Ранний доступ открыт · Запуск в 3 кв. 2026
На главную
ПРАВОВАЯ ИНФОРМАЦИЯ

Соглашение об обработке данных (DPA)

в соответствии со статьёй 28 GDPR

Последнее обновление · Последнее обновление: апрель 2026

Контролёр данных

Клиент, зарегистрировавший аккаунт Gastrolie и использующий сервис (далее "Контролёр").

Обработчик данных

Gastrolie, владелец Тимур Айнаджи, Krifteler Straße 15, 60326 Франкфурт-на-Майне, Германия (далее "Обработчик" или "Gastrolie").

§ 1 Предмет и срок обработки

Обработчик обрабатывает персональные данные по поручению Контролёра в рамках предоставления платформы Gastrolie. Обработка включает хранение, организацию, извлечение и предоставление данных, введённых Контролёром в платформу.

Срок обработки соответствует сроку действия договора на обслуживание. После прекращения данные удаляются в течение 90 дней, если нет законодательных обязательств по хранению.

§ 2 Характер и цель обработки

Обработка осуществляется исключительно для предоставления договорных услуг:

  • Управление пользователями и аутентификация
  • Данные аудита и инспекций
  • Финансовые и кассовые данные
  • Управление персоналом (смены, посещаемость)
  • Управление тикетами и отслеживание задач
  • Уведомления и коммуникация
  • Отчётность и аналитика

§ 3 Категории персональных данных

Обрабатываются следующие категории персональных данных:

  • Идентификационные данные: имя, email, номер телефона
  • Данные доступа: пароль (хешированный), конфигурация 2FA
  • Данные использования: время входа, IP-адреса, информация об устройстве
  • Рабочие данные: время check-in/check-out, графики смен, расчёт зарплаты
  • Контентные данные: результаты аудита, комментарии, загруженные фото

§ 4 Категории субъектов данных

  • Сотрудники Контролёра (пользователи платформы)
  • Администраторы и менеджеры
  • Внешние инспекторы и аудиторы

§ 5 Обязанности Обработчика

  • Обрабатывать данные только по документированным инструкциям Контролёра
  • Обеспечить, что лица, уполномоченные обрабатывать данные, связаны обязательством конфиденциальности
  • Принять все необходимые технические и организационные меры согласно ст. 32 GDPR
  • Не привлекать субпроцессоров без предварительного согласия Контролёра
  • Содействовать Контролёру в выполнении обязанностей в отношении прав субъектов данных
  • Удалить или вернуть все персональные данные по окончании обработки
  • Предоставить всю информацию, необходимую для аудитов и проверок

§ 6 Технические и организационные меры

Обработчик реализовал следующие меры:

  • Шифрование: TLS 1.3 при передаче, AES-256 при хранении
  • Контроль доступа: ролевое управление (RBAC) с 25+ ролями
  • Изоляция арендаторов: логическое разделение данных через tenant ID
  • Журналирование: полный аудиторский след всех доступов и изменений
  • Резервное копирование: автоматические ежедневные бэкапы с хранением 30 дней
  • Доступность: контейнерная инфраструктура с автоматическим перезапуском
  • Псевдонимизация: возможность анонимизации при запросах на удаление
  • Устойчивость: изолированная контейнерная среда с лимитами ресурсов

§ 7 Субпроцессоры

Используются следующие субпроцессоры:

  • Hetzner Online GmbH, Гунценхаузен, Германия — хостинг и инфраструктура
  • Amazon Web Services (AWS SES), регион ЕС — отправка email
  • Stripe, Inc. — обработка платежей (только платные планы)
  • OpenAI, Inc. — AI-функции (только анонимизированные данные)

Контролёр соглашается на использование указанных субпроцессоров. О привлечении новых субпроцессоров Контролёр будет уведомлён заранее.

§ 8 Уведомление о нарушениях

Обработчик уведомляет Контролёра без неоправданной задержки о любом нарушении защиты персональных данных. Уведомление включает как минимум:

  • Характер нарушения и затронутые категории данных
  • Приблизительное количество затронутых лиц и записей
  • Описание вероятных последствий
  • Описание мер, принятых для устранения нарушения

§ 9 Права субъектов данных

Обработчик содействует Контролёру в реализации прав субъектов данных:

  • Право на доступ (ст. 15 GDPR) — функция экспорта данных в платформе
  • Право на исправление (ст. 16) — пользователи могут изменять свои данные
  • Право на удаление (ст. 17) — анонимизация и удаление через настройки
  • Право на переносимость данных (ст. 20) — JSON-экспорт всех персональных данных
  • Право на ограничение (ст. 18) — деактивация учётной записи

§ 10 Трансграничная передача данных

Обработка осуществляется исключительно в Европейском Союзе. Серверы расположены в Германии (Hetzner, Гунценхаузен). Передача в третьи страны не осуществляется, если Контролёр не использует функции, требующие такой передачи (например, OpenAI для AI-анализа). В таких случаях передаются только анонимизированные данные.

§ 11 Срок и расторжение

Настоящее DPA действует в течение всего периода использования платформы Gastrolie. При расторжении все персональные данные удаляются в течение 90 дней. По запросу Контролёр получает полный экспорт данных до удаления.

§ 12 Заключительные положения

Применяется немецкое право. Место юрисдикции — Франкфурт-на-Майне. Изменения настоящего DPA требуют письменной формы. Недействительность отдельных положений не затрагивает действительность остальных.

Контакт по вопросам защиты данных

datenschutz@gastrolie.com

Gastrolie Владелец: Тимур Айнаджи Krifteler Straße 15, 60326 Франкфурт-на-Майне, Германия

Соглашение об обработке данных | Gastrolie