Соглашение об обработке персональных данных

DPA — Data Processing Agreement. Версия: v1.0-2026-05-05

Настоящее Соглашение (далее — «DPA») заключается между Заказчиком (юридическое или физическое лицо, использующее Expertroom.ai в коммерческих целях) и Администрацией Expertroom.ai (далее — «Администрация»). Оно регулирует обработку персональных данных третьих лиц (клиентов Заказчика, его подписчиков, контактов из CRM) — то есть тех, чьи данные Заказчик загружает в Сервис в процессе своей деятельности.

DPA соответствует требованиям:

• Федерального закона № 152-ФЗ «О персональных данных» (Российская Федерация);
• General Data Protection Regulation (GDPR), статьи 28 и 32 (Европейский союз);
• Закона Республики Казахстан «О персональных данных и их защите».

1. Роли сторон

• Заказчик — Оператор / Контролёр (Data Controller). Определяет цели и средства обработки, несёт ответственность перед субъектами ПДн.
• Администрация — Обработчик (Data Processor). Обрабатывает ПДн исключительно по поручению Заказчика и в рамках Сервиса.

2. Категории данных и субъектов

В рамках использования Сервиса могут обрабатываться следующие категории ПДн третьих лиц:

• имя, фамилия, отчество (опционально);
• email, телефон, идентификаторы соцсетей (Telegram username, VK ID и т. п.);
• содержание переписки клиента с AI-ассистентом или менеджером Заказчика;
• метаданные общения: канал, дата, IP, user-agent;
• данные сделок CRM: сумма, статус, продукты;
• файлы, загружаемые в базу знаний, если в них содержатся ПДн.

3. Цели обработки

Администрация обрабатывает ПДн исключительно для:

• хранения и поиска по запросу Заказчика;
• выполнения запросов AI-ассистента (передача в LLM-провайдеры строго под подпись Заказчика);
• обеспечения работы интегрированных каналов (Telegram, WhatsApp, ВК и т. д.);
• аналитики и формирования агрегированных отчётов для Заказчика (без раскрытия третьим лицам);
• исполнения требований законодательства.

Администрация не использует данные субъектов для: обучения собственных моделей; продажи / передачи третьим лицам в коммерческих целях; маркетинга в адрес субъектов (это может делать только сам Заказчик).

4. Технические и организационные меры безопасности

• Шифрование at rest: содержимое чатов — Fernet (AES-128); токены интегрированных каналов — pgcrypto; pg_dump-бэкапы — AES-256.
• Шифрование in transit: TLS 1.3 на всех endpoint'ах.
• Row-Level Security: данные одного арендатора (tenant) физически невозможно прочитать из-под аккаунта другого.
• Аудит: каждое мутирующее действие логируется в audit_log с timestamp, IP, user-agent.
• Контроль доступа: сотрудники Администрации не имеют прямого доступа к содержимому чатов и базам знаний (только агрегированная телеметрия).
• Регулярные бэкапы: ежедневно, шифрование при хранении, тест восстановления раз в месяц.
• Pen-test: ежегодный внешний аудит безопасности.

5. Sub-processors (привлечённые обработчики)

Для предоставления Сервиса Администрация привлекает следующие категории третьих лиц:

• LLM-провайдеры: OpenAI, Anthropic, DeepSeek, Mistral, Cerebras, Novita, Chutes — содержимое запросов передаётся для генерации ответа AI. У всех провайдеров заключены DPA, обучение на данных API отключено.
• Платёжные провайдеры: YooKassa, Stripe, CryptoCloud — для проведения транзакций.
• Инфраструктурный провайдер: Aeza (Стокгольм, Швеция) — серверы основной зоны.
• Email-провайдер: Resend (или аналогичный) — для транзакционных писем.

Полный актуальный список — на странице /subprocessors. Об изменениях состава sub-processors Заказчик уведомляется по email не менее чем за 30 календарных дней.

6. Трансграничная передача

Серверы Сервиса размещаются в Стокгольме (Швеция, ЕС). При обработке ПДн граждан РФ Заказчик подтверждает наличие правовых оснований для трансграничной передачи (152-ФЗ ст. 12). Для российских пользователей доступна опция размещения данных на серверах в РФ — настраивается индивидуально по запросу на dpo@expertroom.ai.

7. Права субъектов ПДн

Администрация обязуется содействовать Заказчику в реализации прав субъектов:

• право на доступ — Заказчик может выгрузить все данные конкретного контакта в формате JSON/CSV;
• право на исправление — Заказчик может отредактировать данные через интерфейс;
• право на удаление — мягкое удаление через интерфейс, полное физическое стирание в течение 30 дней (включая бэкапы);
• право на ограничение обработки и портативность данных — техническая возможность экспорта.

8. Уведомление об инцидентах (data breach)

В случае утечки или несанкционированного доступа Администрация уведомляет Заказчика в течение 72 часов с момента обнаружения, с описанием: какие категории и объёмы данных затронуты, какие меры приняты, какие риски для субъектов и какие действия рекомендуются.

9. Действия по окончании договора

В течение 30 календарных дней после прекращения использования Сервиса Заказчиком все его данные будут безвозвратно удалены, кроме обязательных к хранению по закону РФ (бухгалтерия — 5 лет, аудит-логи — 1 год).

10. Контакты Data Protection Officer

По всем вопросам обработки ПДн третьих лиц:

• Email DPO: dpo@expertroom.ai
• Сообщения об инцидентах безопасности: security@expertroom.ai

Версия v1.0-2026-05-05, опубликовано 5 мая 2026 года.