Соглашение об обработке данных (DPA)

1. Введение

Настоящее Соглашение об обработке данных (Data Processing Agreement, DPA) заключается между:

Контроллером данных (Data Controller): Клиент, заказывающий услуги
Обработчиком данных (Data Processor): ТОО "Mango Development"

Настоящее DPA регулирует обработку персональных данных при оказании услуг разработки и является неотъемлемой частью договора на оказание услуг.

2. Определения

Персональные данные (Personal Data)

Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу в соответствии с GDPR, законодательством РК и другими применимыми законами о защите данных.

Обработка данных (Processing)

Любое действие с персональными данными: сбор, запись, организация, хранение, адаптация, изменение, извлечение, консультация, использование, раскрытие, распространение, удаление или уничтожение.

Субъект данных (Data Subject)

Физическое лицо, к которому относятся персональные данные.

Утечка данных (Data Breach)

Нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным.

GDPR

Общий регламент по защите данных (General Data Protection Regulation) — Регламент ЕС 2016/679.

3. Предмет соглашения

В рамках оказания услуг разработки веб-сайтов, мобильных приложений и программного обеспечения, Mango Development может обрабатывать персональные данные от имени и по поручению Клиента.

3.1. Типы обрабатываемых данных

В зависимости от проекта, могут обрабатываться следующие категории данных:

Контактные данные (имя, email, телефон)
Учетные данные (логин, хешированный пароль)
Данные профиля пользователя
Данные геолокации
Данные транзакций и платежей
Технические данные (IP-адрес, cookies, логи)
Любые другие данные, указанные в техническом задании

3.2. Субъекты данных

Пользователи веб-сайтов и приложений Клиента
Клиенты и партнеры Клиента
Сотрудники Клиента (в случае внутренних систем)
Другие лица, определенные Клиентом

4. Обязанности обработчика данных (Mango Development)

4.1. Обработка данных только по указанию

Mango Development обязуется:

Обрабатывать персональные данные только по документированным указаниям Клиента
Не обрабатывать данные для собственных целей
Немедленно сообщить Клиенту, если инструкция противоречит GDPR или другим законам

4.2. Конфиденциальность

Все сотрудники, имеющие доступ к данным, обязаны соблюдать конфиденциальность
Сотрудники подписывают соглашения о неразглашении (NDA)
Доступ к данным предоставляется только тем сотрудникам, которым это необходимо

4.3. Безопасность данных

Mango Development применяет соответствующие технические и организационные меры:

Шифрование: SSL/TLS при передаче, AES-256 при хранении
Контроль доступа: аутентификация, авторизация, логирование
Защита инфраструктуры: файрволы, антивирусы, мониторинг
Резервное копирование: регулярные бэкапы с шифрованием
Тестирование безопасности: регулярные аудиты и пентесты
Управление уязвимостями: своевременное обновление ПО

4.4. Субобработчики (Sub-processors)

Mango Development может привлекать субобработчиков для оказания услуг:

Google Cloud Platform: хостинг и инфраструктура
Firebase: база данных и аутентификация
TipTop Pay: обработка платежей (если применимо)

Все субобработчики обязаны соблюдать те же обязательства по защите данных. Клиент уведомляется о привлечении новых субобработчиков и может возразить.

4.5. Помощь Клиенту

Mango Development помогает Клиенту в выполнении его обязательств:

Обеспечение прав субъектов данных (доступ, исправление, удаление)
Проведение оценки влияния на защиту данных (DPIA)
Консультации с надзорными органами
Обеспечение безопасности обработки

5. Обязанности контроллера данных (Клиента)

Клиент обязуется:

Обеспечить законность передачи данных Mango Development
Получить необходимые согласия от субъектов данных
Предоставить четкие инструкции по обработке данных
Информировать субъектов данных об обработке
Обеспечить соблюдение принципов минимизации данных

6. Права субъектов данных

Mango Development помогает Клиенту обеспечить следующие права субъектов:

Право на доступ: предоставление копии данных
Право на исправление: корректировка неточных данных
Право на удаление: «право на забвение»
Право на ограничение обработки: блокировка обработки
Право на переносимость: экспорт данных в машиночитаемом формате
Право на возражение: запрет обработки для определенных целей

Mango Development реализует технические возможности для выполнения этих прав. Клиент несет ответственность за рассмотрение запросов субъектов данных.

7. Уведомление об утечке данных

7.1. Обязанности при утечке

В случае утечки персональных данных, Mango Development обязуется:

Уведомить Клиента не позднее 24 часов с момента обнаружения
Предоставить всю доступную информацию об инциденте
Принять меры по устранению утечки и минимизации ущерба
Сотрудничать с Клиентом в расследовании инцидента
Предоставить документацию для уведомления надзорных органов

7.2. Информация об утечке

Уведомление включает:

Характер утечки (какие данные затронуты)
Категории и количество затронутых субъектов
Вероятные последствия утечки
Принятые или планируемые меры по устранению

8. Международная передача данных

Если персональные данные обрабатываются за пределами Республики Казахстан или ЕЭП:

Mango Development обеспечивает соответствующие гарантии (стандартные договорные оговорки ЕС)
Используются только серверы в странах с адекватным уровнем защиты данных
Клиент уведомляется о местоположении обработки данных

9. Аудит и контроль

9.1. Право на аудит

Клиент имеет право:

Запросить информацию о мерах безопасности
Провести аудит обработки данных (с уведомлением за 30 дней)
Запросить сертификаты и отчеты о соответствии

9.2. Документация

Mango Development ведет записи о деятельности по обработке данных в соответствии со статьей 30 GDPR и предоставляет их по запросу Клиента или надзорных органов.

10. Удаление и возврат данных

10.1. По завершении услуг

После окончания оказания услуг Mango Development по выбору Клиента:

Удаляет все персональные данные
Возвращает все данные Клиенту в согласованном формате

10.2. Исключения

Данные могут храниться, если это требуется законодательством или для целей резервного копирования (с ограниченным доступом) в течение периода, установленного законом.

11. Ответственность

11.1. Ограничение ответственности

Ответственность Mango Development ограничена в соответствии с основным договором на оказание услуг, за исключением случаев грубой небрежности или умышленного нарушения.

11.2. Компенсация

Mango Development компенсирует Клиенту убытки, причиненные в результате нарушения обязательств по настоящему DPA, в пределах, установленных основным договором.

12. Срок действия

Настоящее DPA действует с момента начала обработки персональных данных и прекращается после удаления/возврата всех данных в соответствии с разделом 10.

13. Изменения

Изменения в настоящее DPA могут вноситься только путем письменного соглашения обеих сторон, за исключением изменений, необходимых для соблюдения новых требований законодательства (в этом случае Клиент уведомляется за 30 дней).

14. Применимое право

Настоящее DPA регулируется законодательством Республики Казахстан и GDPR (для клиентов из ЕС). Споры решаются в соответствии с основным договором.

15. Контактная информация

Обработчик данных (Data Processor):

Компания: ТОО "Mango Development"

БИН: 250940030788

Адрес: Республика Казахстан, Абайская область, г. Семей

Email: mango_development@mail.ru

Телефон: +7 (777) 436-77-70

Ответственный за защиту данных: mango_development@mail.ru

Настоящее DPA является неотъемлемой частью договора на оказание услуг между Mango Development и Клиентом. Для вопросов по обработке данных свяжитесь с нами:mango_development@mail.ru