Norman

Соглашение об обработке данных (DPA)

Настоящее соглашение об обработке данных («DPA») в соответствии со ст. 28 GDPR заключается между клиентом платформы Norman (далее «Контролёр») и Norman AI GmbH, Kolonnenstr. 8, 10827 Berlin, Германия, эл. почта: compliance@norman.finance (далее «Обработчик») — совместно именуемыми «Стороны».

1. Предмет и срок действия

1.1 Обработчик обрабатывает персональные данные по поручению Контролёра в связи с предоставлением платформы Norman и связанных с ней услуг, как описано в Общих условиях использования по адресу https://norman.finance/terms-and-conditions (далее «Основной договор»).

1.2 Срок действия настоящего DPA соответствует сроку действия Основного договора. Настоящее DPA автоматически прекращается с прекращением Основного договора с учётом обязательств, предусмотренных разделом 10.

2. Объём, характер и цель обработки

2.1 Обработчик обрабатывает персональные данные исключительно в целях предоставления услуг по Основному договору, включая, помимо прочего:
– подготовку и подачу налоговых деклараций через ELSTER
– ведение бухгалтерского учёта
– подготовку и подачу деклараций по НДС
– управление документами и их хранение
– обработку счетов и управление ими
– налоговый и бухгалтерский анализ с поддержкой ИИ

2.2 Обработка включает сбор, запись, систематизацию, структурирование, хранение, адаптацию, извлечение, просмотр, использование, раскрытие путём передачи, сопоставление, ограничение, удаление и уничтожение персональных данных.

3. Виды персональных данных

Обрабатываться могут следующие виды персональных данных:
– имя, адрес, дата рождения
– адрес электронной почты, номер телефона
– налоговые идентификационные номера (Steuer-ID, Steuernummer)
– банковские реквизиты (IBAN, BIC)
– данные о доходах и расходах
– данные счетов (включая имена, адреса и налоговые номера клиентов Контролёра)
– данные о сотрудниках
– документы для подтверждения личности
– данные, связанные с налоговыми декларациями и налоговыми уведомлениями
– любые иные персональные данные, предоставленные Контролёром через платформу

4. Категории субъектов данных

Обрабатываемые персональные данные касаются следующих категорий субъектов данных:
– Контролёр (как физическое лицо, фрилансер или представитель юридического лица)
– сотрудники Контролёра (если применимо)
– клиенты и заказчики Контролёра (данные которых содержатся в счетах, чеках и бухгалтерских документах)
– деловые партнёры и поставщики Контролёра

5. Обязанности Обработчика

5.1 Обработчик обрабатывает персональные данные только на основании документированных указаний Контролёра, в том числе в отношении передачи персональных данных в третьи страны, за исключением случаев, когда он обязан сделать это в соответствии с правом Союза или государства-члена, которому он подчиняется. В таком случае Обработчик информирует Контролёра об этом правовом требовании до начала обработки, если соответствующее право не запрещает такое информирование по важным основаниям общественного интереса.

5.2 Обработчик гарантирует, что лица, уполномоченные на обработку персональных данных, приняли на себя обязательства о конфиденциальности или подпадают под соответствующую установленную законом обязанность соблюдения конфиденциальности.

5.3 Обработчик принимает все меры, требуемые в соответствии со ст. 32 GDPR (безопасность обработки), как подробно описано в разделе 7.

5.4 Обработчик по возможности оказывает Контролёру содействие с помощью соответствующих технических и организационных мер в выполнении его обязанности отвечать на запросы о реализации прав субъектов данных (ст. 15–22 GDPR).

5.5 Обработчик оказывает Контролёру содействие в обеспечении соблюдения обязанностей, предусмотренных ст. 32–36 GDPR, с учётом характера обработки и имеющейся у него информации.

5.6 Обработчик предоставляет Контролёру всю информацию, необходимую для подтверждения соблюдения обязанностей, установленных ст. 28 GDPR, а также допускает и содействует проведению проверок, включая инспекции, проводимых Контролёром или уполномоченным им аудитором. Обработчик незамедлительно информирует Контролёра, если, по его мнению, какое-либо указание нарушает GDPR или иные положения о защите данных.

6. Субобработчики

6.1 Контролёр предоставляет Обработчику общее письменное разрешение на привлечение субобработчиков. Актуальный список субобработчиков доступен по адресу https://norman.finance/sub-processors или по запросу на compliance@norman.finance.

6.2 Обработчик информирует Контролёра о любых планируемых изменениях, касающихся привлечения или замены субобработчиков, предоставляя Контролёру возможность возразить против таких изменений в течение 14 дней с момента уведомления. Если Контролёр не возражает в течение этого срока, изменение считается одобренным.

6.3 Если Контролёр возражает против нового субобработчика по обоснованным причинам защиты данных, Стороны добросовестно обсуждают решение. Если решение не может быть достигнуто, Контролёр вправе расторгнуть Основной договор с даты, с которой новый субобработчик должен был начать обработку.

