Соглашение об обработке данных (DPA)

Обновлено 8 июля 2026

Настоящее Соглашение об обработке данных (Data Processing Agreement, «DPA») дополняет Условия использования и заключается между владельцем сайта («Контролёр») и оператором сервиса («Обработчик»). Оно регулирует обработку персональных данных, которую Обработчик выполняет от имени Контролёра при предоставлении управляемого AI-поиска на базе Google Vertex AI Search. DPA акцептуется путём click-accept при онбординге (подключении сайта); принятие фиксируется с отметкой времени. При противоречии между DPA и Условиями в части обработки персональных данных преимущество имеет DPA.

1. Роли сторон

Контролёр — владелец сайта, подключивший виджет: он определяет цели и средства обработки данных своих посетителей и своего контента. Обработчик — оператор сервиса, обрабатывающий эти данные исключительно по документированным поручениям Контролёра. Google Cloud привлекается как субобработчик (обработка внутри Vertex AI Search / Gemini / Cloud Storage).

В отношении данных аккаунта самого Контролёра (email, настройки) и текстов запросов, используемых в ограниченном объёме для метрик качества и защиты от злоупотреблений, Обработчик действует как самостоятельный контролёр — это регулируется Политикой конфиденциальности, а не настоящим DPA. Платежи проводит Paddle как Merchant of Record и самостоятельный контролёр платёжных данных, а не субобработчик.

2. Предмет, срок, характер и цель обработки

  • Предмет. Обработка персональных данных, содержащихся в контенте сайта Контролёра и в запросах его посетителей, для предоставления AI-поиска с ответами и ссылками на источники.
  • Срок. На протяжении действия Условий использования и активности проекта; по завершении применяется раздел «Возврат и удаление».
  • Характер обработки. Сбор (краулинг публичных страниц), индексация, хранение, поиск, генерация ответов, логирование и удаление.
  • Цель. Исключительно предоставление и поддержка сервиса по поручению Контролёра; обработка в иных целях не допускается.

3. Категории данных и субъектов

Категории субъектов данных: посетители сайта Контролёра; лица, упомянутые в публичном контенте сайта.

Категории данных:

  • содержимое публичных страниц сайта (может включать персональные данные, размещённые Контролёром);
  • тексты запросов посетителей;
  • технические данные посетителей — IP-адрес (обрабатывается кратковременно и не сохраняется) и метаданные запроса (для защиты от злоупотреблений и безопасности);
  • идентификаторы сессии виджета и метрики использования.

Обработка специальных категорий данных (ст. 9 GDPR) не предполагается; Контролёр обязуется не направлять их в сервис и не побуждать посетителей вводить чувствительные данные в поиск.

4. Обработка по поручениям

Обработчик обрабатывает персональные данные только по документированным поручениям Контролёра, включая трансграничную передачу, если иное не предписано применимым правом ЕС/государства-члена или израильским правом (в этом случае Обработчик уведомляет Контролёра до обработки, если закон не запрещает это). Настоящее DPA, Условия и настройки, заданные Контролёром в кабинете, составляют полный объём поручений. Обработчик незамедлительно информирует Контролёра, если, по его мнению, поручение нарушает GDPR, иной закон ЕС/государства-члена или израильский PPL.

5. Конфиденциальность

Обработчик обеспечивает, что лица, уполномоченные обрабатывать персональные данные, приняли обязательство о конфиденциальности или связаны соответствующей законной обязанностью, и что доступ предоставляется по принципу необходимости и наименьших привилегий.

6. Меры безопасности (ст. 32 GDPR)

Обработчик принимает соответствующие технические и организационные меры с учётом уровня риска, в том числе: передача данных по TLS; изоляция проектов (каждый проект — свой индекс и ключ); санитизация и ограничение частоты запросов до обращения к платным сервисам; доступ по наименьшим привилегиям; журналирование. Меры применяются с учётом израильских Правил защиты приватности (Data Security) 2017 (см. раздел «Израильское право»). Перечень мер может обновляться, но их уровень не понижается.

7. Субобработчики

Контролёр даёт общее разрешение на привлечение субобработчиков. Актуальный перечень публикуется на странице Субпроцессоры и включает Google Cloud (Vertex AI Search / Discovery Engine, Gemini, Cloud Storage). Обработчик заключает с каждым субобработчиком договор с обязательствами по защите данных не ниже установленных настоящим DPA (в частности, принимает Cloud Data Processing Addendum Google) и остаётся ответственным за действия субобработчиков.

О планируемом добавлении или замене субобработчика Обработчик уведомляет заранее (порядок — на странице «Субпроцессоры»); Контролёр вправе возразить по обоснованным причинам защиты данных. При неурегулированном возражении Контролёр может прекратить пользование сервисом в отношении затронутой обработки.

