Data Processing Agreement (DPA)

Стороны

Amiabila выступает в двойном качестве в отношении персональных данных, обрабатываемых через платформу:

• Как оператор (controller) — для данных прямых пользователей платформы (водителей, оформляющих протоколы).
• Как обработчик (processor) — когда доставляет отчёт страховщику X, страховщик X становится controller для этого отчёта, а Amiabila остаётся processor.

Тип обрабатываемых данных

• Имя, фамилия, IDNP
• Номер телефона, email
• Номера автомобилей, VIN
• GPS координаты места ДТП
• Фотографии ДТП (могут содержать третьих лиц на заднем плане)
• Электронные подписи

Цель + правовая основа

Обработка имеет основание в (а) исполнении договора — европротокол сам является договорным документом, и (б) законном интересе страховщика в получении данных для обработки дел.

Срок + удаление

Данные хранятся 10 лет (Ст. 1006 Гражданского кодекса РМ). Через 3 года имя/телефон/IDNP анонимизируются автоматически, остаются только статистика и юридически запечатанный PDF.

Суб-обработчики

Инфраструктура self-hosted в Республике Молдова. Никаких SaaS суб-обработчиков для персональных данных. Единственные сторонние сервисы:

• Let's Encrypt — TLS сертификаты (не видят персональных данных)
• Sentry (EU region) — error tracking с включённой PII-очисткой
• Google Analytics — опционально, IP анонимизирован, только с согласия

Добавление любого нового суб-обработчика требует уведомления за 30 дней; партнёр может возразить.

Технические + организационные меры

Полные детали на /security. Резюме: принудительный TLS 1.3, RLS на всех таблицах с PII, хеширование секретов + pepper, webhook подписи HMAC, полная изоляция test/live.

Инцидент + уведомление о breach

Уведомляем партнёра + CNPDCP в течение 72ч после обнаружения, по GDPR Ст. 33. Канал связи: security@amiabila.md + выделенный технический контакт партнёра.

Подписать DPA

Напишите на legal@amiabila.md с названием компании + IDNO + контактным юрлицом. Высылаем PDF в течение 1 рабочего дня.