Соглашение об обработке данных QR Code AI

СОГЛАШЕНИЕ ОБ ОБРАБОТКЕ ДАННЫХ (DPA)

Последнее обновление: 2 марта 2026 г.

Настоящее Соглашение об обработке данных ("DPA") является частью Условий обслуживания ("Соглашение") между компанией Supernovae, зарегистрированной во Франции по адресу 27 Rue Wurtz, Juvisy-sur-Orge 91260, номер НДС FR67948452891 ("Обработчик", "мы", "нас"), и лицом, принимающим настоящее DPA ("Контролер", "Вы"), совместно именуемыми "Стороны".

Настоящее DPA применяется, когда мы обрабатываем персональные данные от Вашего имени в связи с услугами QR Code AI, включая через API.

1. ОПРЕДЕЛЕНИЯ

• "Персональные данные" означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, как определено в статье 4(1) GDPR.
• "Обработка" означает любую операцию или совокупность операций, выполняемых с Персональными данными, как определено в статье 4(2) GDPR.
• "Субъект данных" означает идентифицированное или идентифицируемое физическое лицо, к которому относятся Персональные данные.
• "Субпроцессор" означает любую третью сторону, привлеченную Обработчиком для обработки Персональных данных от имени Контролера.
• "GDPR" означает Регламент (ЕС) 2016/679 Европейского парламента и Совета.
• "UK GDPR" означает GDPR в редакции, имплементированной в законодательство Великобритании Законом о защите данных 2018 года.
• "SCC" означает Стандартные договорные положения, утвержденные Европейской комиссией для передачи Персональных данных в третьи страны.
• "Инцидент безопасности данных" означает нарушение безопасности, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к Персональным данным.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ И РОЛИ

2.1 Контролер и Обработчик

Для целей настоящего DPA:

• Вы (Контролер): Вы определяете цели и средства обработки Персональных данных при использовании наших Услуг, в частности когда используете наш API для генерации QR-кодов для своих клиентов или интегрируете наши Услуги в свои продукты.
• Мы (Обработчик): Мы обрабатываем Персональные данные от Вашего имени в соответствии с Вашими инструкциями, как описано в настоящем DPA и Соглашении.

2.2 Когда применяется настоящее DPA

Настоящее DPA применяется, когда:

• Вы используете API QR Code AI для генерации QR-кодов, которые обрабатывают данные Ваших конечных пользователей (например, URL, содержащие персональную информацию; данные vCard; контактные данные, закодированные в QR-кодах).
• Вы используете функции отслеживания QR Code AI и аналитику, которые собирают данные сканирования от Ваших конечных пользователей.
• Любой другой сценарий, в котором мы обрабатываем Персональные данные от Вашего имени в качестве обработчика данных.

Когда Вы используете QR Code AI как частный пользователь для собственных целей, мы выступаем как независимый контролер данных, и обработка данных регулируется нашей Политикой конфиденциальности.

3. СВЕДЕНИЯ ОБ ОБРАБОТКЕ ДАННЫХ

3.1 Предмет и срок

Мы обрабатываем Персональные данные на протяжении срока действия Соглашения для предоставления услуг QR Code AI, включая генерацию QR-кодов, отслеживание, аналитику и связанную функциональность.

3.2 Характер и цели обработки

• Генерация QR-кодов на основе входных данных, предоставленных Контролером
• Отслеживание сканирования QR-кодов и сбор данных аналитики
• Хранение конфигураций QR-кодов и связанной метаинформации
• Обработка запросов на создание арт QR-кодов, сгенерированных ИИ
• Предоставление отчетов и панелей аналитики

3.3 Виды Персональных данных

Виды обрабатываемых Персональных данных могут включать:

• Контактные данные (имена, адреса электронной почты, номера телефонов), закодированные в QR-кодах
• URL и веб-адреса
• Данные о местоположении из сканирования QR-кодов
• Информация об устройстве и IP-адреса из сканирования QR-кодов
• Текстовые запросы и изображения, предоставленные для генерации QR-кодов с ИИ
• Любые другие данные, которые Контролер решит закодировать в QR-кодах

