Відповідність GDPR

1. Вступ

ТОВ «Sinaptic AI» («Sinaptic») повністю відданий дотриманню Загального регламенту захисту даних (ЄС) 2016/679 («GDPR»). Як українська компанія, що працює в рамках Дія.City та обслуговує клієнтів у Європейській економічній зоні, ми впровадили комплексні технічні та організаційні заходи для забезпечення законної, справедливої та прозорої обробки персональних даних.

Цей документ описує нашу рамку відповідності GDPR, включаючи наші ролі як контролера та обробника даних, положення Договору про обробку даних, управління субпроцесорами, механізми транскордонної передачі, процедури реалізації прав суб'єктів даних, протоколи повідомлення про порушення та призначення відповідальної особи із захисту даних.

2. Sinaptic як контролер даних та обробник даних

2.1 Роль контролера даних

Sinaptic діє як контролер даних, коли ми визначаємо цілі та засоби обробки персональних даних. Це включає обробку, пов'язану з:

• Даними відвідувачів нашого вебсайту (аналітика, подання контактних форм, дані cookie).
• Даними потенційних клієнтів, зібраними через маркетингову діяльність, заходи та процеси продажу.
• Інформацією облікових записів клієнтів, необхідною для надання послуг та виставлення рахунків.
• Персональними даними працівників та підрядників (регулюються окремими внутрішніми політиками).

2.2 Роль обробника даних

Sinaptic діє як обробник даних, коли ми обробляємо персональні дані від імені наших корпоративних клієнтів через наші продукти:

• Browser DLP: При моніторингу та класифікації даних у браузерному середовищі клієнта персональні дані, такі як метадані перегляду працівників та класифікації контенту, обробляються від імені клієнта.
• Sinaptic AI Intent Firewall®: Журнали верифікації дій можуть містити посилання на персональні дані залежно від характеру дій AI-агентів, що верифікуються.
• Sinaptic® DROID+: Розгорнуті агенти можуть взаємодіяти з персональними даними або обробляти їх як частину бізнес-процесів клієнта.

У ролі обробника Sinaptic обробляє персональні дані виключно відповідно до задокументованих інструкцій клієнта та умов відповідного Договору про обробку даних.

3. Положення Договору про обробку даних (DPA)

Sinaptic укладає Договір про обробку даних з кожним клієнтом, для якого ми виступаємо обробником даних, відповідно до статті 28 GDPR. Наш стандартний DPA включає наступні положення:

1. Предмет та тривалість: Чітке визначення характеру, мети та тривалості обробки, типів персональних даних, що обробляються, та категорій суб'єктів даних.
2. Інструкції з обробки: Sinaptic обробляє персональні дані лише на підставі задокументованих інструкцій контролера, включаючи щодо передачі персональних даних до третьої країни або міжнародної організації.
3. Конфіденційність: Весь персонал Sinaptic, уповноважений на обробку персональних даних, зобов'язався дотримуватися конфіденційності або перебуває під відповідним законодавчим зобов'язанням конфіденційності.
4. Заходи безпеки: Впровадження належних технічних та організаційних заходів відповідно до статті 32, включаючи шифрування, псевдонімізацію, контроль доступу та регулярне тестування.
5. Субобробка: Sinaptic не залучає іншого обробника без попередньої конкретної або загальної письмової авторизації контролера. У разі загальної авторизації Sinaptic інформує контролера про будь-які заплановані зміни.
6. Допомога з правами суб'єктів даних: Sinaptic допомагає контролеру у відповіді на запити суб'єктів даних щодо реалізації їхніх прав відповідно до GDPR.
7. Повідомлення про порушення: Sinaptic повідомляє контролера без невиправданої затримки після того, як дізнається про порушення персональних даних.
8. Повернення та видалення даних: Після припинення дії DPA Sinaptic видаляє або повертає всі персональні дані контролеру, за вибором контролера, та видаляє наявні копії, якщо законодавство Союзу або держави-члена не вимагає їх зберігання.
9. Права аудиту: Sinaptic надає контролеру всю інформацію, необхідну для демонстрації відповідності, та дозволяє та сприяє проведенню аудитів, включаючи інспекції, що здійснюються контролером або аудитором, призначеним контролером.

