Перейти до основного вмісту
OpenAI

Updated: 1 грудня 2025 р.

Додаткова угода щодо обробки даних OpenAI

Завантажити PDF(відкривається у новому вікні)

Дата набуття чинності: 1 січня 2026 р.

(Переглянути попередню додаткову угоду щодо обробки даних)

Ця Додаткова угода щодо обробки даних («ДУОД») доповнює та включається до Угоди про надання послуг OpenAI («Угода»), що регулює використання Сервісів, і укладається станом на Дату набрання чинності між зазначеним вище Клієнтом («Клієнт») та OpenAI OpCo, LLC від свого імені та від імені своїх афілійованих осіб, якщо інше не передбачено: якщо Клієнт розташований у країні Європейської економічної зони або Швейцарії, ця угода укладається з OpenAI Ireland Ltd. від свого імені та від імені своїх афілійованих осіб («OpenAI»). Терміни, написані з великої літери, які не визначені в ДУОД, мають значення, надані в Угоді. У цій ДУОД OpenAI та Клієнт окремо називаються “Стороною”, а разом — “Сторонами”. Клієнт підтверджує, що має законні підстави для укладення цієї Угоди, а якщо він укладає Угоду від імені юридичної особи — що має повноваження юридично зобов’язувати таку особу. Натискаючи «Я згоден», приймаючи Форму замовлення чи користуючись Послугами, Клієнт погоджується з цією Угодою.

1. Деталі.

  • 1.1 Сфера застосування та ролі. У межах надання Клієнту Сервісів відповідно до Угоди OpenAI може здійснювати Обробку Клієнтських даних від імені Клієнта. OpenAI виступає як Процесор даних від імені Клієнта, і ця ДУОД регулює таку обробку.
  • 1.2 Деталі обробки. OpenAI оброблятиме Клієнтські дані лише з метою надання Сервісів Клієнту відповідно до Угоди та цієї ДУОД. Деталі щодо характеру, тривалості, а також типів Клієнтських даних і категорій Суб’єктів даних, які залучені, викладені в Додатку 1 (Деталі обробки) до цієї ДУОД. OpenAI та Клієнт кожен погоджуються дотримуватися своїх відповідних зобов’язань згідно із Законами про захист даних у зв’язку з Послугами.

2. Обов’язки OpenAI.

