Соглашение об обработке данных

v1.0-2026-05-20 · вступает в силу 2026-06-05 · Статья 28 GDPR + поставщик услуг CCPA

Настоящее Соглашение об обработке данных (далее — “DPA”) включено в Основное соглашение об оказании услуг (далее — “MSA”) и составляет его часть, между [Юридическое лицо Клиента] (далее — “Контролёр”) и Ataski, Inc. (далее — “Обработчик”). Оно регулирует обработку персональных данных, выполняемую Обработчиком от имени Контролёра.

1. Определения

Термины, используемые в настоящем DPA, имеют значение, данное в GDPR (Регламент (ЕС) 2016/679) и CCPA (Cal. Civ. Code §1798.140), где это применимо. Следующие определения применяются в обоих режимах:

• Контролёр. Физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных (статья 4(7) GDPR). Для целей настоящего DPA Клиент является Контролёром.
• Обработчик. Физическое или юридическое лицо, которое обрабатывает персональные данные от имени Контролёра (статья 4(8) GDPR). Ataski является Обработчиком. Для целей CCPA Ataski действует как поставщик услуг (Cal. Civ. Code §1798.140(ag)).
• Персональные данные. Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (статья 4(1) GDPR) или персональная информация (CCPA §1798.140(v)), которую Контролёр передаёт в Сервис или через него, либо которую Сервис собирает от имени Контролёра.
• Обработка. Любая операция, выполняемая с персональными данными, включая сбор, хранение, анализ, использование, раскрытие, удаление (статья 4(2) GDPR).
• Суб-обработчик. Любая третья сторона, привлечённая Ataski для обработки персональных данных от имени Контролёра. Текущий список опубликован на /legal/subprocessors.
• Субъект данных. Идентифицированное или идентифицируемое физическое лицо, к которому относятся персональные данные.

2. Предмет и срок

Предмет. Обработчик предоставляет Контролёру услуги команды ИИ-сотрудников (далее — “Услуги”). В процессе предоставления Услуг Обработчик обрабатывает персональные данные от имени Контролёра, в соответствии с задокументированными инструкциями Контролёра.

Срок. Настоящее DPA вступает в силу 2026-06-05 и остаётся в силе на протяжении срока действия базовой подписки, плюс 30-дневное окно хранения данных, в течение которого Контролёр может экспортировать данные Клиента через самостоятельный эндпоинт /api/export, после чего Обработчик удаляет все данные Клиента (статья 28(3)(g) GDPR).

3. Характер и цель обработки

Характер и цель обработки определяются ролями команды ИИ-сотрудников, которые Контролёр активирует в своём рабочем пространстве (Помощник холодных продаж, Аутрич лицензированным специалистам, Финансовый аналитик, Подготовка пакета для совета директоров, Помощник ответов поддержки, Менеджер продлений, Монитор клиентских аккаунтов, Сводка по договорам, Авто-резюме встреч). Матрица возможностей каждой роли опубликована на соответствующей маркетинговой странице, и активация роли Контролёром составляет задокументированную инструкцию по обработке персональных данных в рамках заявленной области этой роли.

4. Типы персональных данных и категории субъектов данных

Типы персональных данных. Деловые контактные данные (имя, рабочий email, рабочий телефон, должность); метаданные коммуникаций (временные метки отправки / получения email, посещаемость встреч); предоставленный Контролёром контент (загруженные CSV, материалы совета директоров, проекты контрактов); входные данные и выводы модели (промпты и составленные ИИ ответы).

Категории субъектов данных. Сотрудники, подрядчики, клиенты, потенциальные клиенты, поставщики, члены совета директоров и участники встреч Контролёра, чьи данные Контролёр передаёт в Сервис или через него.

5. Обязательства Контролёра

Контролёр несёт ответственность за соблюдение применимых законов о защите данных в отношении персональных данных, которые он передаёт в Сервис, включая установление законного основания для обработки (статья 6 GDPR) и предоставление требуемых уведомлений субъектам данных. Контролёр гарантирует, что его задокументированные инструкции Обработчику соответствуют GDPR и другому применимому законодательству о защите данных.

6. Обязательства Обработчика (статья 28(3) GDPR)

1. Задокументированные инструкции. Обработчик обрабатывает персональные данные только по задокументированным инструкциям Контролёра, в том числе в отношении международных передач данных, если только это не требуется законом Союза или государства-члена, которому подчиняется Обработчик; в этом случае Обработчик информирует Контролёра об этом законодательном требовании до обработки, если только закон не запрещает такую информацию по важным основаниям общественного интереса.
2. Конфиденциальность. Обработчик обеспечивает, чтобы лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство о конфиденциальности или находятся под соответствующим законным обязательством о конфиденциальности.
3. Безопасность. Обработчик внедряет соответствующие технические и организационные меры (Приложение A) для обеспечения уровня безопасности, соответствующего риску (статья 32 GDPR).
4. Суб-обработка. Обработчик привлекает суб-обработчиков только на условиях, изложенных в §7 ниже.
5. Содействие в реализации прав субъектов данных. Обработчик содействует Контролёру, посредством соответствующих технических и организационных мер, в выполнении обязательства Контролёра отвечать на запросы субъектов данных согласно главе III GDPR (статьи 12–23).
6. Содействие по статьям 32–36. Обработчик содействует Контролёру в обеспечении соблюдения статей 32 (Безопасность), 33 (Уведомление о нарушении), 34 (Сообщение о нарушении), 35 (DPIA) и 36 (Предварительная консультация) GDPR, с учётом характера обработки и информации, доступной Обработчику.
7. Возврат или удаление. По прекращении Услуг Обработчик возвращает или удаляет все персональные данные по выбору Контролёра и удаляет существующие копии, если только закон Союза или государства-члена не требует хранения. Окно по умолчанию — 30 дней с момента прекращения через самостоятельный эндпоинт /api/export и автоматизированную задачу удаления после 30 дней.
8. Аудит. Обработчик предоставляет Контролёру всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в статье 28 GDPR, и допускает и способствует аудитам, включая инспекции, проводимым Контролёром или другим аудитором, уполномоченным Контролёром. Аудиты могут проводиться не более одного раза в календарный год, если иное не требуется приказом надзорного органа.

