Соглашение о обработке данных (DPA)

Термины обработки данных, соответствующие GDPR

Последнее обновление: November 14, 2025

Сводка DPA

1Вы (клиент) являетесь Контролером данных — вы определяете цели и средства обработки
2Мы являемся Обработчиком данных — обрабатываем данные только по вашим указаниям
3Нулевое хранение документов — документы удаляются сразу после обработки
4Клиент-специфичное шифрование защищает YOUR данные с YOUR уникальными ключами
5SOC 2 сертифицированные сторонние AI сервисы под договорными обязательствами по защите данных
6Мы помогаем со всеми правами субъекта данных GDPR (доступ, удаление, переносимость и т. д.)
7Стандартные договорные положения (SCCs) для трансфера данных из ЕС в США

Цель соглашения

Это Соглашение о обработке данных (DPA) является частью Условий обслуживания и регулирует обработку персональных данных в соответствии с GDPR и другими применимыми законами о защите данных.

Роли и обязанности

Вы (Клиент) = Контролёр данных

Вы определяете цели и средства обработки

Определите, какие кредитные документы обрабатывать и с какой целью

Принимайте решения о выдаче кредита на основе извлеченных данных

Обеспечьте законную основу для обработки в соответствии с GDPR Статья 6

Получите необходимые согласия от субъектов данных (заёмщиков)

Предоставьте уведомления о конфиденциальности заёмщикам

Обеспечьте соблюдение законов FCRA, ECOA и справедливой выдачи кредита

Обрабатывайте запросы прав субъектов данных (доступ, удаление и т.д.)

Мы (LoanIntelligence.ai) = Обработчик данных

Мы обрабатываем данные только по вашим указаниям

Обрабатывайте персональные данные ТОЛЬКО по вашим указаниям (через API вызовы)

НЕ принимайте решения о выдаче кредита и не определяйте результаты кредитования

Действуйте исключительно как технический поставщик услуг по обработке данных

Реализуйте соответствующие меры безопасности для защиты ваших данных

Привлеките субпоставщиков в соответствии с этим DPA

Помогайте с запросами прав субъектов данных и уведомлениями о нарушениях

Удалите или верните персональные данные после прекращения

Область обработки

Цель обработки

Извлеките структурированные данные из кредитных документов для точности данных и анализа качества, выполните финансовые расчёты (DSCR, LTV, P&I, NOI), обеспечьте качество данных с помощью проприетарных алгоритмов и систем сигналов, и синхронизируйте результаты с вашим Google Sheets (если авторизовано).

Типы персональных данных

Имена заёмщиков, адреса, SSN, TIN, финансовые данные (доходы, активы, обязательства), информация о занятости, данные недвижимости и детали кредитной транзакции. ВАЖНО: Мы НЕ сохраняем персональные данные после эфемерной обработки (в ходе каждой обработки). Все постоянные данные зашифрованы и хранятся в вашем Google Drive AppData.

Субъекты данных

Заявители на кредит, совместные заёмщики, совместные подписанты, владельцы недвижимости, поручители и владельцы бизнеса (для коммерческих кредитов).

Инструкции по обработке

Разрешенные действия

Извлечение текста из кредитных документов (OCR)

Классифицировать документы по типу (квитанции о зарплате, банковские выписки, налоговые декларации и т.д.)

Извлечение структурированных полей данных (имена, суммы, даты, адреса)

Проводить финансовые расчёты и проверки

Обеспечить точность и качество данных с помощью собственных алгоритмов и систем сигнализации

Экспортировать результаты в вашу Google Sheets (если авторизовано)

Временно кэшировать результаты обработки (шифрованы, изолированы для клиента) для оптимизации затрат

Запрещённые действия

Использовать персональные данные для собственных целей

Делить персональные данные с третьими лицами (за исключением уполномоченных суб-процессоров)

Использовать персональные данные для обучения ИИ или аналитики

Хранить персональные данные после завершения обработки (нулевое хранение)

Обрабатывать персональные данные за пределами ваших инструкций

Суб-процессоры

Третьи лица, которых мы используем для предоставления услуги

Сторонние AI-услуги

Цель: Обработка документов (OCR, классификация, извлечение)

Местоположение: США

Мероприятия по защите: SOC 2 Тип I и Тип II сертифицированы, DPAs в порядке, данные шифрованы в передаче, договорно запрещено использовать ваши данные для обучения

Google LLC

Цель: OAuth аутентификация, Drive API, Sheets API

Местоположение: США (выбор)

Мероприятия по защите: SOC 2 Тип II, ISO 27001, Стандартные договорные положения (SCCs)

Stripe Inc.

