Соглашение об обработке данных — Sigil RMPD
Версия: 1.1 Дата вступления в силу: 29 мая 2026 Последнее обновление: 20 июня 2026Настоящее Соглашение об обработке данных («DPA») является частью Условий использования между Sigil RMPD («Обработчик») и Перевозчиком («Контролёр»). Оно регулирует обработку персональных данных Sigil от имени Перевозчика в связи с платформой Sigil RMPD.
§1. Предмет и срок действия
1.1 Настоящее DPA регулирует обработку персональных данных Sigil (как Обработчиком) от имени Перевозчика (как Контролёра) в связи с предоставлением услуг платформы Sigil RMPD, описанных в Условиях использования. 1.2 DPA вступает в силу с даты принятия Перевозчиком Условий использования и остаётся в силе на протяжении всего срока действия договора об оказании услуг. После расторжения Условий использования DPA автоматически прекращает действие с учётом §12 (возврат и удаление данных).§2. Характер и цель обработки
2.1 Обработчик обрабатывает персональные данные от имени Контролёра в следующих целях:- OCR-извлечение данных из документов CMR, загруженных Контролёром;
- Хранение изображений документов CMR и извлечённых полей RMPD;
- Подготовка и электронная подача деклараций RMPD100 в PUESC/SENT по поручению Контролёра;
- Хранение подтверждений отправки в PUESC и журналов аудита;
- Отображение данных деклараций в интерфейсе учётной записи Контролёра.
2.2 Обработчик не обрабатывает персональные данные в каких-либо иных целях, кроме указанных в настоящем DPA и задокументированных инструкциях Контролёра. Если Обработчик обязан по закону обрабатывать данные сверх этих целей, он информирует об этом Контролёра, если это не запрещено законом.§3. Типы обрабатываемых персональных данных
В рамках настоящего DPA могут обрабатываться следующие категории персональных данных:
- Полные имена и адреса отправителей, указанных в документах CMR;
- Полные имена и адреса получателей, указанных в документах CMR;
- Полные имена, национальности и номера водительских удостоверений водителей, указанных в CMR;
- Имена и адреса транспортных посредников или адресатов уведомлений в документах CMR;
- Государственные регистрационные знаки транспортных средств (тягач и прицеп), если связаны с идентифицируемыми лицами;
- Любые иные персональные данные, содержащиеся в текстовых полях документов CMR.
Особые категории персональных данных (ст. 9 GDPR) не обрабатываются намеренно. Обработчик принимает разумные меры для выявления и исключения таких данных в случае их обнаружения при OCR-обработке.
§4. Категории субъектов данных
Персональные данные, обрабатываемые в соответствии с настоящим DPA, относятся к следующим категориям лиц:
- Водители, работающие у Контролёра или привлечённые по договору;
- Сотрудники клиентов Контролёра, выступающие отправителями или получателями;
- Сотрудники сторонних компаний, выступающих отправителями, получателями или сторонами уведомления в документах CMR.
Обработчик не имеет прямых отношений ни с одним из этих субъектов данных. Все запросы от субъектов данных должны направляться к Контролёру как ответственному контролёру данных.
