INCI APIINCI API

Соглашение об обработке данных

Дата вступления в силу: 26 марта 2026 г. · Последнее обновление: 26 марта 2026 г.

Скачать PDF

Настоящее Соглашение об обработке данных («DPA») является частью Условий использования между Андреем Сухановым, действующим как INCI API («Обработчик», «мы», «нас»), autónomo, зарегистрированным в Испании (NIE: Z2338955K), и юридическим лицом, соглашающимся с настоящими условиями («Контролёр», «вы», «Заказчик»).

Настоящее DPA заключается в соответствии со статьёй 28 Общего регламента ЕС о защите данных (Regulation 2016/679, «GDPR») и отражает соглашение сторон относительно обработки Персональных данных Обработчиком от имени Контролёра.

1. Определения

  • «Персональные данные» означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («Субъекту данных»), как определено в статье 4(1) GDPR.
  • «Обработка» означает любую операцию или набор операций, выполняемых с Персональными данными, с использованием автоматизированных средств или без них, включая сбор, запись, организацию, структурирование, хранение, адаптацию, извлечение, консультацию, использование, раскрытие путём передачи, распространение, удаление или уничтожение.
  • «Субобработчик» означает любую третью сторону, привлечённую Обработчиком для обработки Персональных данных от имени Контролёра.
  • «Субъект данных» означает идентифицированное или идентифицируемое физическое лицо, к которому относятся Персональные данные.
  • «GDPR» означает Общий регламент о защите данных (ЕС) 2016/679 Европейского парламента и Совета.
  • «Стандартные договорные положения» (SCC) означает договорные положения, утверждённые Европейской комиссией для передачи Персональных данных в третьи страны.

2. Объём и цель

Обработчик обрабатывает Персональные данные от имени Контролёра исключительно в следующих целях:

  • Предоставление сервиса INCI API, включая анализ ингредиентов, поиск продуктов, оценку безопасности, обнаружение аллергенов и анализ совместимости с типами кожи
  • Управление аккаунтом, аутентификация и авторизация
  • Отслеживание использования, ограничение частоты запросов и биллинг
  • Улучшение сервиса, мониторинг производительности и аналитика
  • Поддержка клиентов и коммуникация

Обработчик не обрабатывает Персональные данные ни в каких целях, кроме указанных в настоящем DPA или задокументированных Контролёром в письменной форме.

3. Типы обрабатываемых Персональных данных

  • Данные аккаунта: имя, адрес электронной почты, хешированный пароль
  • Данные использования API: журналы запросов, временные метки, IP-адреса, используемые эндпоинты, коды ответа, идентификаторы ключей API
  • Биллинговые данные: уровень подписки, метаданные метода оплаты (полные платёжные данные обрабатываются исключительно Stripe и никогда не хранятся на наших серверах)
  • Технические данные: тип браузера, информация об устройстве, операционная система, реферер URL (собираются через аналитику для улучшения сервиса)

Обработчик не обрабатывает специальные категории Персональных данных (статья 9 GDPR) или Персональные данные, относящиеся к уголовным судимостям (статья 10 GDPR).

4. Категории субъектов данных

Персональные данные, обрабатываемые согласно настоящему DPA, относятся к следующим категориям Субъектов данных:

  • Сотрудники и подрядчики Заказчика, имеющие доступ к INCI API и использующие его
  • Конечные пользователи приложений Заказчика, интегрирующихся с INCI API (в той мере, в какой их данные передаются через запросы API)

5. Обязательства Обработчика

Обработчик обязуется:

  1. Обрабатывать Персональные данные только по задокументированным указаниям Контролёра, в том числе в отношении передачи Персональных данных в третью страну, если это не требуется правом Союза или государства-члена, которому подчиняется Обработчик
  2. Обеспечивать, чтобы лица, уполномоченные обрабатывать Персональные данные, обязались соблюдать конфиденциальность или были связаны соответствующей законодательной обязанностью конфиденциальности
  3. Внедрять соответствующие технические и организационные меры безопасности, как требуется статьёй 32 GDPR, для обеспечения уровня безопасности, соответствующего риску
  4. Не привлекать другого обработчика (субобработчика) без предварительного конкретного или общего письменного разрешения Контролёра. В случае общего письменного разрешения Обработчик информирует Контролёра о любых предполагаемых изменениях, касающихся добавления или замены субобработчиков, предоставляя Контролёру возможность возразить
  5. С учётом характера обработки оказывать Контролёру помощь соответствующими техническими и организационными мерами, насколько это возможно, для выполнения обязательства Контролёра отвечать на запросы об осуществлении прав Субъекта данных
  6. Оказывать Контролёру помощь в обеспечении соблюдения обязательств в соответствии со статьями 32-36 GDPR, с учётом характера обработки и информации, доступной Обработчику
  7. По выбору Контролёра удалить или вернуть все Персональные данные Контролёру по окончании предоставления услуг и удалить существующие копии, если право Союза или государства-члена не требует хранения Персональных данных
  8. Предоставлять Контролёру всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в статье 28 GDPR, и допускать аудиты, включая инспекции, проводимые Контролёром или другим аудитором, уполномоченным Контролёром, и содействовать им

6. Меры безопасности

Обработчик внедряет следующие технические и организационные меры для защиты Персональных данных в соответствии со статьёй 32 GDPR:

