GDPR — Соглашение об обработке данных
Последнее обновление: 1 апреля 2026
Настоящее Соглашение об обработке данных («DPA») включено в Условия использования Multibase и применяется всякий раз, когда Клиент обрабатывает персональные данные с использованием Сервиса в соответствии с EU GDPR или UK GDPR.
Клиент = Контролёр (вы решаете, какие данные обрабатываются и зачем)
Multibase Ltd = Процессор (мы обрабатываем данные только по вашим инструкциям)
Что охватывает данное соглашение
| Данные | Субъекты данных | Цель |
|---|---|---|
| Поисковые запросы читателей | Читатели ваших порталов | ИИ-поиск и аналитика |
| Email-адреса (приватные порталы) | Авторизованные читатели | Контроль доступа |
| Профили авторов (имя, аватар) | Члены вашей команды | Отображение в опубликованных статьях |
| Агрегированная аналитика портала | Читатели порталов | Панель аналитики |
Наши обязательства как процессора
Мы будем:
- Обрабатывать персональные данные только по вашим документированным инструкциям или по требованию закона
- Обеспечивать, чтобы все, кто имеет доступ к вашим данным, были связаны обязательствами конфиденциальности
- Применять надлежащие технические и организационные меры безопасности
- Уведомить вас в течение 72 часов об обнаружении утечки персональных данных
- Помогать вам отвечать на запросы субъектов данных в течение 5 рабочих дней
- Удалить или вернуть все ваши данные по запросу или в течение 30 дней после закрытия аккаунта
- Не привлекать новых субпроцессоров без уведомления вас не менее чем за 14 дней
Меры безопасности
| Мера | Реализация |
|---|---|
| Шифрование при передаче | TLS 1.2+ для всех передач данных |
| Шифрование при хранении | AES-256 для баз данных и файлового хранилища |
| Контроль доступа | Минимальные привилегии; MFA на инфраструктуре; ролевой доступ |
| Изоляция данных | Данные клиентов логически разделены — межаккаунтный доступ невозможен |
| Резервное копирование | Ежедневные автоматические бэкапы, хранение 30 дней, шифрование, отдельный регион |
| Управление патчами | Критические CVE исправляются в течение 7 дней |
| Реагирование на инциденты | Документированный процесс; дежурный мониторинг; постинцидентные обзоры |
Субпроцессоры
Вы предоставляете общее разрешение для нижеуказанных субпроцессоров. Мы уведомим вас за 14 дней до привлечения нового субпроцессора, обрабатывающего данные вашего портала. Вы можете возразить в этот срок.
| Субпроцессор | Расположение | Роль | Основание передачи |
|---|---|---|---|
| Amazon Web Services | ЕС (Франкфурт) | Инфраструктура, хранение | ЕЭЗ — без передачи |
| Anthropic | США | ИИ-функции (только транзитно) | Стандартные договорные положения |
| OpenAI | США | Текстовые эмбеддинги (только транзитно) | Стандартные договорные положения |
| Stripe | США / ЕС | Обработка платежей | SCC / Решение об адекватности |
Примечание: Контент, отправляемый в Anthropic и OpenAI для ИИ-функций, обрабатывается транзитно для генерации ответа. Он не сохраняется, не логируется и не используется для обучения моделей.
Уведомление об утечке данных
При обнаружении утечки персональных данных мы уведомим вас в течение 72 часов, сообщив:
- Что произошло и когда мы обнаружили инцидент
- Категории и приблизительное количество затронутых субъектов данных
- Вероятные последствия
- Предпринятые или планируемые меры
Вы несёте ответственность за уведомление надзорного органа и затронутых субъектов данных в соответствии с применимым законодательством.
Международные передачи
Данные клиентов хранятся на AWS eu-central-1 (Франкфурт) и не покидают ЕЭЗ для хранения. При необходимости передачи в третьи страны (ИИ-провайдеры) мы опираемся на Стандартные договорные положения (Решение ЕК 2021/914) и UK IDTA, где применимо. Копии доступны по запросу на legal@multibase.io.
Права субъектов данных
Если мы получим запрос субъекта данных о данных вашего портала, мы незамедлительно перенаправим его вам. По вашей инструкции мы окажем помощь с доступом, удалением или экспортом в течение 5 рабочих дней.
Аудиты
Вы можете проводить аудит нашего соответствия один раз в календарный год с уведомлением за 30 дней. Мы можем удовлетворить это, предоставив наш последний отчёт SOC 2 или проведя аудит третьей стороной по взаимному согласию.
Ваши обязанности как Контролёра
Вы несёте ответственность за:
- Наличие законного основания для обработки данных читателей через ваши порталы
- Публикацию уведомления о конфиденциальности на ваших брендированных порталах
- Получение согласия на cookies от читателей, где это требуется
- Неразмещение данных особых категорий без надлежащего правового основания
- Ведение записей о деятельности по обработке (ROPA) с указанием Multibase как процессора
- Уведомление надзорного органа о нарушениях в течение 72 часов с момента вашего обнаружения
Ответственность и применимое право
Ответственность по данному DPA подчиняется ограничениям, установленным в Условиях использования. DPA регулируется законодательством Англии и Уэльса. Для Клиентов из государств — членов ЕС данное DPA удовлетворяет требованиям статьи 28 EU GDPR.
Вопросы: legal@multibase.io