Соглашение об обработке данных (DPA)
Шаблон, соответствующий KVKK и GDPR
Последнее обновление: 2026-07
Настоящее Соглашение об обработке данных («Соглашение») регулирует права и обязанности сторон в отношении обработки персональных данных в рамках предоставления платформы MHB Lean («Услуга») между Контролёром данных ([Клиент]) и Обработчиком данных (MHB Lean, [юридическое наименование]). Настоящее Соглашение толкуется в соответствии с положениями KVKK (Закон № 6698) и GDPR (ЕС 2016/679).
1. Стороны и определения
Контролёр данных (Controller): клиент, определяющий цели и средства обработки персональных данных. Обработчик данных (Processor): MHB Lean, обрабатывающий персональные данные от имени Контролёра.
Термины «Персональные данные», «Обработка», «Субъект данных», «Субобработчик» и «Нарушение» используются в значениях, определённых в KVKK и GDPR.
2. Предмет и срок обработки
Обработка осуществляется исключительно в целях предоставления Услуги и в соответствии с документированными инструкциями Контролёра.
Обработка продолжается в течение срока действия договора об Услуге. По окончании договора персональные данные удаляются или возвращаются по выбору Контролёра; законные обязательства по хранению сохраняются.
3. Категории обрабатываемых персональных данных
Идентификационные и контактные данные: имя сотрудника, адрес e-mail, роль в организации.
Операционные данные: предложения кайдзен, записи собраний и действий, документы стандартной работы, показатели эффективности (KPI).
Специальные категории персональных данных не собираются по замыслу. Платформа включает уровень защиты, который обнаруживает чувствительные данные во вводе пользователя и предупреждает его.
4. Цели обработки
Персональные данные обрабатываются только в целях предоставления Услуги, ведения процессов непрерывного улучшения (Кайдзен), управления доступом пользователей и выполнения законных обязательств. Обработка в целях рекламного профилирования или продажи третьим лицам не осуществляется.
5. Субобработчики
Обработчик использует следующих субобработчиков для предоставления Услуги. Контролёр даёт согласие на использование этих субобработчиков. При добавлении нового субобработчика Контролёр уведомляется в разумный срок заранее и имеет право на возражение.
| Supabase | База данных / идентификация / хранилище | [Регион] |
| Vercel | Хостинг приложения | [Регион] |
| Google (Gemini API) | Обработка ИИ | [Регион] |
| Resend | Транзакционная почта | [Регион] |
| Stripe / iyzico | Обработка платежей | [Регион] |
| PostHog / Sentry | Аналитика / мониторинг ошибок | [Регион] |
6. Технические и организационные меры (TOM)
Обработчик применяет соответствующие технические и организационные меры: мультиарендную изоляцию (фильтр организации на уровне приложения + безопасность на уровне строк), шифрование при передаче и хранении, серверное управление секретными ключами, ролевой контроль доступа и журналы аудита. Подробная архитектура описана в Техническом документе по безопасности и архитектуре.
7. Права субъектов данных
Обработчик предоставляет Контролёру разумную техническую поддержку для выполнения запросов субъектов данных на доступ, исправление, удаление, ограничение обработки и переносимость данных. Если запрос субъекта данных поступает напрямую Обработчику, Обработчик без промедления уведомляет Контролёра.
8. Уведомление о нарушении
При обнаружении нарушения персональных данных Обработчик без промедления и в сроки, предусмотренные KVKK/GDPR ([72 часа]), уведомляет Контролёра после того, как ему стало известно о ситуации; предоставляет разумную информацию о характере нарушения, его возможных последствиях и принятых/предлагаемых мерах.
9. Международная передача
В случаях, когда требуется передача персональных данных за границу, передача осуществляется в соответствии с правовыми механизмами, предусмотренными KVKK и GDPR (например, решение о достаточности или Стандартные договорные положения). Регионы, в которых происходит передача, указаны в таблице субобработчиков.
10. Права на аудит
Контролёр имеет право проверять соответствие настоящему Соглашению с разумной периодичностью и в разумном объёме. Обработчик предоставляет необходимую информацию для демонстрации соответствия и разумно содействует проверкам.
11. Ответственность и вступление в силу
Ответственность сторон регулируется соответствующими положениями основного договора об Услуге. Настоящее Соглашение является неотъемлемой частью основного договора об Услуге и вступает в силу в дату подписания. [Дата вступления в силу / подпись / контактные лица].
Для готового к подписанию Соглашения об обработке данных, адаптированного под вашу организацию, свяжитесь с нашей корпоративной командой. Корпоративная связь / RFP