Data Processing Agreement (DPA)
1. Стороны соглашения (Parties)
Настоящее Соглашение об обработке данных (Data Processing Agreement, далее — DPA) заключается между:
- Контролёр данных (Data Controller) — Клиент, использующий SaaS-платформу ARRIVAL TECH на основании основного договора оказания услуг (далее — Клиент)
- Обработчик данных (Data Processor) — ARRIVAL TECH LLC, зарегистрированная в Республике Узбекистан, г. Ташкент (далее — Обработчик)
DPA является неотъемлемой частью основного договора оказания услуг и вступает в силу одновременно с ним.
2. Определения (Definitions)
- Персональные данные (Personal Data) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), в соответствии с ЗРУ-547
- Обработка (Processing) — любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, хранение, изменение, извлечение, использование, передачу, обезличивание и уничтожение
- Субпроцессор (Sub-processor) — третье лицо, привлечённое Обработчиком для выполнения отдельных операций по обработке персональных данных от имени Контролёра
- Субъект данных (Data Subject) — физическое лицо, к которому относятся обрабатываемые персональные данные
- Инцидент безопасности (Data Breach) — нарушение безопасности, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к персональным данным
3. Предмет и объём обработки (Scope of Processing)
Обработчик обрабатывает персональные данные от имени Контролёра в рамках предоставления SaaS-платформы ARRIVAL TECH. Объём обработки включает:
3.1. Категории данных
- CRM-данные — контактная информация клиентов Контролёра (имена, email, телефоны, адреса)
- Данные бронирования (Booking Data) — информация о бронированиях, маршрутах, предпочтениях, история заказов
- Аналитические данные (Analytics) — обезличенные данные об использовании платформы, метрики эффективности
3.2. Категории субъектов данных
- Клиенты и потенциальные клиенты Контролёра
- Сотрудники и представители Контролёра
3.3. Цели обработки
- Предоставление функциональности CRM-системы
- Управление бронированиями и маршрутами
- AI Revenue Management — аналитика и оптимизация
- Генерация отчётов и аналитика для Контролёра
4. Обязательства Обработчика (Obligations of Processor)
4.1. Обработка только по инструкциям
Обработчик обрабатывает персональные данные исключительно на основании документированных инструкций Контролёра, включая инструкции, содержащиеся в основном договоре и настоящем DPA. Обработчик незамедлительно уведомляет Контролёра, если, по его мнению, инструкция нарушает применимое законодательство.
4.2. Конфиденциальность
Обработчик обеспечивает, что лица, уполномоченные на обработку персональных данных, приняли на себя обязательства о конфиденциальности или связаны соответствующими законодательными требованиями.
4.3. Меры безопасности (Security Measures)
Обработчик реализует и поддерживает надлежащие технические и организационные меры защиты персональных данных, включая:
- Шифрование (Encryption) — данные шифруются при передаче (TLS 1.3) и при хранении (AES-256)
- Контроль доступа (Access Control) — ролевая модель доступа (RBAC), многофакторная аутентификация для администраторов, Row Level Security (RLS) на уровне базы данных
- Мониторинг и журналирование — логирование доступа к данным, мониторинг аномалий
- Резервное копирование — регулярное резервное копирование с шифрованием
- Оценка рисков — периодическая оценка рисков и тестирование мер безопасности
4.4. Уведомление об инцидентах (Data Breach Notification)
В случае обнаружения инцидента безопасности Обработчик обязуется:
- Уведомить Контролёра без неоправданной задержки, не позднее 48 часов после обнаружения инцидента
- Предоставить информацию о характере инцидента, категориях и приблизительном количестве затронутых субъектов данных
- Описать принятые и предлагаемые меры по устранению последствий
- Оказать Контролёру содействие в уведомлении уполномоченного органа и субъектов данных
4.5. Возврат и удаление данных (Data Return/Deletion)
По окончании действия основного договора или по запросу Контролёра, Обработчик обязуется:
- Предоставить Контролёру копию всех персональных данных в машиночитаемом формате (CSV/JSON)
- Удалить все персональные данные в течение 30 дней после подтверждения получения копии
- Подтвердить удаление в письменном виде
5. Субпроцессоры (Sub-processors)
Обработчик привлекает следующих субпроцессоров для обработки персональных данных:
| Субпроцессор | Назначение | Локация |
|---|---|---|
| Supabase Inc. | База данных, аутентификация, хранение файлов | США (AWS) |
| Vercel Inc. | Хостинг веб-приложения, CDN, аналитика | США (глобальный CDN) |
| Cloudflare Inc. | DNS, DDoS-защита, SSL/TLS, CDN | США (глобальный CDN) |
| n8n (self-hosted) | Автоматизация рабочих процессов | Self-hosted (darkdiver.io) |
Обработчик обязуется:
- Уведомлять Контролёра о намерении привлечь нового субпроцессора не позднее чем за 14 дней
- Заключать с каждым субпроцессором соглашение, обеспечивающее уровень защиты данных не ниже предусмотренного настоящим DPA
- Нести полную ответственность перед Контролёром за действия субпроцессоров
6. Права субъектов данных (Data Subject Rights)
Обработчик оказывает Контролёру содействие в исполнении запросов субъектов данных, включая:
- Право на доступ к персональным данным
- Право на исправление неточных данных
- Право на удаление данных
- Право на отзыв согласия
- Право на получение данных в машиночитаемом формате (портативность)
Обработчик обязуется содействовать обработке запросов субъектов данных в течение 72 часов с момента получения запроса от Контролёра.
7. Право на аудит (Audit Rights)
Контролёр имеет право:
- Запрашивать у Обработчика документацию, подтверждающую соблюдение настоящего DPA
- Проводить или поручать проведение аудита безопасности не чаще одного раза в год
- Получать ежегодный отчёт о мерах безопасности и результатах внутренних проверок
Обработчик обязуется предоставить необходимую документацию и обеспечить разумное содействие в проведении аудита. Расходы на аудит, инициированный Контролёром, несёт Контролёр.
8. Трансграничная передача данных (Cross-border Transfers)
В связи с использованием субпроцессоров, расположенных за пределами Республики Узбекистан, трансграничная передача персональных данных осуществляется на основании:
- Статья 271 ЗРУ-1125 — передача в страны, обеспечивающие надлежащий уровень защиты
- Стандартные договорные условия (Standard Contractual Clauses, SCC) — при необходимости, между Обработчиком и субпроцессорами
- Технические меры (шифрование, псевдонимизация) для минимизации рисков при трансграничной передаче
9. Срок действия (Term)
Настоящее DPA действует в течение всего срока действия основного договора оказания услуг между Контролёром и Обработчиком (co-terminus). Обязательства по конфиденциальности и удалению данных сохраняются после прекращения действия DPA.
10. Применимое право (Governing Law)
Настоящее DPA регулируется и толкуется в соответствии с законодательством Республики Узбекистан, включая:
- Закон «О персональных данных» (ЗРУ-547 от 02.07.2019)
- Поправки к Закону (ЗРУ-1125 от 26.03.2026)
Все споры, возникающие из настоящего DPA, подлежат разрешению в компетентном суде Республики Узбекистан по месту нахождения Обработчика.
11. Контакты
По вопросам, связанным с обработкой персональных данных в рамках настоящего DPA:
Email: privacy@arrivaltech.io
Обработчик: ARRIVAL TECH LLC, г. Ташкент, Республика Узбекистан