Перейти к содержимому
Правовая информация

Соглашение об обработке данных

Действует с 1 мая 2026

Этот DPA является частью Условий использования Postify, когда Postify обрабатывает Персональные данные от имени Клиента (выступающего Контролёром). Если вам нужна подписанная обеими сторонами копия для ваших архивов, запросите её на [email protected].

1. Определения

«Персональные данные», «Контролёр», «Процессор», «Субъект данных» и «Обработка» имеют значения, определённые в GDPR. «Данные Клиента» означают данные, которые Клиент или его конечные пользователи передают в сервис Postify. «Субпроцессор» означает любую третью сторону, привлечённую Postify для обработки Данных Клиента.

2. Роли и сфера применения

Клиент является Контролёром Данных Клиента. Postify является Процессором, который обрабатывает Данные Клиента только по документированным инструкциям Клиента, включающим использование сервиса согласно Условиям.

3. Обязательства Postify

  • Обрабатывать Данные Клиента только по документированным инструкциям Клиента.
  • Обеспечивать, чтобы лица с доступом были связаны обязательствами о конфиденциальности.
  • Внедрять технические и организационные меры, перечисленные в Приложении II.
  • Помогать Клиенту с запросами Субъектов данных, оценками DPIA и уведомлениями об инцидентах.
  • Удалять или возвращать Данные Клиента по окончании услуг по выбору Клиента.

4. Субпроцессоры

Клиент уполномочивает Postify использовать субпроцессоров, перечисленных в актуальном реестре, доступном по запросу на [email protected]. Postify уведомит за 30 дней до добавления нового субпроцессора; Клиент может возразить при наличии разумных оснований.

5. Международная передача данных

Если Данные Клиента передаются за пределы ЕЭЗ/Великобритании в страну без решения об адекватности, стороны опираются на Стандартные договорные положения ЕС (Модуль 2: Контролёр — Процессор) и, при необходимости, на British International Data Transfer Addendum.

6. Меры безопасности

  • Шифрование при хранении (AES-256) и при передаче (TLS 1.3).
  • Ролевая модель доступа с обязательной MFA для всех сотрудников Postify.
  • Ежегодное тестирование на проникновение, внутренние SAST/DAST, шифрование при хранении и передаче.
  • Реагирование на инциденты 24/7 с медианным MTTR менее 30 минут для P1.
  • Обучение персонала по защите данных и конфиденциальности.

7. Нарушение защиты Персональных данных

Postify уведомит Клиента без необоснованной задержки (и в любом случае в течение 48 часов) после того, как ей станет известно о Нарушении защиты Персональных данных, затрагивающем Данные Клиента, с информацией, необходимой Клиенту для выполнения собственных обязательств по уведомлению.

8. Аудиты

Postify предоставляет свою документацию по безопасности и анкету (CAIQ) по запросу при условии NDA. Для аудитов сверх этого Клиенты на тарифе Corporate могут при разумном уведомлении провести или заказать аудит за свой счёт при условии соблюдения конфиденциальности.

9. Удаление данных

По окончании услуг Клиент может экспортировать все Данные Клиента в течение 90 дней. После 90 дней Postify удаляет Данные Клиента из основных систем в течение 30 дней и из резервных копий в течение 90 дней, за исключением случаев, когда хранение требуется законом.

10. Контакты

Напишите на [email protected] по вопросам подписания DPA, субпроцессоров или запросов на аудит.