Соглашение об обработке данных (DPA)
Последнее обновление: 16 мая 2026 г.
Настоящее Соглашение об обработке данных (далее — «DPA») является частью договора между Заказчиком («Контролёр») и ТОО «Infinity Enterprises» («Scano», «Обработчик»), по которому Scano предоставляет сервис мониторинга социальных медиа Scano («Сервис»). DPA регулирует обработку персональных данных Scano от имени Контролёра и составлено в соответствии с Общим регламентом ЕС о защите данных 2016/679 (GDPR), UK GDPR, законом штата Калифорния о защите потребителей (CCPA с поправками CPRA), а также Законом Республики Казахстан «О персональных данных и их защите» №94-V от 21 мая 2013 г.
1. Определения
Термины «Персональные данные», «Обработка», «Контролёр», «Обработчик», «Субъект данных», «Суб-обработчик» и «Надзорный орган» используются в значениях GDPR. «Затронутый субъект данных» — субъект, чьи персональные данные обрабатываются по настоящему DPA. «Стандартные договорные положения» (SCC) — модуль 2 (Контролёр-к-Обработчику) Решения Комиссии (ЕС) 2021/914 или эквивалент Великобритании.
2. Предмет, срок, характер и цели обработки
Scano обрабатывает персональные данные от имени Контролёра исключительно для оказания и поддержки Сервиса, включая: сбор общедоступного контента социальных медиа по запросам Контролёра, аналитику (тональность, определение языка, распознавание сущностей, кластеризация тем), формирование отчётов и дашбордов, отправку уведомлений и плановых писем, техническую поддержку. Обработка ведётся в течение срока подписки и ограниченного периода хранения, указанного в разделе 9.
- Категории субъектов данных: авторизованные пользователи Контролёра; лица, упомянутые в общедоступном контенте, собранном по запросам Контролёра; получатели уведомлений и отчётов.
- Категории персональных данных: данные аккаунта (имя, e-mail, роль, хешированные учётные данные, IP-адрес, данные устройства, история входов), пользовательский контент из публичных источников (текст публикации, имя автора, метаданные публичного профиля, метки времени, публичные метрики вовлечённости) и метаданные, формируемые Сервисом (тональность, язык, сущности, теги).
- Специальные категории персональных данных: Scano их не запрашивает. Если запросы Контролёра случайно затронут такие данные, ответственность за законность обработки несёт Контролёр.
- Частота: непрерывно в течение срока подписки.
- Хранение: согласно разделу 9.
3. Роли и инструкции
dpa.3_content
- Scano не использует персональные данные для иных целей, включая собственную продуктовую аналитику, обучение моделей ИИ на контенте Контролёра, рекламу или перепродажу.
- Scano не объединяет персональные данные Контролёра с данными других контролёров, за исключением полностью обезличенной агрегированной статистики платформы.
- Scano незамедлительно уведомит Контролёра о любом юридическом требовании раскрытия персональных данных, если это не запрещено законом.
- Контролёр гарантирует наличие законного основания для обработки, поручаемой Scano, в том числе для сбора любого контента социальных медиа.
- В отношении применимых законов штатов США Scano квалифицируется как «поставщик услуг» (CCPA/CPRA) или «обработчик» (Вирджиния, Колорадо, Коннектикут, Юта, Техас) с соответствующими ограничениями.
- Scano предоставит Контролёру всю информацию, разумно необходимую для подтверждения соответствия настоящему DPA.
4. Конфиденциальность
Scano обеспечивает, чтобы все сотрудники, уполномоченные обрабатывать персональные данные, имели письменное или установленное законом обязательство о конфиденциальности, прошли обучение и получали доступ к данным строго по принципу необходимости. Журналы доступа хранятся не менее двенадцати (12) месяцев.
- Проверка персонала с доступом к продакшну, где это допускается местным законодательством.
- Ролевая модель доступа и принцип наименьших привилегий, пересматриваемые не реже одного раза в шесть (6) месяцев.
- Немедленный отзыв доступа при смене роли или увольнении.
- Ежегодное обязательное обучение по безопасности и приватности.
5. Безопасность обработки
Scano внедряет соответствующие технические и организационные меры в соответствии со статьёй 32 GDPR. Текущая сводка публикуется в обзоре безопасности Scano и пересматривается не реже одного раза в год. Минимальные меры:
- Шифрование персональных данных при передаче (TLS 1.2+) и при хранении (AES-256) для продакшн-хранилищ и резервных копий.
- Сегментация сети, обязательная многофакторная аутентификация для административного доступа, усиленные облачные базовые конфигурации, непрерывное сканирование уязвимостей.
- Задокументированные планы реагирования на инциденты и обеспечения непрерывности, тестируемые не реже одного раза в год.
- Логическое разделение данных арендаторов и регулярные тесты восстановления резервных копий.
