--- document: Data Processing Agreement (DPA) — Соглашение об обработке данных language: ru status: draft version: 0.1.0-draft last_updated: 2026-05-20 master: true ---

> Draft — owner + counsel review required before publishing. > DPA — это B2B-стандарт между Контролёром (компания-Клиент) и Процессором (Оператор Bendahara). Документ ссылается на GDPR Art. 28 и Federal Law 152-FZ ст. 6. > Russian = master. EN-перевод — Phase 5 при выходе на EU/Scandi рынки.

Соглашение об обработке персональных данных (Data Processing Agreement)

Версия: 0.1.0-draft  •  Действует с: [TBD: дата подписания / автопринятия] Стороны:

  • Контролёр — Клиент Сервиса (юридическое лицо или ИП, далее — «Контролёр» или «Клиент»);
  • Процессор — [TBD: юридическое наименование оператора Bendahara] (далее — «Процессор» или «Оператор»).

Настоящее DPA является приложением к Условиям использования Сервиса (terms-of-service.ru.md) и регулирует обработку Процессором персональных данных по поручению Контролёра.

---

1. Предмет и применимость

1.1. Процессор обрабатывает персональные данные сотрудников Контролёра (далее — «Субъекты ПДн») и иные категории данных, передаваемые Контролёром в Сервис, исключительно в целях оказания Сервиса согласно ToS.

1.2. Контролёр сохраняет полный контроль над собственными ПДн и определяет цели и способы обработки на верхнем уровне; Процессор действует только по документированным указаниям Контролёра, реализованным через интерфейс и API Сервиса.

1.3. DPA применяется автоматически с момента акцепта ToS Клиентом. Для Enterprise tier может быть заключено отдельное двустороннее DPA, преимущественно действующее над настоящим в отношении соответствующего тенанта.

---

2. Определения

| Термин | Значение | |--------------------------|----------------------------------------------------------------------------------------------------| | Персональные данные (ПДн) | Информация, относящаяся к идентифицированному / идентифицируемому физическому лицу (GDPR Art. 4(1); 152-ФЗ ст. 3). | | Контролёр | Лицо, определяющее цели и способы обработки (GDPR Art. 4(7); «оператор» по 152-ФЗ). | | Процессор | Лицо, обрабатывающее ПДн по поручению Контролёра (GDPR Art. 4(8); «обработчик» по 152-ФЗ). | | Sub-processor | Третья сторона, привлекаемая Процессором для обработки ПДн. | | Обработка | Любое действие с ПДн: сбор, запись, хранение, изменение, передача, удаление и т. д. | | Утечка / Breach | Случайное или несанкционированное уничтожение, потеря, изменение, раскрытие или доступ к ПДн. | | DPIA | Data Protection Impact Assessment (GDPR Art. 35). |

---

3. Перечень processing activities

3.1. Категории субъектов ПДн

  • сотрудники Контролёра, подключённые к тенанту;
  • руководители / согласующие лица в составе тенанта;
  • финансовый персонал (CFO, бухгалтерия) — в роли пользователей Сервиса;
  • администраторы тенанта.

3.2. Категории обрабатываемых данных

  • Идентификационные: имя, email, телефон (через Telegram), Telegram user_id, роль, отдел.
  • Авторизационные: хэш пароля (если не OAuth), session tokens, OAuth refresh tokens.
  • Содержательные: содержимое заявок, чеки, документы, комментарии согласующих.
  • Метаданные: IP-адрес, user-agent, timestamps действий.
  • Технические: chatid, messageid, callback_data в Telegram.

3.3. Категории обработки (виды операций)

| Операция | Цель | |---------------------------|------------------------------------------------| | Сбор | При регистрации, приглашении, подаче заявки | | Хранение | Firestore (tenants/{tid}/...), Cloud Storage | | Маршрутизация | Approval flow, TG-уведомления | | Изменение | Edit заявок, profile updates | | Раскрытие (в рамках тенанта) | Между сотрудниками одного тенанта по RBAC | | Передача sub-processors | См. раздел 6 | | Удаление | По запросу субъекта / автоматически по retention |

3.4. Длительность обработки

Обработка осуществляется в течение срока действия подписки Контролёра + retention-период согласно Privacy Policy § 4. По окончании — данные удаляются согласно процедуре в ToS § 7.

---

4. Обязательства Контролёра

4.1. Контролёр гарантирует, что:

  • получил все необходимые согласия от своих сотрудников на обработку их ПДн в Сервисе (152-ФЗ ст. 9; GDPR Art. 6.1);
  • уведомил сотрудников о привлечении Bendahara как Процессора;
  • не загружает в Сервис специальные категории ПДн (GDPR Art. 9) без отдельного письменного согласования (ToS 5.1.7).

4.2. Контролёр несёт ответственность за корректность, актуальность и законность загружаемых ПДн.

