Угода про обробку даних (DPA)

Як використовувати цей документ

Це стандартний шаблон DPA Maestrico. Надішліть запит на підписання на hello@maestrico.com. Ми надішлемо документ для підписання або можемо підписати ваш корпоративний DPA (за умови відповідності вимогам Art. 28 GDPR). Поля у курсиві заповнюються сторонами при підписанні.

Вступ та сторони

Ця Угода про обробку персональних даних (далі — «DPA» або «Угода») укладається між:

Контролер (Controller)	[Повна назва юридичної особи або ФОП Клієнта], [ЄДРПОУ / реєстраційний номер], адреса: [юридична адреса] далі — «Клієнт» або «Контролер»
Процесор (Processor)	ФОП Жолобко Н.Д., ІПН 2690113688, алея Хохтіф 14/1, м. Старокостянтинів, Хмельницька область, Україна, що здійснює діяльність під брендом Maestrico далі — «Maestrico» або «Процесор»

Ця DPA є невід'ємною частиною основного договору про надання послуг між Сторонами (далі — «Основний договір»). У разі суперечності між DPA та Основним договором у питаннях захисту персональних даних — переважає DPA.

1. Визначення

У цій Угоді терміни вживаються у значеннях, визначених Регламентом ЄС 2016/679 (GDPR) та Законом України «Про захист персональних даних»:

Персональні дані — будь-яка інформація, яка стосується ідентифікованої або ідентифікованої фізичної особи (суб'єкта даних).
Обробка — будь-яка дія або сукупність дій із персональними даними (збір, зберігання, зміна, використання, передача тощо).
Контролер — особа, яка самостійно або разом з іншими визначає цілі та засоби обробки персональних даних (у цьому документі — Клієнт).
Процесор — особа, яка обробляє персональні дані від імені Контролера (у цьому документі — Maestrico).
Суб'єкт даних — фізична особа, персональні дані якої обробляються (гості, пацієнти, клієнти Клієнта та інші кінцеві користувачі).
SCCs — Стандартні договірні умови ЄС відповідно до Рішення Комісії 2021/914/EU.
Порушення безпеки — інцидент, що призвів або міг призвести до несанкціонованого доступу, розкриття, зміни або знищення персональних даних.
TOMs — Технічні та організаційні заходи захисту персональних даних (Додаток C).

2. Предмет та обсяг обробки

Maestrico обробляє персональні дані виключно з метою надання послуг AI-менеджера відповідно до Основного договору та задокументованих інструкцій Контролера.

Деталі обробки наведені у Додатку A. Maestrico не обробляє персональні дані в інших цілях без письмового дозволу Контролера, крім випадків, передбачених законодавством.

Забороненні категорії даних

Контролер не передає Maestrico особливі категорії персональних даних (ст. 9 GDPR): дані про здоров'я, расу/етнічне походження, релігійні переконання, біометричні дані тощо — без окремої письмової угоди та проведення DPIA.

3. Обов'язки Контролера

Клієнт (Контролер) зобов'язується:

Забезпечити наявність законної правової підстави (ст. 6 GDPR) для обробки персональних даних суб'єктів даних, перед тим як передавати їх до Maestrico;
Інформувати суб'єктів даних (гостей/клієнтів) про обробку їхніх даних відповідно до ст. 13/14 GDPR — зокрема про використання AI-сервісів;
Інформувати суб'єктів даних про факт взаємодії з AI-системою відповідно до вимог EU AI Act Art. 50 (з 2 серпня 2026 р.);
Передавати Maestrico лише ті дані, які необхідні для надання Сервісу (принцип мінімізації);
Своєчасно передавати Maestrico будь-які зміни або відкликання інструкцій щодо обробки;
Самостійно реагувати на запити суб'єктів даних щодо реалізації їхніх прав.

