1. Стороны
Контролер данных
Вы, клиент
Обработчик данных
ClientFlow
1.1 Область обработки
Это DPA применяется к обработке персональных данных, когда:
- ClientFlow обрабатывает персональные данные от имени Контролера в рамках предоставления Сервиса
- Обработка связана с управлением клиентскими отношениями Контролера
- Субъектами данных являются клиенты и деловые контакты Контролера
Деятельность по обработке
- Хранение и организация контактной информации клиентов
- Запись и отслеживание платежных транзакций
- Отправка авторизованных коммуникаций (напоминания, уведомления)
- Создание аналитики и отчетов на основе агрегированных данных
2. Категории данных
| Категория | Примеры | Назначение |
|---|---|---|
| Данные аккаунта | Электронная почта, имя, фото профиля | Доступ к сервису |
| Данные клиентов | Имена клиентов, телефоны, электронные адреса | Функциональность CRM |
| Записи о платежах | Суммы, даты, статусы | Отслеживание платежей |
| Данные об использовании | Время входа, использование функций | Безопасность, улучшение |
3. Обязательства обработчика
Мы будем:
- Обрабатывать данные только по вашим документированным инструкциям
- Обеспечивать соблюдение конфиденциальности персоналом
- Применять соответствующие меры безопасности
- Помогать с запросами субъектов данных
- Уведомлять вас о нарушениях данных в течение 72 часов
- Удалять данные после прекращения (после периода хранения)
4. Меры безопасности
Технические
- TLS 1.3 (передача)
- AES-256 (хранение)
- Аутентификация OAuth 2.0
- Контроль доступа на основе ролей
- Мониторинг в реальном времени
Организационные
- Политики безопасности
- План реагирования на инциденты
- Регулярные аудиты
- Проверки безопасности поставщиков
- Обучение сотрудников
5. Суб-обработчики
Мы используем следующих авторизованных суб-обработчиков:
| Поставщик | Сервис | Местоположение | ДПФ |
|---|---|---|---|
| Google Cloud | Аутентификация | США | Да |
| iyzico | Платежи | Турция | SCC |
| Meta (WhatsApp) | Обмен сообщениями | США | Да |
| Отправить снова | США | SCC | |
| Hetzner | База данных | ЕС/США | SCC |
| Cloudflare | Кэширование | ЕС | SCC |
DPF = Сертифицировано по программе EU-US Data Privacy Framework
Уведомление об изменениях
Мы уведомим вас о любых предполагаемых изменениях в субобработчиках:
- Предварительное уведомление не менее чем за 14 дней до добавления или замены субобработчиков
- Уведомление по электронной почте на адрес электронной почты вашей зарегистрированной учетной записи
- Вы можете возразить против изменений в течение 14 дней, связавшись с нами
- Если ваше возражение не может быть разрешено, вы можете прекратить действие затронутых услуг
5.1 Права на аудит
Контролер имеет право проверять соблюдение этого DPA:
- Запрашивать соответствующую документацию и сертификаты
- Проводить аудиты с уведомлением не менее чем за 30 дней
- Аудиты должны проводиться в обычные рабочие часы
- Аудитор должен подписать соглашение о конфиденциальности
Область аудита
- Меры безопасности и технические защитные меры
- Соответствие субобработчиков
- Процедуры обработки данных
- Возможности реагирования на инциденты
Расходы на аудит несет Контролер, если только аудит не выявит существенного несоответствия.
6. Хранение и удаление данных
Ваши данные сохраняются для восстановления аккаунта и соблюдения нормативных требований.
| Срок | Действие |
|---|---|
| Немедленно | Аккаунт деактивирован |
| Бессрочно | Данные сохранены (заархивированы) |
| В любое время | Аккаунт может быть повторно активирован |
7. Положения CCPA
Согласно CCPA, мы действуем как «Поставщик услуг» и:
- Обрабатываем данные только для указанных деловых целей
- Не продаем персональную информацию
- Помогаем с запросами прав потребителей
- Применяем разумные меры безопасности
8. Уведомление о нарушении данных
В случае нарушения персональных данных мы обязуемся следующему:
График уведомления
- Уведомить вас в течение 72 часов с момента обнаружения нарушения
- Предоставить первоначальную оценку масштаба и воздействия нарушения
- Предоставить подробное письменное уведомление в течение 5 рабочих дней
Содержание уведомления
- Характер нарушения, включая категории и примерное количество затронутых субъектов данных
- Имя и контактные данные нашего специалиста по защите данных
- Описание вероятных последствий нарушения
- Меры, принятые или предлагаемые для устранения нарушения
- Меры по смягчению возможных неблагоприятных последствий
Мы будем полностью сотрудничать с вашим расследованием и любыми регулирующими запросами, а также помогать с уведомлениями о нарушениях надзорным органам и затронутым лицам в соответствии с применимым законодательством.
9. Международные передачи данных
Когда персональные данные передаются за пределы Европейской экономической зоны (ЕЭЗ), мы обеспечиваем соответствующие защитные меры:
Механизмы передачи
Решения об адекватности ЕС
Передачи в страны, признанные адекватными Европейской комиссией
Рамочное соглашение о конфиденциальности данных ЕС-США
Для процессоров из США, сертифицированных по DPF
Стандартные договорные оговорки (SCC)
Утвержденные Комиссией ЕС оговорки (версия 2021 года) для других передач
Мы проводим оценку воздействия передачи, где это требуется, и внедряем дополнительные меры (технические, организационные и договорные) при необходимости для обеспечения по существу эквивалентного уровня защиты.
Вы можете запросить копии соответствующих механизмов передачи по запросу.
10. Ответственность и возмещение ущерба
Ответственность процессора
ClientFlow несет ответственность за ущерб, причиненный в результате обработки, не соответствующей настоящему DPA, или в случае, если мы действовали вне или вопреки законным инструкциям Контролера.
Ответственность контролера
Контроллер несет ответственность за ущерб, причиненный обработкой, которая нарушает применимый закон о защите данных или не соответствует обязательствам Контролера в соответствии с настоящим DPA.
Ограничения
- Ни одна из сторон не несет ответственности за косвенный, случайный или косвенный ущерб
- Общая совокупная ответственность по этому DPA ограничена сборами, уплаченными за 12 месяцев, предшествующих иску
- Эти ограничения не применяются к нарушениям конфиденциальности, умышленным неправомерным действиям или грубой небрежности
Каждая сторона соглашается возместить другой стороне ущерб от претензий третьих лиц, возникающих в результате нарушения возмещающей стороной этого DPA или применимых законов о защите данных.
11. Прекращение и возврат данных
Срок действия
Настоящее DPA остается в силе на протяжении всего срока действия Соглашения об оказании услуг и до тех пор, пока мы обрабатываем персональные данные от вашего имени.
При прекращении
- По вашему выбору, мы вернем или удалим все персональные данные в течение 30 дней
- Вы можете запросить экспорт данных в общепринятом машиночитаемом формате
- Мы предоставим сертификат удаления по запросу
- Данные могут быть сохранены, если это требуется применимым законодательством
Разделы, касающиеся конфиденциальности, ответственности и прав на защиту данных, остаются в силе после прекращения действия этого DPA.