Соглашение об обработке данных (DPA)
Контролёр данных: [Название проката]
Обработчики: сотрудники проката с ролями OWNER/MANAGER в CRM.
Юрисдикция: Социалистическая Республика Вьетнам
Дата вступления в силу: 2026-05-22
1. Согласие клиента
Перед оформлением аренды клиент даёт устное согласие на:
- Хранение копий паспорта/прав в зашифрованном виде.
- Использование контактных данных для уведомлений по конкретной аренде.
- Использование данных для разрешения споров (камеры наблюдения, передача в полицию при необходимости).
Согласие может быть отозвано в любой момент по [contact@example.com], при этом действующие аренды должны быть завершены до полного удаления.
2. Категории данных и юридические основания
| Категория | Основание | Срок |
|---|---|---|
| Паспорт/права (PII) | Исполнение договора аренды | 365 дн после последней аренды |
| Имя, телефон | Исполнение договора + договорные обязательства | 5 лет после последней активности |
| Аудит-лог (IP, действия) | Законный интерес — безопасность системы | 3 года |
| Финансовые транзакции | Налоговая отчётность | 10 лет (по требованию Социалистическая Республика Вьетнам) |
3. Под-обработчики
Мы используем следующих под-обработчиков (sub-processors):
- VPS-провайдер — хостинг (Социалистическая Республика Вьетнам или ЕС).
- Google (Google Drive) — облачные бэкапы (шифрованные, retention 14d/8w/12m).
- Telegram Messenger Inc. — доставка уведомлений тем клиентам, кто связал Telegram.
- Let's Encrypt — TLS-сертификаты.
4. Меры безопасности
- AES-256-GCM шифрование документов на диске.
- bcrypt(cost=12) хэширование паролей.
- HTTPS TLS 1.2+ для всех соединений.
- iron-session сессионные cookie (HttpOnly, Secure, SameSite=Lax).
- 2FA TOTP для роли OWNER, step-up TOTP для критических операций.
- UFW + fail2ban на хосте, rate-limit на login.
- Daily backup verify-restore, alert при ошибках.
5. Действия при инциденте (data breach)
В случае подтверждённого инцидента:
- Уведомление контролёра и затронутых клиентов в течение 72 часов.
- Документирование инцидента в внутреннем реестре.
- Уведомление компетентного органа Социалистическая Республика Вьетнам при необходимости.
6. Передача данных за пределы юрисдикции
Бэкапы хранятся в Google Cloud (потенциально вне Социалистическая Республика Вьетнам). Бэкап содержит зашифрованные документы — ключ хранится только на VPS, не у Google.
7. Контактные данные
По всем вопросам обработки данных: [contact@example.com].