01Subject matter
EvoSystem (Processor) обрабатывает персональные данные, контролируемые клиентом (Controller), в объёме, необходимом для оказания услуг по SoW. Обработка действует на протяжении действия основного договора + период удержания резервных копий (90 дней после расторжения).
02Nature и purpose
- Nature : автоматизированная обработка через AI-агентов : storage, retrieval, analysis, transformation
- Purpose : оказание услуг по SoW (диалоговые агенты, voice-системы, CRM-интеграции)
- Scope : только в объёме, явно указанном в SoW
03Категории data subjects и данных
3.1 Data subjects
- Клиенты Controller (B2C end-users)
- Сотрудники Controller (для контекста интеграций)
3.2 Категории данных
- Контактные данные : имя, телефон, email
- Транзакционные данные : история покупок, записи на услуги
- Communications : тексты диалогов, voice-recordings (если применимо)
- Special categories (Art. 9 GDPR) : только если явно покрыто SoW и дополнительными гарантиями
04Sub-processors
EvoSystem использует следующих sub-processors :
- AWS (Amazon Web Services EMEA) — hosting, Frankfurt region
- Hetzner Online GmbH — hosting, Falkenstein DE
- OpenAI Ireland Ltd. — LLM API (только при explicit consent клиента)
- Anthropic PBC через Cloudfresh — LLM API (только при explicit consent)
- ElevenLabs Inc. — voice TTS (для voice-проектов)
- Plausible Insights OÜ (EE) — privacy-friendly analytics
EvoSystem уведомляет Controller за 30 дней о любых изменениях в списке sub-processors. Controller имеет право возразить.
05Security measures
Согласно GDPR Art. 32, EvoSystem применяет :
- Encryption : at-rest (AES-256), in-transit (TLS 1.3)
- Access control : RBAC, 2FA, principle of least privilege
- Audit logging : все доступы к customer data логируются с timestamp + identity
- Pseudonymization : где применимо в training datasets
- Regular testing : ежегодный pen-test, ежеквартальная vulnerability scan
- Incident response : 24/7 on-call для security incidents
- Staff training : security awareness + GDPR onboarding
06Audits
Controller имеет право проводить аудит обработки данных EvoSystem :
- 1 раз в год по умолчанию, чаще — по запросу с reasonable cause
- За 30 дней до аудита — уведомление
- Через third-party auditor (по соглашению сторон)
- EvoSystem предоставляет copy SOC 2 report и аналогичных сертификатов, когда доступно
07Data subject requests
Когда EvoSystem получает запрос от data subject (access, rectification, erasure, portability) :
- В течение 72 часов уведомляет Controller
- Не отвечает напрямую субъекту без инструкций Controller
- Содействует Controller в выполнении запроса (free of charge для reasonable amount запросов)
08Data breach notification
При обнаружении data breach EvoSystem :
- Уведомляет Controller в течение 24 часов от обнаружения
- Предоставляет : characterization инцидента, affected data subjects, likely consequences, taken measures
- Содействует Controller в уведомлении supervisory authority (если требуется)
- Документирует все breaches в internal log (доступен Controller-у по запросу)
09International transfers
Persistent storage : только в EU/EEA (Frankfurt, Falkenstein). Transient processing через LLM-провайдеров может включать transfer в US :
- Под Standard Contractual Clauses (SCC) 2021/914/EU
- Only with explicit consent Controller
- Альтернатива — on-prem deployment с local Llama/Mistral модели (no data leaves your perimeter)
10Return / deletion
После расторжения основного договора :
- EvoSystem возвращает или удаляет (по выбору Controller) все данные в течение 30 дней
- Резервные копии удаляются автоматически в течение 90 дней
- EvoSystem предоставляет certificate of destruction по запросу
- Исключение : данные, которые EvoSystem обязан хранить по закону (налоговая отчётность — 7 лет)
Текущая версия : 1.0 · от 2026-05-24.