Соглашение об обработке данных

Дата вступления в силу: 2026-05-07 · Версия документа: 2026-05-07

Настоящее Соглашение об обработке данных («DPA») дополняет Условия использования и составляет договор по ст. 28 Регламента (ЕС) 2016/679 («GDPR») между вами («Контролёр») и Оператором («Обработчик») всякий раз, когда Оператор обрабатывает персональные данные от вашего имени в связи с Сервисом.

1. Стороны

• Controller — you, the Service customer (typically an Estonian OÜ, AS, FIE or MTÜ).
• Processor — Xprofit OÜ, регистрационный код 14662029, Pae tn 21, 11414 Tallinn, Estonia, контакт info@xprofitx.com.

2. Предмет, характер, цель и продолжительность

• Предмет — processing of personal data necessary for the Operator to provide the Service.
• Характер — storage, structuring, computation, generation of declarations and reports, AI-assisted categorisation, transmission to authorities triggered by the Controller, hosting backups.
• Цель — preparation and submission of the Controller's accounting reports and tax declarations.
• Продолжительность — the term of the Service contract plus the statutory retention period (Raamatupidamise seadus § 12, currently 7 years), after which the data is deleted unless a longer period is required by law.

3. Категории субъектов данных и персональных данных

• Субъекты данных: сотрудники, члены правления, подрядчики, клиенты и контрагенты Контролёра, чьи данные он загружает или которые Сервис получает из публичных реестров от его имени.
• Персональные данные: идентификация (ФИО, isikukood), контакты, трудовые, зарплатные и налоговые, банковские (IBAN, транзакции), счета, содержание деклараций.

Сервис не предназначен для обработки специальных категорий персональных данных (GDPR ст. 9). Контролёр не должен загружать данные о здоровье, биометрии, религиозных/политических взглядах и т.п.

4. Обязанности обработчика (GDPR ст. 28(3))

1. Обрабатывать персональные данные только по документированным указаниям Контролёра, включая передачи в третьи страны — указания даются через интерфейс Сервиса и настоящие условия.
2. Обеспечить связанность сотрудников, уполномоченных обрабатывать персональные данные, конфиденциальностью.
3. Внедрить надлежащие технические и организационные меры безопасности (Приложение I).
4. Привлекать субобработчиков только на условиях п. 6 ниже.
5. Помогать Контролёру исполнять обязанность отвечать на запросы субъектов данных (GDPR ст. 12–22).
6. Помогать Контролёру в исполнении ст. 32–36 GDPR (безопасность, уведомление о нарушениях, оценки воздействия).
7. При прекращении договора удалить или вернуть все персональные данные по выбору Контролёра в машиночитаемом формате (CSV / JSON / PDF для деклараций) в течение 30 дней после получения письменного запроса, кроме случаев, когда закон требует их хранения (в частности Raamatupidamise seadus § 12 — 7 лет для бухгалтерских документов).
8. Предоставлять Контролёру всю информацию для подтверждения соответствия ст. 28 и допускать/содействовать аудитам согласно п. 7.

5. Обязанности контролёра данных

• Обеспечить правовое основание для обработки, которую Контролёр поручает Обработчику.
• Предоставлять уведомления и получать согласия субъектов данных согласно GDPR.
• Ответственно настраивайте контроль доступа внутри аккаунта.
• Без необоснованной задержки уведомлять Обработчика о любом запросе субъекта данных, затрагивающем действия Обработчика.

6. Субобработчики

Контролёр уполномочивает Обработчика привлекать субобработчиков, перечисленных в Приложении II. Обработчик ведёт список и уведомляет Контролёра (на этой странице или по email) не позднее чем за 30 дней до добавления/замены субобработчика.

Контролёр вправе возразить против нового субобработчика по разумным документированным основаниям защиты данных в течение 30 дней после уведомления. В таком случае стороны добросовестно обсуждают до 14 дней; если решения нет, Контролёр может прекратить затронутую часть Сервиса и получить пропорциональный возврат предоплаты за период после прекращения. Отсутствие возражения в 30-дневном окне означает принятие нового субобработчика.

Обработчик остаётся ответственным перед Контролёром за исполнение GDPR-обязательств любого субобработчика.

