Угода про обробку даних (DPA)
Arc OS — шаблон, відповідний Ст. 28 GDPR
Version: 1.0
Date: 2026-05-28
Issue: #166
Status: Шаблон — заповніть плейсхолдери перед підписанням
Як користуватися: замініть усі
[PLACEHOLDERS]фактичними значеннями. Обидві сторони підписують і проставляють дату. Зберігайте підписану копію. Переглядайте щороку або коли Arc OS оновлює перелік субобробників.
Угода
Цю Угоду про обробку даних («DPA») укладено між:
Контролер (Замовник):
Назва компанії: [CUSTOMER LEGAL NAME]
Реєстраційний номер: [REG NUMBER]
Адреса: [REGISTERED ADDRESS]
Контакт (захист даних): [DPO EMAIL OR RESPONSIBLE PERSON]
(«Контролер»)
Обробник:
Arc OS, оператором якого є [ARC OS LEGAL ENTITY — pending registration]
Адреса: [REGISTERED ADDRESS — pending e-Residency / Diia.City]
Контакт: [email protected]
(«Обробник»)
Сторони уклали Генеральну угоду про надання послуг («MSA») / підписку на arc-os.co від [DATE OF MSA] («Основна угода»), за якою Обробник надає послуги управління AI-командою («Послуги»).
Ця DPA доповнює Основну угоду та є її невід'ємною частиною. У разі суперечності між цією DPA та Основною угодою ця DPA має переважну силу щодо питань захисту даних.
1. Визначення
| Термін | Значення |
|---|---|
| Персональні дані | Будь-яка інформація, що стосується ідентифікованої або такої, що може бути ідентифікована, фізичної особи, як визначено у Ст. 4(1) GDPR |
| Обробка | Будь-яка операція з Персональними даними, як визначено у Ст. 4(2) GDPR |
| Суб'єкт даних | Фізична особа, чиї Персональні дані обробляються |
| Субобробник | Третя сторона, залучена Обробником для обробки Персональних даних від імені Контролера |
| GDPR | Загальний регламент ЄС про захист даних 2016/679 |
| Стандартні договірні положення (SCCs) | Рішення Європейської Комісії 2021/914/EU |
2. Предмет і строк дії
2.1 Обробник обробляє Персональні дані від імені Контролера у зв'язку з Послугами, описаними в Основній угоді.
2.2 Ця DPA набирає чинності з дати Основної угоди та діє до моменту припинення Основної угоди або до заміни цієї DPA переглянутою версією, підписаною обома сторонами.
3. Характер, мета та категорії обробки
3.1 Характер обробки:
Збирання, зберігання, отримання, передавання, видалення Персональних даних у зв'язку з функціонуванням платформи управління AI-командою Arc OS.
3.2 Мета:
Надати Контролеру оркестрацію AI-агентів, управління проєктами та AI-сесії з persistent context, як описано в Основній угоді.
3.3 Категорії Персональних даних:
| Категорія | Приклади | Обов'язково? |
|---|---|---|
| Ідентифікатори акаунта | Email-адреса, OAuth ID (Google/GitHub) | ✅ Обов'язково |
| Дані автентифікації | Хешований пароль (bcrypt), JWT-токени | ✅ Обов'язково |
| Дані використання | Споживання AI-токенів, тривалість сесій | ✅ Обов'язково |
| Журнали активності | Події проєкту, активність за задачами | ✅ Обов'язково |
| Вміст чатів | Повідомлення AI-розмов (зашифровані у стані спокою) | ✅ Обов'язково |
| Події автентифікації | Часові мітки входу, IP-адреса, user agent | ✅ Обов'язково |
| Дані кінцевих користувачів, надані Контролером | Залежить від сценарію використання Контролера | ⚠️ Відповідальність Контролера |
3.4 Категорії Суб'єктів даних:
Працівники, підрядники або користувачі Контролера, яким Контролер надав доступ до Arc OS.
4. Обов'язки Обробника
Обробник зобов'язується:
4.1 Обробляти Персональні дані лише на підставі задокументованих інструкцій Контролера, зокрема щодо передавання Персональних даних до третьої країни, окрім випадків, коли цього вимагає право Союзу або держави-члена, якому підпорядковується Обробник (у такому разі Обробник інформує Контролера про цю правову вимогу до початку обробки, якщо тільки таке право не забороняє таке інформування з міркувань суспільного інтересу).