6. Суб-обработчики
Контролёр предоставляет Scano общее разрешение привлекать Суб-обработчиков для обработки персональных данных при соблюдении условий настоящего раздела. Актуальный перечень Суб-обработчиков доступен по запросу и публикуется на странице доверия Scano.
- Scano возлагает на каждого Суб-обработчика письменным договором обязанности по защите данных, не менее строгие, чем в настоящем DPA.
- Scano остаётся полностью ответственным перед Контролёром за исполнение обязанностей Суб-обработчиков.
- Scano уведомит Контролёра не менее чем за тридцать (30) дней до добавления или замены Суб-обработчика — по e-mail или внутри продукта.
- Контролёр может обоснованно возразить в течение четырнадцати (14) дней. Если возражение не удаётся снять, Контролёр вправе расторгнуть затронутую часть Сервиса без штрафа.
- На дату последнего обновления Суб-обработчики включают облачных провайдеров, провайдеров транзакционной почты, систем мониторинга ошибок и службы поддержки — все на условиях письменных соглашений о защите данных.
7. Права субъектов данных
С учётом характера обработки Scano насколько возможно содействует Контролёру в выполнении его обязанностей по запросам субъектов данных согласно главе III GDPR и аналогичным правам CCPA/CPRA и другого применимого законодательства (доступ, исправление, удаление, ограничение, переносимость, возражение, отзыв согласия, отказ от продажи/раскрытия, отказ от таргетированной рекламы).
- Если субъект данных обратится напрямую в Scano, обращение без задержек будет передано Контролёру; Scano не отвечает по существу без санкции Контролёра или требования закона.
- Scano предоставляет в Сервисе средства самообслуживания для доступа, экспорта, исправления и удаления персональных данных пользователей Контролёра.
- Разумное содействие оказывается бесплатно в объёме, соответствующем подписке; сверх этого возможна оплата по времени и материалам с предварительным согласованием.
- Scano уважает сигналы отказа, такие как Global Privacy Control, в маркетинговых поверхностях, где это технически возможно.
8. Уведомление об утечке персональных данных
Scano уведомит Контролёра без неоправданной задержки и в любом случае в течение сорока восьми (48) часов с момента обнаружения утечки персональных данных Контролёра. Уведомление включает, насколько известно на момент отправки: характер инцидента, категории и приблизительное количество затронутых субъектов и записей, вероятные последствия, принятые или предлагаемые меры.
- Scano сотрудничает с Контролёром и предоставляет разумно запрашиваемую информацию, чтобы Контролёр мог выполнить собственные обязанности по уведомлению надзорных органов и субъектов данных.
- Уведомления не являются признанием Scano вины или ответственности.
- Первичное уведомление направляется на назначенный контакт по безопасности Контролёра; Контролёр обязан поддерживать эти контактные данные актуальными в Сервисе.
9. Локализация данных, международная передача и хранение
Scano хранит персональные данные в региональных дата-центрах, выбранных в зависимости от тарифа (ЕС, США или Казахстан). При передаче персональных данных из ЕЭП, Великобритании или Швейцарии в страну без решения об адекватности применяются Стандартные договорные положения, считающиеся включёнными в DPA по ссылке. Контролёр уполномочивает Scano заключать SCC с Суб-обработчиками от имени Контролёра.
- Персональные данные активного аккаунта хранятся на протяжении срока подписки.
- При расторжении персональные данные по выбору Контролёра возвращаются или удаляются в течение тридцати (30) дней с учётом обязательных сроков хранения. Резервные копии очищаются в течение девяноста (90) дней.
- Журналы аудита и записи безопасности могут храниться до двадцати четырёх (24) месяцев в целях безопасности и юридической защиты.
10. Аудит
Scano предоставляет Контролёру всю информацию, необходимую для подтверждения соответствия DPA, включая последние независимые аудиторские отчёты (например, SOC 2 Type II по мере доступности) под NDA. По разумному предварительному письменному уведомлению (не чаще одного раза в двенадцать месяцев, кроме случаев утечки или требований надзорного органа) Контролёр может проводить аудит обработки с учётом ограничений по конфиденциальности, безопасности и операционной нагрузке, согласованных заранее.
11. Ответственность
Ответственность сторон в связи с настоящим DPA ограничивается положениями основного договора. Ничто в DPA не ограничивает права субъектов данных по применимому законодательству.
12. Иерархия документов
В случае конфликта между DPA и основным договором подписки в вопросах обработки персональных данных приоритет имеет DPA. Если применяются Стандартные договорные положения, они имеют приоритет над противоречащими положениями DPA.
Контакты
По вопросам приватности и DPA: ТОО «Infinity Enterprises», 160000, г. Шымкент, мкр. Нурсар-2, 29/4, блок 1, Казахстан.
- Email: legal@scano.io
- Сотрудник по защите данных (DPO): dpo@scano.io