Соглашение об обработке данных (DPA)

Статус документа. Это шаблон DPA (Data Processing Addendum) для корпоративных клиентов, использующих Сервис Инковер / Inkover для обработки данных, принадлежащих их собственным пользователям или сотрудникам. Для активации DPA обратитесь в [email protected] — мы пришлём подписываемую копию (DocuSign/PandaDoc или PDF) с указанием реквизитов сторон. До подписания настоящий текст имеет информационный характер.

1. Термины и стороны

Настоящее Соглашение об обработке данных (далее — «DPA») заключается между:

• Контролёром — юридическим или физическим лицом, подписавшим DPA и использующим Сервис для обработки персональных данных своих клиентов/сотрудников (далее — «Клиент»), и
• Процессором — самозанятым Дубиной Николаем Ивановичем, применяющим специальный налоговый режим «Налог на профессиональный доход» в соответствии с Федеральным законом от 27.11.2018 № 422-ФЗ (ИНН 502997275398, г. Санкт-Петербург, Российская Федерация; далее — «Оператор» или «Процессор»).

Термины «персональные данные», «обработка», «контролёр», «процессор», «субъект данных» используются в значении, предусмотренном Регламентом (ЕС) 2016/679 (GDPR) и Федеральным законом № 152-ФЗ. В случае противоречия между GDPR и 152-ФЗ применяется норма, предоставляющая субъекту данных больший объём защиты.

2. Предмет и роль сторон

Процессор обрабатывает персональные данные, предоставленные Контролёром через Сервис, исключительно по документированным инструкциям Контролёра. Использование стандартной функциональности Сервиса (OCR, перевод, рендеринг, публикация) считается документированной инструкцией, согласованной сторонами в момент подписания DPA.

3. Характер и цели обработки

• Предмет обработки: тексты, изображения, метаданные и пользовательские идентификаторы, загружаемые Клиентом или его конечными пользователями в Сервис.
• Продолжительность: действует в течение срока договора между Контролёром и Процессором (подписка или иной коммерческий договор) и в течение 30 дней после его прекращения (см. § 11).
• Цели: предоставление услуг Сервиса — OCR, машинный перевод, рендеринг переведённых изображений, хранение версий, публикация (если активирована Клиентом), выставление счетов, техническая поддержка.
• Категории данных: идентификационные данные аккаунтов (email, имя, локаль), содержание загружаемых материалов, служебные метаданные (IP, User-Agent, временные метки действий).
• Категории субъектов: конечные пользователи Клиента, сотрудники Клиента, правообладатели и заявители (в рамках процедур § 10.5 Пользовательского соглашения).

4. Обязательства Процессора

1. Обрабатывать данные исключительно по документированным инструкциям Контролёра, в том числе в отношении трансграничной передачи данных, за исключением случаев, когда такая обязанность возложена на Процессора законом.
2. Обеспечить, чтобы лица, уполномоченные обрабатывать данные, приняли на себя обязательство о конфиденциальности или находились под соответствующей установленной законом обязанностью.
3. Принять все меры, требуемые ст. 32 GDPR и ст. 19 152-ФЗ, включая описанные в § 7 настоящего DPA.
4. Соблюдать условия привлечения субпроцессоров, указанные в § 6.
5. Учитывая характер обработки, помогать Контролёру в выполнении его обязанности отвечать на запросы субъектов данных (см. § 8).
6. Помогать Контролёру в обеспечении соблюдения ст. 32–36 GDPR и применимых требований 152-ФЗ (безопасность, уведомление о нарушениях, DPIA, консультации с надзорным органом).
7. По выбору Контролёра удалить или возвратить все персональные данные по завершении предоставления услуг (см. § 11).
8. Предоставлять Контролёру всю информацию, необходимую для подтверждения соблюдения настоящего DPA, и разрешать аудиты на условиях § 9.

5. Обязательства Контролёра

• Иметь правовое основание для обработки данных, передаваемых Процессору (согласие субъектов, исполнение договора, законный интерес и т. д.).
• Предоставить субъектам данных требуемые законом уведомления (privacy notice) и обеспечить реализацию их прав.
• Не загружать в Сервис данные специальных категорий (ст. 9 GDPR / ст. 10 152-ФЗ) без предварительного письменного согласования с Процессором.
• Соблюдать инструкции Процессора по безопасности аккаунтов и своевременно отзывать доступы уволенных сотрудников.

6. Субпроцессоры

Контролёр предоставляет общее согласие на привлечение субпроцессоров. Актуальный список публикуется по адресу /privacy, раздел «Получатели данных». На момент подписания DPA субпроцессорами являются:

• Google LLC / Google Ireland Ltd — обработка через Gemini API (OCR, перевод, рендеринг) и Cloud Vision API.
• Google Cloud Platform — хостинг/инфраструктура.
• Resend (Resend, Inc.) — отправка транзакционных писем.
• Платёжные провайдеры (Heleket, YooKassa) — только реквизиты платежа, без доступа к переводимому контенту.