8. Содействие правам субъектов данных

С учётом характера обработки Обработчик, насколько это возможно, соответствующими техническими и организационными мерами содействует Контролёру в исполнении его обязанности отвечать на запросы субъектов данных (доступ, исправление, удаление, ограничение, переносимость, возражение по ст. 15–22 GDPR). Если запрос субъекта поступает напрямую Обработчику, он без неоправданной задержки перенаправляет его Контролёру и не отвечает самостоятельно, кроме как по поручению Контролёра. Инструменты кабинета (очистка логов, удаление проекта) поддерживают исполнение таких запросов.

9. Уведомление о нарушении (двойной режим)

Обработчик уведомляет Контролёра о нарушении безопасности персональных данных без неоправданной задержки после того, как ему стало известно о нарушении, предоставляя информацию, разумно необходимую Контролёру для исполнения его собственных обязанностей по уведомлению (ст. 33–34 GDPR — как правило, уведомление надзорного органа Контролёром в течение 72 часов).

Дополнительно, поскольку Обработчик учреждён в Израиле, при серьёзном инциденте безопасности он незамедлительно уведомляет израильское Управление по защите приватности (PPA), как того требует PPL с изменениями по Поправке 13, и содействует уведомлению субъектов данных по предписанию PPA. Уведомление не признаёт ответственности.

10. Возврат и удаление данных

По завершении оказания услуг Обработчик по выбору Контролёра удаляет или возвращает персональные данные и удаляет существующие копии, если хранение не требуется применимым правом. На практике при закрытии проекта удаляются индекс сайта и связанные ресурсы Vertex, промежуточные артефакты индексации и логи (с учётом установленных сроков хранения из Политики конфиденциальности: тексты запросов — 90 дней, артефакты индексации — как правило 7 дней; IP-адреса не сохраняются).

11. Аудит и предоставление информации

Обработчик предоставляет Контролёру информацию, разумно необходимую для подтверждения соблюдения обязанностей по ст. 28 GDPR, и допускает и содействует аудитам, включая инспекции, проводимым Контролёром или уполномоченным им аудитором, в разумном объёме, с предварительным уведомлением, в рабочее время и при обязательстве конфиденциальности, так чтобы не нарушать безопасность других клиентов. Обязательства субобработчиков (например, отчёты о соответствии и сертификации Google, включая ISO 27001) могут использоваться для подтверждения соблюдения.

12. Трансграничная передача

Передача персональных данных из ЕЭЗ Обработчику в Израиль опирается на решение Европейской комиссии об адекватности уровня защиты в Израиле; отдельные Standard Contractual Clauses для этого плеча не требуются, но при отзыве адекватности стороны переходят на SCC как резервный механизм.

Передача в сервисы Google регулируется Cloud Data Processing Addendum Google и, при необходимости, SCC и/или EU-US Data Privacy Framework. По выбору Контролёра для данных клиентов из ЕС используется регион Google в ЕС, чтобы минимизировать трансграничную передачу.

Передача из Израиля в Google опирается на израильские Privacy Protection (Transfer of Data Abroad) Regulations 2001, Reg. 2(4) (обязательство получателя обеспечить условия хранения и использования, эквивалентные израильским). Для данных из ЕЭЗ дополнительно применяются израильские EEA Data Regulations 2023 (Reg. 3–7) в части обработки данных субъектов из ЕЭЗ.

13. Условия для CCPA / законов штатов США

В той мере, в какой применяется CCPA/CPRA, Обработчик выступает «поставщиком услуг» (service provider) и обрабатывает персональную информацию только для оговорённой деловой цели предоставления сервиса. Обработчик не продаёт и не «передаёт» (share) персональную информацию, не сохраняет, не использует и не раскрывает её вне прямых деловых отношений с Контролёром и для иных целей, а также не объединяет её с данными из других источников, кроме как разрешено CCPA. Обработчик обеспечивает соблюдение эквивалентных обязательств своими субобработчиками.

14. Израильское право (PPL / Поправка 13)

Поскольку Обработчик учреждён в Израиле, к обработке применяется Закон о защите приватности (PPL) с изменениями по Поправке 13 (в силе с 14 августа 2025 г.), сблизившей израильское право с GDPR (терминология контролёр/обработчик, прозрачность обработки ИИ, усиленный энфорсмент PPA, уведомление о нарушениях). Обработчик соблюдает Правила защиты приватности (Data Security) 2017 в отношении обрабатываемых данных. При серьёзном инциденте действует режим уведомления PPA из раздела «Уведомление о нарушении». Стороны подтверждают, что назначен контакт по вопросам приватности (Privacy Officer / контакт — см. Политику конфиденциальности).

15. Общие положения

Выбор израильского права и подсудности судов Тель-Авив-Яффо (см. Условия) не отменяет императивных обязанностей по GDPR, CCPA и PPL — распределение ответственности определяется законом. При противоречии положений преимущество в части обработки персональных данных имеет настоящее DPA. Контакты Обработчика (контролёра сервиса) и контакт по приватности приведены в Политике конфиденциальности.