4. Обов'язки Процесора (Maestrico)

Maestrico зобов'язується:

Обробляти персональні дані виключно відповідно до задокументованих інструкцій Контролера, якщо інше не вимагається законодавством;
Забезпечувати, що особи, які мають доступ до персональних даних, взяли зобов'язання про конфіденційність;
Вживати заходів безпеки відповідно до ст. 32 GDPR (Додаток C — TOMs);
Залучати субпроцесорів лише з попереднього письмового дозволу Контролера (загальний дозвіл надається підписанням цієї DPA, з урахуванням Додатку B);
Надавати Контролеру всю необхідну інформацію для демонстрації відповідності цій Угоді;
Повідомляти Контролера, якщо, на думку Maestrico, інструкція порушує GDPR або інше застосовне законодавство про захист даних.

5. Субпроцесори

Підписуючи цю DPA, Контролер надає загальний письмовий дозвіл на залучення субпроцесорів, перелічених у Додатку B.

При внесенні змін до переліку субпроцесорів (додавання нових або заміна існуючих) Maestrico:

повідомляє Контролера не менш ніж за 30 днів до змін;
надає Контролеру можливість заперечити протягом 14 днів з моменту повідомлення;
у разі обґрунтованого заперечення — вживає розумних зусиль для вирішення ситуації.

Maestrico укладає з кожним субпроцесором договір, що покладає на нього зобов'язання захисту даних, еквівалентні цій DPA.

6. Міжнародна передача персональних даних

Персональні дані зберігаються на серверах Hetzner Online GmbH (ЄС, Нюрнберг, Німеччина) — у межах ЄЕП.

При обробці LLM-запитів персональні дані можуть передаватись до:

OpenAI Ireland Ltd / OpenAI, LLC (США) — на підставі SCCs (Рішення 2021/914/EU, Модуль 3: Processor-to-Processor);
Anthropic, PBC (США) — на підставі SCCs.

Для організацій в ЄС/ЄЕП: передача здійснюється відповідно до ст. 46(2)(c) GDPR. Maestrico зберігає актуальні копії підписаних SCCs з кожним провайдером і надає їх Контролеру на запит.

Важливо щодо даних у LLM

Жоден з LLM-провайдерів (OpenAI, Anthropic) не використовує дані, надіслані через API, для навчання моделей за замовчуванням. Строки зберігання даних у провайдерів: до 30 днів для цілей моніторингу безпеки, після чого — видалення.

7. Технічні та організаційні заходи (TOMs)

Детальний перелік заходів наведено у Додатку C. Коротко:

Шифрування при передачі: TLS 1.3 для всіх з'єднань;
Зберігання: сервери Hetzner (ISO 27001, ЄС); захист на рівні ОС та додатку;
Контроль доступу: принцип мінімальних привілеїв; MFA для адміністраторів;
Моніторинг: логування підозрілої активності; rate limiting;
Розробка: захист від OWASP Top 10 (XSS, SQL-ін'єкції); honeypot;
Процеси: процедура реагування на інциденти; регулярний перегляд заходів.

Maestrico регулярно переглядає та оновлює TOMs відповідно до технологічних змін та актуального рівня ризиків.

8. Допомога у реалізації прав суб'єктів даних

Maestrico надає Контролеру розумну технічну та організаційну допомогу для виконання зобов'язань щодо реалізації прав суб'єктів даних (ст. 15–22 GDPR), зокрема:

Надання Контролеру можливості експортувати дані конкретного суб'єкта з адмін-панелі;
Видалення або анонімізація даних суб'єкта на задокументований запит Контролера;
Сприяння у виконанні запитів на обмеження обробки.

Якщо суб'єкт даних звертається безпосередньо до Maestrico — ми спрямовуємо його до Контролера (Клієнта) і повідомляємо Контролера про такий запит протягом 5 робочих днів.

Maestrico також надає Контролеру допомогу у проведенні DPIA та попередніх консультацій з наглядовими органами, якщо обробка даних потребує цього (ст. 35–36 GDPR). Обсяг та вартість такої допомоги погоджується додатково.

