Соглашение об обработке данных

В соответствии со статьёй 28 GDPR.

Стороны

  • Оператор (Controller): клиент, использующий Сервис Buildmetrics («Оператор»).
  • Обработчик (Processor): BUILDMETRICS SRL, CUI 51592519, юридический адрес: Str. Domnească 13, Bl. L, Sc. 3, Et. 1, Ap. 42, 800015 Galați, Румыния («Buildmetrics» или «Обработчик»).

Настоящее Соглашение об обработке данных («DPA») является неотъемлемой частью Условий использования Buildmetrics. Принимая Условия, Оператор также принимает настоящее DPA.

1. Контекст и цель

Оператор использует платформу Buildmetrics для управления строительными проектами, задачами, контролем качества и сопутствующей документацией. В связи с предоставлением Сервиса Обработчик обрабатывает Персональные данные от имени Оператора.

2. Определения

Термины, используемые в настоящем DPA, имеют то же значение, что и в Регламенте (ЕС) 2016/679 (GDPR).

3. Описание обработки (Приложение I)

Предмет и срок: предоставление SaaS-платформы Buildmetrics для управления строительными проектами в течение срока использования Сервиса Оператором.

Характер и цель: хостинг, хранение, обработка, отображение, AI-генерация описаний задач и чек-листов, перевод и техническая поддержка данных, загруженных Оператором и его пользователями.

Типы Персональных данных:

  • Контактные данные (имя, e-mail, телефон, название компании, роль)
  • Идентификационные и профессиональные данные участников проекта
  • Изображения и видео, содержащие физических лиц (фотографии со строительных объектов)
  • Любые иные персональные данные, включённые Оператором в задачи, комментарии, документы или вложения

Категории субъектов данных:

  • Сотрудники, представители и подрядчики Оператора
  • Инспекторы, клиенты и другие участники строительных проектов

Специальные категории данных: специальные категории данных намеренно не запрашиваются и не требуются для использования Сервиса. Оператор несёт ответственность за обеспечение надлежащего правового основания и гарантий на случай, если какие-либо специальные категории данных будут загружены.

4. Обязанности Обработчика

Обработчик обязуется:

4.1 Обрабатывать Персональные данные только по документированным инструкциям Оператора (в том числе через интерфейс Сервиса), за исключением случаев, когда это требуется правом Союза или государства-члена. 4.2 Обеспечивать, чтобы лица, уполномоченные обрабатывать данные, были связаны обязательством конфиденциальности. 4.3 Применять надлежащие технические и организационные меры (см. Раздел 7 / Приложение II). 4.4 Не привлекать Субобработчиков без предварительного конкретного или общего письменного разрешения Оператора. Оператор предоставляет Обработчику общее письменное разрешение на привлечение Субобработчиков, перечисленных в Разделе 5. 4.5 Содействовать Оператору в выполнении запросов на реализацию прав субъектов данных. 4.6 Без неоправданной задержки (и, где это осуществимо, в течение 48 часов) уведомлять Оператора о любом Нарушении безопасности персональных данных. 4.7 По выбору Оператора удалить или вернуть все Персональные данные после окончания оказания услуг, связанных с обработкой, за исключением случаев, когда хранение Персональных данных требуется правом Союза или государства-члена. 4.8 Предоставлять Оператору информацию, разумно необходимую для подтверждения соблюдения обязательств по статье 28 GDPR, и, где это требуется применимым законодательством, содействовать проверкам (аудитам), проводимым способом, не создающим необоснованных помех деятельности Обработчика и с соблюдением надлежащих обязательств о конфиденциальности. 4.9 Незамедлительно информировать Оператора, если, по мнению Обработчика, инструкция нарушает GDPR или иное применимое законодательство о защите данных. 4.10 С учётом характера обработки и информации, доступной Обработчику, содействовать Оператору в обеспечении соблюдения его обязанностей, связанных с оценкой воздействия на защиту данных (статья 35) и предварительными консультациями с надзорным органом (статья 36), предоставляя разумную информацию и сотрудничество по запросу Оператора.

5. Субобработчики

Оператор предоставляет Обработчику общее разрешение на привлечение следующих Субобработчиков:

СубобработчикНазначениеРасположение
Hetzner Online GmbHХостинг и база данныхГермания / Финляндия (ЕС)
OpenAI, Anthropic, GoogleAI-генерация описаний задач и чек-листовСША
CloudflareCDN и аналитикаЕС / глобально
Поставщик e-mail / SMTPУведомленияЕС

Если Обработчик привлекает Субобработчика, он делает это на основании письменного договора, который возлагает на этого Субобработчика те же обязанности по защите данных, что и предусмотренные настоящим Соглашением, в частности предоставление достаточных гарантий применения надлежащих технических и организационных мер, с тем чтобы обработка отвечала требованиям Регламента (ЕС) 2016/679. Если Субобработчик не исполняет свои обязанности по защите данных, Обработчик остаётся полностью ответственным перед Оператором за исполнение обязанностей этого Субобработчика.

Обработчик информирует Оператора о любых планируемых изменениях, касающихся добавления или замены Субобработчиков, не менее чем за 30 дней, предоставляя Оператору достаточное время для возражения до привлечения соответствующего Субобработчика. Если Оператор в течение 14 дней с момента уведомления возражает по обоснованным основаниям, связанным с защитой данных, стороны добросовестно совместно вырабатывают решение; если оно не достигнуто, Оператор вправе приостановить или прекратить затронутую часть Сервиса. Список Субобработчиков может время от времени обновляться в соответствии с настоящим Разделом.

6. Международная передача данных

Персональные данные преимущественно хранятся в ЕС (Hetzner). Передачи в США (AI-провайдеры) защищены Стандартными договорными положениями (SCC, 2021) Европейской комиссии, дополненными дополнительными техническими и организационными мерами. Где применимо, может использоваться EU–US Data Privacy Framework.

7. Меры безопасности (Приложение II)

Обработчик применяет надлежащие технические и организационные меры, включая:

  • Шифрование при передаче с использованием отраслевых стандартов
  • Шифрование в состоянии покоя (at rest), где это технически осуществимо
  • Ролевое разграничение доступа (RBAC)
  • Журналирование действий (audit logging)
  • Регулярное резервное копирование
  • Практики безопасной разработки

8. Ответственность

Ответственность Обработчика по настоящему DPA подчиняется ограничениям и исключениям, установленным в Условиях использования Buildmetrics.

9. Срок действия и прекращение

Настоящее DPA действует до тех пор, пока Обработчик обрабатывает Персональные данные от имени Оператора. По прекращении Обработчик возвращает или удаляет данные в соответствии с пунктом 4.7.

10. Применимое право

Настоящее DPA регулируется законодательством Румынии. Стороны подчиняются исключительной юрисдикции судов Румынии, если иное не предусмотрено применимыми императивными нормами.

Приложения

  • Приложение I — Детали обработки: Раздел 3.
  • Приложение II — Технические и организационные меры: Раздел 7.
  • Приложение III — Список Субобработчиков: Раздел 5.

Принятие

Принимая Условия использования Buildmetrics, Оператор подтверждает и принимает настоящее DPA.