  • 2.1 Інструкції Клієнта. Сторони погоджуються, що ця ДУОД, Угода (включно з Формою замовлення), а також будь-які інструкції, надані через інструменти конфігурації та інші інструменти в межах Сервісів, доступні OpenAI, становлять документовані інструкції Клієнта щодо обробки OpenAI Клієнтських даних («Інструкції Клієнта»). OpenAI оброблятиме Клієнтські дані лише відповідно до Інструкцій Клієнта, якщо інше не вимагається чинним законодавством, якому підпорядковується OpenAI. У такому разі OpenAI повідомить Клієнта про цю вимогу до початку обробки, якщо надання такого повідомлення не заборонене законом.
  • 2.2 Повідомлення Клієнту. OpenAI негайно письмово повідомить Клієнта, якщо, на думку OpenAI, інструкція Клієнта порушує Закони про захист даних. OpenAI, у межах, дозволених законом, інформуватиме Клієнта, якщо OpenAI отримає юридично обов’язковий запит на розкриття Клієнтських даних від правоохоронного органу.
  • 2.3 Конфіденційність. OpenAI забезпечить, щоб усі особи, уповноважені OpenAI на обробку Клієнтських даних, взяли на себе зобов’язання щодо конфіденційності або перебували під відповідним законодавчим обов’язком щодо збереження конфіденційності.
  • 2.4 Запити суб’єктів даних. OpenAI, наскільки це дозволено законом, повідомить Клієнта, якщо OpenAI отримає запит на реалізацію прав суб’єкта даних згідно із Законами про захист даних («Запит суб’єкта даних») стосовно Клієнтських даних.  З урахуванням характеру обробки OpenAI допомагатиме Клієнту, впроваджуючи відповідні технічні та організаційні заходи, наскільки це можливо, щоб дати Клієнту змогу реагувати на Запити суб’єктів даних. Беручи до уваги характер обробки, OpenAI допоможе Клієнту, впроваджуючи відповідні технічні та організаційні заходи, наскільки це можливо, щоб дозволити Клієнту відповідати на запити суб’єктів даних.
  • 2.5 Захист. OpenAI впроваджуватиме та підтримуватиме обґрунтовані й належні організаційні та технічні заходи безпеки для захисту Клієнтських даних, як викладено в Угоді.
  • 2.6 Допомога Клієнту. OpenAI, враховуючи характер обробки та інформацію, доступну OpenAI, надасть Клієнту розумну допомогу для дотримання його зобов’язань згідно із Законами про захист даних, включаючи, де це доречно, підготовку оцінок впливу на захист даних щодо обробки Клієнтських даних компанією OpenAI та, за необхідності, консультації Клієнта з наглядовим органом, який має юрисдикцію над такою обробкою, якщо такі консультації вимагаються Законами про захист даних.
  • 2.7 Порушення безпеки персональних даних. OpenAI сповістить Клієнта без зайвої затримки, як тільки дізнається про будь-який витік персональних даних. OpenAI надасть Клієнту розумну допомогу, щоб допомогти Клієнту виконати свої зобов’язання відповідно до Законів про захист даних щодо такого порушення персональних даних.
  • 2.8 Оцінка відповідності. OpenAI, на обґрунтований письмовий запит Клієнта та в обсязі, передбаченому Законодавством про захист даних, буде: (i) не частіше одного разу на рік надавати Клієнту політики OpenAI щодо конфіденційності та безпеки, а також іншу інформацію, необхідну для підтвердження дотримання OpenAI своїх зобов’язань за цією ДУОД; і (ii) за умови, що між Сторонами укладено відповідну угоду про конфіденційність, дозволяти та сприяти проведенню аудитів або інспекцій Клієнтом або від його імені, що здійснюються виключно за рахунок Клієнта.  Такий аудит або інспекція повинні: (A) проводитися способом, що мінімально перешкоджає діяльності OpenAI; (B) бути необхідними для підтвердження того, що OpenAI обробляє Клієнтські дані відповідно до цієї ДУОД; і (C) проводитися не частіше одного разу на рік. Якщо це дозволено Законодавством про захист даних, OpenAI може натомість надати Клієнту узагальнений виклад Звітів з аудиту, які стосуються дотримання OpenAI цієї ДУОД. Такі результати та документація, включно з результатами будь-яких аудитів або інспекцій, є Конфіденційною інформацією OpenAI.
  • 2.9 Залучення субпроцесорів. Клієнт цим надає OpenAI загальний дозвіл залучати Субпроцесорів, зазначених у Переліку субпроцесорів, для обробки Клієнтських даних у зв’язку з наданням Сервісів. OpenAI повідомлятиме Клієнта про будь-які зміни в Переліку субпроцесорів через публікацію в блозі, сповіщення в межах Сервісів або іншим розумним способом, а також електронною поштою, якщо Клієнт підписався на такі сповіщення на сайті Переліку субпроцесорів. Клієнт може заперечити проти залучення такого додаткового Субпроцесора протягом 30 днів із моменту отримання повідомлення про зміну, дотримуючись інструкцій, викладених у Переліку субпроцесорів, або звернувшись на адресу privacy@openai.com. У такому разі OpenAI співпрацюватиме з Клієнтом, щоб вирішити його занепокоєння та запропонувати комерційно обґрунтовані альтернативи або рішення. Якщо жодна з альтернатив або рішень, на розумну думку OpenAI, не є комерційно життєздатною, або якщо заперечення не було врегульовано на задоволення Сторін протягом 30 днів із моменту отримання OpenAI повідомлення про заперечення Клієнта, будь-яка зі Сторін може розірвати Угоду або будь-які Форми замовлення чи припинити використання тих Сервісів, які неможливо надавати без залучення нового Субпроцесора. У такому разі Клієнту буде повернено відповідні попередньо сплачені кошти в частині, що припадає на періоди чи строки після дати такого розірвання.
  • 2.10 Зобов'язання субпроцесора. OpenAI укладатиме договірні угоди з кожним Субпроцесором, які покладатимуть на нього зобов’язання, співмірні з тими, що покладаються на OpenAI згідно з цією ДУОД. З урахуванням обмежень відповідальності, визначених в Угоді, OpenAI залишатиметься відповідальним за дії та бездіяльність своїх Субпроцесорів у тій же мірі, у якій OpenAI ніс би відповідальність за ці дії чи бездіяльність за цією ДУОД, якби виконував їх сам.
  • 2.11 Повернення або видалення даних. Після закінчення строку дії або припинення Угоди OpenAI за інструкцією Клієнта поверне або видалить Клієнтські дані та наявні копії, якщо тільки збереження Клієнтських даних не вимагається чинним законодавством. У такому разі OpenAI ізолює ці дані та захищатиме їх від будь-якої подальшої обробки, окрім випадків, коли така обробка потрібна згідно з чинним законодавством.

