← Назад

Угода про обробку даних

Останнє оновлення: червень 2026

Ця Угода про обробку даних («DPA») є частиною договору між вами (бізнесом, що використовує Alignext, «Контролер») та оператором сервісу Alignext («Обробник», «ми», «нас») щодо надання платформи запису Alignext («Сервіс»). Вона регулює обробку нами персональних даних ваших клієнтів і персоналу від вашого імені згідно зі статтею 28 GDPR.

1. Ролі

Щодо персональних даних ваших клієнтів і персоналу, які ви обробляєте через Сервіс, ви є Контролером, а ми — Обробником. Договірною стороною з боку Alignext є юридична особа, зазначена у вашій підписці та на рахунках. Ми обробляємо такі дані лише за вашими задокументованими інструкціями, якими є використання вами функцій Сервісу та ця DPA. Щодо даних вашого власного облікового запису (контакт власника, білінг) ми діємо як незалежний контролер відповідно до нашої Політики конфіденційності.

2. Предмет і деталі обробки

  • Предмет: надання онлайн-запису, CRM, обліку платежів/каси та комунікацій.
  • Тривалість: на строк вашої підписки плюс наведені нижче періоди зберігання.
  • Характер і мета: зберігання та керування записами, клієнтами, персоналом, продажами й надсилання ініційованих вами транзакційних/маркетингових комунікацій.
  • Категорії суб'єктів даних: ваші клієнти, ваш персонал.
  • Категорії персональних даних: імена, контактні дані (email, телефон), історія записів і візитів, нотатки/теги, які ви фіксуєте, записи про платежі (суми, не дані карток) та логи повідомлень.
  • Особливі категорії: нами не запитуються; якщо ваша вертикаль (напр. клініки) фіксує в записах дані про здоров'я, ви повинні забезпечити умову за статтею 9.

3. Наші зобов'язання

  • Обробляти персональні дані лише за вашими задокументованими інструкціями, зокрема щодо передач, окрім випадків, передбачених законом.
  • Забезпечити, щоб особи, уповноважені обробляти дані, були зв'язані конфіденційністю.
  • Впроваджувати належні технічні й організаційні заходи безпеки (Розділ 5).
  • Дотримуватися умов залучення суб-обробників (Розділ 4).
  • Допомагати вам, з урахуванням характеру обробки, у відповідях на запити суб'єктів даних і у виконанні ваших обов'язків за статтями 32–36 GDPR.
  • За вашим вибором — видалити чи повернути персональні дані після завершення Сервісу (протягом 30 днів; резервні копії спливають за звичайним циклом), окрім випадків, коли зберігання вимагається законом — напр. податкові/бухгалтерські записи мають законодавчий строк зберігання, що переважає запит на видалення; у такому разі ми псевдонімізуємо персональні дані й зберігаємо лише цифри.
  • Надавати інформацію, потрібну для підтвердження відповідності, та допускати аудити — не частіше ніж раз на 12 місяців з розумним попередженням (або частіше, якщо цього вимагає наглядовий орган), за умови конфіденційності; ми можемо задовольнити аудит актуальним звітом третьої сторони, якщо доступно.

4. Суб-обробники

Ви надаєте загальну авторизацію на залучення нами суб-обробників, наведених у Додатку нижче. Ми накладаємо на кожного суб-обробника зобов'язання щодо захисту даних, еквівалентні цій DPA, і залишаємось відповідальними за їхню роботу. Ми повідомимо вас про заплановані зміни (додавання/заміни) email на адресу вашого облікового запису щонайменше за 30 днів. Ви можете заперечити з обґрунтованих підстав захисту даних протягом цього періоду; якщо ми не зможемо вирішити заперечення, ви можете припинити відповідну частину Сервісу.

5. Заходи безпеки (ст. 32)

  • Логічне розділення: дані кожного бізнесу логічно відокремлені від інших бізнесів.
  • Шифрування під час передачі: TLS для всіх з'єднань.
  • Контроль доступу: рольовий доступ за принципом найменших привілеїв.
  • Стійкість: регулярні резервні копії.
  • Моніторинг: операційний моніторинг із мінімізацією персональних даних у логах.

6. Міжнародні передачі

Хостинг і email — у межах ЄС/ЄЕЗ. Якщо суб-обробник розташований за межами ЄЕЗ (напр. у США), передачі здійснюються за Стандартними договірними положеннями ЄС або іншим дійсним механізмом передачі, як зазначено в Додатку.

7. Порушення персональних даних

Ми повідомимо вас без невиправданої затримки після того, як дізнаємось про порушення персональних даних, що стосується ваших даних, із інформацією, потрібною вам для виконання власних обов'язків щодо сповіщення за статтями 33–34 GDPR.

8. Запити суб'єктів даних

Сервіс надає інструменти експорту й видалення, щоб ви могли виконувати запити на доступ, виправлення, видалення, портативність і заперечення. Якщо запит надходить безпосередньо до нас щодо даних, які ми обробляємо від вашого імені, ми передамо його вам.

9. Відповідальність, пріоритет і застосовне право

Ця DPA є частиною наших Умов надання послуг і підпорядковується їм, зокрема положенням про обмеження відповідальності. У разі суперечності щодо обробки персональних даних ця DPA переважає над Умовами надання послуг. Застосовне право й юрисдикція — ті, що в Умовах надання послуг. Ця DPA набуває чинності, коли ви приймаєте її в застосунку, і діє, поки ви користуєтесь Сервісом.

Додаток — Суб-обробники

Ми залучаємо невелику кількість перевірених суб-обробників, кожен зв'язаний умовами захисту даних, еквівалентними цій DPA. Категорії нижче описують їхню роль. Актуальний іменований перелік (із конкретними особами й локаціями) доступний клієнтам на запит за privacy@alignext.io; про додавання чи заміни ми повідомляємо щонайменше за 30 днів (Розділ 4).

КатегоріяПризначенняЛокаціяМеханізм передачі
ХостингХостинг застосунку та БДЄС/ЄЕЗЄС — н/д
Доставка emailТранзакційний emailЄС/ЄЕЗЄС — н/д
Мережа доставки контенту (CDN)Доставка статичних ресурсівЄС/глобальний edgeSCC
Моніторинг помилокДіагностика та спостережуваністьЗа межами ЄЕЗSCC
Функції з AIОпціональні AI-функції (не для навчання моделей)За межами ЄЕЗSCC
Месенджери (SMS/WhatsApp)Заплановано — додамо із запуском каналівTBDTBD
Угода про обробку даних — Alignext | Alignext