Соглашение об обработке данных (DPA).

Вы — Controller (контролёр данных). Мы (ИП Спиридонов Д. В.) — Processor (обработчик). Лица, имеющие доступ к данным, действуют под NDA и проходят ежегодное обучение по приватности.

Обработка только в объёме, необходимом для предоставления услуги. Никакого профилирования посетителей вашего сайта в наших целях, никакой рекламы, никакого обогащения данными извне.

Текущий список субпроцессоров: Supabase (DB, EU), Sendersy / Postal (исходящая почта, EU), Яндекс.Метрика (аналитика, опционально, только с согласия). Полный актуальный список — по запросу на support@overcap.ru. Любые изменения мы анонсируем за 30 дней до подключения нового субпроцессора с правом возражения.

Технические и организационные меры (TOMs): AES-256 в покое, TLS 1.3 в транзите, MFA для администраторов, RBAC, аудит-лог, ежегодный pen-test.

По вашему запросу — экспорт за 14 дней (JSON + media). Удаление по окончанию контракта — в течение 30 дней. Логи безопасности обнуляются по плановому циклу 12 месяцев.

О любом инциденте безопасности, повлекшем риск для прав и свобод субъектов данных, — уведомление в течение 72 часов с описанием объёма, мер реагирования и контактов.

Раз в 12 месяцев вы или независимый аудитор от вашего имени можете провести аудит наших TOMs (по согласованию даты, NDA, и за ваш счёт). Альтернатива — отчёт SOC 2 Type II по запросу (когда будет готов).

DPA действует параллельно основному договору и не может быть прекращён в одностороннем порядке, пока действует подписка.