  • Шифрование при передаче: Все данные, передаваемые между клиентами и серверами, шифруются с использованием TLS 1.2 или выше (HTTPS)
  • Шифрование в состоянии покоя: Хранение в базе данных использует шифрование MongoDB в состоянии покоя для всех хранимых Персональных данных
  • Контроль доступа: Аутентификация через токены JWT и ключи API; ролевой контроль доступа; принцип наименьших привилегий
  • Безопасность паролей: Пароли пользователей хранятся с использованием хеширования bcrypt с соответствующими факторами стоимости; ключи API хранятся как защищённые хеши
  • Безопасность инфраструктуры: Инфраструктура с межсетевым экраном (UFW с ограниченными портами), регулярные обновления безопасности и патчи
  • Местоположение сервера: Инфраструктура DigitalOcean (в настоящее время в США; запланирована миграция в дата-центр ЕС/ЕЭЗ)
  • Платёжные данные: Никакого хранения данных платёжных карт на наших серверах. Вся обработка платежей выполняется Stripe, который поддерживает соответствие PCI DSS Level 1
  • Мониторинг: Автоматизированный мониторинг, журналирование и оповещение о событиях безопасности и аномалиях

7. Субобработчики

Контролёр предоставляет Обработчику общее разрешение на привлечение следующих субобработчиков. Обработчик уведомляет Контролёра о любых предполагаемых изменениях, касающихся добавления или замены субобработчиков, с письменным уведомлением не менее чем за 30 дней, тем самым предоставляя Контролёру возможность возразить против таких изменений.

Субобработчики, привлекаемые INCI API
СубобработчикНазначениеМестоположение
DigitalOceanХостинг инфраструктурыСША (запланирована миграция в ЕС)
StripeОбработка платежейСША (дата-центр ЕС)
Google AnalyticsАналитика веб-сайтаСША (обработка данных в ЕС)
Microsoft ClarityАналитика сессийСША

Если Контролёр возражает против нового субобработчика по обоснованным причинам, связанным с защитой данных, стороны добросовестно обсуждают этот вопрос. Если решение не достигнуто в течение 30 дней, Контролёр может прекратить затронутые услуги без штрафов.

8. Передача данных

Персональные данные могут передаваться и обрабатываться в странах за пределами Европейского Союза и Европейской экономической зоны. Когда такие передачи происходят, Обработчик обеспечивает наличие соответствующих гарантий в соответствии с Главой V GDPR, включая:

  • Стандартные договорные положения (SCC), утверждённые Европейской комиссией (Имплементационное решение Комиссии (ЕС) 2021/914)
  • Решения Европейской комиссии о достаточности, где это применимо
  • Дополнительные технические и организационные меры для дополнения механизмов передачи там, где это необходимо, в соответствии с решением Schrems II (Дело C-311/18)

9. Уведомление о нарушении данных

Обработчик уведомляет Контролёра без неоправданной задержки и в любом случае в течение 72 часов после того, как стало известно о нарушении Персональных данных, как определено в статье 4(12) GDPR. Уведомление включает:

  • Описание характера нарушения Персональных данных, включая категории и приблизительное число затронутых Субъектов данных и записей
  • Имя и контактные данные специалиста по защите данных, у которого можно получить дополнительную информацию
  • Описание вероятных последствий нарушения
  • Описание мер, принятых или предлагаемых для устранения нарушения, включая меры по смягчению его возможных неблагоприятных последствий

Обработчик сотрудничает с Контролёром и предпринимает разумные коммерческие шаги для оказания помощи в расследовании, смягчении последствий и устранении каждого такого нарушения.

10. Права субъекта данных

Обработчик помогает Контролёру в выполнении его обязательств отвечать на запросы Субъектов данных, осуществляющих свои права согласно Главе III GDPR, включая:

  • Право доступа (статья 15)
  • Право на исправление (статья 16)
  • Право на удаление / право быть забытым (статья 17)
  • Право на ограничение обработки (статья 18)
  • Право на переносимость данных (статья 20)
  • Право на возражение (статья 21)

Если Обработчик получает запрос непосредственно от Субъекта данных, он незамедлительно уведомляет Контролёра и не отвечает на запрос без предварительного письменного разрешения Контролёра, если это не требуется юридически.

11. Права на аудит

Контролёр может проверять соблюдение Обработчиком настоящего DPA. Аудиты подлежат следующим условиям:

  • Контролёр предоставляет письменное уведомление не менее чем за 30 дней
  • Аудиты проводятся не чаще одного раза в календарный год, если только это не требуется надзорным органом или после нарушения Персональных данных
  • Аудиты проводятся в обычные часы работы и не должны необоснованно мешать деятельности Обработчика
  • Контролёр несёт расходы на аудит, за исключением случаев, когда аудит выявляет существенное несоответствие со стороны Обработчика
  • Контролёр может привлечь квалифицированного независимого стороннего аудитора с соблюдением разумных обязательств о конфиденциальности

12. Срок и прекращение

Настоящее DPA остаётся в силе на протяжении всего срока действия соглашения об услугах между сторонами. По истечении срока действия соглашения об услугах:

  • Обработчик по выбору Контролёра удаляет или возвращает все Персональные данные в течение 30 дней с даты прекращения
  • Обработчик удаляет существующие копии Персональных данных, если право Союза или государства-члена не требует хранения (например, налоговые и финансовые записи, требуемые испанским законодательством)
  • Обработчик предоставляет письменное подтверждение удаления по запросу Контролёра

13. Применимое право

Настоящее DPA регулируется и толкуется в соответствии с законами Королевства Испания, без учёта его положений о коллизии законов. GDPR применяется ко всем вопросам, касающимся обработки Персональных данных. Любые споры, возникающие в рамках настоящего DPA, подлежат исключительной юрисдикции судов Канарских островов, Испания (Santa Cruz de Tenerife).

14. Контакт

По вопросам, проблемам или запросам, связанным с настоящим Соглашением об обработке данных, свяжитесь с нами:

Контакт по защите данных

Andrii Sukhanov

Av. Marítima 2, puerta 05c
Los Silos, Santa Cruz de Tenerife, España

Email: privacy@inciapi.com

Веб-сайт: inciapi.com

Связанные документы