Останнє оновлення: 4 травня 2026 року
Ця Угода про обробку персональних даних (далі — DPA) регулює обробку персональних даних, які ТОВ «НЕКСОН Україна» (далі — NEXON, Розпорядник) обробляє від імені та за дорученням Замовника під час надання послуг сервісу NEXON Vision.
DPA є невід'ємною частиною Публічного договору (оферти) (далі — Договір) і набирає чинності одночасно з Договором без необхідності окремого підписання. У разі укладення між NEXON та Замовником окремого двостороннього договору або окремої DPA з підписанням, умови такого окремого документа мають пріоритет над цією DPA.
Терміни, що використовуються в DPA, мають значення, визначене в Договорі. Терміни «володілець персональних даних», «розпорядник персональних даних», «суб'єкт персональних даних», «обробка» використовуються у значеннях Закону України «Про захист персональних даних» та Загального регламенту ЄС про захист даних (GDPR).
Володільцем персональних даних є Замовник.
Розпорядником персональних даних є NEXON (ТОВ «НЕКСОН Україна», ЄДРПОУ 42079392).
1.2.1. Ця DPA застосовується до персональних даних, які Замовник завантажує, зберігає, обробляє або транслює через Сервіс як їх володілець, а також до персональних даних суб'єктів даних, доступ до яких NEXON може отримувати під час надання Послуг.
1.2.2. Ця DPA не застосовується до персональних даних, які NEXON обробляє як самостійний володілець (зокрема, дані представників Замовника для виконання Договору, ведення обліку, технічної підтримки). Обробка таких даних регулюється Політикою конфіденційності.
2.1. Предмет обробки — персональні дані, які Замовник завантажує, зберігає або обробляє через NEXON Vision.
2.2. Мета обробки — надання Замовнику послуг Сервісу відповідно до Договору, включаючи зберігання, трансляцію та керування Контентом.
2.3. Тривалість обробки відповідає строку дії Договору. Після припинення Договору обробка триває протягом додаткового періоду до 90 календарних днів, передбаченого розділом 7.4 Договору, якщо дані не видалені раніше за запитом Замовника або відповідно до закону.
2.4. Характер обробки включає: збір, реєстрацію, накопичення, зберігання, адаптацію, зміну, поновлення, використання, поширення (передавання), знеособлення, знищення; технічне адміністрування, резервне копіювання, відновлення, моніторинг, забезпечення безпеки.
3.3.1. Сервіс не призначений для обробки спеціальних категорій персональних даних — даних про расову або етнічну приналежність, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, стан здоров'я, статеве життя, біометричні або генетичні дані.
3.3.2. Замовник не повинен завантажувати такі дані до Сервісу, якщо це не було окремо погоджено з NEXON у письмовій формі. У разі завантаження таких даних без погодження вся відповідальність несе Замовник.
4.1. NEXON обробляє персональні дані виключно за документованими інструкціями Замовника.
4.2. Сам факт акцепту Договору, а також налаштування, які Замовник здійснює в Сервісі (створення Користувачів, налаштування плейлистів, активація інтеграцій, активація модулів підрахунку аудиторії), є документованими інструкціями володільця в розумінні цієї DPA.
4.3. NEXON негайно повідомляє Замовника, якщо вважає, що інструкція Замовника порушує законодавство про захист персональних даних. NEXON має право відмовити у виконанні такої інструкції.
4.4. NEXON не використовує персональні дані Замовника для своїх власних цілей, не продає та не передає їх третім особам, крім випадків, передбачених цією DPA, Договором або законодавством.
NEXON зобов'язується:
5.1. Обробляти персональні дані виключно для надання Послуг та згідно з інструкціями Замовника.
5.2. Забезпечувати конфіденційність персональних даних. Працівники, підрядники та представники NEXON, які мають доступ до персональних даних, зобов'язані зберігати конфіденційність на підставі трудових договорів, угод про нерозголошення або інших юридично обов'язкових інструментів.
5.3. Впроваджувати належні технічні та організаційні заходи безпеки відповідно до Додатку 1 до цієї DPA.
5.4. Допомагати Замовнику відповідати на запити суб'єктів персональних даних щодо реалізації їхніх прав, наскільки це можливо з урахуванням характеру обробки. Допомога надається у розумному обсязі та в розумні строки.
5.5. Допомагати Замовнику виконувати обов'язки володільця щодо безпеки даних, повідомлень про порушення безпеки та оцінок впливу на захист даних (DPIA), наскільки це можливо з урахуванням характеру обробки та доступної NEXON інформації.
5.6. Повідомляти Замовника про будь-яке порушення безпеки персональних даних у порядку, передбаченому розділом 6 цієї DPA.
5.7. Після завершення надання Послуг видалити або повернути персональні дані Замовнику в порядку, передбаченому розділом 8 цієї DPA.
5.8. Надавати Замовнику інформацію, необхідну для підтвердження виконання зобов'язань за цією DPA, у порядку, передбаченому розділом 9.
6.1. У разі виявлення порушення безпеки персональних даних, що становить ризик для прав та свобод суб'єктів даних, NEXON повідомляє Замовника без невиправданої затримки, але не пізніше 72 (сімдесяти двох) годин після виявлення порушення.
6.2. Повідомлення містить:
6.3. Замовник самостійно відповідає за виконання своїх обов'язків як володільця, зокрема за повідомлення наглядового органу та суб'єктів даних, якщо це вимагається законодавством. NEXON надає розумну допомогу Замовнику в підготовці таких повідомлень.
