Соглашение об обработке данных (DPA)

Действует с 14 мая 2026

Настоящее Соглашение об обработке данных (Data Processing Agreement, далее — «DPA») является приложением к Условиям использования MUSE и регулирует обработку персональных данных третьих лиц, передаваемых Пользователем в Сервис.

DPA применяется автоматически к тарифам AUTHOR, ORACLE и BRAIN. Для тарифа COPY и пользователей-физических лиц достаточно Политики конфиденциальности.

1. Определения

  • Контролёр — Пользователь Сервиса, определяющий цели и средства обработки;
  • Обработчик — владелец Сервиса MUSE, действующий по поручению Контролёра;
  • Субъект данных — физическое лицо, чьи персональные данные обрабатываются (например, подписчики Telegram-канала Контролёра);
  • Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому Субъекту.

2. Предмет и характер обработки

Обработчик обрабатывает следующие категории данных по поручению Контролёра:

  • тексты публикаций из публичных каналов-источников (для генерации производных постов);
  • тексты публикаций самого канала Контролёра (для построения голосового профиля);
  • идентификаторы Telegram-пользователей, упомянутых в источниках (только в составе текста);
  • метаданные постов: время публикации, количество просмотров, тип медиа.

Характер обработки: чтение текстов через публичный Telegram API, преобразование с помощью AI-моделей, временное хранение результатов, доставка результатов через Telegram Bot API.

3. Длительность обработки

Обработка осуществляется в течение всего срока действия подписки Контролёра. После прекращения подписки данные хранятся 30 дней в режиме freeze, после чего удаляются.

4. Обязательства Обработчика

Обработчик обязуется:

  • обрабатывать данные только в соответствии с задокументированными инструкциями Контролёра (предоставлены через интерфейс Сервиса);
  • обеспечивать конфиденциальность данных — все сотрудники подписали NDA;
  • применять технические меры защиты согласно п. 7 Политики конфиденциальности;
  • уведомлять Контролёра о любой утечке данных в течение 72 часов после обнаружения;
  • помогать Контролёру в выполнении запросов Субъектов данных (доступ, изменение, удаление);
  • по запросу Контролёра удалить все его данные в течение 14 дней;
  • не привлекать суб-обработчиков без предварительного письменного согласия Контролёра.

5. Утверждённые суб-обработчики

Контролёр настоящим даёт общее согласие на использование Обработчиком следующих суб-обработчиков (актуальный перечень с подробностями — в Политике конфиденциальности, раздел 5):

  • Anthropic PBC (США) — LLM-обработка, обязательство сохранения не более 30 дней;
  • Higgsfield Inc. — генерация изображений по промптам без передачи персональных данных;
  • Timeweb Cloud (РФ, Москва) — хостинг и хранение БД;
  • Cloudflare — CDN и защита веб-уровня;
  • ЮKassa (РФ) — обработка платежей;
  • CryptoCloud — обработка криптоплатежей.

Обработчик уведомляет Контролёра о добавлении новых суб-обработчиков не позднее чем за 30 дней до начала работы с ними. Контролёр вправе возразить и прекратить отношения с правом pro-rata возврата (см. Политика возврата).

6. Обязательства Контролёра

Контролёр обязуется:

  • передавать в Сервис только те данные, на которые имеет правовое основание для обработки;
  • не использовать Сервис для обработки специальных категорий данных (биометрия, здоровье, политические взгляды) без отдельного письменного соглашения;
  • информировать своих Субъектов данных о факте передачи их данных Обработчику и целях обработки;
  • отвечать на запросы Субъектов данных в установленные законом сроки.

7. Передача данных за пределы РФ/ЕС

Некоторые суб-обработчики (Anthropic, Higgsfield, Cloudflare) расположены за пределами Российской Федерации. Обработчик гарантирует, что:

  • с каждым из них заключено письменное соглашение DPA с эквивалентными требованиями;
  • передача данных осуществляется на основании Standard Contractual Clauses (SCC) для ЕС;
  • для российских Субъектов данных хранение основной БД происходит в РФ (Timeweb Москва), за рубеж передаются только необходимые фрагменты для обработки.

8. Уведомление об инцидентах

В случае подтверждённой утечки данных Обработчик уведомляет Контролёра через зарегистрированный email в течение 72 часов. Уведомление содержит:

  • характер инцидента;
  • категории и приблизительное количество затронутых Субъектов;
  • возможные последствия;
  • предпринятые и планируемые меры устранения.

9. Аудит

Контролёр вправе запросить отчёт об аудите безопасности раз в 12 месяцев. Отчёт предоставляется в форме сводки результатов внутреннего аудита Обработчика. По запросу B2B-клиентов BRAIN — возможен внешний аудит независимым подрядчиком за счёт Контролёра.

10. Срок действия и прекращение

DPA действует параллельно с Условиями использования и прекращается одновременно с отменой подписки. После прекращения Обработчик в течение 14 дней удаляет все персональные данные Контролёра, кроме данных, которые требуется хранить по требованиям закона (бухгалтерия — 5 лет).

11. Подписание

Электронное согласие с настоящим DPA выражается путём активации подписки тарифа AUTHOR/ORACLE/BRAIN. По запросу B2B-клиентов мы предоставляем бумажный экземпляр DPA с печатью и подписью — legal@musewrites.io.