6.4 Обработчик возлагает на каждого субобработчика по договору те же обязанности по защите данных, что предусмотрены настоящим DPA, в частности достаточные гарантии реализации соответствующих технических и организационных мер.

6.5 Обработчик несёт полную ответственность перед Контролёром за выполнение обязанностей субобработчика.

7. Технические и организационные меры (TOMs)

Обработчик внедряет и поддерживает следующие технические и организационные меры в соответствии со ст. 32 GDPR:

a) Конфиденциальность (ст. 32 абз. 1 лит. b GDPR)
– Контроль доступа: ролевое управление доступом, многофакторная аутентификация, шифрование учётных данных
– Контроль доступа к данным: доступ к персональным данным ограничен уполномоченным персоналом по принципу необходимого знания
– Контроль разделения: логическое разделение данных разных Контролёров

b) Целостность (ст. 32 абз. 1 лит. b GDPR)
– Контроль передачи данных: шифрование данных при передаче (TLS 1.2+)
– Контроль ввода данных: протоколирование ввода, изменения и удаления данных

c) Доступность и отказоустойчивость (ст. 32 абз. 1 лит. b GDPR)
– Контроль доступности: регулярное резервное копирование, процедуры аварийного восстановления, резервированная инфраструктура
– Быстрое восстановление: документированные процедуры своевременного восстановления доступности и доступа к персональным данным в случае физического или технического инцидента

d) Регулярная проверка и оценка (ст. 32 абз. 1 лит. d GDPR)
– постоянная оценка эффективности технических и организационных мер
– процедуры реагирования на инциденты

e) Шифрование данных
– шифрование персональных данных при хранении (AES-256 или эквивалент)
– шифрование персональных данных при передаче (TLS 1.2+)

8. Уведомление о нарушениях защиты данных

8.1 Обработчик уведомляет Контролёра без неоправданной задержки после того, как ему стало известно о нарушении защиты персональных данных. Уведомление включает как минимум:
– описание характера нарушения
– категории и приблизительное число затронутых субъектов данных
– категории и приблизительное число затронутых записей персональных данных
– описание вероятных последствий нарушения
– описание принятых или предлагаемых мер по устранению нарушения

8.2 Обработчик документирует все нарушения защиты персональных данных, включая связанные с ними факты, их последствия и принятые меры по устранению.

9. Передача данных в третьи страны

9.1 Обработчик не передаёт персональные данные в страны за пределами Европейской экономической зоны (ЕЭЗ) без предварительного письменного согласия Контролёра, за исключением случаев, когда это требуется правом Союза или государства-члена.

9.2 Если передача в третьи страны необходима для предоставления услуг, Обработчик обеспечивает гарантию адекватного уровня защиты данных, например посредством:
– решения Европейской комиссии об адекватности (ст. 45 GDPR)
– стандартных договорных положений ЕС (ст. 46 абз. 2 лит. c GDPR)
– обязательных корпоративных правил (ст. 47 GDPR)
– EU-U.S. Data Privacy Framework (где применимо)

10. Удаление и возврат персональных данных

10.1 После прекращения Основного договора Обработчик по выбору Контролёра удаляет или возвращает Контролёру все персональные данные и удаляет существующие копии, если право Союза или государства-члена не требует хранения персональных данных.

10.2 По запросу Обработчик письменно подтверждает удаление.

10.3 Установленные законом обязанности по хранению (например, по немецкому налоговому праву, как правило, 8–10 лет) остаются в силе.

11. Права на аудит

11.1 Контролёр имеет право проводить аудиты, включая инспекции, для проверки соблюдения Обработчиком настоящего DPA. Контролёр заблаговременно уведомляет о проведении аудита и проводит его в обычные рабочие часы с минимальными помехами для деятельности Обработчика.

11.2 Обработчик может удовлетворить запросы на аудит путём предоставления соответствующих сертификатов, аудиторских отчётов (например, SOC 2, ISO 27001) или иных подтверждений соответствия, если этого достаточно для подтверждения соблюдения требований.

12. Ответственность

Ответственность Сторон регулируется ст. 82 GDPR в сочетании с положениями об ответственности Основного договора.

13. Заключительные положения

13.1 В случае противоречий между настоящим DPA и Основным договором настоящее DPA имеет преимущественную силу в вопросах защиты данных.

13.2 Настоящее DPA регулируется правом Германии. Исключительным местом подсудности является Берлин, Германия.

13.3 Изменения и дополнения настоящего DPA должны быть совершены в письменной форме.

Вступление в силу: настоящее DPA вступает в силу с момента принятия Контролёром Общих условий использования или использования платформы Norman.

Norman AI GmbH, Kolonnenstr. 8, 10827 Berlin, Германия — compliance@norman.finance