Соглашение об обработке данных QR Code AI

СОГЛАШЕНИЕ ОБ ОБРАБОТКЕ ДАННЫХ (DPA)

Последнее обновление: 2 марта 2026 г.

Настоящее Соглашение об обработке данных ("DPA") является частью Условий обслуживания ("Соглашение") между компанией Supernovae, зарегистрированной во Франции по адресу 27 Rue Wurtz, Juvisy-sur-Orge 91260, номер НДС FR67948452891 ("Обработчик", "мы", "нас"), и лицом/организацией, принимающими это DPA ("Контролёр", "Вы"), совместно именуемыми "Стороны".

Настоящее DPA применяется, когда мы обрабатываем персональные данные от Вашего имени в связи с нашими сервисами QR Code AI, включая использование API.

1. ОПРЕДЕЛЕНИЯ

• "Персональные данные" означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, как определено в статье 4(1) GDPR.
• "Обработка" означает любую операцию или совокупность операций, выполняемых с Персональными данными, как определено в статье 4(2) GDPR.
• "Субъект данных" означает идентифицированное или идентифицируемое физическое лицо, к которому относятся Персональные данные.
• "Субпроцессор" означает любое третье лицо, привлечённое Обработчиком для обработки Персональных данных от имени Контролёра.
• "GDPR" означает Регламент (ЕС) 2016/679 Европейского парламента и Совета.
• "UK GDPR" означает GDPR в редакции, внедрённой в право Великобритании Законом о защите данных 2018 года.
• "SCCs" означает Стандартные договорные положения, утверждённые Европейской комиссией для передачи Персональных данных в третьи страны.
• "Нарушение данных" означает нарушение безопасности, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к Персональным данным.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ И РОЛИ

2.1 Контролёр и Обработчик

Для целей настоящего DPA:

• Вы (Контролёр): Вы определяете цели и способы обработки Персональных данных при использовании наших Сервисов, в частности когда используете наш API для генерации QR-кодов для Ваших клиентов или интегрируете наши Сервисы в Ваши продукты.
• Мы (Обработчик): Мы обрабатываем Персональные данные от Вашего имени в соответствии с Вашими инструкциями, как описано в настоящем DPA и Соглашении.

2.2 Когда применяется это DPA

Настоящее DPA применяется, когда:

• Вы используете API QR Code AI для генерации QR-кодов, которые обрабатывают данные Ваших конечных пользователей (например, URL, содержащие персональную информацию, данные vCard, контактные данные, закодированные в QR-кодах).
• Вы используете функции отслеживания и аналитики QR Code AI, которые собирают данные сканирования от Ваших конечных пользователей.
• Любой другой сценарий, в котором мы обрабатываем Персональные данные от Вашего имени как обработчик данных.

Когда Вы используете QR Code AI как индивидуальный пользователь для собственных целей, мы выступаем как независимый контролёр данных, и обработка данных регулируется нашей Политикой конфиденциальности.

3. ДЕТАЛИ ОБРАБОТКИ ДАННЫХ

3.1 Предмет и срок

Мы обрабатываем Персональные данные в течение срока действия Соглашения для предоставления сервисов QR Code AI, включая генерацию QR-кодов, отслеживание, аналитику и связанную функциональность.

3.2 Характер и цели обработки

• Генерация QR-кодов на основе входных данных, предоставленных Контролёром
• Отслеживание сканирований QR-кодов и сбор данных аналитики
• Хранение конфигураций QR-кодов и связанной метаинформации
• Обработка запросов на создание художественных QR-кодов, сгенерированных ИИ
• Предоставление отчётов и панелей аналитики

3.3 Типы персональных данных

Типы обрабатываемых Персональных данных могут включать:

• Контактную информацию (имена, адреса электронной почты, номера телефонов), закодированную в QR-кодах
• URL и веб-адреса
• Данные о местоположении из сканирований QR-кодов
• Информацию об устройствах и IP-адреса из сканирований QR-кодов
• Текстовые промпты и изображения, предоставленные для генерации QR-кодов с ИИ
• Любые другие данные, которые Контролёр решит закодировать в QR-кодах

