Соглашение об обработке данных

01Стороны и определения

Настоящее DPA заключено между следующими сторонами:

• Контролёр (Controller): пользователь FenixUz (Вы).
• Обработчик (Processor): VipAds LLC (Ташкент, Узбекистан).

«GDPR» — General Data Protection Regulation (EU) 2016/679. Термины «Персональные данные», «Обработка», «Субобработчик», «Нарушение» используются в соответствии с определениями GDPR.

02Предмет обработки

Элемент	Описание
Тип данных	Push notification токен, диагностические данные устройства, анонимная статистика использования
Категория субъектов	Пользователи мобильного приложения FenixUz
Цель	Доставка push-уведомлений, исправление сбоев, улучшение приложения
Длительность	До удаления пользователем приложения или по соответствующему запросу
Правовое основание	GDPR ст. 6(1)(b) — исполнение договора и ст. 6(1)(f) — законные интересы

03Субобработчики

VipAds LLC использует следующих утверждённых субобработчиков:

Субобработчик	Местонахождение	Сервис	SCC/DPF
Google LLC	США / ЕС	Firebase Cloud Messaging, Analytics, Crashlytics	сертификат EU-US DPF ✓
Apple Inc.	США	Apple Push Notification Service, App Store	SCC + DPF ✓
Telegram FZ-LLC	ОАЭ / Глобально	Backend по передаче сообщений (независимый Контролёр)	SCC ✓
Cloudflare Inc.	США / ЕС	CDN сайта fenixuz.uz и защита от DDoS	SCC + DPF ✓

04Технические и организационные меры

В соответствии со ст. 32 GDPR VipAds LLC реализует следующие меры:

• Шифрование при передаче и хранении (TLS 1.3, AES-256);
• Шифрование локальной базы (SQLCipher);
• Доступ к данным по принципу минимально необходимого (least privilege);
• Подписание сотрудниками соглашений о конфиденциальности;
• Независимый аудит безопасности (1 раз в год);
• Поощрение поиска уязвимостей через программу Bug Bounty;
• Автоматизированное сканирование уязвимостей (в составе CI/CD);
• Ведение журнала использования и мониторинг;
• Ежегодное penetration testing.

05Запросы субъектов данных

В случае реализации субъектом данных своих прав по GDPR (доступ, удаление, исправление и т. д.) VipAds LLC отвечает в течение 30 дней и при необходимости запрашивает соответствующие действия у Субобработчиков.

06Уведомление о нарушениях

При обнаружении нарушения безопасности персональных данных (data breach) VipAds LLC выполняет следующее:

• Уведомляет компетентный орган в течение 72 часов (GDPR ст. 33);
• При высоком риске — напрямую уведомляет субъектов данных (ст. 34);
• Готовит документ оценки воздействия;
• Ведёт журнал нарушений.

07Право аудита

Субъект данных или надзорный орган может запросить проведение аудита практик обработки данных VipAds LLC. Запрос должен быть направлен в письменной форме за 30 дней. Расходы на аудит обычно покрываются стороной, инициирующей аудит, за исключением случаев установленного нарушения GDPR.

08Международные передачи

Передача данных за пределы ЕС/ЕЭЗ осуществляется посредством следующих механизмов:

• Решения Европейской Комиссии об адекватности (Adequacy Decisions);
• Стандартные Договорные Условия (SCC) Module 2 (Controller–Processor);
• EU-US Data Privacy Framework (для Google и Apple);
• Дополнительные технические меры (шифрование при передаче, хранение ключей вне сервиса-провайдера).

09Прекращение и возврат

Когда пользователь удаляет приложение:

• Push-токен аннулируется в течение 30 дней;
• Отчёты о сбоях удаляются в течение 90 дней;
• Анонимные аналитические данные анонимизируются спустя 14 месяцев;
• По требованию субъекта данных — данные экспортируются в машиночитаемом формате.

10Добавление нового субобработчика

При добавлении или замене субобработчика мы уведомим Вас за 30 дней (на странице transparency.html). При наличии возражений Вы можете прекратить использование приложения.