Data Processing Agreement (DPA)
Последнее обновление: 2026-05-25 · Вступает в силу: 2026-06-01
1. Стороны
Controller — клиент Binta.Cloud (далее «Клиент»), определяющий цели и средства обработки персональных данных в собственной Odoo-инстанции.
Processor — Binta.Cloud (далее «Процессор»), обрабатывающий персональные данные исключительно по инструкциям Контроллера и в рамках основного договора (Terms of Service).
2. Предмет и срок
Процессор обрабатывает персональные данные на протяжении срока действия основного договора и в течение 30 дней после расторжения для целей корректного off-boarding.
3. Категории субъектов и данных
| Категория субъектов | Категории данных |
|---|---|
| Сотрудники Контроллера | ФИО, email, должность, логи доступа |
| Клиенты Контроллера | Контактные данные, документы, история заказов |
| Партнёры / поставщики | Реквизиты, переписка, документы (PO, invoice) |
4. Природа и цели обработки
- Хостинг Odoo-инстанции Контроллера (storage + compute)
- AI Agent Team — разработка кастомных модулей по запросу
- Digital Employees — автоматизация бизнес-процессов
- Backup + restore (encrypted at rest)
- Логи доступа для security/audit (30 дней)
5. Sub-processors
Процессор использует следующих суб-процессоров. Список обновляется при изменениях; Контроллер уведомляется за 30 дней до подключения нового суб-процессора.
| Sub-processor | Назначение | Юрисдикция |
|---|---|---|
| Hetzner Online GmbH | Hosting (compute + storage) | DE (EU) |
| Anthropic PBC | LLM API (Claude) для AI Agent Team + DE | US — SCCs in place |
| Stripe, Inc. / Stripe Payments Europe | Billing + payment processing | IE (EU) / US — SCCs |
| Postmark (Wildbit) | Transactional email | US — SCCs |
| Sentry.io | Error monitoring (opt-in cookies) | US — SCCs |
| PostHog | Product analytics (opt-in cookies) | EU region |
6. Меры безопасности (Art. 32 GDPR)
- Шифрование at-rest (PostgreSQL TDE) + in-transit (TLS 1.2+)
- Row-level security (RLS) для multi-tenant изоляции
- Audit log с WORM-storage (Object Lock) — 7 лет retention
- MFA для всех admin-учёток + SSO опционально
- Регулярные backups + tested restore (DR drill раз в квартал)
- Penetration tests раз в год; vulnerability scans — еженедельно
- Принцип least-privilege + secret management (env-rotation)
7. Уведомление о data breach
Процессор уведомляет Контроллера в течение 72 часов с момента обнаружения подтверждённого инцидента, затрагивающего данные Контроллера. Уведомление включает описание, оценку последствий, принятые/планируемые меры.
8. Права субъектов
Процессор содействует Контроллеру в обработке запросов субъектов (право на доступ, исправление, удаление, портабельность) — через self-serve в кабинете + privacy@binta.cloud.
9. Аудит
Контроллер вправе запрашивать сводный security-report раз в 12 месяцев. Для on-site аудита — отдельное соглашение + NDA.
10. Возврат и удаление данных
При расторжении договора Процессор предоставляет export (SQL dump + filestore archive) в течение 14 дней и удаляет данные в течение 30 дней (за исключением audit-логов с законным retention-сроком).
11. Применимое право
Право Республики Беларусь (закон № 99-З от 7 мая 2021 г.) + GDPR применительно к EU-субъектам. Спорные вопросы — арбитраж в Минске или по согласованию сторон.