Data Processing Agreement (DPA)
Соглашение об обработке персональных данных между клиентом pfboost («Контролёр») и сервисом pfboost («Обработчик») в смысле статьи 6 Федерального закона № 152-ФЗ «О персональных данных».
Документ применяется, когда клиент через pfboost обрабатывает персональные данные посетителей собственного сайта — например, через интеграцию с Яндекс Метрикой, импорт данных из Вебмастера, A/B-тесты в Varioqub, или функционал Behavior Boost. Если клиент использует только чистый трекер позиций для собственных кейвордов (без данных посетителей) — DPA не обязателен.
1. Стороны
- Контролёр — клиент pfboost, владелец сайтов и определяющий цели обработки.
- Обработчик — pfboost, выполняющий обработку по поручению Контролёра.
2. Предмет
Обработчик обрабатывает данные посетителей сайтов Контролёра исключительно в объёме и для целей, указанных Контролёром при использовании конкретных функций:
- прокидывание данных Яндекс Вебмастера/Метрики для отображения в дашборде;
- агрегация поведенческих метрик (CTR, dwell, отказы) для отчётов;
- организация A/B-экспериментов через Varioqub.
3. Категории данных и субъектов
- Субъекты: посетители сайтов Контролёра.
- Категории данных: обезличенные/псевдо-обезличенные технические данные браузера, события (клики, прокрутки), параметры запросов поиска.
- Обработчик не запрашивает у Контролёра прямо идентифицирующие данные (Ф.И.О., паспорт, платёжные реквизиты посетителей).
4. Обязательства Обработчика
- Обрабатывать данные только по поручению Контролёра.
- Обеспечить конфиденциальность сотрудников, имеющих доступ к данным.
- Применять технические и организационные меры безопасности (TLS, шифрование токенов, контроль доступа, аудит-логи).
- Уведомлять Контролёра об инцидентах безопасности в течение 72 часов с момента обнаружения.
- По окончании оказания услуг — удалить или вернуть данные Контролёру в течение 30 дней.
- Содействовать Контролёру в исполнении запросов субъектов ПДн (доступ, удаление, перенос).
5. Обязательства Контролёра
- Иметь правовое основание для обработки данных посетителей собственного сайта.
- Опубликовать на своём сайте уведомление о cookies и согласие на обработку ПДн в соответствии с 152-ФЗ.
- Не передавать Обработчику данные, для обработки которых не получено согласие.
- Не передавать чувствительные категории ПДн (биометрия, состояние здоровья, политические взгляды).
6. Суб-обработчики
Обработчик вправе привлекать суб-обработчиков, обеспечивающих не менее строгий уровень защиты. Текущий список:
- Хостинг-провайдер серверов (Россия);
- Яндекс (при использовании Search API / Webmaster / Метрика / Varioqub) — с соблюдением правил Яндекса;
- Провайдер платежей (ЮКасса) — для биллинга.
При изменении списка суб-обработчиков Контролёр уведомляется в течение 14 дней и вправе расторгнуть DPA если новый суб-обработчик не соответствует его требованиям.
7. Trans-border передача
По умолчанию данные хранятся на серверах в Российской Федерации. Передача за пределы РФ не осуществляется без отдельного согласия Контролёра.
8. Аудит
Контролёр вправе один раз в год запросить отчёт о мерах безопасности и логах обработки своих данных. Отчёт предоставляется в течение 30 дней.
9. Срок действия
DPA вступает в силу с момента акцепта в личном кабинете и действует на весь срок использования платных функций, для которых он применим. После прекращения отношений — обязательства о конфиденциальности и безопасном удалении данных продолжают действовать.
10. Подпись
Электронный акцепт через личный кабинет, с фиксацией IP, времени и хеша версии документа, является достаточной формой согласия и приравнивается к подписи сторон.