§5. Обязанности Обработчика
В соответствии со ст. 28(3) GDPR Обработчик (Sigil) принимает на себя следующие обязательства:
(а) Обработка только по задокументированным инструкциям. Обработчик обрабатывает персональные данные только по задокументированным инструкциям Контролёра (как определено в настоящем DPA и Условиях использования), если это не требуется действующим законодательством (Украины и, где применимо, GDPR). (б) Конфиденциальность. Обработчик обеспечивает, что лица, уполномоченные обрабатывать персональные данные, приняли обязательства по соблюдению конфиденциальности или подпадают под соответствующее законодательное обязательство о конфиденциальности. (в) Безопасность. Обработчик реализует все меры, требуемые ст. 32 GDPR (см. §9). (г) Субобработчики. Обработчик не привлекает субобработчиков без предварительного письменного согласия Контролёра, за исключением перечисленных в §6 (Утверждённые субобработчики). Обработчик несёт полную ответственность за действия и бездействие своих субобработчиков. (д) Помощь в реализации прав субъектов данных. Обработчик помогает Контролёру выполнять обязанности по ответам на запросы субъектов данных согласно ст. 15–22 GDPR, принимая во внимание характер обработки (см. §10). (е) Помощь с безопасностью, уведомлением о нарушениях, DPIA. Обработчик помогает Контролёру обеспечивать соответствие ст. 32–36 GDPR с учётом характера обработки и имеющейся информации. (ж) Возврат и удаление. По выбору Контролёра Обработчик удаляет или возвращает все персональные данные Контролёру после окончания оказания услуг (см. §12). (з) Сотрудничество при аудите. Обработчик предоставляет Контролёру всю информацию, необходимую для подтверждения соответствия обязательствам ст. 28 GDPR, и обеспечивает возможность проведения аудитов (см. §13).§6. Утверждённые субобработчики
Контролёр предоставляет Sigil общее письменное согласие на привлечение следующих утверждённых субобработчиков:
| Субобработчик | Деятельность по обработке | Местонахождение | Основание передачи GDPR |
| Supabase, Inc. | Хранение данных деклараций и учётных записей в базе данных | Франкфурт, ЕС | ЕЭЗ — без передачи |
| Render Services, Inc. | Хостинг приложения и вычисления | Франкфурт, ЕС | ЕЭЗ — без передачи |
| Cloudflare, Inc. (R2) | Хранение изображений CMR и сгенерированного XML | Бакет Франкфурт ЕС | ЕЭЗ — без передачи |
| Google LLC (Cloud Document AI) | OCR-обработка изображений CMR | Регион ЕС | ЕЭЗ — без передачи |
| Anthropic, PBC | Картирование полей AI (CMR → структура RMPD) | США | SCC (2021) |
| АО КБ «ПриватБанк» (LiqPay) | Обработка платежей | Украина | Ст. 46 GDPR + Закон № 2297-VI, ст. 29(4) |
| Sentry, Inc. | Мониторинг ошибок и производительности (может включать метаданные запросов) | США | SCC (2021) |
§7. Международные передачи данных
7.1 Персональные данные не передаются за пределы ЕЭЗ, за исключением субобработчиков, перечисленных в §6, и только при наличии надлежащего механизма передачи. 7.2 Для передачи данных Anthropic и Sentry (США) Обработчик руководствуется Стандартными договорными положениями Европейской комиссии (Модуль 3: Обработчик—обработчик), принятыми 4 июня 2021 г. Копия применимых SCC предоставляется по запросу на privacy@sigil.app. 7.3 Для передачи данных LiqPay / ПриватБанк (Украина) Обработчик опирается на ст. 46 GDPR и Закон № 2297-VI, ст. 29(4). Украина не является страной ЕЭЗ; передачи осуществляются на основании договорных положений, согласованных с LiqPay. 7.4 Обработчик провёл Оценки воздействия передачи (TIA) для передачи данных субобработчикам из США и установил, что надлежащие дополнительные меры приняты для обеспечения равнозначного уровня защиты.§8. Конфиденциальность
Обработчик обеспечивает, что все сотрудники, подрядчики и субобработчики, участвующие в обработке персональных данных в рамках настоящего DPA, связаны обязательными обязательствами о конфиденциальности. Доступ к персональным данным предоставляется исключительно на основе принципа необходимости знания.
Обработчик не раскрывает персональные данные каким-либо третьим лицам (включая правоохранительные органы) без предварительного письменного согласия Контролёра, за исключением случаев, требуемых законом, о чём незамедлительно уведомляет Контролёра в допустимых законом пределах.
§9. Меры безопасности (ст. 32 GDPR)
Обработчик реализует следующие технические и организационные меры безопасности:
Технические меры:- Шифрование AES-256-GCM персональных данных в состоянии покоя;
- Шифрование TLS 1.3 для всех данных при передаче;
- Учётные данные PUESC хранятся в зашифрованном хранилище секретов, никогда в журналах приложений;
- Сетевая изоляция между массивами данных клиентов;
- Автоматизированное сканирование уязвимостей кода приложения;
- Регулярное тестирование на проникновение (не реже одного раза в год).
Организационные меры:- Контроль доступа на основе ролей (RBAC) с принципом минимальных привилегий;
- Журналы доступа для всех операций с данными;
- Проверка персонала с доступом к данным;
- Задокументированная процедура реагирования на нарушения данных;
- Регулярное обучение сотрудников с доступом к данным в области безопасности.
