1. Стороны
Настоящее соглашение заключено между Kwamle Media («Обработчик») и Клиентом («Контролёр»), использующим платформу kwamlemedia.com / app.kwamlemedia.com.
2. Определения
- «Персональные данные»: любая информация, относящаяся к идентифицируемому физическому лицу.
- «Обработка»: любая операция с персональными данными (сбор, хранение, использование, передача, удаление).
- «GDPR»: Общий регламент ЕС по защите данных (Регламент 2016/679).
- «CCPA»: Закон Калифорнии о конфиденциальности потребителей.
- «Субобработчик»: любая третья сторона, обрабатывающая данные от имени Kwamle.
3. Объём обработки
Kwamle обрабатывает персональные данные в следующих целях:
- Работа сервисов автоматизации маркетинга и умных ботов.
- Управление страницами и аккаунтами Meta и взаимодействие с аудиторией клиента.
- Формирование аналитики и статистики.
- Выполнение вызовов ИИ в соответствии с настройками клиента.
Данные включают: имена, номера телефонов, адреса электронной почты, идентификаторы Facebook/Instagram, содержимое сообщений и комментарии.
4. Обязанности Kwamle как обработчика
- Обрабатывать данные только по документированным инструкциям клиента.
- Обеспечивать конфиденциальность данных среди всего персонала, имеющего к ним доступ.
- Применять надлежащие меры безопасности (статья 32 GDPR).
- Помогать клиенту отвечать на запросы субъектов данных.
- Уведомлять клиента о любой утечке данных в течение 72 часов.
- Не привлекать субобработчика без согласия клиента.
- Удалять или возвращать данные клиента по окончании обслуживания.
5. Меры безопасности
- Шифрование данных при передаче (TLS 1.3) и при хранении (AES-256).
- Управление доступом на основе ролей (RBAC) и принцип наименьших привилегий.
- Журналы аудита хранятся 12 месяцев.
- Ежегодное тестирование на проникновение силами третьих сторон.
- Двухфакторная аутентификация для персонала в продуктивных системах.
- Зашифрованные резервные копии каждые 24 часа в другом географическом расположении.
- Программа управления уязвимостями и немедленные обновления безопасности.
6. Текущие субобработчики
| Обработчик | Назначение | Местоположение |
|---|---|---|
| DigitalOcean | Хостинг инфраструктуры | Amsterdam, Frankfurt |
| Cloudflare | CDN, защита от DDoS | Глобально (Edge-сеть) |
| OpenAI | Модели ИИ (опционально) | США |
| Google (Gemini) | Модели ИИ (опционально) | Глобально |
| Anthropic | Модели ИИ (опционально) | США |
| Stripe | Обработка платежей | США, Ирландия |
| Paymob | Обработка платежей (Египет) | Каир |
| Postmark | Доставка электронной почты | США |
Клиент может возразить против добавления нового субобработчика в течение 30 дней с момента уведомления.
7. Международная передача данных
При передаче данных за пределы Европейского экономического пространства мы опираемся на:
- Новые стандартные договорные положения (SCC 2021).
- Решения об адекватности для стран, одобренных Европейской комиссией.
- Оценку воздействия передачи (TIA) для каждых отношений с субобработчиком.
8. Утечки данных
При обнаружении утечки:
- Уведомить клиента в течение 72 часов с подробностями инцидента.
- Предоставить исчерпывающий отчёт о причине, масштабе и принятых мерах.
- Полностью содействовать в реагировании и в уведомлении регуляторов.
9. Право на аудит
Клиент имеет право:
- Запросить ежегодный отчёт SOC 2 Type II.
- Проводить ежегодный аудит с предварительным уведомлением за 30 дней за свой счёт.
- Получить сводные результаты тестирования на проникновение.
10. Удаление данных по окончании обслуживания
- По окончании соглашения Kwamle удаляет все персональные данные в течение 90 дней.
- Платёжные записи хранятся 7 лет (требование бухгалтерского учёта).
- По запросу клиенту перед удалением предоставляется копия его данных в формате JSON/CSV.
Готовы подписать?
Свяжитесь с нашей юридической командой, чтобы получить подписанный DPA для вашей организации.