4.3. Контролёр предоставляет Субъектам ПДн информацию о Процессоре в собственной Privacy Policy.

---

5. Обязательства Процессора

5.1. Обработка только по указаниям. Процессор обрабатывает ПДн исключительно в объёме, необходимом для оказания Сервиса, и в рамках документированных указаний Контролёра (реализованных через UI/API). При наличии иных правовых оснований (например, обязательное раскрытие по закону) — Процессор уведомляет Контролёра до обработки, кроме случаев законного запрета на уведомление.

5.2. Конфиденциальность. Сотрудники Процессора, имеющие доступ к ПДн:

  • подписывают NDA;
  • проходят обучение по обработке ПДн;
  • имеют доступ только к необходимому объёму данных (least privilege);
  • доступ логируется.

5.3. Технические и организационные меры (TOM) — см. раздел 7.

5.4. Помощь Контролёру в:

  • ответе на запросы Субъектов ПДн (через UI Сервиса: export, delete, rectify);
  • проведении DPIA при необходимости;
  • обеспечении соответствия GDPR Art. 32–36 и 152-ФЗ.

5.5. Sub-processors — см. раздел 6.

5.6. Уведомление об утечке — раздел 8.

5.7. Возврат / удаление данных — раздел 9.

5.8. Аудит — раздел 10.

5.9. Международные трансферы — раздел 11.

---

6. Sub-processors

6.1. Текущий список sub-processors

| Sub-processor | Роль / процессы | Юрисдикция | Правовая основа для трансфера ЕС→US | |----------------------------------------|--------------------------------------------------------|----------------|--------------------------------------| | Google LLC (Firebase, GCP) | Auth, Firestore, Storage, Functions, Logging, Hosting | США + EU (europe-west1) | Google EU Standard Contractual Clauses (2021/914) | | [TBD: Stripe, Inc.] | Processing платежей (если выбран Stripe) | США | Stripe SCC + PCI-DSS Level 1 | | [TBD: YooKassa (ООО "НКО ЮMoney")] | Processing платежей (если выбран YooKassa) | РФ | n/a (внутрироссийская обработка) | | Telegram FZ-LLC / Telegram Messenger Inc. | Доставка сообщений через бот | Дубай (UAE), международная инфраструктура | См. https://telegram.org/privacy (DPA от Telegram) | | Resend (Plus Five Five, Inc.) | Транзакционный email (приглашения, password reset) | США | Resend SCC | | [TBD: Sentry (Functional Software, Inc.)] | Сбор ошибок (без PII по политике scrubbing) | США | Sentry SCC | | [TBD: Better Stack / UptimeRobot] | Uptime monitoring (без ПДн пользователей тенанта) | EU / US | SCC при необходимости |

Полный актуальный список с датами добавления и контактами — на странице app/(public)/legal/sub-processors ([TBD: URL]).

6.2. Общее разрешение на привлечение sub-processors

Контролёр настоящим даёт Процессору общее разрешение на привлечение sub-processors из списка § 6.1.

6.3. Добавление новых sub-processors

6.3.1. О намерении привлечь нового sub-processor Процессор уведомляет Контролёра не менее чем за 30 (тридцать) дней через:

  • email Владельца тенанта;
  • обновление списка на app/(public)/legal/sub-processors.

6.3.2. Контролёр вправе возразить в течение 14 дней с момента уведомления с обоснованием (нарушение требований конкретной юрисдикции, повышение риска и т. п.).

6.3.3. Стороны добросовестно ищут разумный компромисс (исключение конкретного тенанта из обработки через нового sub-processor, альтернативный sub-processor для критичного функционала, и т. п.).

6.3.4. При невозможности компромисса Контролёр вправе расторгнуть подписку с возвратом за неиспользованную часть текущего периода.

6.4. Договор с sub-processor

Процессор обеспечивает, чтобы каждый sub-processor был обязан как минимум теми же обязательствами в отношении защиты ПДн, что и Процессор по настоящему DPA (GDPR Art. 28.4).

6.5. Ответственность за sub-processors

Процессор сохраняет полную ответственность перед Контролёром за действия / бездействие sub-processors в части соблюдения требований DPA.

---

7. Технические и организационные меры (TOM)

В соответствии с GDPR Art. 32, Процессор реализует следующие меры:

7.1. Шифрование

  • At rest: AES-256 (Google Cloud default).
  • In transit: TLS 1.2+ для всех соединений (HTTPS, gRPC over TLS).
  • Резервные копии: зашифрованно (Google-managed keys; [TBD: customer-managed keys для Enterprise]).

7.2. Контроль доступа

  • Firebase Auth (multi-factor option для админов).
  • Firestore security rules с tenant isolation (см. docs/multi-tenancy.md).
  • RBAC внутри тенанта: owner, admin, manager, headofdepartment, ceo, cfo.
  • Least-privilege для сотрудников Процессора с доступом к prod.
  • Audit-log на доступ к prod-данным сотрудниками Процессора.

