PhotoRobot
Центр довіри
Юридичних
Угода про обробку даних PhotoRobot (DPA)
PhotoRobot Умови користування
Ліцензійна угода PhotoRobot
Документи конфіденційності PhotoRobot — Огляд
Політика конфіденційності PhotoRobot
PhotoRobot GDPR Повідомлення про конфіденційність (Стаття 13)
Угода про обробку даних PhotoRobot (DPA)
Політика прийнятного використання PhotoRobot (AUP)
Угоди про рівень сервісу PhotoRobot (SLA)
Угода про рівень обслуговування (SLA) для PhotoRobot Software
Угода про рівень обслуговування (SLA) для апаратного забезпечення PhotoRobot
Умови підтримки клієнтів PhotoRobot
Політика щодо cookie PhotoRobot
Політика згоди на маркетинг PhotoRobot
Список субпроцесорів PhotoRobot
PhotoRobot Юридичні визначення та глосарій
Останнє редагування: 29 грудня 2025 року

Угода про обробку даних PhotoRobot (DPA)

Цей документ є Угодою про обробку даних PhotoRobot: версія 1.0 — PhotoRobot Edition, uni-Robot Ltd., Чехія.

1. Партії

Ця Угода про обробку даних ("DPA") укладається між:

Контролер (Клієнт)
Фізична або юридична особа, яка уклала Умови користування PhotoRobot і використовує Сервіс.

та

Процесор:
uni-Robot Ltd.
Водічкова 710/31
110 00 Прага 1
Чеська Республіка
Ідентифікатор компанії: 01478061
ПДВ: CZ01478061
Електронна пошта: legal@photorobot.com

Далі колективно називаються «Сторонами».

Цей DPA доповнює Умови обслуговування PhotoRobot і застосовується, коли PhotoRobot обробляє персональні дані від імені Клієнта.

2. Тематика та характер обробки

PhotoRobot («Процесор») надає хмарні сервіси, локальні розширення програмного забезпечення, управління прошивкою та інфраструктуру хостингу, необхідну для обробки зображень, метаданих та пов'язаного цифрового контенту, завантаженого Клієнтом («Контролер»).

Обробка включає:

  • Колекція
  • Зберігання
  • Трансмісія
  • Вилучення метаданих
  • синхронізація між CL ↔ Cloud
  • Хостинг контенту, завантаженого клієнтами
  • Створення журналів та діагностика
  • Резервні операції

Обробка здійснюється виключно від імені Контролера відповідно до його задокументованих інструкцій.

3. Тривалість

Цей DPA залишається чинним протягом усього дії договірних відносин між Сторонами і надалі, доки Процесор зберігає або обробляє будь-які персональні дані від імені Контролера.

4. Персональні дані та категорії суб'єктів даних

4.1. Типи персональних даних

Залежно від того, як використовується Сервіс, оброблені дані можуть включати:

  • Ідентифікаційні дані (ім'я, прізвище, компанія)
  • Контактні дані (електронна пошта, телефон)
  • Візуальний контент (зображення, відео)
  • Метадані, пов'язані з завантаженим контентом
  • журнальні дані, IP-адреси, технічні ідентифікатори
  • Дані на рівні проєкту
  • облікові дані (хешовані), токени доступу

Процесор не вимагає і навмисно не обробляє спеціальні категорії даних (ст. 9 GDPR).

4.2. Категорії суб'єктів даних

  • Працівники клієнта
  • Клієнти або партнери клієнта
  • Авторизовані користувачі
  • Будь-які особи, представлені у візуальному контенті, завантаженому Клієнтом

Клієнт несе виключну відповідальність за забезпечення законного збору даних від суб'єктів даних.

5. Інструкції від контролера

Процесор обробляє лише персональні дані:

  1. згідно з задокументованими інструкціями Контролера,
  2. якщо це необхідно для надання послуги,
  3. для забезпечення безпеки, цілісності та доступності систем,
  4. відповідно до вимог законодавства ЄС або Чехії.

Якщо Процесор вважає інструкцію незаконною, Процесор повинен повідомити Контролера.

6. Конфіденційність

Процесор гарантує, що всі особи, уповноважені обробляти персональні дані:

  • підпадають під зобов'язання щодо конфіденційності,
  • пройшли відповідне навчання,
  • обробляють дані виключно за вказівками Контролера.

7. Субпроцесори

Процесор використовує певних третіх сторін («Субпроцесори») для підтримки Сервісу.

