. o., ul. Hoża 86/210, 00-682 Warszawa, Польща; info@pages.otack.eu.

Дата набрання чинності: 2026-05-20. Англійська версія є основною; у разі розбіжностей пріоритет має англійська версія.