9. Повідомлення про порушення безпеки

У разі виявлення Порушення безпеки Maestrico:

Повідомляє Контролера без невиправданої затримки, але не пізніше 48 годин після виявлення (що дає Контролеру час для виконання власного 72-годинного зобов'язання за ст. 33 GDPR);
Надає Контролеру наступну інформацію (за наявності): характер порушення, приблизна кількість постраждалих суб'єктів, категорії і приблизний обсяг даних, ймовірні наслідки, вжиті заходи;
Продовжує надавати оновлення по мірі отримання додаткової інформації;
Співпрацює з Контролером та наглядовим органом у розслідуванні інциденту.

Відповідальність за повідомлення наглядового органу

Обов'язок повідомити наглядовий орган (ст. 33 GDPR) та суб'єктів даних (ст. 34 GDPR) лежить на Контролері (Клієнті). Maestrico надає всю необхідну інформацію для виконання цих обов'язків.

10. Повернення та видалення персональних даних

Після закінчення надання послуг (незалежно від причини завершення) Maestrico на вибір Контролера:

Повертає Контролеру всі персональні дані у структурованому, загальновживаному, машиночитаному форматі; або
Видаляє всі персональні дані та наявні копії.

Вибір здійснюється Контролером шляхом письмового запиту протягом 30 днів після закінчення послуг. За відсутності запиту — дані видаляються через 30 днів після закінчення договору.

Maestrico надає письмове підтвердження видалення на запит Контролера.

Виняток: якщо законодавство вимагає подальшого зберігання — Maestrico зберігає дані виключно в обсязі та строках, необхідних для виконання такої вимоги, і повідомляє про це Контролера.

11. Аудит та інспекції

Maestrico надає Контролеру всю інформацію, необхідну для демонстрації відповідності цій DPA (ст. 28(3)(h) GDPR).

Контролер або уповноважений ним аудитор має право проводити аудити або інспекції щодо обробки персональних даних. Умови:

Попереднє письмове повідомлення за 14 робочих днів;
Аудит проводиться у робочий час (пн–пт, 9:00–18:00 за Київським часом);
Витрати на аудит несе Контролер;
Якщо Maestrico має актуальний сертифікат незалежного аудиту (ISO 27001 або еквівалент) — він приймається як достатнє підтвердження відповідності, якщо Контролер не обґрунтує потребу у додатковому аудиті.

12. Строк дії та розірвання

Ця DPA набирає чинності з дати підписання та діє весь час надання послуг за Основним договором.

DPA автоматично припиняється при закінченні дії Основного договору — після виконання зобов'язань щодо повернення/видалення даних (Розділ 10). Положення про конфіденційність зберігають чинність протягом 3 років після припинення Угоди.

Застосовне право: законодавство України. Щодо EU GDPR — тлумачиться відповідно до права ЄС. У разі суперечності між правом України та GDPR у питаннях, що регулюються GDPR, — застосовуються норми GDPR (для суб'єктів даних в ЄС).

Додаток A — Деталі обробки персональних даних

Відповідно до ст. 28(3) GDPR

A.1 Предмет обробки

Обробка персональних даних кінцевих користувачів Клієнта для надання послуг AI-менеджера (автоматизованого спілкування з клієнтами через месенджери та інші канали).

A.2 Характер і мета обробки

Отримання та аналіз повідомлень кінцевих користувачів;
Генерація відповідей AI-менеджера;
Обробка запитів на бронювання / призначення / замовлення;
Виставлення рахунків та підтвердження транзакцій (якщо застосовно);
Передача складних запитів живому менеджеру Клієнта з повним контекстом.

A.3 Категорії персональних даних

Категорія	Приклади
Ідентифікаційні дані	Ім'я, яке вказав кінцевий користувач у переписці
Контактні дані	Номер телефону, якщо вказано
Дані про послуги	Дати, тип номера/послуги, вартість, дата народження (якщо вказано)
Зміст комунікації	Текст повідомлень (весь діалог)
Операційні дані	Статус бронювання / замовлення, статус оплати

A.4 Категорії суб'єктів даних

Кінцеві користувачі (гості, пацієнти, клієнти тощо) Клієнта, які взаємодіють з AI-менеджером через месенджери (Telegram, Instagram, WhatsApp) або вебсайт.

