Угода про обробку даних QR Code AI

УГОДА ПРО ОБРОБКУ ДАНИХ (DPA)

Останнє оновлення: 2 березня 2026 року

Ця Угода про обробку даних ("DPA") є частиною Умов надання послуг ("Угода") між Supernovae, компанією, зареєстрованою у Франції за адресою 27 Rue Wurtz, Juvisy-sur-Orge 91260, номер ПДВ FR67948452891 ("Обробник", "ми", "нас"), та суб’єктом, який погоджується з цією DPA ("Контролер", "ви"), разом іменованими "Сторони".

Ця DPA застосовується, коли ми обробляємо персональні дані від вашого імені у зв’язку з нашими сервісами QR Code AI, зокрема через API.

1. ВИЗНАЧЕННЯ

• "Персональні дані" означають будь-яку інформацію, що стосується ідентифікованої або такої, що може бути ідентифікована, фізичної особи, як визначено у статті 4(1) GDPR.
• "Обробка" означає будь-яку операцію або сукупність операцій, що здійснюються з Персональними даними, як визначено у статті 4(2) GDPR.
• "Суб’єкт даних" означає ідентифіковану або таку, що може бути ідентифікована, фізичну особу, до якої належать Персональні дані.
• "Субпроцесор" означає будь-яку третю сторону, залучену Обробником для обробки Персональних даних від імені Контролера.
• "GDPR" означає Регламент (ЄС) 2016/679 Європейського Парламенту та Ради.
• "UK GDPR" означає GDPR у редакції, імплементованій у право Великої Британії Законом про захист даних 2018 року.
• "SCCs" означає Стандартні договірні положення, затверджені Європейською Комісією для передачі Персональних даних до третіх країн.
• "Порушення даних" означає порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до Персональних даних.

2. СФЕРА ДІЇ ТА РОЛІ

2.1 Контролер і Обробник

Для цілей цієї DPA:

• Ви (Контролер): ви визначаєте цілі та засоби обробки Персональних даних під час використання наших Сервісів, зокрема коли ви використовуєте наш API для генерації QR-кодів для власних клієнтів або інтегруєте наші Сервіси у свої продукти.
• Ми (Обробник): ми обробляємо Персональні дані від вашого імені відповідно до ваших інструкцій, як описано в цій DPA та Угоді.

2.2 Коли застосовується ця DPA

Ця DPA застосовується, коли:

• Ви використовуєте API QR Code AI для генерації QR-кодів, які обробляють дані ваших кінцевих користувачів (наприклад, URL-адреси, що містять персональну інформацію, дані vCard, контактні дані, закодовані в QR-кодах).
• Ви використовуєте функції відстеження та аналітики QR Code AI, які збирають дані сканування від ваших кінцевих користувачів.
• Будь-який інший сценарій, у якому ми обробляємо Персональні дані від вашого імені як обробник даних.

Коли ви використовуєте QR Code AI як індивідуальний користувач для власних цілей, ми діємо як незалежний контролер даних, а обробку даних регулює наша Політика конфіденційності.

3. ДЕТАЛІ ОБРОБКИ ДАНИХ

3.1 Предмет і тривалість

Ми обробляємо Персональні дані протягом строку дії Угоди для надання сервісів QR Code AI, зокрема генерації QR-кодів, відстеження, аналітики та пов’язаного функціоналу.

3.2 Характер і мета обробки

• Генерація QR-кодів на основі вхідних даних, наданих Контролером
• Відстеження сканувань QR-кодів і збір даних аналітики
• Зберігання конфігурацій QR-кодів і пов’язаних метаданих
• Обробка запитів на художні QR-коди, згенеровані ШІ
• Надання звітів і панелей аналітики

3.3 Типи персональних даних

Типи Персональних даних, що можуть оброблятися, включають:

• Контактну інформацію (імена, адреси електронної пошти, номери телефонів), закодовану в QR-кодах
• URL-адреси та вебадреси
• Дані про місцезнаходження зі сканувань QR-кодів
• Інформацію про пристрій та IP-адреси зі сканувань QR-кодів
• Текстові підказки та зображення, надані для генерації QR-кодів ШІ
• Будь-які інші дані, які Контролер вирішить закодувати в QR-кодах