Цель: Обработка платежей (только электронная почта, идентификатор клиента - без кредитных карт)

Местоположение: США

Мероприятия по защите: Сертифицированный уровня PCI-DSS 1, соответствующий GDPR

Поставщик облачной инфраструктуры

Цель: Хостинг и вычисления

Местоположение: США

Мероприятия по защите: Сертифицированные центры обработки данных SOC 2 Type II

Мы используем собственные алгоритмы и сигнальные системы в сочетании с SOC 2 сертифицированными сторонними сервисами ИИ. Все субпроцессоры работают в рамках договорных обязательств по защите данных.

Изменения в субпроцессорах

Мы уведомим вас за 30 дней до любых изменений в субпроцессорах. Вы можете возразить по разумным основаниям по защите данных в течение 14 дней.

Служба поддержки прав субъектов данных

Как мы помогаем вам выполнять обязательства по GDPR

Право на доступ (Статья 15)

Мы предоставляем экспорт данных в формате JSON в течение 30 дней с момента вашего запроса.

Право на исправление (Статья 16)

Мы обновляем неточные данные по вашему запросу.

Право на удаление / Право на забвение (Статья 17)

Мы удаляем все персональные данные в течение 24 часов с момента вашего запроса.

Право на ограничение обработки (Статья 18)

Мы приостанавливаем обработку по вашему запросу.

Право на переносимость данных (Статья 20)

Мы предоставляем данные в структурированном, машиночитаемом формате JSON.

Право возражения (Статья 21)

Мы разрешаем отказаться от необязательной обработки.

Права, связанные с автоматическим принятием решений (Статья 22)

Мы обеспечиваем прозрачность логики обработки ИИ и гарантируем качество данных.

Процесс запроса

Если мы получаем запрос субъекта данных, мы передаем его вам в течение 2 рабочих дней. Вы отвечаете за ответ субъекту данных (в течение 30 дней в соответствии с GDPR). Мы помогаем, предоставляя необходимые экспорт данных, удаление или исправление в течение 7 рабочих дней с момента вашего запроса.

Преимущества без хранения

В связи с нашей архитектурой без хранения: (1) Персональные данные в документах по кредиту НЕ сохраняются (промежуточная обработка), (2) Извлеченные данные хранятся ТОЛЬКО в YOUR Google Drive AppData (зашифрованы), (3) Запросы субъектов данных могут быть выполнены путем удаления вашей учетной записи (очистка всех наших систем в течение 24 часов) или путем ручного удаления данных из вашего собственного Google Drive.

Меры безопасности

Как мы защищаем ваши данные

Шифрование

HTTPS/TLS 1.3 шифрование для всех API запросов и сторонних подключений

Шифрование, специфичное для клиента: каждый клиент имеет уникальные ключи шифрования AES-256-GCM

Автоматическая ротация ключей: ключи хранения сменяются после каждого выполнения обработки

Зашифрованный AI-кеш: все записи кеша зашифрованы с помощью изолированных клиентом ключей

OAuth токены зашифрованы при хранении (AES-256-GCM)

Шифрование базы данных при хранении для данных аккаунта

Контроль доступа

Принцип наименьшего привилегирования: сотрудники имеют минимальный доступ, необходимый для их роли

Контроль доступа на основе ролей (RBAC) с ролями администратора, разработчика и поддержки

Многофакторная аутентификация (2FA) требуется для всех административных доступов

Журналы аудита: все административные доступы записываются и мониторятся

Архитектура без хранения

Документы обрабатываются в памяти во время каждого запуска обработки, затем немедленно удаляются

Документы по кредиту НЕ сохраняются на нашей инфраструктуре

Результаты обработки хранятся ТОЛЬКО в YOUR Google Drive (зашифрованы вашими ключами)

View Full Security Policy

Уведомление о нарушении данных

Мгновенный ответ (в течение 1 часа)

Сдержать нарушение, оценить масштаб и влияние, начать расследование.