A.5 Строки обробки

Протягом строку дії Основного договору. Після його закінчення — відповідно до Розділу 10 цієї DPA (за замовчуванням: видалення протягом 30 днів).

Додаток B — Затверджені субпроцесори

Актуальний список станом на дату підписання. Зміни — з повідомленням за 30 днів.

Субпроцесор	Роль	Місцезнаходження	Підстава передачі	DPA / Сертифікація
Hetzner Online GmbH hetzner.com	Хостинг, зберігання даних	Нюрнберг, Німеччина (ЄС)	ЄЕП — передача без обмежень	DPA за Art. 28 GDPR; ISO 27001 (TÜV Rheinland)
OpenAI Ireland Ltd / OpenAI, LLC openai.com	Обробка природної мови (LLM API)	Ірландія (ЄС) / США	SCCs (Рішення 2021/914/EU)	OpenAI DPA; SOC 2 Type II; ISO 27001
Anthropic, PBC anthropic.com	Обробка природної мови (LLM API)	США	SCCs (Рішення 2021/914/EU)	Anthropic DPA; SOC 2 Type II

Щодо LLM-провайдерів

Жоден з LLM-провайдерів не використовує дані через API для навчання моделей за замовчуванням (підтверджено їхніми DPA). Строки зберігання даних у провайдерів — до 30 днів для цілей безпеки.

Додаток C — Технічні та організаційні заходи (TOMs)

Відповідно до ст. 32 GDPR

C.1 Фізична безпека

Сервери розташовані в сертифікованому дата-центрі Hetzner (Нюрнберг, ЄС) з контролем фізичного доступу;
Відеоспостереження та охорона по периметру дата-центру (за стандартами Hetzner).

C.2 Шифрування та безпека передачі

Всі з'єднання шифруються за допомогою TLS 1.3;
API-взаємодії з субпроцесорами — виключно по HTTPS.

C.3 Контроль доступу

Принцип мінімальних привілеїв: кожен член команди має доступ лише до тих даних, які необхідні для виконання його функцій;
MFA (багатофакторна автентифікація) для адміністраторів системи;
Унікальні облікові записи — спільні паролі не використовуються;
Регулярний перегляд прав доступу.

C.4 Безпека додатку

Захист від основних класів атак OWASP Top 10 (SQL-ін'єкції, XSS, CSRF тощо);
Rate limiting для API-запитів;
Honeypot-захист форм;
Валідація та санітизація вхідних даних.

C.5 Резервування та відновлення

Регулярне резервне копіювання даних;
Процедура відновлення після збоїв.

C.6 Процедура реагування на інциденти

Задокументована процедура виявлення, оцінки та реагування на порушення безпеки;
Повідомлення Контролера у строки відповідно до Розділу 9 цієї DPA.

C.7 Конфіденційність персоналу

Всі особи, що мають доступ до персональних даних, беруть зобов'язання конфіденційності;
Інструктаж щодо захисту персональних даних.

Потребує перевірки юристом

При обробці особливо чутливих даних (медичних тощо) може знадобитися проведення DPIA та впровадження додаткових TOMs. Рекомендуємо консультацію зі спеціалістом з кібербезпеки при масштабуванні.

Підписи сторін

Підписуючи цю Угоду, Сторони підтверджують своє ознайомлення з її умовами та зобов'язуються їх виконувати.

Контролер (Клієнт)

Назва: _________________________

Посада: _________________________

ПІБ: _________________________

Підпис: _________________________

Дата: _________________________

Процесор (Maestrico)

ФОП Жолобко Н.Д.

ІПН: 2690113688

ПІБ: Жолобко Н.Д.

Підпис: _________________________

Дата: _________________________

Угода може бути підписана в електронній формі (КЕП/кваліфікований електронний підпис) або шляхом обміну підписаними сканами. Кожна Сторона зберігає оригінал або копію підписаного документа.