7. Право на аудит

Контролёр вправе аудировать соответствие Обработчика DPA один раз в календарный год при письменном уведомлении за 30 дней, в рабочее время, при условии взаимного NDA и за счёт Контролёра. Обработчик может выполнить аудит, предоставив актуальные сертификаты и отчёты третьих сторон (ISO 27001, SOC 2), если они есть.

Если запрос аудита касается одного субобработчика, Обработчик приложит разумные усилия для содействия скоординированному аудиту через стандартную программу аудита этого субобработчика.

8. Нарушения персональных данных

Обработчик уведомит Контролёра без необоснованной задержки и в любом случае в течение 48 часов после обнаружения нарушения, затрагивающего данные Контролёра. Уведомление будет содержать характер нарушения, категории и примерное число затронутых субъектов данных, вероятные последствия, принятые или предлагаемые меры.

9. Международные передачи данных

При передаче персональных данных за пределы EEA стороны опираются на Стандартные договорные положения (Решение (ЕС) 2021/914), заключённые с соответствующим субобработчиком, с шифрованием в транзите и хранении. Применяется Модуль 2 (Контролёр→Обработчик) и при необходимости Модуль 3 (Обработчик→Субобработчик).

10. Ответственность

The liability provisions of the Terms of Service apply to this DPA. Nothing in this DPA limits a data subject's rights under Art 82 GDPR.

11. Применимое право

Настоящее DPA регулируется правом Эстонской Республики; споры — в Harju Maakohus.

---

Приложение I — Технические и организационные меры

Обработчик внедряет как минимум следующие меры, пересматриваемые не реже одного раза в год:

Шифрование

• TLS 1.3 для всего клиентского транспорта, только с HSTS и современными cipher suites.
• Шифрование AES-256-GCM на уровне приложения (через Cloak) для чувствительных полей: isikukood, IBAN, TOTP-секрет. Ключи ротируются при существенных изменениях key-management.
• Шифрование на уровне диска для БД и бэкапов.

Контроль доступа

• Хеширование bcrypt для паролей; опционально TOTP 2FA доступен всем пользователям.
• Ролевой контроль доступа внутри Оператора с принципом наименьших привилегий; доступ в production требует именного одобрения.
• Полный журнал аудита каждого административного действия с актором, целью и временем, хранится 12 месяцев.
• Доступ персонала ограничен авторизованными сотрудниками по принципу need-to-know; предварительная проверка перед наймом и письменное обязательство о конфиденциальности до любого доступа к production-данным.

Сеть и инфраструктура

• Сетевая изоляция между прикладным и БД-слоями; БД не доступна из публичного интернета.
• Production-хостинг в регионе EU; бэкапы остаются в EU.
• Шифрованные ежедневные бэкапы БД с ротацией 30 дней; восстановительные учения не реже раза в квартал.

Управление уязвимостями и инцидентами

• Постоянный мониторинг зависимостей (mix_audit) и статический security-анализ (sobelow) на каждой сборке.
• Внешнее penetration testing — не реже раза в год перед любым крупным релизом, существенно расширяющим attack surface.
• Документированный incident-response runbook с целью уведомления регулятора за 72 часа (GDPR ст. 33) и параллельной целью уведомления Контролёра за 48 часов по п. 8.
• Раскрытие уязвимостей: security@xprofitx.com; будет опубликовано в security.txt после готовности.

Жизненный цикл данных

• Минимизация данных: собираем только то, что нужно для Сервиса, и удаляем промежуточные AI-артефакты в течение 30 дней.
• Инструменты для права на удаление: удаление аккаунта удаляет запись аккаунта и каскадно — производные данные; обязательное законное хранение (Raamatupidamise seadus § 12) обеспечено отдельно в зашифрованном tamper-evident архиве.

Приложение II — Авторизованные субобработчики

Субобработчик	Цель	Расположение
Stripe Payments Europe Ltd / Stripe Inc.	Обработка международных карточных платежей.	Ireland / USA
EveryPay AS (LHV Group)	SEPA, эстонские карточные схемы, open banking.	Estonia
OpenAI Ireland Ltd / OpenAI L.L.C.	AI-функции (чат, парсинг, категоризация). Корпоративные условия данных — нет обучения моделей на отправленном содержимом.	Ireland / USA
Провайдер хостинговой инфраструктуры	Вычисления, хранение и сеть для production-развёртывания.	Регион EU
Провайдер доставки email (если настроен)	Transactional and notification email.	EU / EEA

При наличии переводов DPA определяющей в случае расхождения является английская версия.