Уведомление контроллера (в течение 72 часов)

Уведомим вас по электронной почте с предварительными сведениями (природа нарушения, затронутые данные, оценочное влияние).

Полный отчет (в течение 7 дней)

Подробный отчет о происшествии, включая описание, затронутые субъекты/записи данных, последствия, меры исправления и рекомендации.

Мы помогаем вам с

Уведомлением надзорных органов в течение 72 часов (статья GDPR 33)

Сообщением о нарушении субъектам данных (статья GDPR 34)

Проведение судебно-исследовательского расследования

Внедрение мер исправления

Статус нарушения

По состоянию на November 14, 2025: нулевые нарушения персональных данных, нулевые инциденты несанкционированного доступа, нулевые компрометации ключей шифрования. Наша архитектура с нулевым хранением минимизирует риск (документы существуют только во время выполнения обработки), клиент-специфичное шифрование изолирует клиентов (нарушение одного НЕ влияет на других), а автоматический ротация ключей ограничивает влияние (компрометированный ключ действителен только во время одного выполнения обработки).

Международные передачи данных (ЕС в США)

Стандартные договорные положения (SCCs)

Мы полагаемся на стандартные договорные положения, утвержденные Европейской комиссией (Решение (EU) 2021/914, Модуль два: Переводы от контроллера к процессору).

Дополнительные технические меры

Клиент-специфичное шифрование: данные шифруются уникальными ключами клиента (неизвестными для нас)

Автоматическая ротация ключей: ключи хранения сменяются после каждого выполнения обработки

Нулевое хранение документов: документы НЕ хранятся на нашей инфраструктуре

Зашифрованный кэш ИИ: записи кэша зашифрованы ключами, изолированными для клиента

Договорные запреты: субподрядчики запрещены раскрывать данные правительствам (за исключением случаев, требуемых законом)

Запросы доступа правительства США

Мы подпадаем под законы наблюдения США (FISA, CLOUD Act). Однако наша архитектура с нулевым знанием гарантирует, что даже при принуждении раскрыть данные, мы не можем расшифровать ваши данные без ключей (хранящихся в YOUR Google Drive). Нулевое хранение документов означает, что доступно минимум данных для раскрытия. Мы уведомим вас о запросах правительства (если не запрещено законом) и оспорим чрезмерные или незаконные запросы. На сегодняшний день: нулевые запросы данных правительства получены (по состоянию на 14 ноября 2025).

Удаление данных по завершению

В течение 24 часов

Удалите все персональные данные из наших систем

Удалите зашифрованные записи кэша ИИ

Отозвать OAuth токенов (Google Drive доступ)

Удалить информацию о счете из производственной базы данных

В течение 30 дней

Удалить все персональные данные из зашифрованных резервных копий и перезаписать удаленные данные (безопасное удаление).

Сертификат удаления

По запросу мы предоставляем сертификат удаления, подтверждающий дату удаления, категории удаленных данных и использованные методы безопасного удаления.

Права аудита

Ваши права аудита

Вы можете провести аудит нашего соблюдения данной DPA раз в год (30 дней предварительного уведомления). Аудиты должны быть не нарушающими работу, в рабочее время и подлежат соглашению о конфиденциальности. Вы несете все расходы на аудит.

Отчёты сторонних аудитов

Вместо прямого аудита вы можете ознакомиться с нашим SOC 2 Тип II отчётом (при наличии), отчётами сторонних аудитов безопасности, либо запросить письменные ответы на стандартизированные анкеты.

Ограничение ответственности

В соответствии со статьей 82 GDPR, мы несем ответственность за ущерб, вызванный обработкой, нарушающей обязательства GDPR для процессоров, или когда мы действуем вне или вопреки вашим законным указаниям. Наша общая ответственность ограничена суммами, указанными в Условиях обслуживания, за исключением грубой небрежности, умышленного деяния или ответственности, которую невозможно ограничить законом.

Нужна помощь?

Нужна помощь с этой DPA?

Для вопросов, связанных с GDPR, SCC или DPA, отправьте письмо нашему юридическому отделу по адресу [email protected]

[email protected]

Мы отвечаем в течение одного рабочего дня.