Процессор уведомляет Контролёра о планируемых изменениях в списке субпроцессоров не менее чем за 30 календарных дней через электронную почту. Контролёр вправе возразить против нового субпроцессора в течение 30 дней; при обоснованном возражении стороны добросовестно ищут разумное решение, а при его отсутствии Контролёр вправе расторгнуть договор.

7. Технические и организационные меры (TOM)

• Шифрование при передаче: TLS 1.2+ для всего HTTPS-трафика.
• Шифрование при хранении: AES-256 для объектных хранилищ; дисковое шифрование на уровне облачного провайдера.
• Контроль доступа: RBAC, MFA для административного доступа, принцип наименьших привилегий, ротация секретов.
• Изоляция данных: логическое разделение по tenant-id; публичные ссылки только по явному действию пользователя.
• Журналирование и мониторинг: централизованные логи доступа, аудит-лог действий администраторов, алерты на аномалии.
• Резервное копирование: ежедневные инкрементальные бэкапы, еженедельные полные; восстановление проверяется не реже раза в квартал.
• Непрерывность: план реагирования на инциденты, ответственный за реагирование доступен в течение 24 часов по рабочим дням.
• Обучение: инструктаж по защите данных для всех сотрудников, имеющих доступ к данным Контролёра.

8. Права субъектов данных

Процессор обеспечивает технические возможности для ответа на запросы субъектов о доступе, исправлении, удалении, ограничении, переносимости и возражении. Если Процессор получает такой запрос напрямую, он без необоснованной задержки перенаправляет его Контролёру и не отвечает самостоятельно, кроме случаев, требуемых законом.

9. Аудит

Процессор по запросу Контролёра предоставляет сводную информацию о принятых TOM, отчёты независимых аудиторов (если проводились) и разумную поддержку в проведении аудита Контролёром или назначенным им аудитором, не являющимся конкурентом Процессора, в рабочее время, с уведомлением не менее чем за 30 дней, не чаще одного раза в год, за исключением случаев обоснованных подозрений в нарушении. Аудитор обязан подписать NDA. Все расходы на аудит несёт Контролёр.

10. Уведомление о нарушении безопасности

Процессор уведомляет Контролёра о любом подтверждённом нарушении безопасности, затрагивающем данные Контролёра, без необоснованной задержки и не позднее 72 часов с момента обнаружения. Уведомление включает: характер нарушения, категории и приблизительное число затронутых субъектов и записей, возможные последствия, принятые или предлагаемые меры. Процессор оказывает разумное содействие Контролёру в выполнении им обязанностей по уведомлению субъектов и надзорных органов (ст. 33–34 GDPR, ч. 3 ст. 21 152-ФЗ).

11. Возврат и удаление данных

По окончании предоставления услуг Контролёр в течение 30 дней выбирает: удалить данные или вернуть их в машиночитаемом формате (JSON/ZIP). По истечении 30 дней без выбора данные удаляются. Резервные копии удаляются при их ротации — не позднее 90 дней. Аудит-логи и бухгалтерские записи хранятся в течение сроков, установленных законом (до 5 лет), и исключаются из удаления.

12. Трансграничная передача

Обработка может включать передачу данных за пределы Российской Федерации и ЕЭЗ (через Gemini API / GCP). Такая передача осуществляется на основании Стандартных договорных условий ЕС (Standard Contractual Clauses, Решение 2021/914) между Процессором и зарубежным субпроцессором, а также — для данных граждан РФ — с соблюдением требования о первичной записи на серверах на территории РФ (ч. 5 ст. 18 152-ФЗ).

13. Ответственность и применимое право

Ответственность каждой стороны по настоящему DPA ограничена лимитами, согласованными в основном коммерческом договоре. DPA регулируется правом Российской Федерации; для отношений с Контролёрами, учреждёнными в ЕЭЗ, дополнительно применяются нормы GDPR. Споры рассматриваются в порядке, согласованном в основном договоре. В части защиты прав субъектов данных применяется юрисдикция по месту обычного пребывания субъекта.

14. Конфликт документов

В случае противоречия между настоящим DPA и Пользовательским соглашением приоритет имеет DPA. В случае противоречия между DPA и отдельным коммерческим договором, подписанным сторонами, приоритет имеет коммерческий договор, если иное прямо не указано в самом DPA.

15. Как подписать

Для запроса DPA напишите на [email protected] с темой письма «DPA request» и указанием: юридического лица, страны учреждения, предполагаемых категорий данных и числа субъектов, лица для подписания. Мы вернёмся с готовой копией в течение 5 рабочих дней.