На главную

Соглашение об обработке данных (DPA) — Tosvi

Версия 1.0 · Дата вступления в силу: 2026-06-20

Это Соглашение об обработке данных («DPA») является частью договора между Студией и Tosvi об использовании Сервиса и отражает обязательства сторон по статье 28 GDPR и Закону Республики Молдова № 133/2011.

Принятие. Поскольку Сервис самообслуживаемый, это DPA принимается электронно уполномоченным представителем Студии при онбординге (отметкой поля принятия), что имеет ту же силу, что и подпись. Tosvi фиксирует принятие (учётная запись, принимающий пользователь, версия документа, язык и время) как доказательство. Версия с собственноручной подписью (ниже) доступна по запросу для студий, которым она необходима.

Сведения об обработке (кратко)

РолиСтудия — контролёр; Tosvi — обработчик (субобработчик, если Студия сама является обработчиком для своего контролёра)
Категории персональных данныхСотрудники: имя, e-mail, роль. Клиенты: имя, телефон, e-mail, заметки; номер автомобиля, VIN, год, цвет; история расчётов/работ; фотографии осмотров, подпись клиента, заметки о повреждениях, имя/время утвердившего. Виджет (если включён): имя + телефон из заявки; усечённый, необратимо хешированный IP посетителя (только для ограничения частоты)
Категории субъектов данныхПользователи-сотрудники Студии; клиенты Студии; (если включён виджет) посетители сайта, отправившие форму
Особые категории (ст. 9)Не предполагаются. Студия не должна вносить данные особых категорий без отдельного письменного соглашения
ЧастотаПостоянно, в течение срока использования Сервиса Студией
Характер обработкиХранение, извлечение, отображение, исправление, удаление, экспорт и формирование документов
ЦельПредоставление Сервиса по инструкциям Студии
Срок храненияСрок действия Сервиса; удаление или возврат по запросу/при закрытии (см. п. 6.7)
СубобработчикиСогласно Приложению 1

1. Предмет и роли

Студия является контролёром персональных данных, которые она вносит в Сервис о своих клиентах и сотрудниках. Tosvi является обработчиком и обрабатывает эти данные исключительно для предоставления Сервиса и только по документированным инструкциям Студии (эти условия, конфигурация Сервиса и любые дальнейшие письменные инструкции).

2. Срок

Это DPA действует, пока Tosvi обрабатывает персональные данные от имени Студии, то есть в течение всего срока использования Сервиса Студией.

3. Характер и цель обработки

Предоставление SaaS-платформы для управления клиентами, автомобилями, расчётами, расписанием, предварительными осмотрами автомобилей, сгенерированными документами и (если включено) встраиваемым виджетом-калькулятором цен и захватом заявок.

4. Типы персональных данных

  • Сотрудники Студии: имя, e-mail, роль.
  • Клиенты Студии: имя, телефон, e-mail, заметки; номер автомобиля, VIN, год, цвет;

история расчётов/работ; фотографии предварительных осмотров, подпись клиента, заметки о повреждениях, имя и время утвердившего.

  • Виджет (если включён): имя и телефон из отправленной заявки; усечённый,

необратимо хешированный IP посетителя, используемый только для ограничения частоты запросов.

5. Категории субъектов данных

Пользователи-сотрудники Студии; клиенты Студии; (если виджет включён) посетители сайта Студии, отправившие контактную форму.

6. Обязанности обработчика

Tosvi обязуется:

  1. Обрабатывать только по документированным инструкциям Студии, в том числе в

отношении международных передач, если иное не требуется законом (в этом случае Tosvi уведомит Студию, если это законом не запрещено).

  1. Конфиденциальность — обеспечить, чтобы лица, уполномоченные обрабатывать

данные, были связаны обязательством конфиденциальности.

  1. Безопасность — внедрить надлежащие технические и организационные меры

(Приложение 2), как того требует статья 32 GDPR.

  1. Субобработчики — привлекать только субобработчиков, перечисленных в

Приложении 1; налагать на них эквивалентные обязательства по защите данных; оставаться ответственным за их деятельность; и уведомлять Студию не менее чем за 30 дней о любом планируемом изменении, в течение которых Студия может возразить.