3. Обов'язки Клієнта.

  • 3.1 Повідомлення та авторизації. Клієнт заявляє, гарантує та зобов'язується, що він надав усі необхідні повідомлення та має і буде підтримувати протягом усього Терміну всі необхідні права, згоди та авторизації, в обсязі, необхідному згідно із Законами про захист даних, для надання Клієнтських даних компанії OpenAI та для авторизації OpenAI на обробку Клієнтських даних у зв'язку з Угодою, включаючи цю ДУОД.
  • 3.2 Співпраця. Клієнт повинен розумно співпрацювати з OpenAI, щоб допомогти OpenAI виконувати будь-які свої зобов'язання згідно з чинними законами про захист даних.
  • 3.3 Конфігурації. Без шкоди для зобов’язань OpenAI щодо безпеки, передбачених у Розділі 2.5 цієї ДУОД, Клієнт визнає та погоджується, що він несе відповідальність за певні конфігурації та рішення щодо дизайну Сервісів, а також за впровадження таких конфігурацій і рішень (наприклад, періоди зберігання, видалення тощо) у спосіб, що відповідає чинним Законам про захист даних.

4. Міжнародні передавання даних.

  • 4.1 Дані ЄЕЗ та Швейцарії. Дані клієнтів, оброблені OpenAI відповідно до цієї ДУОД, можуть підпадати під дію Законів про захист даних Європейської економічної зони або Швейцарії («Дані ЄЕЗ і Швейцарії»). Незалежно від того, яка юридична особа OpenAI є стороною договору за цією ДУОД, Клієнт цим інструктує OpenAI Ireland Limited обробляти будь-які дані ЄЕЗ і Швейцарії відповідно до цієї ДУОД. У тій мірі, у якій OpenAI Ireland Limited передає дані ЄЕЗ і Швейцарії іншим афілійованим особам OpenAI або стороннім особам за межами Європейської економічної зони чи Швейцарії з метою надання Сервісів, така передача здійснюватиметься на підставі угод, що містять Стандартні договірні положення (SCC), які забезпечують належні гарантії захисту Клієнтських даних, або на підставі рішення про належний рівень захисту, ухваленого Європейською Комісією відповідно до статті 45 GDPR.
  • 4.2 Дані Великобританії. Дані клієнта, оброблені OpenAI відповідно до цієї ДУОД, можуть підпадати під дію Законів про захист даних Сполученого Королівства («UK Data»). Незалежно від того, яка сторона OpenAI є стороною договору за цією ДУОД, Клієнт цим доручає OpenAI OpCo, LLC обробляти будь-які дані Великобританії відповідно до цієї ДУОД та Стандартних договірних умов, змінених Додатком Сполученого Королівства, які вважаються укладеними (і включеними до цієї ДУОД на підставі цього посилання) та завершеними, як описано в Додатку 1.

5. Додаткові вимоги.

У тій мірі, в якій застосовуються закони США про конфіденційність:

