🌱 Horticum ← На головну

Обробка даних

DEENITFRESPLROBGRUUKTR
Примітка: Цей переклад надається лише для зручності. Юридично обов'язковою є німецька версія.

1. Предмет і термін

Обробник (Simon Kappelmeir – Dienstleistung, Weiherbachweg 6, 82216 Maisach, Німеччина, support@horticum.com) надає контролеру програмне забезпечення «Horticum» як SaaS-додаток і обробляє персональні дані виключно від імені контролера відповідно до ст. 28 GDPR. Ця Угода про обробку даних (DPA) набирає чинності з укладанням основного договору (угоди про використання застосунку) і автоматично припиняється з його розірванням. Обробка здійснюється виключно в ЄС/ЄЕЗ або в третіх країнах, що охоплюються рішенням про адекватність або стандартними договірними положеннями (SCC).

2. Характер і мета обробки

Метою обробки є надання функцій застосунку, зокрема: • Планування грядок, планування культур, керування завданнями та денним планом • Облік робочого часу та відсутностей працівників • Документація із захисту рослин та удобрення • Журнал першої допомоги (згідно з DGUV) • Управління контактами (клієнти, постачальники, контактні особи) • Друк етикеток та списків (підписка Pro+) • Синхронізація між пристроями • Управління обліковим записом і підпискою

3. Види персональних даних

• Основні та комунікаційні дані (ім'я, адреса, телефон, email) • Дані входу/облікового запису (email, хеш паролю, токен сесії, IP-адреси) • Основні дані компанії (податковий номер, ПДВ-номер, IBAN/BIC) • Оперативні дані планування та керування • Дані обліку часу та відсутностей • Особливі категорії за ст. 9 GDPR: дані про здоров'я працівників у цифровому журналі першої допомоги (нормативний термін зберігання 5 років згідно з DGUV) • Дані застосування засобів захисту рослин (кваліфікація, імена операторів — згідно з § 11 PflSchG, 3 роки) • Дані про удобрення (згідно з DüV)

4. Категорії суб'єктів даних

• Власник або керівництво контролера • Працівники та учні контролера • Клієнти, постачальники та контактні особи контролера • Кінцеві клієнти контролера (якщо збережені в управлінні контактами)

5. Обов'язки обробника

Обробник зобов'язується обробляти персональні дані виключно в рамках цієї угоди та згідно з задокументованими вказівками контролера (ст. 28(3)(a) GDPR). Усі особи, причетні до обробки, зобов'язані до конфіденційності (ст. 28(3)(b), ст. 29, ст. 32(4) GDPR). Обробник допомагає контролеру в забезпеченні прав суб'єктів даних (ст. 12–22 GDPR) та виконанні обов'язків за ст. 32–36 GDPR (оцінка впливу, попередня консультація, повідомлення про порушення). Запити, явно адресовані контролеру, передаються без затримки. Контактна особа з захисту даних: Simon Kappelmeir, support@horticum.com. Призначення уповноваженого з захисту даних наразі не вимагається законом.

6. Технічні та організаційні заходи (ТОЗ)

Обробник вживає всі необхідні технічні та організаційні заходи згідно з ст. 32 GDPR, зокрема: • Контроль фізичного доступу: розміщення в сертифікованому ЦОД у Німеччині (ISO 27001), фізичний контроль і цілодобовий нагляд • Контроль доступу до системи: автентифікація email/пароль, хеші Argon2id/Bcrypt, SSH-ключ для адміністратора, обмеження спроб, закінчення сесії • Контроль доступу до даних: розділення орендарів за підприємством через команди Appwrite, модель ролей • Контроль передачі: виключно TLS 1.2+ (HTTPS), увімкнено HSTS • Контроль введення: журнал аудиту (createdAt, updatedAt) на всіх релевантних записах • Контроль замовлення: DPA з усіма субпроцесорами • Контроль доступності: щоденні резервні копії (зберігання 14 днів), моніторинг, RTO/RPO < 24 год, файрвол, регулярні оновлення безпеки • Контроль розділення: окремі тестові/девелоп/продакшн середовища, розділення на рівні бази даних • Псевдонімізація: внутрішні ID акаунтів замість справжніх імен у логах

