Соглашение об обработке данных

1. Роли

Тенант является Контролёром Персональных данных своих Клиентов. Hub — Обработчик, действующий исключительно по задокументированным инструкциям Контролёра. Тенант гарантирует наличие законного основания инструктировать Hub обрабатывать Персональные данные.

2. Объём, характер, цель и срок

Hub обрабатывает Персональные данные для эксплуатации Сервиса: доставки и хранения сообщений через подключённые каналы, опциональных AI-функций (если включены Тенантом), поддержки и выполнения юридических обязательств. Обработка длится в течение срока подписки Тенанта плюс 30 дней после прекращения, если Тенант не запросит немедленное удаление.

3. Категории субъектов данных и персональных данных

• Субъекты данных: Клиенты (конечные пользователи) Тенанта и сотрудники Тенанта, использующие Сервис.
• Категории: идентификаторы (телефон, username, имя профиля, аватар), содержимое сообщений (текст, медиа, реакции), метаданные диалогов, операционные данные (IP, audit logs).

4. Суб-процессоры

Тенант даёт общее разрешение привлекать Суб-процессоров. Актуальный список: /security. Hub уведомляет о существенных добавлениях не менее чем за 30 дней. Тенант вправе обоснованно возразить; в этом случае Hub добросовестно ищет альтернативу или, при невозможности, позволяет прекратить затронутую часть Сервиса.

5. Передача обязательств Суб-процессорам

Hub обязывает каждого Суб-процессора соблюдать защиту данных не ниже уровня настоящего DPA. Hub несёт ответственность перед Тенантом за действия и бездействие Суб-процессоров.

6. Международные передачи

При передаче Персональных данных за пределы ЕЭП Hub опирается на Стандартные договорные положения Еврокомиссии (Решение 2021/914) и применимые дополнительные меры либо иной механизм, признанный главой V GDPR.

7. Безопасность

Hub применяет соответствующие технические и организационные меры в соответствии со ст. 32 GDPR, кратко изложенные на /security. Тенант соглашается, что указанные меры обеспечивают адекватный уровень безопасности с учётом характера данных и рисков обработки.

8. Нарушение безопасности персональных данных

Hub уведомляет Тенанта без необоснованной задержки и в любом случае в течение 72 часов после того, как стало известно о нарушении, затрагивающем данные Тенанта. Уведомление включает характер, категории, ориентировочный объём, вероятные последствия и принятые/предлагаемые меры.

9. Права субъектов данных

Hub помогает Тенанту в выполнении запросов субъектов данных (доступ, исправление, удаление, ограничение, переносимость, возражение). Большую часть прав Тенант реализует через дашборд Hub; по вопросам, которые Hub не может решить инструментально, Hub отвечает на письменные инструкции в течение 10 рабочих дней.

10. Конфиденциальность и персонал

Hub обеспечивает, что персонал, уполномоченный на обработку Персональных данных, связан обязательствами конфиденциальности и обучен защите данных.

11. Аудит

Hub по запросу предоставляет информацию для подтверждения соответствия настоящему DPA, включая краткое резюме последнего пентеста под NDA. Тенант вправе проводить аудит не чаще одного раза в 12 месяцев с уведомлением за 30 дней и за свой счёт; вместо очного аудита Hub может предоставить недавнюю стороннюю оценку.

12. Возврат или удаление

По прекращении Hub удаляет или возвращает Персональные данные в течение 30 дней, за исключением случаев, требующих сохранения по закону (логи).

13. Ответственность и порядок приоритета

При конфликте между Условиями и настоящим DPA по вопросам обработки персональных данных приоритет имеет DPA. Ответственность регулируется Условиями.

14. Контакт

Запросы по защите данных: privacy@arzan.cloud.