Соглашение об обработке данных

Последнее обновление: 23 мая 2026 г.

Это Соглашение об обработке данных («DPA») заключается между Monoid («Обработчик») и владельцем сайта, использующим аналитический сервис Monoid («Контролёр»). Оно является частью Условий использования и регулирует обработку персональных данных, осуществляемую Monoid от имени Контролёра.

1. Определения

«Персональные данные», «Контролёр», «Обработчик», «Субъект данных», «Обработка» и «Надзорный орган» имеют значения, данные в Общем регламенте по защите данных ЕС (GDPR) 2016/679. «Субобработчик» означает любую третью сторону, привлечённую Обработчиком для обработки Персональных данных согласно этому DPA.

2. Предмет и характер обработки

Обработчик предоставляет веб-аналитику с приоритетом приватности. Обработка состоит из: получения анонимизированных сигналов просмотров страниц от посетителей сайта Контролёра, вычисления ежедневно ротируемого SHA-256 хеша посетителя (IP + User-Agent + серверная соль + дата), хранения агрегированных аналитических данных (пути страниц, имена хостов источников, коды стран, типы устройств, семейства браузеров, ежедневное количество посетителей) и предоставления агрегированной статистики в дашборде Контролёра. Сырые IP-адреса и строки User-Agent используются только в памяти для вычисления хеша и никогда не сохраняются.

3. Срок действия

Это DPA действует, пока Контролёр поддерживает учётную запись Monoid. Оно автоматически прекращается при удалении учётной записи.

4. Обязательства Обработчика (Art. 28(3) GDPR)

Обработчик обязуется:

  • Обрабатывать Персональные данные только на основании задокументированных инструкций Контролёра, за исключением случаев, требуемых применимым законом.
  • Обеспечивать, чтобы лица, уполномоченные на обработку Персональных данных, приняли на себя обязательства о конфиденциальности или находились под соответствующим уставным обязательством конфиденциальности.
  • Внедрять соответствующие технические и организационные меры (Art. 32 GDPR) — включая передачу только через HTTPS, хеширование паролей PBKDF2-SHA256, httpOnly сессионные cookie, валидацию запросов Zod и ограничение скорости на всех чувствительных эндпоинтах.
  • Не привлекать Субобработчика без предварительного письменного разрешения Контролёра (разрешение даётся принятием этих Условий и DPA; Субобработчики, перечисленные в Разделе 6, настоящим предварительно разрешены).
  • Помогать Контролёру в выполнении запросов субъектов данных (доступ, удаление, переносимость, возражение) путём предоставления инструментов уровня учётной записи, описанных в /privacy, и, где это технически невозможно, отвечать на запросы по электронной почте в течение 30 дней.
  • Помогать Контролёру с его обязательствами согласно Art. 32–36 GDPR, включая предоставление информации, необходимой для демонстрации соответствия, поддержку Оценок воздействия на защиту данных и сотрудничество с надзорными органами.
  • Удалить или вернуть все Персональные данные Контролёру в конце сервиса и удалить существующие копии, если хранение не требуется применимым законом. Удаление учётной записи запускает немедленное каскадное удаление всех аналитических данных.
  • Предоставлять всю информацию, необходимую для демонстрации соответствия этому DPA, и позволять и способствовать аудитам и инспекциям, проводимым Контролёром или аудитором, назначенным Контролёром.

5. Обязательства Контролёра

Контролёр обязуется: (a) обеспечить наличие законного основания для инструктирования Обработчика обрабатывать Персональные данные; (b) обеспечить развёртывание скрипта трекера только на сайтах, принадлежащих или контролируемых Контролёром; (c) включить соответствующее раскрытие аналитического сервиса в собственную политику конфиденциальности; и (d) оперативно уведомлять Обработчика о любых изменениях в инструкциях обработки.

6. Субобработчики

Контролёр уполномочивает следующих Субобработчиков:

  • Cloudflare, Inc. (США) — edge-вычисления и инфраструктура базы данных D1. Механизм передачи: Стандартные договорные положения ЕС (SCC), Рамка защиты данных ЕС–США, Швейцарско-США DPF, UK IDTA. DPA: cloudflare.com/trust-hub/gdpr/
  • Resend, Inc. (США) — доставка транзакционной электронной почты. Механизм передачи: SCC ЕС. DPA: resend.com/legal/dpa
  • Stripe, Inc. (США) — обработка платежей (только биллинг Контролёра; никакие данные аналитики посетителей не передаются Stripe). Механизм передачи: SCC ЕС, EU–US DPF, UK IDTA. DPA: stripe.com/legal/dpa

Обработчик предоставит письменное уведомление не менее чем за 30 дней (через зарегистрированный email учётной записи) о любых планируемых изменениях Субобработчиков, предоставив Контролёру возможность возразить.

7. Международная передача

Персональные данные могут передаваться в Соединённые Штаты через Субобработчиков, перечисленных в Разделе 6. Каждая передача покрывается соответствующей гарантией (SCC ЕС, Рамка защиты данных ЕС–США, Швейцарско-США DPF или UK IDTA), как указано выше. Никаких других передач в третьи страны не происходит.

8. Безопасность и уведомление о нарушениях

Обработчик уведомит Контролёра без необоснованной задержки и в любом случае в течение 24 часов после того, как ему станет известно о нарушении Персональных данных, затрагивающем данные, обрабатываемые согласно этому DPA. Уведомление будет сделано на зарегистрированный email учётной записи Контролёра и будет включать: характер нарушения, категории и приблизительное количество затронутых субъектов данных и записей, вероятные последствия, а также принятые или предложенные меры.

9. Права на аудит

Контролёр может запросить письменное резюме мер безопасности Обработчика один раз в календарный год. Если регулятивное требование предписывает аудит на месте, стороны заранее согласуют время, объём и обязательства о конфиденциальности.

10. Применимое право

Это DPA регулируется законодательством Бразилии, за исключением случаев, когда обязательное право ЕС, Великобритании или Швейцарии о защите данных предоставляет Контролёру дополнительные права, от которых нельзя отказаться.

11. Контакты

Вопросы об этом DPA: monoid@monoid.website