7.3. Изоляция тенантов

  • Subcollection-based isolation (tenants/{tid}/...).
  • Запрет cross-tenant запросов на уровне rules.
  • Cross-tenant негативные тесты в CI.

7.4. Защита от атак

  • Rate-limiting на signup (1/IP/hour, 5/IP/day).
  • Rate-limiting на API endpoints.
  • CSRF tokens.
  • Content Security Policy (CSP) headers.
  • Защита от DDoS на уровне Cloudflare / GCP edge.

7.5. Резервное копирование

  • Daily Firestore export → GCS europe-west1.
  • Retention 90 дней rolling.
  • Восстановление тестируется не реже 1 раза в полгода (DR drill).

7.6. Мониторинг и audit

  • Структурированные логи с tenant_id тэгом.
  • Audit-log всех значимых действий (claim state changes, role changes, exports, deletions).
  • Audit-log неизменяемый (append-only) на уровне правил.
  • Sentry / equivalent для error tracking без PII (scrubbing включён).

7.7. Безопасность разработки

  • Code review обязателен для всех изменений в firestore.rules, storage.rules, callables.
  • Dependency scanning (npm audit / Snyk-equivalent).
  • Pre-commit hooks: lint + security linter.
  • Regression check на staged diff перед commit (см. regression_finder).

7.8. Управление инцидентами

  • Runbook на reachable канале (TG channel + email).
  • On-call rotation (для Enterprise tier с SLA).
  • Post-mortem процесс с blameless review.

7.9. Физическая безопасность

  • Не применимо в прямом виде: data centers — Google Cloud (сертификация ISO 27001, SOC 2, ISO 27017, ISO 27018).

7.10. Обучение

  • Регулярное обучение сотрудников Процессора по обработке ПДн и безопасности (не реже 1 раза в год).
  • Onboarding-программа для новых сотрудников с разделом по data handling.

---

8. Уведомление об утечке (Breach notification)

8.1. Сроки

8.1.1. Контролёр уведомляется в течение 72 (семидесяти двух) часов с момента обнаружения утечки (GDPR Art. 33.2), даже если расследование ещё продолжается. Если 72 часа недостаточно для полного отчёта, отправляется первичное уведомление с последующими обновлениями.

8.1.2. Уведомление надзорного органа (если применимо к Процессору) — в установленные законом сроки.

8.2. Содержание уведомления

Уведомление содержит:

  • описание характера утечки (категории и приблизительное число затронутых субъектов и записей);
  • контактные данные DPO Процессора;
  • вероятные последствия утечки;
  • меры, принятые или предлагаемые для минимизации последствий.

8.3. Канал уведомления

  • email Владельца тенанта;
  • in-app banner для admin-ролей;
  • (для Enterprise) — отдельный канал по согласованию.

8.4. Содействие Контролёру

Процессор оказывает разумное содействие Контролёру в:

  • определении необходимости уведомления Субъектов ПДн (Art. 34);
  • определении необходимости уведомления надзорного органа (Art. 33);
  • предоставлении данных для уведомления.

8.5. Канал обращения для Контролёра

В случае подозрения Контролёра на утечку — [TBD: security@bendahara.app] с темой [Security Incident]. Triage в течение 4 часов.

---

9. Возврат и удаление данных

9.1. По окончании отношений

9.1.1. При прекращении подписки (по любой причине — ToS § 7) Контролёр имеет право в течение 30 дней:

  • запросить полный экспорт данных тенанта в машиночитаемом формате (JSON + бинарные файлы) через /admin/export или письменный запрос;
  • запросить удаление данных до истечения автоматического retention.

9.1.2. После 30-дневного окна:

  • soft-delete tenant активируется (если ещё не активирован);
  • начинается архивный период 365 дней (см. ToS 7.1.2).

9.2. По запросу субъекта ПДн

Реализация прав субъекта (Privacy Policy § 6) — через UI Сервиса. Контролёр инициирует запрос; Процессор технически выполняет.

9.3. Подтверждение удаления

По завершении удаления Процессор предоставляет Контролёру письменное подтверждение факта удаления, в том числе из резервных копий (после rolling overwrite — до 90 дней).

---

10. Аудит и проверки

10.1. Право на аудит

Контролёр вправе запросить аудит соблюдения Процессором требований DPA не чаще 1 раза в 12 месяцев, кроме случаев утечки или существенного изменения сервиса.

10.2. Формы аудита

10.2.1. Стандартный аудит — Процессор предоставляет:

  • актуальный TOM-отчёт (раздел 7);
  • результаты последнего внешнего pen-test (если проводился);
  • сертификаты sub-processors (ISO 27001, SOC 2 для Google Cloud);
  • журнал инцидентов за период.