7.1. Затверджені субпроцесори

Контролер надає загальний дозвіл процесору взаємодіяти з такими категоріями субпроцесорів:

  • постачальники хмарної інфраструктури (наприклад, Google Cloud Platform)
  • Провайдери доставки електронної пошти
  • Постачальники аналітики
  • Системи продажу квитків
  • Послуги моніторингу безпеки
  • Резервне копіювання та системи аварійного відновлення

Повний список підтримується у списку субпроцесорів PhotoRobot і може бути оновлений.

7.2. Повідомлення про зміни

Процесор повинен повідомити Контролера про будь-які заплановані зміни для субпроцесорів щонайменше за 15 днів наперед, що дозволяє Контролеру заперечувати на розумних підставах.

8. Міжнародні передачі даних

Якщо підпроцесори або інфраструктура розташовані поза межами ЄЕЗ, процесор забезпечує:

  • застосування Стандартних договірних положень (SCC 2021),
  • додаткові технічні та організаційні гарантії,
  • мінімізував доступ і шифрування,
  • аудити відповідності постачальником.

Google Cloud Platform надає:

  • ISO 27001, ISO 27017, ISO 27018
  • Звіти SOC 1/2/3
  • Документація щодо відповідності GDPR

Деталі доступні за адресою https://cloud.google.com/security.

9. Заходи безпеки

Процесор повинен впроваджувати стандартні технічні та організаційні заходи (TOM), зокрема:

9.1. Технічні заходи

  • TLS-шифрування даних у транспорті
  • Безпечне зберігання з зашифрованими токенами доступу
  • Ізольовані середовища обробки
  • Хешування пароля
  • Обмеження швидкості та системи виявлення вторгнень
  • Багатошарове міжмережеве екранування
  • Безпека фізичного дата-центру (через Google Cloud)

9.2. Організаційні заходи

  • Керування доступом на основі ролей
  • Журналування та моніторинг доступу
  • Внутрішні політики для обробки даних
  • Обов'язки щодо конфіденційності працівників
  • Періодичне навчання з безпеки
  • Управління ризиками постачальників

Повний список TOM доступний за запитом.

10. Права суб'єктів даних

Процесор допомагає контролеру реагувати на:

  • Запити на доступ
  • Виправлення
  • Видалення
  • Обмеження
  • Портативність даних
  • Заперечення

Процесор повинен без зайвих затримок передати будь-який прямий запит від даних до Контролера.

11. Повідомлення про витік даних

У разі витоку персональних даних Процесор повинен повідомити Контролера:

  • без зайвих зволікань,
  • включно з усією інформацією, необхідною статтею 33 GDPR,
  • та надавати постійні оновлення до завершення усунення роботи.

Контролер залишається відповідальним за повідомлення органів влади та постраждалих осіб.

12. Видалення або повернення даних

Після розірвання контракту:

  • Процесор видаляє дані клієнта через 30 днів,
  • якщо Контролер не вказав інше,
  • за винятком випадків, коли утримання є обов'язковим законом.

Резервні копії перезаписуються протягом свого нормального життєвого циклу.

13. Аудити

Контролер має право:

  • отримання документації, що підтверджують відповідність GDPR
  • запитати звіт про TOM
  • Проведення розумних аудитів, обмежених одним разом на рік
  • покладатися на сертифікації третіх сторін (ISO/SOC звіти Google Cloud)

Аудити не повинні ставити під загрозу безпеку чи порушувати роботу.

14. Відповідальність

Відповідальність сторін відповідає Умовам користування.
Процесор несе відповідальність лише за порушення, спричинені власним порушенням зобов'язань GDPR.

15. Регульне право та юрисдикція

Цей DPA регулюється законами Чеської Республіки.

Спори вирішуються судами в Празі, Чехія.

16. Стандартні договірні положення (SCC)

За потреби SCC 2021 (Модуль 2: Контролер → Процесор) застосовується як додаток до цього DPA.

PhotoRobot:

  • включає SCC за посиланням,
  • включає всі обов'язкові положення,
  • впроваджує додаткові технічні заходи
  • забезпечує відповідність передачам субпроцесорам поза межами ЄЕЗ.

SCC може бути наданий повністю за запитом.

17. Контакт

uni-Robot Ltd.
Водічкова 710/31
110 00 Прага 1
Чеська Республіка

Електронна пошта: legal@photorobot.com