Когда вы пользуетесь Overcap, мы — обработчик персональных данных, а вы — контролёр. Это соглашение фиксирует наши обязательства по ст. 28 GDPR.
ВЕРСИЯ
v2.1 · 1 апреля 2026 г.
Роли
Вы — Controller (контролёр данных). Мы — Processor (обработчик). Каждый сотрудник Overcap, имеющий доступ к данным, действует под NDA и проходит ежегодное обучение по приватности.
Цель обработки
Обработка только в объёме, необходимом для предоставления услуги. Никакого профилирования посетителей вашего сайта в наших целях, никакой рекламы, никакого обогащения данными извне.
Subprocessors
Текущий список субпроцессоров: Supabase (DB), AWS Frankfurt (хостинг), Stripe (платежи), Resend (email). Полный актуальный список доступен по запросу на sub@overcap.ru. Любые изменения мы анонсируем за 30 дней до подключения нового субпроцессора с правом возражения.
Безопасность
Технические и организационные меры (TOMs): AES-256 в покое, TLS 1.3 в транзите, MFA для всех сотрудников, RBAC, аудит-лог, ежегодный pen-test внешним аудитором.
Возврат данных
По вашему запросу — экспорт за 14 дней (JSON + media). Удаление по окончанию контракта — в течение 30 дней. Логи безопасности обнуляются по плановому циклу 12 месяцев.
Уведомление об инциденте
О любом инциденте безопасности, повлекшем риск для прав и свобод субъектов данных, — уведомление в течение 72 часов с описанием объёма, мер реагирования и контактов DPO.
Аудит
Раз в 12 месяцев вы или независимый аудитор от вашего имени можете провести аудит наших TOMs (по согласованию даты, NDA, и за ваш счёт). Альтернатива — отчёт SOC 2 Type II по запросу (когда будет готов).
Срок действия
DPA действует параллельно основному договору и не может быть прекращён в одностороннем порядке, пока действует подписка.