Угода про обробку даних (DPA)

Документ описує відносини, коли ти вносиш у Tally персональні дані третіх осіб (наприклад, дані твоїх клієнтів у фактурах: ім'я, NIP, адреса, email).

• Адміністратор даних (Administrator): ти — користувач Tally, JDG або юридична особа, яка визначає, чиї дані вводити і навіщо.
• Процесор (Procesor / podmiot przetwarzający): Tally — обробляє дані виключно за твоєю інструкцією, у межах функціональності платформи.
• Tally НЕ є адміністратором даних твоїх клієнтів. Tally є адміністратором лише власних користувачів (тебе) — окрема політика у /privacy.

Обробка виконується автоматизованими засобами у наступних межах:

• Предмет: зберігання, обчислення, генерація документів (фактури, JPK, PIT) і доставка їх до відповідних державних реєстрів від твого імені.
• Тривалість: весь період активної підписки + 90 днів після розірвання договору (вікно для експорту/видалення). Архівні податкові документи — 6 років згідно з Ordynacja podatkowa.
• Характер: обчислювально-довідкова обробка структурованих даних; жодного профілювання у розумінні RODO art. 22 не виконуємо.
• Мета: виключно виконання договору надання послуг Tally (RODO art. 6 ust. 1 lit. b) — не для маркетингу і не для тренування моделей.
• Документовані інструкції (RODO art. 28 ust. 3 lit. a): інструкціями адміністратора визнаються: (i) цей DPA, (ii) Умови надання послуг Tally, (iii) налаштування облікового запису у застосунку, (iv) письмові звернення на privacy@tally.app. Будь-яка обробка поза цими інструкціями виконується лише за вимогою права ЄС/Польщі — і ми попередньо інформуємо тебе, якщо це право не забороняє таке попередження.
• Конфіденційність персоналу (RODO art. 28 ust. 3 lit. b): усі особи, які мають доступ до даних з боку Tally — штат і контрактори — зобовʼязані письмовою угодою про конфіденційність на термін дії доступу + 5 років після, з накладеними дисциплінарними та цивільно-правовими наслідками порушення.

Які типи даних потрапляють у Tally від тебе або через тебе:

• Контактні дані клієнтів: імʼя/назва, NIP/REGON, адреса, email, номер телефону (якщо вводиш).
• Платіжні реквізити: номер банківського рахунку у фактурі, BIC/SWIFT (опційно). Зберігаються зашифрованими.
• Транзакційні дані: номери та суми фактур, дати оплат, банківські виписки (якщо завантажуєш).

Заходи безпеки описані повністю в Trust Center і коротко тут:

• Шифрування чутливих полів AES-256-GCM на рівні застосунку перед записом у БД.
• TLS 1.2+ для всього мережевого трафіку, HSTS, SameSite=Lax cookies.
• Append-only audit log (Postgres trigger), MFA через Clerk, EU-only хостинг (Frankfurt, Vercel fra1 + Neon eu-central-1).
• Незалежний пен-тест: перший раунд запланований на 4Q 2026; підсумковий звіт надсилаємо під NDA на запит legal@tally.app. До того часу — daily SAST через GitHub CodeQL + npm audit на кожний коміт.

Tally залучає кваліфікованих субпроцесорів за загальним дозволом (RODO art. 28 ust. 2). Повний актуальний перелік з юрисдикцією та категоріями даних — у Privacy §6; нижче — категоризований огляд:

• Інфраструктура у ЄС: Vercel (хостинг, fra1 Frankfurt), Neon (Postgres БД, Frankfurt), Vercel Blob (об'єктне сховище для PDF/JPK, fra1). Обробка і зберігання відбуваються у Європейському економічному просторі.
• Постачальники з трансферами до США за SCC 2021/914: Clerk (автентифікація), Resend (транзакційний email), Inngest (фонові задачі та крони), Sentry (моніторинг помилок з редагуванням PII), Anthropic (AI-чат — лише коли користувач активно використовує чат-вкладку), Telegram (опційно, лише якщо ти підключив Tally-бота). Для кожного діє Module 3 SCC (processor-to-processor) як належний механізм передачі за RODO art. 46.
• Платежі: Stripe Payments Europe Ltd (Dublin, IE) — головний контрагент для платежів EU-користувачів; Stripe Inc. (US) може мати доступ до обмежених метаданих транзакцій як субпроцесор за власним DPA Stripe + SCC 2021/914.
• OAuth-провайдери (опційно): Google — лише під час входу через «Sign in with Google» (через Clerk); отримуємо email та ім'я з профілю, нічого більше. Без використання OAuth-входу Google не залучається.
• Зобов'язання flow-down + TIA (RODO art. 28 ust. 3 lit. d + ust. 4): кожен субпроцесор зобов'язаний письмовим договором з рівнем захисту, не нижчим за цей DPA. Для трансферів до США Tally виконала Transfer Impact Assessment за EDPB Recommendations 01/2020 (востаннє переглянуто 2026-05-28) і підтверджує наявність додаткових заходів: шифрування у транзиті (TLS 1.2+) та у спокої (AES-256), договірна конфіденційність, відсутність PII у логах у відкритому вигляді.