4. Субпроцесори

Sinaptic залучає обмежену кількість субпроцесорів для підтримки надання наших Послуг. Кожен субпроцесор:

• Підпорядковується письмовій угоді, що накладає зобов'язання щодо захисту даних, не менш захисні, ніж ті, що містяться в нашому DPA з контролером.
• Оцінюється на відповідність GDPR, включаючи перевірку належних технічних та організаційних заходів безпеки, до залучення.
• Постійно контролюється на предмет продовження дотримання договірних та юридичних зобов'язань.

Ми підтримуємо актуальний перелік субпроцесорів, який включає для кожного: назву, місцезнаходження та опис діяльності з обробки. Цей перелік надається клієнтам при укладенні DPA та оновлюється при будь-яких змінах.

Клієнти, які обрали повідомлення про зміни за нашим DPA, отримають щонайменше за 30 днів попереднє повідомлення перед тим, як новий субпроцесор розпочне обробку персональних даних, разом з обґрунтованою можливістю заперечення.

5. Транскордонна передача даних

Штаб-квартира Sinaptic знаходиться в Києві, Україна. Хоча Україна ще не отримала загального рішення про адекватність від Європейської Комісії відповідно до статті 45 GDPR, наша участь у програмі Дія.City відображає прагнення України привести свою нормативну базу у відповідність зі стандартами ЄС. Ми застосовуємо наступні механізми передачі для забезпечення законної транскордонної передачі даних:

5.1 Стандартні договірні положення

Для передачі персональних даних з ЄЕЗ до України ми впроваджуємо Стандартні договірні положення (SCC), прийняті Європейською Комісією відповідно до Імплементаційного рішення (ЄС) 2021/914. Ми виконуємо відповідні модулі залежно від сценарію передачі (контролер-обробник або обробник-обробник).

5.2 Оцінка впливу передачі

Відповідно до рекомендацій Європейської ради із захисту даних (EDPB), ми провели Оцінку впливу передачі (TIA), що оцінює правову базу урядового доступу до персональних даних в Україні. Ця оцінка враховує:

• Українське законодавство щодо спостереження та доступу правоохоронних органів.
• Механізми судового нагляду та процесуальні гарантії.
• Практичний досвід Sinaptic з урядовими запитами на доступ (на сьогодні жодного не отримано).
• Характер переданих даних та потенційний вплив на суб'єктів даних.

5.3 Додаткові технічні заходи

Ми впроваджуємо додаткові технічні заходи для забезпечення ефективного захисту персональних даних, що передаються міжнародно, включаючи: шифрування при передачі та зберіганні з використанням стандартних галузевих алгоритмів; псевдонімізацію та анонімізацію, де це можливо; суворий контроль доступу, що обмежує доступ до персональних даних лише уповноваженим персоналом на основі потреби знати; та технічну архітектуру, що мінімізує обсяг персональних даних, що покидають ЄЕЗ.

6. Права суб'єктів даних

Sinaptic встановив процедури для сприяння реалізації прав суб'єктів даних відповідно до Розділу III GDPR:

• Право на доступ (ст. 15): Суб'єкти даних можуть запросити доступ до своїх персональних даних. Ми верифікуємо особу заявника та надаємо запитувану інформацію протягом 30 днів.
• Право на виправлення (ст. 16): Запити на виправлення неточних даних обробляються протягом 30 днів.
• Право на видалення (ст. 17): Запити на видалення задовольняються, де це застосовно, з урахуванням вимог щодо зберігання за законодавством.
• Право на обмеження (ст. 18): Обробка може бути обмежена за запитом на час вирішення спорів щодо точності.
• Право на портативність даних (ст. 20): Персональні дані надаються у структурованому, машинозчитуваному форматі за запитом.
• Право на заперечення (ст. 21): Заперечення проти обробки на основі законного інтересу оцінюються та обробляються оперативно.