  • 5.1 OpenAI погоджується (a) не надавати Клієнту грошову або іншу цінну винагороду в обмін на Дані клієнта від Клієнта. Сторони визнають і погоджуються, що Клієнт (a) не «продавав» (у значенні, визначеному законами США про конфіденційність) Клієнтські дані OpenAI; (b) не «продаватиме» (у значенні законів США про конфіденційність) і не «поширюватиме» (у значенні CCPA) Персональні дані; (c) у тій мірі, у якій Клієнт дозволяє або інструктує OpenAI обробляти Клієнтські дані, що підпадають під дію законів США про конфіденційність, у знеособленій формі як частину Сервісів, OpenAI зобов’язується: (i) ужити розумних заходів для запобігання використанню таких знеособлених даних з метою виведення інформації про конкретну фізичну особу або домогосподарство чи для їх подальшого пов’язування з ними; (ii) публічно зобов’язатися підтримувати та використовувати такі знеособлені дані саме у такій формі та не намагатися повторно ідентифікувати інформацію, за винятком випадків, дозволених законами США про конфіденційність; і (iii) перед передаванням знеособлених даних будь-якій іншій стороні, включно із Субпроцесорами, договірно зобов’язати таких отримувачів дотримуватися вимог цього підпункту (c)(i)–(iii); та (d) якщо Клієнтські дані підпадають під дію CCPA: (i) не зберігати, не використовувати, не розкривати та не обробляти Клієнтські дані інакше, ніж це необхідно для бізнес-цілей, зазначених в Угоді, включно з тими, що викладені в Додатку 1 до цієї ДУОД; (ii) не зберігати, не використовувати, не розкривати та не обробляти Клієнтські дані будь-яким чином поза межами прямого ділового відношення між OpenAI і Клієнтом; (iii) не поєднувати Клієнтські дані з Персональними даними, які OpenAI отримує від або від імені будь-якої іншої третьої сторони чи збирає в межах власної взаємодії з фізичними особами, за умови що OpenAI може поєднувати Клієнтські дані з такою метою, яка дозволена CCPA, якщо Клієнт надає відповідну інструкцію або якщо це іншим чином дозволено CCPA; (iv) повідомити Клієнта без невиправданої затримки, якщо OpenAI визначить, що більше не може виконувати свої обов’язки згідно з CCPA; і (v) якщо Клієнт має обґрунтовані підстави вважати, що Обробка Клієнтських даних OpenAI не відповідає вимогам CCPA, і після надання Клієнтом відповідного обґрунтованого повідомлення OpenAI, Сторони сумлінно співпрацюватимуть для усунення проблеми або, якщо після такої співпраці Клієнт обґрунтовано визначить, що проблему неможливо усунути, OpenAI припинить Обробку відповідних Клієнтських даних за письмовою інструкцією Клієнта.
  • 5.2 Клієнт погоджується не вчиняти жодних дій, які (a) призвели б до того, що надання Клієнтських даних OpenAI вважалося б «продажем» згідно із законами США про конфіденційність або «поширенням» згідно з CCPA (або еквівалентними поняттями в законах США про конфіденційність); або (ii) призвели б до того, що OpenAI перестав би вважатися «постачальником послуг» згідно з CCPA чи «процесором» згідно із законами США про конфіденційність.

6. Визначення.

«Клієнтські дані» означають Персональні дані, які OpenAI обробляє від імені Клієнта для надання Сервісів.

«Контролер даних» має значення, надане терміну «контролер» (або іншому аналогічному терміну) згідно із Законодавством про захист даних.

«Процесор даних» має значення, надане терміну «процесор» (або іншому аналогічному терміну) згідно із Законодавством про захист даних.

«Законодавство про захист даних» означає закони про конфіденційність і захист даних, що застосовуються до обробки OpenAI Клієнтських даних у зв’язку з наданням Сервісів.

«Суб’єкт даних» має значення, надане терміну «суб’єкт даних» (або іншому аналогічному терміну) згідно із Законодавством про захист даних.

«GDPR» означає Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року

«Персональні дані» мають значення, надане термінам «персональні дані» або «персональна інформація» (або іншому аналогічному терміну) згідно із Законодавством про захист даних.

«Порушення безпеки Персональних даних» означає порушення безпеки, яке призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття чи доступу до Клієнтських даних, що зберігаються, передаються або іншим чином обробляються OpenAI, його Субпроцесорами або будь-якими іншими третіми сторонами, що діють від імені OpenAI.

«Обробка» має значення, надане терміну «обробка» (або іншому аналогічному терміну) згідно із Законодавством про захист даних.

«SCCs» означає стандартні договірні положення для передавання персональних даних у треті країни, схвалені Європейською Комісією 4 червня 2021 року (з можливими змінами, оновленнями або замінами з часом).

«Субпроцесори» означає субпроцесорів, залучених OpenAI для обробки Клієнтських даних у зв’язку з наданням Сервісів і зазначених у Переліку субпроцесорів.

Перелік субпроцесорів” означає перелік, доступний за такою адресою https://platform.openai.com/subprocessors(відкривається у новому вікні).