Про додавання або заміну субпроцесора повідомимо письмово (email + банер у застосунку) щонайменше за 14 днів. Ти маєш право заперечити — у такому випадку домовляємось про альтернативу або припиняємо договір без штрафу.

Якщо до твого клієнта прийшов запит за RODO art. 15-22 (доступ, виправлення, видалення, переносимість, обмеження, заперечення) — як адміністратор відповідаєш ти. Ми надаємо інструменти:

1. Експорт: кнопка у Налаштування → Експорт повертає JSON з усіма даними по вибраному клієнту (або по всіх).
2. Видалення: інструмент Danger Zone виконує soft-delete з 30-денним grace period, після чого hard-delete (крім даних, які зобовʼязані зберігати за податковим законом).
3. Виправлення: усі поля редагуються у застосунку напряму; історія змін у audit log.
4. Якщо запит DSAR прийшов напряму у Tally (наприклад, твій клієнт написав нам) — пересилаємо до тебе протягом 5 робочих днів і допомагаємо з технічною відповіддю.

У разі підтвердженого breach даних, які ти нам довірив:

• Повідомляємо тебе на твій основний email акаунту протягом 72 годин від виявлення (RODO art. 33 ust. 2).
• Сповіщення містить: природу інциденту, категорії та обсяг даних, ймовірні наслідки, заходи реагування.
• Ти, як адміністратор, відповідаєш за нотифікацію UODO (72h за art. 33 ust. 1) і своїх клієнтів (art. 34) — ми допомагаємо технічно.
• Визначення «naruszenie ochrony danych» застосовуємо за RODO art. 4 pkt 12: порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, неправомірного розкриття або доступу до персональних даних. Підозра без підтвердження не запускає 72-годинний таймер — лише з моменту, коли інцидент кваліфіковано як підтверджений breach.
• Допомога у DPIA та консультаціях (RODO art. 35-36): якщо твоя обробка з використанням Tally вимагає оцінки впливу на захист даних або попередньої консультації з UODO — на письмовий запит надаємо технічну документацію (опис обробки, заходи безпеки, перелік субпроцесорів, оцінку ризиків) у межах 10 робочих днів.

Право на аудит реалізується наступним чином:

• Перший рівень — публічний Trust Center + цей DPA + Privacy + Security questionnaire (надсилаємо за запитом на legal@tally.app, відповідь до 5 робочих днів).
• Другий рівень — спільний аудит на місці з 30-денним повідомленням і взаємно погодженим аудитором; розумні витрати покриває замовник аудиту, окрім випадків підтвердженого порушення з нашого боку.

Після завершення дії договору ти обираєш одне:

• Експорт + видалення: вивантажуємо все у JSON, потім видаляємо у межах 90 днів (за винятком даних з обовʼязковим періодом зберігання за законом — для них тільки експорт + блокування доступу).
• Видалення без експорту: те саме без вивантаження.
• Експорт без видалення: зберігаємо в read-only архіві ще 30 днів за окремою домовленістю.

Питання, запит на підписану версію або сповіщення про інцидент — сторінка контактів або напряму на privacy@tally.app.

Юридична рамка договору:

• Набуття чинності: натискання кнопки «Прийняти угоду» (або обмін кваліфікованими електронними підписами для B2B) перетворює цей DPA на договір, обов'язковий для обох сторін, що доповнює Умови надання послуг Tally. Дату, IP та user-agent зберігаємо як докази згоди (RODO art. 7 ust. 1).
• Порядок переваги: у разі суперечності між цим DPA та Умовами надання послуг у питаннях обробки персональних даних — переважає цей DPA. Усі інші питання залишаються за Умовами.
• Право і юрисдикція: застосовне право — польське, з прямим застосуванням RODO/GDPR. Спори, які не вдалось вирішити переговорами, розглядає суд за місцезнаходженням Tally (Краків); цей пункт не позбавляє адміністратора-споживача обов'язкових процесуальних прав за місцем проживання.
• Перелік субпроцесорів за посиланням: актуальний перелік субпроцесорів з юрисдикціями, категоріями даних та юридичною основою передачі публікується на tally.app/privacy §6 і становить невід'ємну частину цього DPA. Зміни доводимо до тебе відповідно до §05 (14 днів).
• Зміни DPA: ми можемо оновлювати DPA з повідомленням за 30 днів на email акаунту + банер у застосунку. Якщо зміна суттєво обмежує твої права — попросимо нову акцептацію (з новою датою-IP-агентом). До акцептації нової версії діє попередня.

Останнє оновлення · 28 травня 2026