4.2 Забезпечити, щоб особи, уповноважені на обробку Персональних даних, взяли на себе зобов'язання щодо конфіденційності або перебували під відповідним законодавчим обов'язком конфіденційності.
4.3 Вжити всіх заходів, передбачених Ст. 32 GDPR (технічна та організаційна безпека), зокрема:
- Шифрування повідомлень чатів у стані спокою за AES-256-GCM
- Автентифікація HMAC-SHA256 JWT із TTL 24 години
- Zero-knowledge E2EE через WebCrypto PBKDF2 для чутливих полів
- TLS 1.2+ для всіх даних під час передавання
- Контроль доступу та шлюзи автентифікації на всіх API endpoints
- Щоденні автоматизовані бекапи з перевіркою цілісності
- Щорічні перевірки безпеки та тестування на проникнення
4.4 Дотримуватися умов залучення Субобробників (див. Розділ 6).
4.5 Допомагати Контролеру в забезпеченні відповідності зобов'язанням за GDPR щодо безпеки (Ст. 32), повідомлення про витоки (Ст. 33–34), оцінки впливу на захист даних (Ст. 35–36) та попередніх консультацій (Ст. 36), з урахуванням характеру обробки та інформації, доступної Обробнику.
4.6 На вибір Контролера видалити або повернути всі Персональні дані після припинення надання Послуг та видалити наявні копії, окрім випадків, коли право Союзу або держави-члена вимагає їх зберігання.
4.7 Надавати Контролеру всю інформацію, необхідну для підтвердження відповідності Ст. 28 GDPR, а також дозволяти аудити та перевірки, що проводяться Контролером або стороннім аудитором за дорученням Контролера, та сприяти їм (з розумним попередженням, не частіше ніж раз на рік, коштом Контролера).
4.8 Повідомляти Контролера без невиправданої затримки після того, як йому стало відомо про витік Персональних даних, — у межах 72 годин, наскільки це можливо, — на адресу: [CONTROLLER DPO EMAIL].
5. Обов'язки Контролера
Контролер зобов'язується:
5.1 Забезпечити наявність законної підстави (Ст. 6 GDPR) для обробки Персональних даних, що передаються Обробнику.
5.2 Надавати Обробнику чіткі та повні інструкції щодо обробки Персональних даних.
5.3 Забезпечити, щоб Суб'єкти даних були поінформовані про обробку їхніх Персональних даних (або щоб застосовувалася інша законна підстава) до надання їхніх даних в Arc OS.
5.4 Не доручати Обробнику обробку особливих категорій даних (Ст. 9 GDPR) — дані про здоров'я, біометричні дані, расове походження тощо — без явної попередньої домовленості та відповідних запобіжних заходів.
6. Субобробники
6.1 Контролер надає Обробнику загальний письмовий дозвіл на залучення субобробників, перелічених у Додатку B.
6.2 Обробник повідомляє Контролера про будь-які заплановані зміни субобробників (додавання чи заміни) електронною поштою на [CONTROLLER DPO EMAIL] із попередженням за 14 днів, надаючи Контролеру можливість заперечити.
6.3 Обробник договірно покладає еквівалентні зобов'язання щодо захисту даних на всіх субобробників, як визначено в цій DPA.
6.4 Обробник залишається повністю відповідальним перед Контролером за виконання зобов'язань субобробниками.
7. Міжнародні передавання
7.1 Персональні дані обробляються на серверах, розташованих у Європейському Союзі (Contabo GmbH, Мюнхен, Німеччина; Hetzner Online GmbH, Гунценгаузен, Німеччина).
7.2 Якщо субобробники обробляють дані за межами ЄЕЗ, Обробник забезпечує наявність належних запобіжних заходів, включно зі Стандартними договірними положеннями (SCCs) згідно з Рішенням Комісії 2021/914/EU або рішеннями про адекватність за Ст. 45 GDPR.
7.3 Контролер дозволяє міжнародні передавання даних, описані в Додатку B, за умови дотримання зазначених там запобіжних заходів.
8. Права Суб'єктів даних
8.1 Обробник допомагає Контролеру відповідати на запити Суб'єктів даних (Ст. 15–22 GDPR) — доступ, виправлення, стирання, обмеження, переносимість, заперечення — через:
GET /api/auth/export— переносимість даних за Ст. 20 GDPR (обмеження 3/24 год)DELETE /api/auth/account— право на стирання за Ст. 17 GDPR (каскадно по 15+ таблицях)
8.2 Обробник не відповідає безпосередньо на запити Суб'єктів даних від імені Контролера без попереднього дозволу, окрім підтвердження отримання та перенаправлення до Контролера.