  1. Содействовать Студии — с учётом характера обработки помогать отвечать на

запросы субъектов данных (Сервис предоставляет экспорт и удаление по учётной записи и по клиенту), а также в обязанностях Студии по безопасности, уведомлению о нарушениях и оценкам воздействия на защиту данных.

  1. Нарушение в отношении персональных данных — уведомить Студию без

неоправданной задержки и, где это осуществимо, в течение 48 часов после того, как Tosvi станет известно о нарушении данных Студии, с информацией, необходимой Студии для выполнения её собственных обязанностей по уведомлению.

  1. Удаление или возврат — по выбору Студии удалить или вернуть все персональные

данные по завершении оказания услуг и удалить существующие копии, если иное не требуется по закону.

  1. Аудиты — предоставлять информацию, необходимую для подтверждения соответствия

статье 28. Если требуется выездной аудит, он проводится с разумным предварительным уведомлением, не чаще одного раза в год (кроме случаев, когда орган или существенное нарушение требуют иного), в рабочее время, с соблюдением конфиденциальности и так, чтобы не нарушать работу Сервиса; документация, предоставленная Tosvi, используется для удовлетворения потребностей аудита там, где это разумно возможно.

  1. Ограничения — Tosvi не будет: (a) продавать персональные данные Студии или

предоставлять их третьей стороне за вознаграждение; (b) передавать их для кросс-контекстной поведенческой рекламы; (c) хранить, использовать или раскрывать их для целей, отличных от предоставления Сервиса, или вне разрешённого применимым правом; (d) использовать их вне прямых деловых отношений со Студией; или (e) объединять их с персональными данными из других источников, кроме как для предоставления Сервиса или как разрешено применимым правом.

7. Международные передачи

Если Tosvi или субобработчик передаёт персональные данные за пределы ЕС/ЕЭЗ или Молдовы, передача осуществляется на основании Стандартных договорных положений (SCC) или эквивалентной законной гарантии.

8. Обязанности и заверения контролёра

Студия гарантирует и заверяет, что:

  1. у неё есть правовое основание для сбора и обработки вносимых ею персональных

данных, и она предоставила своим субъектам данных требуемую законом информацию о конфиденциальности;

  1. её инструкции для Tosvi соответствуют применимому праву;
  2. она без неоправданной задержки передаёт Tosvi любой запрос субъекта данных или

обращение органа, требующие содействия Tosvi;

  1. она отвечает за определение того, применяется ли GDPR к её обработке (например,

потому что она учреждена в ЕС/ЕЭЗ или обрабатывает данные резидентов ЕС/ЕЭЗ), и за уведомление Tosvi в таких случаях, чтобы стороны могли внедрить любые дополнительные меры, требуемые GDPR (включая, где применимо, представителя в ЕС согласно статье 27 GDPR).

9. Ответственность и применимое право

Ответственность по этому DPA подчиняется ограничениям, изложенным в Условиях использования. Это DPA регулируется законодательством Республики Молдова и, где применимо, GDPR.

Приложение 1 — Субобработчики

СубобработчикРольРасположение / гарантия передачи
SupabaseБаза данных, аутентификация, файловое хранилищеЕС (Франкфурт, Германия)
Cloudflare, Inc.DNS, CDN, хостинг, маршрутизация почты, защита от ботов TurnstileКомпания в США, глобальная сеть; SCC / DPF
MailerSend, Inc.Доставка транзакционных писемДата-центры в ЕС; компания в США; EU-U.S. Data Privacy Framework

Приложение 2 — Технические и организационные меры

  • Шифрование при передаче (TLS) и в покое.
  • Изоляция арендаторов на уровне строк базы данных (RLS); одна студия не может

получить доступ к данным другой.

  • Медиафайлы осмотров — в частном хранилище, доступ только через кратковременные

подписанные ссылки.

  • Усиление аутентификации: защита от ботов (Turnstile), проверка

скомпрометированных паролей, подтверждение e-mail.

  • Проверка всех входящих данных; секреты хранятся только как переменные окружения, а

не в исходном коде.

  • Журнал аудита действий (только добавление) без персональных данных клиентов.
  • Доступ к продакшену ограничен оператором.
  • Уведомление контролёра о нарушении персональных данных без неоправданной задержки.

Подписи

Студия принимает настоящее DPA электронно при онбординге, что фиксируется как доказательство (см. «Принятие» выше); копия с собственноручной подписью доступна по запросу на [email protected].