Соглашение об обработке данных (DPA)

Действует с 14 мая 2026

Настоящее Соглашение об обработке данных (Data Processing Agreement, далее — «DPA») является приложением к Условиям использования MUSE и регулирует обработку персональных данных третьих лиц, передаваемых Пользователем в Сервис.

DPA применяется автоматически к тарифам AUTHOR, ORACLE и BRAIN. Для тарифа COPY и пользователей-физических лиц достаточно Политики конфиденциальности.

1. Определения

• Контролёр — Пользователь Сервиса, определяющий цели и средства обработки;
• Обработчик — владелец Сервиса MUSE, действующий по поручению Контролёра;
• Субъект данных — физическое лицо, чьи персональные данные обрабатываются (например, подписчики Telegram-канала Контролёра);
• Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому Субъекту.

2. Предмет и характер обработки

Обработчик обрабатывает следующие категории данных по поручению Контролёра:

• тексты публикаций из публичных каналов-источников (для генерации производных постов);
• тексты публикаций самого канала Контролёра (для построения голосового профиля);
• идентификаторы Telegram-пользователей, упомянутых в источниках (только в составе текста);
• метаданные постов: время публикации, количество просмотров, тип медиа.

Характер обработки: чтение текстов через публичный Telegram API, преобразование с помощью AI-моделей, временное хранение результатов, доставка результатов через Telegram Bot API.

3. Длительность обработки

Обработка осуществляется в течение всего срока действия подписки Контролёра. После прекращения подписки данные хранятся 30 дней в режиме freeze, после чего удаляются.

4. Обязательства Обработчика

Обработчик обязуется:

• обрабатывать данные только в соответствии с задокументированными инструкциями Контролёра (предоставлены через интерфейс Сервиса);
• обеспечивать конфиденциальность данных — все сотрудники подписали NDA;
• применять технические меры защиты согласно п. 7 Политики конфиденциальности;
• уведомлять Контролёра о любой утечке данных в течение 72 часов после обнаружения;
• помогать Контролёру в выполнении запросов Субъектов данных (доступ, изменение, удаление);
• по запросу Контролёра удалить все его данные в течение 14 дней;
• не привлекать суб-обработчиков без предварительного письменного согласия Контролёра.

5. Утверждённые суб-обработчики

Контролёр настоящим даёт общее согласие на использование Обработчиком следующих суб-обработчиков (актуальный перечень с подробностями — в Политике конфиденциальности, раздел 5):

• Anthropic PBC (США) — LLM-обработка, обязательство сохранения не более 30 дней;
• Higgsfield Inc. — генерация изображений по промптам без передачи персональных данных;
• Timeweb Cloud (РФ, Москва) — хостинг и хранение БД;
• Cloudflare — CDN и защита веб-уровня;
• ЮKassa (РФ) — обработка платежей;
• CryptoCloud — обработка криптоплатежей.

Обработчик уведомляет Контролёра о добавлении новых суб-обработчиков не позднее чем за 30 дней до начала работы с ними. Контролёр вправе возразить и прекратить отношения с правом pro-rata возврата (см. Политика возврата).

6. Обязательства Контролёра

Контролёр обязуется:

• передавать в Сервис только те данные, на которые имеет правовое основание для обработки;
• не использовать Сервис для обработки специальных категорий данных (биометрия, здоровье, политические взгляды) без отдельного письменного соглашения;
• информировать своих Субъектов данных о факте передачи их данных Обработчику и целях обработки;
• отвечать на запросы Субъектов данных в установленные законом сроки.

7. Передача данных за пределы РФ/ЕС

Некоторые суб-обработчики (Anthropic, Higgsfield, Cloudflare) расположены за пределами Российской Федерации. Обработчик гарантирует, что:

• с каждым из них заключено письменное соглашение DPA с эквивалентными требованиями;
• передача данных осуществляется на основании Standard Contractual Clauses (SCC) для ЕС;
• для российских Субъектов данных хранение основной БД происходит в РФ (Timeweb Москва), за рубеж передаются только необходимые фрагменты для обработки.

8. Уведомление об инцидентах

В случае подтверждённой утечки данных Обработчик уведомляет Контролёра через зарегистрированный email в течение 72 часов. Уведомление содержит:

• характер инцидента;
• категории и приблизительное количество затронутых Субъектов;
• возможные последствия;
• предпринятые и планируемые меры устранения.

9. Аудит

Контролёр вправе запросить отчёт об аудите безопасности раз в 12 месяцев. Отчёт предоставляется в форме сводки результатов внутреннего аудита Обработчика. По запросу B2B-клиентов BRAIN — возможен внешний аудит независимым подрядчиком за счёт Контролёра.

10. Срок действия и прекращение

DPA действует параллельно с Условиями использования и прекращается одновременно с отменой подписки. После прекращения Обработчик в течение 14 дней удаляет все персональные данные Контролёра, кроме данных, которые требуется хранить по требованиям закона (бухгалтерия — 5 лет).

11. Подписание

Электронное согласие с настоящим DPA выражается путём активации подписки тарифа AUTHOR/ORACLE/BRAIN. По запросу B2B-клиентов мы предоставляем бумажный экземпляр DPA с печатью и подписью — legal@musewrites.io.