9. Відповідальність і відшкодування
9.1 Кожна сторона несе відповідальність за шкоду, спричинену обробкою, що порушує GDPR, відповідно до Ст. 82 GDPR.
9.2 Обробник звільняється від відповідальності, якщо доведе, що жодним чином не відповідальний за подію, що спричинила шкоду.
9.3 Сукупна відповідальність Обробника за цією DPA обмежується сумами, сплаченими Контролером за Основною угодою протягом 12 місяців, що передують події, яка стала підставою для претензії.
10. Застосовне право та юрисдикція
Ця DPA регулюється правом [GOVERNING LAW — e.g. EU / EE / DE]. Спори вирішуються в [JURISDICTION].
Підписи
| Контролер | Обробник | |
|---|---|---|
| Ім'я | [AUTHORISED SIGNATORY] |
[ARC OS REPRESENTATIVE] |
| Посада | [TITLE] |
[TITLE] |
| Дата | [DATE] |
[DATE] |
| Підпис | _________________ | _________________ |
Додаток A — Зведення деталей обробки
| Поле | Значення |
|---|---|
| Предмет | Платформа управління AI-командою |
| Строк | Строк дії Основної угоди |
| Характер | Збирання, зберігання, отримання, видалення |
| Мета | Оркестрація AI-агентів, persistent project context |
| Типи даних | Акаунт, автентифікація, використання, активність, чати (зашифровані) |
| Суб'єкти даних | Працівники / кінцеві користувачі Контролера |
Додаток B — Дозволені субобробники
| Субобробник | Мета | Розташування | Запобіжний захід |
|---|---|---|---|
| Contabo GmbH | Основний хостинг серверів (API, БД) | Мюнхен, DE 🇩🇪 | У межах ЄС, без передавання |
| Hetzner Online GmbH | Хостинг cloud-контейнерів (Starter Cloud) | Нюрнберг, DE 🇩🇪 | У межах ЄС, без передавання |
| Cloudflare, Inc. | CDN, захист від DDoS, DNS | США 🇺🇸 | SCCs (2021/914/EU) |
| Resend, Inc. | Транзакційні листи (автентифікація, інвайти) | США 🇺🇸 | SCCs |
| Anthropic, PBC | Інференс AI-моделей (Claude API — лише пробні кредити) | США 🇺🇸 | SCCs + DPA з Anthropic |
| Backblaze, Inc. | Зовнішнє сховище бекапів БД | США 🇺🇸 | SCCs |
Примітка: Замовник використовує власний API-ключ Anthropic (Claude Pro). У такому разі Anthropic є субобробником Замовника, а не Arc OS.
Додаток C — Технічні та організаційні заходи (TOMs)
| Захід | Реалізація |
|---|---|
| Шифрування у стані спокою | AES-256-GCM для повідомлень чатів і секретів vault |
| Шифрування при передаванні | TLS 1.2+ забезпечується через nginx; увімкнено HSTS |
| E2EE | WebCrypto PBKDF2 (100k ітерацій) → майстер-ключ AES-256-GCM у sessionStorage |
| Автентифікація | HMAC-SHA256 JWT (TTL 24 год), хешування паролів bcrypt |
| Контроль доступу | Перевірка canAccessProject() на кожному API-маршруті для кожного проєкту |
| Безпека API | CSP-заголовки, X-Frame-Options: DENY, nosniff, Permissions-Policy |
| Внутрішня мережа | API-сервер слухає лише 127.0.0.1; nginx проксіює |
| Бекапи | Щоденні автоматизовані бекапи; перевірка цілісності (PRAGMA integrity_check); зовнішнє завантаження |
| Виявлення витоків | Логування подій автентифікації; fail2ban на SSH; заплановано anomaly alerting (#223) |
| Видалення даних | Каскадне видалення за Ст. 17 GDPR по 15+ таблицях; retention-cron |
| Журнал аудиту | Незмінні таблиці activity_log + platform_audit_log |
| Тестування на проникнення | Ціль — щорічна перевірка; спринт Phase 53 Sentinel завершено 2026-05 |
| Доступ до prod | Лише SSH-ключ; без парольної автентифікації; MFA на GitHub |