7.1.1. Замовник надає NEXON загальний дозвіл залучати субпроцесорів для надання Послуг.
7.1.2. NEXON забезпечує, щоб субпроцесори мали зобов'язання щодо захисту даних, які по суті відповідають цій DPA, на підставі договорів або інших юридично обов'язкових інструментів.
NEXON залучає субпроцесорів у таких категоріях:
| Категорія | Місце обробки |
|---|---|
| Хостинг та серверна інфраструктура | ЄС |
| Аналітика сайту та інтеграції з зовнішніми сервісами | ЄС / США (з механізмами захисту відповідно до розділу 10) |
| Управління згодою на cookie | ЄС |
| Платіжні послуги | Україна / ЄС |
| Email, SMS, push-сповіщення | ЄС / США (з механізмами захисту відповідно до розділу 10) |
| Helpdesk та live-chat | ЄС / США (з механізмами захисту відповідно до розділу 10) |
| Інструменти створення дизайнів (за вибором Замовника) | За політикою відповідного постачальника |
| Розробка, технічна підтримка, моніторинг (внутрішньогрупові) | ЄС (Польща) |
7.2.1. Актуальний перелік конкретних субпроцесорів із зазначенням назв компаній, призначення, точного місця обробки та правових механізмів передачі даних публікується на сторінці Перелік субпроцесорів та оновлюється при змінах.
7.2.2. Сторінка субпроцесорів є джерелом істини щодо актуального переліку. У разі розбіжностей між цією таблицею категорій та переліком на сторінці субпроцесорів, актуальним вважається перелік на сторінці субпроцесорів.
7.3.1. NEXON має право змінювати перелік субпроцесорів. Про додавання нових субпроцесорів або заміну існуючих NEXON оновлює перелік на сторінці субпроцесорів.
7.3.2. NEXON прагне повідомляти Замовників про істотні зміни (зокрема, додавання нових субпроцесорів, що отримують доступ до значних обсягів персональних даних) через Сервіс або email.
7.3.3. Окремі категорії Замовників (зокрема, мережі) можуть погоджувати з NEXON у межах двостороннього договору індивідуальний порядок повідомлення про субпроцесорів та право обґрунтовано заперечувати проти конкретних субпроцесорів.
7.4.1. NEXON залишається відповідальним перед Замовником за виконання субпроцесорами зобов'язань щодо захисту даних, як за свої власні дії.
8.1. Після припинення Договору NEXON видаляє всі персональні дані Замовника відповідно до розділу 7.4 Договору (90 календарних днів після завершення оплаченого періоду + до 30 днів технічного періоду зберігання резервних копій).
8.2. До завершення цього строку Замовник має право експортувати свої дані відповідно до розділу 7.4 Договору.
8.3. NEXON не зобов'язаний зберігати персональні дані після завершення зазначеного строку, крім випадків, коли подальше зберігання вимагається законодавством (зокрема, для виконання податкових, бухгалтерських або юридичних зобов'язань).
9.1. На письмовий запит Замовника NEXON надає в розумний строк інформацію та документацію, необхідну для підтвердження виконання зобов'язань за цією DPA, зокрема:
9.2. Запити надсилаються на [email protected].
9.3. NEXON не зобов'язаний надавати інформацію, що становить комерційну таємницю, торгові секрети, дані інших клієнтів або яка може поставити під загрозу безпеку Сервісу.
9.4. Окремі категорії Замовників (зокрема, мережі та регульовані клієнти) можуть погоджувати з NEXON у межах двостороннього договору розширені умови аудиту, включаючи право проводити фізичний або документальний аудит за свій рахунок з попереднім погодженням.
10.1. Основне місце обробки персональних даних — Європейський Союз (Німеччина).
10.2. Окремі субпроцесори можуть обробляти дані за межами Європейської економічної зони, зокрема в США, Австралії та інших країнах. У таких випадках NEXON застосовує відповідні правові механізми захисту, зокрема:
10.3. У межах групи NEXON персональні дані можуть передаватися до NEXON Systems Sp. z o.o. (Польща) для забезпечення розробки, технічної підтримки, моніторингу та адміністрування Сервісу. Польща — держава-член Європейського Союзу із законодавством про захист даних, що відповідає вимогам GDPR.
11.1. Загальні умови та обмеження відповідальності, передбачені розділом 10 Договору, застосовуються також до зобов'язань за цією DPA.
11.2. Обмеження відповідальності NEXON не застосовуються у випадках, передбачених розділом 10.2.3 Договору, включаючи порушення NEXON зобов'язань щодо захисту персональних даних.
12.1. Ця DPA набирає чинності одночасно з Договором та діє протягом строку дії Договору.
12.2. Зобов'язання, які за своєю природою повинні зберігати чинність після припинення (зокрема, конфіденційність та повернення/видалення даних), залишаються чинними після припинення Договору.
12.3. NEXON має право змінювати DPA в порядку, передбаченому розділом 14 Договору.
NEXON застосовує технічні та організаційні заходи для забезпечення відповідного рівня безпеки персональних даних, включаючи:
NEXON періодично переглядає та оновлює технічні та організаційні заходи з урахуванням стану розвитку технологій, характеру обробки та ризиків для суб'єктів даних.
Контакт для питань щодо обробки персональних даних: [email protected]