10.2.2. Расширенный аудит — по предварительному соглашению, в рабочее время, без раскрытия данных других тенантов. Расходы на расширенный аудит — за счёт Контролёра, кроме случаев выявления существенных нарушений Процессора.

10.3. Третьесторонний аудит

С предварительного согласия Процессора Контролёр вправе привлечь независимого аудитора, связанного NDA с Процессором, и не являющегося конкурентом Процессора.

10.4. Замена аудитом sub-processors

Контролёр признаёт, что сертификации Google Cloud (SOC 2, ISO 27001, ISO 27018) удовлетворяют требованиям проверки sub-processor Google.

---

11. Международные трансферы

11.1. Механизм передачи

11.1.1. Для передачи данных Субъектов из EEA / UK в третьи страны (в первую очередь США — Google, Stripe, Resend, Sentry) применяются Standard Contractual Clauses (SCC) Европейской Комиссии 2021/914, дополненные при необходимости supplementary measures по итогам Schrems II:

  • end-to-end encryption где технически возможно;
  • minimum-necessary disclosure при правовых запросах;
  • прозрачность относительно government access requests.

11.1.2. Для РФ — обработка осуществляется частично на территории РФ (если выбран YooKassa или иной российский провайдер), частично за пределами РФ (Google Cloud europe-west1).

11.1.3. 152-ФЗ ст. 12 (трансграничная передача). Процессор уведомляет Роскомнадзор о трансграничной передаче ПДн в страны, не обеспечивающие адекватной защиты, в порядке, установленном законом. [TBD: статус уведомления.]

11.1.4. Локализация первичной обработки (152-ФЗ ст. 18.5): для граждан РФ — первичная запись ПДн (signup, регистрация) выполняется на серверах в [TBD: РФ — отдельный Firestore project или Yandex Cloud зеркало, либо отсутствует — owner decision к Phase 5]. На момент black-letter draft локализация не реализована — обязательство к Phase 5 при выходе на РФ B2B рынок.

11.2. Ограничение для конкретных юрисдикций

При запросе Контролёра возможно ограничение обработки определёнными регионами (за дополнительную плату для Enterprise tier).

---

12. Ответственность

12.1. Ответственность Процессора по настоящему DPA подчиняется общему ограничению ответственности из ToS § 9, кроме случаев, когда применимое право не позволяет такого ограничения для нарушений в отношении ПДн.

12.2. Контролёр и Процессор несут солидарную ответственность перед Субъектом ПДн только в той мере, в которой это предусмотрено законом (GDPR Art. 82).

12.3. Стороны прикладывают разумные усилия для предотвращения штрафов и претензий со стороны надзорных органов и Субъектов ПДн.

---

13. Срок действия и расторжение

13.1. DPA действует с момента акцепта ToS и до полного удаления данных Контролёра в Сервисе.

13.2. Обязательства, связанные с конфиденциальностью, breach notification (если касается ранее произошедшего инцидента) и поддержанием TOM — сохраняются после расторжения в той мере, в какой это применимо.

---

14. Прочее

14.1. Изменения DPA. Процессор уведомляет Контролёра о существенных изменениях DPA за 30 дней; продолжение использования Сервиса = акцепт.

14.2. Применимое право. Право, применимое к настоящему DPA, совпадает с правом, применимым к ToS § 11.

14.3. Разделимость. Недействительность какого-либо положения не влечёт недействительности остальных.

14.4. Приоритет. В случае противоречий между настоящим DPA и ToS — DPA имеет преимущество в отношении обработки персональных данных; в остальном — ToS.

---

Приложение А — Список sub-processors (snapshot)

См. раздел 6.1. Актуальный машиночитаемый список — [TBD: URL JSON-эндпоинта или страницы].

Приложение B — TOM checklist (snapshot)

См. раздел 7. Расширенная версия с маппингом на ISO 27001 controls — [TBD: docs/legal/tom-detailed.md, при необходимости].

Приложение C — Шаблон уведомления об утечке

``` Тема: [Security Incident] <severity> — <short summary> От: security@bendahara.app Кому: <Tenant Owner email>

Дата обнаружения: <YYYY-MM-DD HH:MM UTC> Дата уведомления: <YYYY-MM-DD HH:MM UTC>

Характер инцидента: <описание>

Затронутые категории данных: <категории>

Затронутые субъекты: <приблизительное число>

Принятые меры: <меры>

Контакт Процессора: [TBD: security@bendahara.app, DPO: ...] ```

---

> Контактная информация Процессора: > [TBD: полное наименование, ОГРН/registration number, юридический адрес] > Email DPO: [TBD: dpo@bendahara.app] > Email инцидентов: [TBD: security@bendahara.app]

> Версионирование: 0.1.0-draft → 1.0.0 при первой публикации.