Соглашение об обработке данных (DPA)

1. Предмет и срок

Обработчик обрабатывает персональные данные от имени Оператора данных для предоставления DocTracker SaaS application.

Срок обработки: в течение срока действия основного соглашения и любого применимого периода хранения.

2. Характер и цель обработки

Обработка включает хранение, организацию, структурирование, извлечение, ознакомление, передачу, ограничение и удаление Customer Data.

Цель: предоставление платформы workspace для управления документами.

3. Типы персональных данных

Могут включать:

• идентификационные данные (имя, email)
• документы, загруженные Оператором данных или его клиентами
• финансовые или деловые записи
• метаданные (сроки, статусы, activity logs)

Обработчик намеренно не собирает специальные категории данных, но может обрабатывать их, если они загружены Оператором данных.

4. Категории субъектов данных

• клиенты Оператора данных
• сотрудники
• подрядчики
• иные лица, чьи данные загружаются

5. Обязательства Обработчика

Обработчик обязан:

• Обрабатывать данные только на основании документированных инструкций Оператора данных.
• Обеспечивать конфиденциальность.
• Внедрять соответствующие технические и организационные меры (Annex I).
• Уведомлять Оператора данных без неоправданной задержки и не позднее 48 часов с момента, когда стало известно о нарушении защиты персональных данных.
• Оказывать Оператору данных содействие по запросам субъектов данных.
• Оказывать содействие при DPIA, когда это требуется.
• Удалять или возвращать персональные данные при прекращении.
• Предоставлять информацию, необходимую для подтверждения соответствия.

6. Субобработчики

Оператор данных предоставляет общее разрешение на привлечение субобработчиков.

Текущие субобработчики включают:

• Vercel (EU region - Germany)
• Neon (EU region - Germany)
• Cloudflare, Inc. (EU region)
• Google LLC (United States and/or European Union)
• Resend (USA)
• Stripe (United States and/or European Union)
• Upstash (EU region - Germany)

Обработчик будет информировать Оператора данных об изменениях.

Обработчик сохраняет полную ответственность за субобработчиков.

7. Международная передача

Customer Data могут передаваться за пределы ЕЭЗ отдельными субобработчиками (например, Resend и/или Stripe, когда это применимо).

Обработчик опирается на соответствующие гарантии, включая Standard Contractual Clauses, когда это применимо.

8. Хранение и удаление

• Данные хранятся, пока учетная запись активна.
• После удаления учетной записи: soft deletion немедленно.
• Постоянное удаление из основной базы данных в течение 30 дней.
• Все связанные данные, включая документы, метаданные и журналы активности, удаляются при удалении соответствующего рабочего пространства.
• Некоторые операционные журналы (включая журналы доставки электронной почты) могут обрабатываться и храниться субобработчиками в соответствии с их независимыми политиками хранения данных.

9. Аудит

Оператор данных может проводить аудиты на основе документации один раз в год при предварительном уведомлении за 30 дней.

Аудит не должен нарушать операции Обработчика или предоставлять доступ к данным других клиентов.

Annex I - Меры безопасности

• TLS-шифрование при передаче
• Шифрование при хранении (на уровне базы данных)
• Ролевой контроль доступа (owner/client)
• Логическая изоляция workspace
• Activity logging
• Ежедневная автоматизированная очистка удаленных данных
• Отсутствие доступа сотрудников к production data