Обработчик пересматривает и обновляет эти меры не реже одного раза в год.
§10. Содействие в реализации прав субъектов данных
Когда Обработчик получает запрос субъекта данных (доступ, исправление, удаление, ограничение, переносимость, возражение), касающийся персональных данных, обрабатываемых в рамках настоящего DPA, Обработчик:
(а) Не отвечает на запрос самостоятельно от имени Контролёра;
(б) Незамедлительно (в течение 3 рабочих дней) уведомляет Контролёра;
(в) Оказывает разумную техническую помощь, необходимую Контролёру для ответа в срок по GDPR;
(г) Не взимает с Контролёра плату за разумную помощь, оказанную в соответствии с данным положением.
§11. Уведомление о нарушении данных
11.1 Обработчик уведомляет Контролёра без неоправданной задержки, но не позднее чем через 48 часов после того, как стало известно о нарушении персональных данных, затрагивающем данные, обрабатываемые в рамках настоящего DPA. 11.2 Уведомление содержит, по возможности: (а) описание нарушения; (б) категории и приблизительное число затронутых лиц; (в) категории и приблизительное число затронутых записей данных; (г) вероятные последствия; (д) принятые или планируемые меры по устранению. 11.3 Контролёр несёт ответственность за уведомление компетентного надзорного органа (Уполномоченный Верховной Рады Украины по правам человека или соответствующий орган ЕС, если применим GDPR) и субъектов данных согласно ст. 33–34 GDPR и Закону № 2297-VI, ст. 21. Обработчик оказывает разумное содействие и помощь.§12. Возврат и удаление данных
12.1 После расторжения Условий использования Обработчик по выбору Контролёра: (а) возвращает все персональные данные Контролёру в структурированном, машиночитаемом формате; или (б) безопасно удаляет все персональные данные. 12.2 Контролёр должен сделать выбор в течение 30 дней после расторжения. По истечении 30 дней Обработчик переходит к безопасному удалению. 12.3 Обработчик вправе хранить персональные данные сверх этого срока только в той мере, в какой это требуется действующим законодательством (Украины и, где применимо, GDPR), например: бухгалтерские обязательства в течение 7 лет, документация SENT в течение 10 лет. Такие данные обрабатываются только в объёме, необходимом для выполнения соответствующего правового обязательства. 12.4 По запросу Обработчик предоставляет Контролёру письменное подтверждение удаления.§13. Право на аудит
13.1 Обработчик предоставляет Контролёру всю информацию, разумно необходимую для подтверждения соответствия обязательствам, предусмотренным ст. 28 GDPR и настоящим DPA. 13.2 Контролёр (или уполномоченный аудитор третьей стороны, связанный соответствующими обязательствами о конфиденциальности) вправе проводить аудит деятельности Обработчика по обработке данных при условии, что:(а) Контролёр уведомит Обработчика не менее чем за 30 дней в письменной форме;
(б) Аудиты проводятся в рабочее время и с разумными интервалами (не чаще одного раза в год, если иное не требуется надзорным органом);
(в) Аудиты минимизируют нарушение работы Обработчика.
13.3 Расходы на аудит несёт Контролёр, если только аудит не выявит существенного нарушения настоящего DPA со стороны Обработчика — в этом случае расходы несёт Обработчик. 13.4 Обработчик может выполнить обязательство по аудиту, предоставив актуальный отчёт независимого стороннего аудита (например, SOC 2 Type II), охватывающего соответствующие виды деятельности по обработке.§14. Применимое право и юрисдикция
Настоящее DPA регулируется законодательством Украины и, где применимо, непосредственно GDPR (Регламент ЕС 2016/679) и Законом Украины № 2297-VI «О защите персональных данных». Любые споры, вытекающие из настоящего DPA, разрешаются в соответствии с положениями о применимом праве и юрисдикции, содержащимися в Условиях использования.
§15. Обновления настоящего DPA
Обработчик вправе обновлять настоящее DPA для отражения изменений в действующем законодательстве или видах деятельности по обработке. Контролёр будет уведомлён не менее чем за 30 дней до вступления в силу существенных изменений. Актуальная версия всегда доступна по адресу /legal/dpa.
*Вопросы по настоящему DPA: privacy@sigil.app*