3.4 Категории субъектов данных

• Конечные пользователи, которые сканируют QR-коды, созданные Контролером
• Лица, чьи контактные данные закодированы в QR-кодах
• Пользователи продуктов или услуг Контролера, которые взаимодействуют с QR-кодами

4. ОБЯЗАННОСТИ ОБРАБОТЧИКА

4.1 Инструкции по обработке

Мы будем обрабатывать Персональные данные только по Вашим документированным инструкциям, если только это не требуется законодательством ЕС или государства-члена, которому мы подчиняемся. В таком случае мы уведомим Вас о соответствующем правовом требовании до начала обработки, если закон не запрещает такое уведомление по важным основаниям общественного интереса.

4.2 Конфиденциальность

Мы обеспечиваем, чтобы лица, уполномоченные обрабатывать Персональные данные, приняли обязательства о конфиденциальности или были связаны соответствующей установленной законом обязанностью конфиденциальности.

4.3 Меры безопасности

Мы внедряем соответствующие технические и организационные меры для обеспечения уровня безопасности, соразмерного риску, включая:

• Шифрование Персональных данных при передаче (TLS/HTTPS) и при хранении
• Контроль доступа и аутентификация на основе ролей для внутренних систем
• Регулярные оценки безопасности и сканирование уязвимостей
• Инфраструктура, размещенная у провайдеров, сертифицированных по ISO 27001
• Защита от DDoS и межсетевой экран веб-приложений (Cloudflare)
• Регулярные резервные копии с зашифрованным хранилищем
• Журналирование и мониторинг доступа к Персональным данным

4.4 Субпроцессоры

Мы используем субпроцессоров, перечисленных на странице Субпроцессоры. Мы будем уведомлять Вас о любых планируемых изменениях в составе субпроцессоров путем обновления этой страницы. Вы можете возразить против нового субпроцессора, написав нам на [email protected] в течение 30 дней с даты обновления. Если Вы возражаете и мы не можем разумно учесть Ваше возражение, любая из сторон может прекратить оказание затронутой части Услуг.

Мы заключаем письменные соглашения со всеми субпроцессорами, которые устанавливают обязательства по защите данных не менее строгие, чем предусмотренные настоящим DPA.

4.5 Права субъектов данных

Мы будем помогать Вам отвечать на запросы субъектов данных, реализующих свои права в соответствии с применимым законодательством о защите данных (доступ, исправление, удаление, ограничение, переносимость, возражение). Если мы получим запрос напрямую от субъекта данных, мы оперативно перенаправим его Вам, если иное не будет указано.

4.6 Содействие соблюдению требований

Мы будем помогать Вам обеспечивать соблюдение Ваших обязательств по статьям 32-36 GDPR, учитывая характер обработки и информацию, доступную нам.

5. УВЕДОМЛЕНИЕ ОБ ИНЦИДЕНТЕ БЕЗОПАСНОСТИ ДАННЫХ

5.1 Срок уведомления

Мы уведомим Вас об инциденте безопасности данных без неоправданной задержки и в любом случае в течение 72 часов с момента, когда нам стало известно об инциденте. Уведомление будет отправлено на адрес электронной почты, связанный с Вашим аккаунтом.

5.2 Содержание уведомления

Уведомление будет включать, насколько это возможно:

• Описание характера инцидента безопасности данных, включая категории и приблизительное количество затронутых субъектов данных и записей.
• Имя и контактные данные нашего контактного лица по вопросам защиты данных.
• Описание вероятных последствий инцидента безопасности данных.
• Описание мер, принятых или предлагаемых для устранения инцидента безопасности данных, включая меры по снижению возможных неблагоприятных последствий.

5.3 Дальнейшее взаимодействие

Мы будем сотрудничать с Вами и оказывать разумную помощь в расследовании, снижении последствий и устранении инцидента безопасности данных, а также в подготовке уведомлений надзорным органам или субъектам данных, которые Вы обязаны направить.

6. МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ

6.1 Местонахождение данных

Персональные данные преимущественно хранятся и обрабатываются в Европейском союзе:

• Франция (ЕС) через Scaleway
• Нидерланды (ЕС) через DigitalOcean

6.2 Передача за пределы ЕС/ЕЭЗ

Некоторые из наших субпроцессоров находятся за пределами ЕС/ЕЭЗ, преимущественно в США. Для таких передач мы используем:

• EU-US Data Privacy Framework: где применимо, для передачи провайдерам в США, сертифицированным в рамках этого механизма.
• Стандартные договорные положения (SCC): мы включаем утвержденные Европейской комиссией SCC (Исполнительное решение Комиссии (ЕС) 2021/914) в наши соглашения с субпроцессорами, расположенными за пределами ЕС/ЕЭЗ, когда Data Privacy Framework не применяется.

6.3 Оценка влияния передачи

Мы проводим оценку влияния передачи для передач в третьи страны и при необходимости внедряем дополнительные меры, чтобы обеспечить надлежащий уровень защиты данных.

7. АУДИТЫ И ПРОВЕРКИ

7.1 Права на аудит

Вы имеете право проводить аудит нашего соблюдения настоящего DPA. Мы предоставим Вам всю информацию, необходимую для подтверждения соблюдения требований, и обеспечим возможность проведения и содействие аудитам, включая проверки, проводимые Вами или назначенным Вами аудитором.

7.2 Порядок проведения аудита

Аудиты проводятся при соблюдении следующих условий:

• Вы должны направить письменное уведомление не менее чем за 30 дней до проведения аудита.
• Аудиты могут проводиться не чаще одного раза в год, если только это не требуется надзорным органом или не связано с инцидентом безопасности данных.
• Аудиты должны проводиться в обычные рабочие часы и не должны необоснованно мешать нашей деятельности.
• Вы несете расходы на проведение аудита, если только аудит не выявит существенного нарушения настоящего DPA.
• В ходе аудита не должна раскрываться конфиденциальная информация других наших клиентов.

8. ХРАНЕНИЕ И УДАЛЕНИЕ ДАННЫХ

8.1 В течение срока действия Соглашения

Мы храним Персональные данные в течение срока действия Соглашения в объеме, необходимом для предоставления Услуг.

8.2 После прекращения

После прекращения Соглашения или по Вашему письменному запросу:

• Мы удалим Персональные данные из наших активных систем в течение 30 дней.
• Персональные данные в резервных архивах будут удалены в течение 6 месяцев.
• Мы можем сохранять Персональные данные в объеме, требуемом применимым законодательством (например, налоговые и бухгалтерские обязательства); в таком случае мы изолируем и защитим такие данные и ограничим дальнейшую обработку тем, что требуется законом.

8.3 Подтверждение

По Вашему запросу мы предоставим письменное подтверждение того, что Персональные данные были удалены в соответствии с настоящим разделом.

9. ОТВЕТСТВЕННОСТЬ

Ответственность каждой стороны по настоящему DPA ограничивается положениями об ограничении ответственности, установленными в Соглашении. Ничто в настоящем DPA не ограничивает ответственность любой из сторон перед субъектами данных или надзорными органами в соответствии с применимым законодательством о защите данных.

10. ПРИМЕНИМОЕ ПРАВО

Настоящее DPA регулируется законодательством Франции. Для субъектов данных в ЕС применяется GDPR. Для субъектов данных в Великобритании применяется UK GDPR. Любые споры, возникающие из настоящего DPA, разрешаются в соответствии с положениями Соглашения о разрешении споров.

11. КАК ПОДПИСАТЬ НАСТОЯЩЕЕ DPA

Настоящее DPA включено в Условия обслуживания и является их частью. Используя услуги QR Code AI, Вы соглашаетесь с настоящим DPA.

Если Вам требуется отдельный подписанный экземпляр настоящего DPA для Ваших документов, напишите нам на [email protected], и мы предоставим его в течение 10 рабочих дней.

12. КОНТАКТЫ

По вопросам, связанным с настоящим DPA или нашей практикой обработки данных:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]