3.4 Категорії суб’єктів даних

• Кінцеві користувачі, які сканують QR-коди, створені Контролером
• Особи, чия контактна інформація закодована в QR-кодах
• Користувачі продуктів або сервісів Контролера, які взаємодіють із QR-кодами

4. ЗОБОВ’ЯЗАННЯ ОБРОБНИКА

4.1 Інструкції щодо обробки

Ми оброблятимемо Персональні дані лише за вашими документально підтвердженими інструкціями, якщо інше не вимагається правом ЄС або держави-члена, якому ми підпорядковуємося. У такому разі ми повідомимо вас про цю юридичну вимогу до початку обробки, якщо закон не забороняє таке повідомлення з важливих міркувань суспільного інтересу.

4.2 Конфіденційність

Ми забезпечуємо, щоб особи, уповноважені обробляти Персональні дані, взяли на себе зобов’язання щодо конфіденційності або були пов’язані відповідним законодавчим обов’язком конфіденційності.

4.3 Заходи безпеки

Ми впроваджуємо належні технічні та організаційні заходи для забезпечення рівня безпеки, відповідного ризику, зокрема:

• Шифрування Персональних даних під час передавання (TLS/HTTPS) та у стані зберігання
• Контроль доступу та автентифікацію на основі ролей для внутрішніх систем
• Регулярні оцінювання безпеки та сканування вразливостей
• Інфраструктуру, розміщену у провайдерів із сертифікацією ISO 27001
• Захист від DDoS та вебзастосунковий фаєрвол (Cloudflare)
• Регулярні резервні копії із зашифрованим сховищем
• Логування та моніторинг доступу до Персональних даних

4.4 Субпроцесори

Ми використовуємо субпроцесорів, перелічених на нашій сторінці субпроцесорів. Ми повідомлятимемо вас про будь-які заплановані зміни щодо субпроцесорів шляхом оновлення цієї сторінки. Ви можете заперечити проти нового субпроцесора, звернувшись до нас за адресою [email protected] протягом 30 днів із дати оновлення. Якщо ви заперечуєте, а ми не можемо обґрунтовано врахувати ваше заперечення, будь-яка зі сторін може припинити відповідну частину Сервісів.

Ми укладаємо письмові угоди з усіма субпроцесорами, які встановлюють зобов’язання щодо захисту даних не менш захисні, ніж передбачені цією DPA.

4.5 Права суб’єктів даних

Ми допомагатимемо вам відповідати на запити Суб’єктів даних, які реалізують свої права відповідно до застосовного законодавства про захист даних (доступ, виправлення, видалення, обмеження, переносимість, заперечення). Якщо ми отримаємо запит безпосередньо від Суб’єкта даних, ми оперативно перенаправимо його вам, якщо інше не буде вказано.

4.6 Допомога у дотриманні вимог

Ми допомагатимемо вам забезпечувати виконання ваших зобов’язань за статтями 32-36 GDPR, беручи до уваги характер обробки та інформацію, доступну нам.

5. ПОВІДОМЛЕННЯ ПРО ПОРУШЕННЯ ДАНИХ

5.1 Строк повідомлення

Ми повідомимо вас про Порушення даних без невиправданої затримки і в будь-якому разі протягом 72 годин із моменту, коли нам стане відомо про порушення. Повідомлення буде надіслано на адресу електронної пошти, пов’язану з вашим обліковим записом.

5.2 Зміст повідомлення

Повідомлення включатиме, наскільки це можливо:

• Опис характеру Порушення даних, включно з категоріями та приблизною кількістю Суб’єктів даних і записів, яких це стосується.
• Ім’я та контактні дані нашої контактної особи з питань захисту даних.
• Опис ймовірних наслідків Порушення даних.
• Опис заходів, вжитих або запропонованих для усунення Порушення даних, включно із заходами для пом’якшення можливих негативних наслідків.

5.3 Подальша співпраця

Ми співпрацюватимемо з вами та надаватимемо обґрунтовану допомогу в розслідуванні, пом’якшенні наслідків і усуненні Порушення даних, а також у підготовці повідомлень наглядовим органам або Суб’єктам даних, які ви зобов’язані здійснити.