Коли Sinaptic діє як обробник даних, запити суб'єктів даних, отримані Sinaptic, негайно перенаправляються відповідному контролеру, і Sinaptic допомагає контролеру у виконанні таких запитів відповідно до DPA.

Для реалізації ваших прав зверніться до нас за адресою hello@sinaptic.ai.

7. Повідомлення про порушення персональних даних

Sinaptic впровадив комплексний процес виявлення, оцінки та повідомлення про порушення відповідно до статей 33 та 34 GDPR.

7.1 Повідомлення наглядового органу

У разі порушення персональних даних, яке може призвести до ризику для прав і свобод фізичних осіб, Sinaptic (як контролер даних) повідомить компетентний наглядовий орган без невиправданої затримки та, де це можливо, протягом 72 годин після того, як дізнався про порушення. Якщо повідомлення не зроблено протягом 72 годин, воно супроводжуватиметься поясненням причин затримки.

7.2 Повідомлення суб'єктів даних

Якщо порушення персональних даних може призвести до високого ризику для прав і свобод фізичних осіб, Sinaptic повідомить постраждалих суб'єктів даних без невиправданої затримки, описавши характер порушення, ймовірні наслідки та заходи, вжиті або запропоновані для його усунення.

7.3 Повідомлення контролерів (роль обробника)

Діючи як обробник даних, Sinaptic повідомить відповідного контролера без невиправданої затримки після того, як дізнається про порушення персональних даних, що стосується даних контролера. Це повідомлення включатиме:

• Опис характеру порушення, включаючи, де це можливо, категорії та приблизну кількість постраждалих суб'єктів даних та записів.
• Ім'я та контактні дані DPO або іншої контактної особи для отримання додаткової інформації.
• Опис ймовірних наслідків порушення.
• Опис заходів, вжитих або запропонованих для усунення порушення, включаючи заходи для пом'якшення його можливих негативних наслідків.

7.4 Реєстр порушень

Sinaptic веде реєстр усіх порушень персональних даних, включаючи факти, пов'язані з порушенням, його наслідки та вжиті коригувальні заходи. Цей реєстр доступний для перевірки наглядовими органами за запитом.

8. Відповідальна особа із захисту даних

Sinaptic призначив відповідальну особу із захисту даних (DPO) відповідно до статті 37 GDPR. DPO:

• Інформує та консультує Sinaptic та його працівників щодо їхніх зобов'язань відповідно до GDPR та інших застосовних законів про захист даних.
• Здійснює моніторинг дотримання GDPR, інших положень Союзу або держав-членів щодо захисту даних та політик захисту даних Sinaptic.
• Надає консультації щодо Оцінок впливу на захист даних (DPIA) та контролює їх виконання.
• Є контактною особою для суб'єктів даних та наглядового органу.
• Звітує безпосередньо найвищому рівню управління Sinaptic.

9. Записи про діяльність з обробки

Відповідно до статті 30 GDPR, Sinaptic веде всеохоплюючі записи про діяльність з обробки як контролер даних, так і як обробник даних. Ці записи включають цілі обробки, категорії суб'єктів даних та персональних даних, категорії одержувачів, інформацію про міжнародні передачі, передбачувані строки зберігання та загальний опис технічних та організаційних заходів безпеки. Ці записи ведуться у письмовій (електронній) формі та надаються наглядовим органам за запитом.

10. Оцінки впливу на захист даних

Sinaptic проводить Оцінки впливу на захист даних (DPIA) відповідно до статті 35 GDPR для будь-якого типу обробки, що може призвести до високого ризику для прав і свобод фізичних осіб, зокрема коли вона передбачає використання нових технологій, автоматизоване прийняття рішень або масштабну обробку персональних даних. DPIA проводяться перед початком такої обробки та переглядаються при суттєвій зміні характеру, обсягу, контексту або цілей обробки.