7. Суб-обработчики

Контролёр настоящим предоставляет Обработчику общее письменное разрешение на привлечение суб-обработчиков, перечисленных на /legal/subprocessors (включённых по ссылке). Обработчик информирует Контролёра о любых предполагаемых изменениях в этом списке, предоставляя Контролёру уведомление не менее чем за 30 дней, в течение которых Контролёр может возразить на разумных основаниях. Обработчик остаётся ответственным перед Контролёром за действия и бездействие каждого суб-обработчика, как если бы они были его собственными.

Обработчик обеспечивает, чтобы каждый суб-обработчик был связан письменным соглашением, налагающим обязательства по защите данных не менее защитные, чем в настоящем DPA. Текущий список суб-обработчиков насчитывает 18 поставщиков по состоянию на 2026-06-05 (см. публичную страницу суб-обработчиков для канонического списка).

8. Международные передачи

Если персональные данные передаются из Европейской экономической зоны, Соединённого Королевства или Швейцарии в третью страну, которая не пользуется решением об адекватности, Обработчик и Контролёр соглашаются, что применяются Стандартные договорные положения ЕС (Имплементационное решение Комиссии (ЕС) 2021/914), Модуль второй (Контролёр к Обработчику), где Контролёр учреждён в ЕЭЗ, причём Ataski действует как импортёр данных. Дополнение о международной передаче данных Великобритании и руководство Швейцарского федерального уполномоченного по защите данных и информации применяются mutatis mutandis для передач из Великобритании и Швейцарии соответственно. Где применимо, Ataski участвует в Рамках конфиденциальности данных ЕС–США и их расширениях для Великобритании и Швейцарии; Контролёр может полагаться либо на сертификацию DPF, либо на SCC по своему выбору.

9. Нарушение безопасности персональных данных

Обработчик уведомляет Контролёра без неоправданной задержки и в любом случае в течение 72 часов после того, как ему стало известно о нарушении безопасности персональных данных (статьи 4(12), 33 GDPR). В уведомлении описывается характер нарушения, включая, где возможно, категории и приблизительное число затронутых субъектов данных, вероятные последствия и меры, принятые или предложенные для устранения нарушения.

10. Срок и прекращение

Настоящее DPA остаётся в силе до тех пор, пока Обработчик обрабатывает персональные данные от имени Контролёра в рамках MSA. Любая из сторон может прекратить настоящее DPA только путём прекращения MSA в соответствии с его условиями; при прекращении Обработчик завершает процедуру возврата / удаления согласно §6(7) выше.

11. Применимое право

Настоящее DPA регулируется правом, указанным в MSA. Ничто в настоящем DPA не умаляет прав, предоставленных субъектам данных правом Союза, государства-члена или иным применимым законодательством о защите данных.

Приложение A — Технические и организационные меры (статья 32 GDPR)

Обработчик внедряет следующие технические и организационные меры (“TOM”) для обеспечения уровня безопасности, соответствующего риску, в соответствии со статьёй 32 GDPR:

• Multi-tenancy. Per-tenant data isolation via Postgres Row Level Security; every customer-data table enforces the tenant_id session variable at the database layer (defence-in-depth on top of application-level scoping).
• Encryption at rest. All credential material stored encrypted via Fernet (AES-128 in CBC mode with HMAC-SHA-256 authentication). Database storage layer encryption provided by Neon (AES-256); object storage encryption provided by Cloudflare R2 (AES-256).
• Encryption in transit. TLS 1.3 enforced on every HTTPS endpoint and database connection; mutual-TLS for sub-processor API calls where the vendor supports it.
• Access control. WorkOS-backed SSO + SAML for tenant workspaces; role-gated approval workflows for high-stakes actions (board pack approval, monthly investor update send, outbound email send) per CLAUDE.md principle #9 capability matrix.
• Audit logging. Append-only audit_log table with database-level REVOKE UPDATE/DELETE; every LLM call, external API call, and data modification logged with tenant_id, user_id, correlation_id, cost, and latency.
• PII handling. Service Provider posture per CCPA §1798.140(ag); contact records stay in per-tenant RLS scope and are never aggregated across tenants. Per-tenant deletion within 45 days of request via /privacy/optout.
• Cost guardrails. Four-tier cost ceiling (provider limit, per-task budget, per-customer daily cap, global kill switch) prevents runaway exfiltration via a compromised credential.
• Incident response. Bugsink error tracking with 24-hour customer notification for any incident involving Customer Data; status page operated via Better Stack with uptime monitoring on every tenant-facing endpoint.
• Personnel. All personnel with access to Customer Data bound by confidentiality covenants; principle of least privilege enforced via role-gated routes; access reviewed quarterly.

Приложение B — Суб-обработчики

Текущий список суб-обработчиков опубликован на /legal/subprocessors и включён в настоящее DPA по ссылке. По состоянию на 2026-06-05 список насчитывает 18 поставщиков.