6. МІЖНАРОДНА ПЕРЕДАЧА ДАНИХ

6.1 Місце зберігання даних

Персональні дані переважно зберігаються та обробляються в Європейському Союзі:

• Франція (ЄС) через Scaleway
• Нідерланди (ЄС) через DigitalOcean

6.2 Передача за межі ЄС/ЄЕЗ

Деякі з наших субпроцесорів розташовані за межами ЄС/ЄЕЗ, переважно у Сполучених Штатах. Для таких передач ми покладаємося на:

• EU-US Data Privacy Framework: де застосовно, для передачі провайдерам у США, сертифікованим у межах цієї рамки.
• Standard Contractual Clauses (SCCs): ми включаємо затверджені Європейською Комісією SCCs (Імплементаційне рішення Комісії (ЄС) 2021/914) до наших угод із субпроцесорами, розташованими за межами ЄС/ЄЕЗ, коли Data Privacy Framework не застосовується.

6.3 Оцінка впливу передачі

Ми проводимо оцінки впливу передачі для передачі до третіх країн і впроваджуємо додаткові заходи за потреби, щоб забезпечити належний рівень захисту даних.

7. АУДИТИ ТА ПЕРЕВІРКИ

7.1 Права на аудит

Ви маєте право проводити аудит нашої відповідності цій DPA. Ми надамо вам усю інформацію, необхідну для підтвердження відповідності, а також дозволимо та сприятимемо аудитам, включно з перевірками, які проводите ви або аудитор, уповноважений вами.

7.2 Процедура аудиту

Аудити проводяться за таких умов:

• Ви маєте надати письмове повідомлення щонайменше за 30 днів до будь-якого аудиту.
• Аудити можуть проводитися не частіше одного разу на рік, якщо інше не вимагається наглядовим органом або після Порушення даних.
• Аудити мають проводитися у звичайні робочі години та не повинні безпідставно перешкоджати нашій діяльності.
• Ви несете витрати на будь-який аудит, якщо аудит не виявить суттєвого порушення цієї DPA.
• Під час аудиту не повинна розкриватися конфіденційна інформація інших наших клієнтів.

8. ЗБЕРІГАННЯ ТА ВИДАЛЕННЯ ДАНИХ

8.1 Протягом дії Угоди

Ми зберігаємо Персональні дані протягом строку дії Угоди настільки, наскільки це необхідно для надання Сервісів.

8.2 Після припинення

Після припинення Угоди або за вашим письмовим запитом:

• Ми видалимо Персональні дані з наших активних систем протягом 30 днів.
• Персональні дані в архівах резервних копій буде видалено протягом 6 місяців.
• Ми можемо зберігати Персональні дані в обсязі, необхідному відповідно до застосовного законодавства (наприклад, податкові та бухгалтерські зобов’язання). У такому разі ми ізолюємо та захистимо такі дані й обмежимо подальшу обробку тим, що вимагається законом.

8.3 Підтвердження

За вашим запитом ми надамо письмове підтвердження, що Персональні дані було видалено відповідно до цього розділу.

9. ВІДПОВІДАЛЬНІСТЬ

Відповідальність кожної зі сторін за цією DPA підпадає під обмеження відповідальності, встановлені в Угоді. Ніщо в цій DPA не обмежує відповідальність будь-якої зі сторін перед Суб’єктами даних або наглядовими органами відповідно до застосовного законодавства про захист даних.

10. ЗАСТОСОВНЕ ПРАВО

Ця DPA регулюється законодавством Франції. Для Суб’єктів даних у ЄС застосовується GDPR. Для Суб’єктів даних у Великій Британії застосовується UK GDPR. Будь-які спори, що виникають із цієї DPA, вирішуються відповідно до положень Угоди щодо врегулювання спорів.

11. ЯК УКЛАСТИ ЦЮ DPA

Ця DPA включена до Умов надання послуг і є їхньою частиною. Використовуючи сервіси QR Code AI, ви погоджуєтеся з цією DPA.

Якщо вам потрібен окремо підписаний примірник цієї DPA для ваших записів, будь ласка, напишіть нам на [email protected], і ми надамо його протягом 10 робочих днів.

12. КОНТАКТИ

З питань щодо цієї DPA або наших практик обробки даних:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]