3.4 Категории субъектов данных

• Конечные пользователи, которые сканируют QR-коды, созданные Контролёром
• Лица, чья контактная информация закодирована в QR-кодах
• Пользователи продуктов или сервисов Контролёра, которые взаимодействуют с QR-кодами

4. ОБЯЗАННОСТИ ОБРАБОТЧИКА

4.1 Инструкции по обработке

Мы будем обрабатывать Персональные данные только по Вашим документированным инструкциям, если иное не требуется законодательством ЕС или государства-члена, которому мы подчиняемся. В таком случае мы уведомим Вас о таком правовом требовании до начала обработки, если закон не запрещает такое уведомление по важным основаниям общественного интереса.

4.2 Конфиденциальность

Мы обеспечиваем, чтобы лица, уполномоченные обрабатывать Персональные данные, приняли обязательства о конфиденциальности или были связаны соответствующей законной обязанностью соблюдения конфиденциальности.

4.3 Меры безопасности

Мы внедряем соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая:

• Шифрование Персональных данных при передаче (TLS/HTTPS) и при хранении
• Контроль доступа и аутентификацию на основе ролей для внутренних систем
• Регулярные оценки безопасности и сканирование уязвимостей
• Инфраструктуру, размещённую у провайдеров с сертификацией ISO 27001
• Защиту от DDoS и межсетевой экран веб-приложений (Cloudflare)
• Регулярные резервные копии с зашифрованным хранилищем
• Логирование и мониторинг доступа к Персональным данным

4.4 Субпроцессоры

Мы используем субпроцессоров, перечисленных на нашей странице субпроцессоров. Мы уведомим Вас о любых планируемых изменениях субпроцессоров путём обновления этой страницы. Вы можете возразить против нового субпроцессора, связавшись с нами по адресу [email protected] в течение 30 дней с даты обновления. Если Вы возражаете и мы не можем разумно учесть Ваше возражение, любая из сторон может прекратить затронутую часть Сервисов.

Мы заключаем письменные соглашения со всеми субпроцессорами, которые устанавливают обязательства по защите данных не менее строгие, чем предусмотренные настоящим DPA.

4.5 Права субъектов данных

Мы будем помогать Вам отвечать на запросы Субъектов данных, реализующих свои права в соответствии с применимым законодательством о защите данных (доступ, исправление, удаление, ограничение, переносимость, возражение). Если мы получим запрос напрямую от Субъекта данных, мы оперативно перенаправим его Вам, если иное не будет указано.

4.6 Помощь в соблюдении требований

Мы будем помогать Вам обеспечивать соблюдение Ваших обязательств по статьям 32-36 GDPR, учитывая характер обработки и информацию, доступную нам.

5. УВЕДОМЛЕНИЕ О НАРУШЕНИИ ДАННЫХ

5.1 Срок уведомления

Мы уведомим Вас о Нарушении данных без неоправданной задержки и в любом случае в течение 72 часов с момента, когда нам стало известно о нарушении. Уведомление будет отправлено на адрес электронной почты, связанный с Вашим аккаунтом.

5.2 Содержание уведомления

Уведомление будет включать, в пределах доступной информации:

• Описание характера Нарушения данных, включая категории и приблизительное количество затронутых Субъектов данных и записей.
• Имя и контактные данные нашей точки контакта по вопросам защиты данных.
• Описание вероятных последствий Нарушения данных.
• Описание мер, принятых или предлагаемых для устранения Нарушения данных, включая меры по снижению возможных неблагоприятных последствий.

5.3 Дальнейшее взаимодействие

Мы будем сотрудничать с Вами и оказывать разумную помощь в расследовании, снижении последствий и устранении Нарушения данных, а также в подготовке уведомлений надзорным органам или Субъектам данных, которые Вы обязаны направить.

6. МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ

6.1 Местонахождение данных

Персональные данные в основном хранятся и обрабатываются в Европейском союзе:

• Франция (ЕС) через Scaleway
• Нидерланды (ЕС) через DigitalOcean

6.2 Передача за пределы ЕС/ЕЭЗ

Некоторые наши субпроцессоры находятся за пределами ЕС/ЕЭЗ, преимущественно в США. Для таких передач мы используем:

• EU-US Data Privacy Framework: где применимо, для передачи провайдерам в США, сертифицированным по этой рамочной программе.
• Standard Contractual Clauses (SCCs): мы включаем утверждённые Европейской комиссией SCCs (Commission Implementing Decision (EU) 2021/914) в наши соглашения с субпроцессорами, находящимися за пределами ЕС/ЕЭЗ, когда Data Privacy Framework не применяется.

6.3 Оценка влияния передачи

Мы проводим оценки влияния передачи для передач в третьи страны и при необходимости внедряем дополнительные меры, чтобы обеспечить надлежащий уровень защиты данных.

7. АУДИТЫ И ПРОВЕРКИ

7.1 Права на аудит

Вы имеете право проводить аудит нашего соблюдения настоящего DPA. Мы предоставим Вам всю информацию, необходимую для подтверждения соблюдения, и позволим проводить и содействовать аудитам, включая проверки, проводимые Вами или назначенным Вами аудитором.

7.2 Порядок аудита

Аудиты проводятся при соблюдении следующих условий:

• Вы должны предоставить письменное уведомление минимум за 30 дней до проведения любого аудита.
• Аудиты могут проводиться не чаще одного раза в год, если иное не требуется надзорным органом или не связано с Нарушением данных.
• Аудиты должны проводиться в обычные рабочие часы и не должны необоснованно мешать нашей деятельности.
• Вы несёте расходы на аудит, если только аудит не выявит существенное нарушение настоящего DPA.
• Конфиденциальная информация других наших клиентов не должна быть раскрыта в ходе аудита.

8. ХРАНЕНИЕ И УДАЛЕНИЕ ДАННЫХ

8.1 В течение срока действия Соглашения

Мы храним Персональные данные в течение срока действия Соглашения в объёме, необходимом для предоставления Сервисов.

8.2 После прекращения

После прекращения Соглашения или по Вашему письменному запросу:

• Мы удалим Персональные данные из наших активных систем в течение 30 дней.
• Персональные данные в резервных архивах будут удалены в течение 6 месяцев.
• Мы можем хранить Персональные данные в объёме, требуемом применимым законодательством (например, налоговые, бухгалтерские обязательства). В таком случае мы изолируем и защитим такие данные и ограничим дальнейшую обработку тем, что требуется законом.

8.3 Подтверждение

По Вашему запросу мы предоставим письменное подтверждение того, что Персональные данные были удалены в соответствии с настоящим разделом.

9. ОТВЕТСТВЕННОСТЬ

Ответственность каждой стороны по настоящему DPA подчиняется ограничениям ответственности, установленным в Соглашении. Ничто в настоящем DPA не ограничивает ответственность любой стороны перед Субъектами данных или надзорными органами в соответствии с применимым законодательством о защите данных.

10. ПРИМЕНИМОЕ ПРАВО

Настоящее DPA регулируется законодательством Франции. Для Субъектов данных в ЕС применяется GDPR. Для Субъектов данных в Великобритании применяется UK GDPR. Любые споры, возникающие из настоящего DPA, разрешаются в соответствии с положениями Соглашения о разрешении споров.

11. КАК ПОДПИСАТЬ ЭТО DPA

Настоящее DPA включено в Условия обслуживания и является их частью. Используя сервисы QR Code AI, Вы соглашаетесь с настоящим DPA.

Если Вам требуется отдельно подписанная копия настоящего DPA для Ваших записей, пожалуйста, напишите нам на [email protected], и мы предоставим её в течение 10 рабочих дней.

12. КОНТАКТЫ

По вопросам, связанным с настоящим DPA или нашей практикой обработки данных:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]