«Додаток Сполученого Королівства» означає додаток Сполученого Королівства до Стандартних договірних умов ЄС, виданий Уповноваженим з питань інформації згідно з розділом 119A(1) Закону про захист даних 2018 року.

«Закони США про конфіденційність» означає підмножину Законів про захист даних, які застосовуються до резидентів Сполучених Штатів, включно, зокрема, із Законом Каліфорнії про захист прав споживачів («CCPA»).

Графік 1

Деталі обробки

1. Характер і мета:

Надання Сервісів відповідно до Угоди.

2. Тривалість:

Термін і час, необхідний для того, щоб Сторони виконали свої відповідні зобов'язання після закінчення Терміну, включаючи видалення даних.

3. Категорії даних клієнта:

Клієнт може передавати до Сервісів Персональні дані, категорії яких залежатимуть від того, як Клієнт використовує Сервіси, — це визначається та контролюється самим Клієнтом на його власний розсуд. Такі дані можуть включати, зокрема, імена, контактну інформацію, демографічні відомості або будь-яку іншу інформацію, надану Кінцевими користувачами Клієнта у вигляді неструктурованих даних.

4. Категорії суб'єктів даних:

Суб’єктами даних можуть бути, зокрема, але не обмежуючись цим, працівники Клієнта, його клієнти, постачальники та загалом Кінцеві користувачі.

5. Передавання конфіденційних даних (якщо застосовно):

Конфіденційні дані, які передаються (якщо застосовно), і застосовані обмеження чи запобіжні заходи, які повністю враховують характер даних і пов’язані ризики, як-от суворе обмеження мети, обмеження доступу (зокрема доступ лише для персоналу, який пройшов спеціальне навчання), реєстрація доступу до даних, обмеження на подальшу передачу чи додаткові заходи безпеки.

Жодні конфіденційні дані не призначені для передавання, якщо користувач несподівано не включить їх у неструктуровані дані

6. Частота:

Частота передачі даних (наприклад, разово чи постійно).

На постійній основі залежно від використання Клієнтом Сервісів

7. Передавання до субпроцесорів:

Відповідно до статті 2.9 ДУОД Субпроцесори здійснюватимуть Обробку Клієнтських даних у тій мірі, у якій це необхідно для надання Сервісів. Така Обробка здійснюватиметься протягом терміну дії Угоди, якщо інше не погоджено в письмовій формі.

8. Інформація про стандартні договірні положення для передавання даних Великої Британії згідно з Розділом 4.2:

  • 8.1 Другий модуль (від Контролера до Процесора) Стандартних договірних умов застосовується, коли Клієнт є Контролером даних, а OpenAI обробляє Клієнтські дані як Процесор даних. Третій модуль (від Процесора до Субпроцесора) Стандартних договірних умов застосовується, коли Клієнт є Процесором даних, а OpenAI обробляє Клієнтські дані як Субпроцесор.
  • 8.2 Для кожного модуля Стандартних договірних положень, якщо застосовно, діють такі положення: (i) необов’язкове положення щодо приєднання (docking clause) у Клаузулі 7 не застосовується; (ii) у Клаузулі 9 застосовується Варіант 2 (загальний письмовий дозвіл), а мінімальний строк попереднього повідомлення про зміни субпроцесорів встановлюється відповідно до розділу 2.9 ДУОД; (iii) у Клаузулі 11 необов’язкове формулювання не застосовується; (iv) усі квадратні дужки в Клаузулі 13 вилучаються; (v) у Клаузулі 17 (Варіант 1) Стандартні договірні положення регулюються законодавством Англії та Уельсу; (vi) у Клаузулі 18(b) спори вирішуються судами Англії та Уельсу; (vii) цей Додаток 1 містить інформацію, необхідну для Додатку I та Додатку III Стандартних договірних положень; (viii) розділ 2.5 (Безпека) ДУОД містить інформацію, необхідну для Додатку II Стандартних договірних положень; (ix) компетентним наглядовим органом є Управління комісара з питань інформації («ICO»).
  • 8.3 Експортер(и) даних: Клієнт за Угодою; Імпортер(и) даних: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Співробітник з питань захисту даних, privacy@openai.com.

Укласти Угоду про обробку даних(відкривається у новому вікні)