7. Субпроцесори

З укладенням цієї угоди контролер надає загальний дозвіл на використання наступних субпроцесорів (ст. 28(2) GDPR): • dogado GmbH (Дортмунд, DE) — веб-/поштовий хостинг, серверний проксі для перевірки VIES • dogado GmbH або порівнянний хостинг (DE) — експлуатація сервера Appwrite в Німеччині • Stripe Payments Europe Ltd. (Дублін, IE) — обробка платежів за підписки Pro/Pro+ (при передачі в США: SCC + DPF) • Apple Distribution International Ltd. (Корк, IE) — обробка платежів iOS/macOS через In-App Purchase • fintectura GmbH / openiban.com (Берлін, DE) — перевірка IBAN • Європейська комісія, DG TAXUD (Брюссель, BE) — перевірка ПДВ VIES • komoot GmbH (Карлсруе, DE) — геокодування Photon • zippopotam.us — пошук поштового індексу → міста Обробник повідомляє контролера в текстовій формі щонайменше за 30 днів до запланованої зміни. Контролер може заперечити протягом 14 днів з важливих причин захисту даних. Обробник несе відповідальність за дотримання обов'язків з захисту даних субпроцесорами (ст. 28(4) GDPR).

8. Оцінка впливу та попередня консультація

Обробник у межах своїх можливостей допомагає контролеру в проведенні оцінки впливу на захист даних (ст. 35 GDPR) і попередньої консультації з наглядовим органом (ст. 36 GDPR), зокрема шляхом надання необхідної інформації про операції обробки, ТОЗ і субпроцесорів.

9. Повідомлення про порушення

Порушення безпеки персональних даних повідомляються контролеру без затримки, найпізніше протягом 48 годин після виявлення, електронною поштою на зазначену контактну адресу — щоб контролер міг дотримати власного 72-годинного терміну за ст. 33 GDPR. Повідомлення містить характер і обсяг порушення, категорії даних та приблизну кількість суб'єктів, ймовірні наслідки та вжиті або запропоновані заходи.

10. Припинення обробки

Після припинення основного договору обробник видаляє всі персональні дані контролера протягом 30 днів, якщо немає нормативного обов'язку зі зберігання. На вимогу контролера дані попередньо надаються у форматі, придатному для машинного зчитування (експорт JSON). Дані, що підлягають нормативному зберіганню (записи першої допомоги: 5 років за DGUV; дані захисту рослин: 3 роки за PflSchG), зберігаються заблокованими до закінчення терміну і потім видаляються. Видалення підтверджується письмово на вимогу.

11. Докази та аудит

Контролер може перевіряти дотримання цієї угоди обробником (ст. 28(3)(h) GDPR). Перевірка здійснюється насамперед шляхом запиту актуальних доказів (концепція захисту даних, ТОЗ, список субпроцесорів, аудиторські звіти). Перевірки на місці можливі раз на рік у звичайний робочий час, після попереднього погодження з мінімум 4-тижневим попередженням. Витрати на супровід відшкодовуються за попередньо узгодженою погодинною ставкою.

12. Заключні положення

Зміни та доповнення до цієї угоди потребують текстової форми; це стосується і скасування цього застереження. Якщо окремі положення є недійсними, дійсність решти положень не зачіпається. Недійсне положення замінюється дійсним, яке найближче відповідає економічній меті. Застосовується німецьке право. Місце юрисдикції — наскільки це юридично допустимо — Maisach (місцезнаходження обробника). Відповідальність регулюється ст. 82 GDPR, а в іншому — основним договором.