Соглашение об обработке персональных данных (DPA)
Действует с 30 апреля 2026 г. · 152-ФЗ «О персональных данных»
1. Стороны
Оператор (Обработчик): ИП Гудков Роман Владимирович, ОГРНИП 317784700027135, ИНН 781912607115, далее — «GrandHub».
Заказчик (Контролёр): юридическое лицо или ИП, использующий тариф «Бизнес» GrandHub, далее — «Клиент».
2. Предмет соглашения
GrandHub обрабатывает персональные данные сотрудников, контрагентов и клиентов Заказчика в рамках предоставления услуги AI-ассистента с интеграциями (1С, AmoCRM, Bitrix24, БД, SSH). Настоящее DPA устанавливает условия такой обработки в соответствии с 152-ФЗ.
3. Категории данных
- OAuth-токены доступа к CRM и базам данных Клиента
- Содержимое запросов AI-ассистента и ответов AI
- Данные из подключённых систем (сделки, контакты, остатки и т.п.)
- Метаданные использования (время, IP, тип запроса)
- Документы, загруженные для RAG (распознавание контента)
4. Цели обработки
- Предоставление функциональности AI-ассистента
- Подключение и работа интеграций
- Биллинг и бухгалтерский учёт
- Безопасность и предотвращение злоупотреблений
GrandHub не использует данные Клиента для обучения моделей, маркетинга, продажи третьим лицам или иных целей, не указанных в настоящем DPA.
5. Меры защиты
GrandHub применяет следующие технические и организационные меры:
- Изолированные Docker-контейнеры для каждого клиента
- AES-256-GCM шифрование at-rest (KeyVault, per-user ключи)
- TLS 1.3 для всех передач
- Bcrypt для хранения паролей
- Двухфакторная аутентификация для администраторов
- Append-only audit log всех доступов администратора
- Регулярные backup с шифрованием
- Серверы в РФ (Selectel МСК/СПб)
6. Уведомление об инцидентах
При обнаружении утечки или несанкционированного доступа к данным Клиента, GrandHub уведомляет Клиента в течение 72 часов с момента обнаружения. Уведомление включает: характер инцидента, объём затронутых данных, принятые меры, контакт DPO для получения подробностей.
7. Права Клиента
- Запрос аудит-лога доступов к данным компании
- Запрос детальной информации о применяемых мерах защиты
- Аудит мер безопасности по согласованию
- Получение всех данных в машиночитаемом формате (export)
- Удаление данных в течение 30 дней после расторжения договора
- Отказ от трансграничной передачи данных (с переходом на полностью локальные модели)
8. Субобработчики
GrandHub привлекает следующих субобработчиков:
| Субобработчик | Роль | Юрисдикция |
|---|---|---|
| Selectel | Хостинг, БД | РФ |
| Robokassa | Платежи | РФ |
| Mailgun | Email-уведомления | ЕС (только email) |
| DeepSeek (через OpenRouter) | AI-инференс | КНР (обезличенные тексты) |
О добавлении или замене субобработчиков GrandHub уведомляет Клиента за 30 дней.
9. Срок и расторжение
DPA действует в течение всего срока действия основного договора с Клиентом. После расторжения GrandHub возвращает все данные Клиенту в машиночитаемом формате и удаляет их со своих серверов в течение 30 дней (бухгалтерские записи хранятся 5 лет согласно НК РФ).
10. Ответственность
При несанкционированном доступе к данным Клиента по вине GrandHub, GrandHub возмещает документально подтверждённые убытки в размере, не превышающем сумму подписки за последние 12 месяцев. Стороны несут ответственность согласно главе 25 ГК РФ.
11. Контакты
DPO (Data Protection Officer): privacy@grandhub.ru
Безопасность: security@grandhub.ru
Поддержка бизнес-клиентов: business@grandhub.ru
Подписание
Для подписания DPA как отдельного документа (для compliance, тендеров, аудита) — напишите на business@grandhub.ru с реквизитами компании. Обычно подписываем за 1 рабочий день.
Связаться с нами