GDPR — Угода про обробку даних
Останнє оновлення: 1 квітня 2026
Ця Угода про обробку даних («DPA») є частиною Умов використання Multibase і застосовується щоразу, коли Клієнт обробляє персональні дані за допомогою Сервісу відповідно до EU GDPR або UK GDPR.
Клієнт = Контролер даних (ви вирішуєте, які дані обробляються і навіщо)
Multibase Ltd = Процесор (ми обробляємо дані лише за вашими інструкціями)
Що охоплює ця угода
| Дані | Суб'єкти даних | Мета |
|---|---|---|
| Пошукові запити читачів | Читачі ваших порталів | ШІ-пошук та аналітика |
| Електронні адреси (приватні портали) | Авторизовані читачі | Контроль доступу |
| Профілі авторів (ім'я, аватар) | Члени вашої команди | Відображення в опублікованих статтях |
| Агрегована аналітика порталу | Читачі порталів | Панель аналітики |
Наші зобов'язання як процесора
Ми будемо:
- Обробляти персональні дані лише за вашими задокументованими інструкціями або на вимогу закону
- Забезпечувати, щоб усі, хто має доступ до ваших даних, були зобов'язані дотримуватися конфіденційності
- Впроваджувати належні технічні та організаційні заходи безпеки
- Повідомляти вас протягом 72 годин після виявлення витоку персональних даних
- Допомагати вам відповідати на запити суб'єктів даних протягом 5 робочих днів
- Видаляти або повертати всі ваші дані на запит або протягом 30 днів після закриття облікового запису
- Не залучати нових субпроцесорів без повідомлення вас не менш ніж за 14 днів
Заходи безпеки
| Захід | Реалізація |
|---|---|
| Шифрування при передачі | TLS 1.2+ для всіх передач даних |
| Шифрування при зберіганні | AES-256 для баз даних та файлового сховища |
| Контроль доступу | Мінімальні привілеї; MFA на інфраструктурі; рольовий доступ до застосунку |
| Ізоляція даних | Дані клієнтів логічно розділені — міжакаунтний доступ неможливий |
| Резервне копіювання | Щоденні автоматичні резервні копії, зберігання 30 днів, шифрування, окремий географічний регіон |
| Управління патчами | Критичні CVE виправляються протягом 7 днів |
| Реагування на інциденти | Задокументований процес; черговий моніторинг; постінцидентні огляди |
Субпроцесори
Ви надаєте загальний дозвіл для субпроцесорів, зазначених нижче. Ми повідомимо вас за 14 днів до залучення нового субпроцесора, який оброблятиме дані вашого порталу. Ви можете заперечити протягом цього терміну.
| Субпроцесор | Розташування | Роль | Підстава передачі |
|---|---|---|---|
| Amazon Web Services | ЄС (Франкфурт) | Інфраструктура, зберігання | ЄЕЗ — без передачі |
| Anthropic | США | ШІ-функції (лише транзитно) | Стандартні договірні положення |
| OpenAI | США | Текстові ембединги (лише транзитно) | Стандартні договірні положення |
| Stripe | США / ЄС | Обробка платежів | SCC / Рішення про адекватність |
Примітка: Контент, що надсилається до Anthropic та OpenAI для ШІ-функцій, обробляється транзитно для генерації відповіді. Він не зберігається, не логується і не використовується для навчання моделей.
Повідомлення про витік даних
У разі виявлення витоку персональних даних ми повідомимо вас протягом 72 годин, вказавши:
- Що сталося і коли ми виявили інцидент
- Категорії та приблизну кількість постраждалих суб'єктів даних
- Ймовірні наслідки
- Вжиті або заплановані заходи
Ви несете відповідальність за повідомлення наглядового органу та постраждалих суб'єктів даних відповідно до застосовного законодавства.
Міжнародні передачі
Дані клієнтів зберігаються на AWS eu-central-1 (Франкфурт) і не покидають ЄЕЗ для зберігання. У разі необхідності передачі до третіх країн (постачальники ШІ) ми спираємося на Стандартні договірні положення (Рішення ЄК 2021/914) та UK IDTA, де це застосовно. Копії доступні на запит на legal@multibase.io.
Права суб'єктів даних
Якщо ми отримаємо запит суб'єкта даних щодо даних вашого порталу, ми негайно перенаправимо його вам. За вашою інструкцією ми нададемо допомогу з доступом, видаленням або експортом протягом 5 робочих днів.
Аудити
Ви можете проводити аудит нашої відповідності один раз на календарний рік із повідомленням за 30 днів. Ми можемо задовольнити це, надавши наш останній звіт SOC 2 або провівши аудит третьою стороною за взаємною згодою.
Ваші обов'язки як Контролера
Ви несете відповідальність за:
- Наявність правової підстави для обробки даних читачів через ваші портали
- Публікацію повідомлення про конфіденційність на ваших брендованих порталах
- Отримання згоди на cookies від читачів, де це вимагається
- Нерозміщення даних особливих категорій без належної правової підстави
- Ведення записів про діяльність з обробки (ROPA) із зазначенням Multibase як процесора
- Повідомлення наглядового органу про порушення протягом 72 годин з моменту вашого виявлення
Відповідальність та застосовне право
Відповідальність за цим DPA підпорядковується обмеженням, встановленим в Умовах використання. DPA регулюється законодавством Англії та Уельсу. Для Клієнтів із держав — членів ЄС цей DPA задовольняє вимоги статті 28 EU GDPR.
Питання: legal@multibase.io