Data Processing Agreement
1. Стороны
Контролёр данных («Контролёр», «Клиент»): юридическое лицо или ИП, заключивший сервисный договор с Quantrol и определяющий цели обработки персональных данных.
Обработчик данных («Обработчик», «Quantrol»): ШПС «Quantrol» (LLC Quantrol), ID 405580250, Тбилиси, Грузия. Email для DPO-вопросов: support@quantrol.ge
2. Предмет и роли
Контролёр поручает Обработчику обработку персональных данных конечных пользователей (клиентов Контролёра), которые контактируют с Контролёром через каналы коммуникации, обслуживаемые Quantrol (Instagram, WhatsApp, Facebook Messenger, Telegram, телефония, веб-чат).
Контролёр определяет цели и средства обработки; Обработчик действует исключительно по документированным инструкциям Контролёра.
3. Предмет обработки
| Параметр | Описание |
|---|---|
| Предмет | Обработка сообщений, звонков и метаданных конечных пользователей для оказания услуг AI-агентов, аналитики и интеграций |
| Длительность | Срок действия сервисного договора + 90 дней на возврат/удаление данных |
| Природа обработки | Автоматизированная обработка с использованием LLM, транскрипция, классификация, маршрутизация, хранение, передача в системы Контролёра |
| Цели | Автоматизированная обработка обращений клиентов Контролёра, аналитика качества и операционных метрик |
| Типы данных | Идентификаторы (имя, username, телефон, email), содержимое сообщений и звонков, метаданные, аудиозаписи, транскрипции |
| Категории субъектов | Клиенты, потенциальные клиенты и контакты Контролёра, которые обращаются через обслуживаемые каналы |
4. Обязательства Обработчика
Обработчик обязуется:
- обрабатывать данные только по документированным инструкциям Контролёра, кроме случаев, когда обработка требуется законом;
- обеспечить конфиденциальность данных и обязать сотрудников и подрядчиков соглашениями о неразглашении;
- применять адекватные технические и организационные меры безопасности (раздел 7);
- помогать Контролёру в реагировании на запросы субъектов данных (доступ, исправление, удаление и т.д.) — в течение 7 рабочих дней с момента получения уведомления;
- уведомлять Контролёра о любых инцидентах безопасности персональных данных без неоправданной задержки, не позднее 48 часов с момента обнаружения;
- по окончании оказания услуг удалить или вернуть данные Контролёру по его выбору в течение 90 дней;
- предоставлять Контролёру информацию, необходимую для подтверждения соответствия настоящему DPA;
- разрешать и содействовать аудитам, проводимым Контролёром или назначенным им аудитором, не чаще одного раза в год при наличии разумного уведомления (не менее 30 календарных дней).
5. Обязательства Контролёра
- гарантировать законное основание для обработки данных, включая, при необходимости, получение согласия конечных пользователей;
- опубликовать собственную политику конфиденциальности, информирующую конечных пользователей об обработке данных, включая использование AI-инструментов и передачу Quantrol;
- предоставлять Обработчику только те данные, для которых имеется правовое основание;
- отвечать на запросы субъектов данных, которые Обработчик переадресует;
- уведомлять Обработчика об изменениях, требующих корректировки обработки.
6. Подобработчики (sub-processors)
Контролёр даёт общее согласие на привлечение Обработчиком подобработчиков для оказания услуг. Актуальный список подобработчиков публикуется по адресу subprocessors.html и включает, в частности:
- LLM: Anthropic, OpenAI
- Каналы коммуникации: Meta Platforms (WhatsApp Business Cloud API, Instagram Graph, Messenger), Telegram
- Облачная инфраструктура: сертифицированные провайдеры (AWS / GCP / Azure / Hetzner — конкретный указан в SoW)
- Voice / транскрипция: провайдеры VoIP и speech-to-text
Обработчик заключает с каждым подобработчиком письменное соглашение, накладывающее на него обязательства, не менее строгие, чем настоящий DPA. Обработчик уведомляет Контролёра о намерении привлечь или заменить подобработчика за 30 календарных дней. Контролёр вправе обоснованно возразить; в случае невозможности договориться — Контролёр может расторгнуть сервисный договор без штрафов.
7. Технические и организационные меры безопасности
Обработчик применяет следующие меры:
- Шифрование: TLS 1.2+ при передаче, AES-256 при хранении персональных данных;
- Контроль доступа: принцип минимально необходимых полномочий, многофакторная аутентификация для всех сотрудников;
- Журналирование: логи доступа и операций с данными хранятся не менее 90 дней;
- Резервное копирование: регулярные шифрованные бэкапы;
- Изоляция: логическое разделение данных разных Контролёров;
- Управление уязвимостями: регулярное обновление зависимостей, мониторинг безопасности;
- Обучение персонала: регулярные тренинги по защите данных и информационной безопасности;
- Соглашения о конфиденциальности со всеми сотрудниками и подрядчиками, имеющими доступ к данным.
Меры пересматриваются и обновляются по мере развития индустриальных стандартов.
8. Инциденты безопасности
При обнаружении инцидента, затрагивающего персональные данные Контролёра, Обработчик:
- уведомляет Контролёра в течение 48 часов с момента обнаружения;
- описывает характер инцидента, категории и приблизительное количество затронутых субъектов и записей;
- описывает вероятные последствия и принятые/предлагаемые меры по их устранению;
- предоставляет имя и контакты ответственного лица для дополнительной информации;
- содействует Контролёру в выполнении его обязанностей по уведомлению надзорных органов и субъектов данных.
9. Запросы субъектов данных
Если конечный пользователь обращается к Обработчику с запросом на реализацию своих прав (доступ, исправление, удаление, ограничение, переносимость, возражение), Обработчик:
- не отвечает по существу самостоятельно (если иное не согласовано);
- переадресует запрос Контролёру в течение 5 рабочих дней;
- предоставляет Контролёру разумное техническое содействие в обработке запроса.
10. Международная передача данных
Некоторые подобработчики (Anthropic, OpenAI, Meta) расположены вне Грузии и ЕЭП. Передача осуществляется на основании:
- Standard Contractual Clauses (SCC) Европейской комиссии в применимой версии;
- иных правовых механизмов, обеспечивающих адекватный уровень защиты в соответствии с GDPR и законом Грузии «О защите персональных данных»;
- при необходимости — дополнительных технических и организационных мер.
11. Возврат и удаление данных
По окончании оказания услуг (расторжение или истечение договора) Обработчик в течение 90 календарных дней:
- возвращает данные Контролёру в согласованном машиночитаемом формате — по запросу Контролёра, и/или
- безвозвратно удаляет все копии данных, кроме тех, которые требуется сохранить в силу закона;
- письменно подтверждает выполнение операции по запросу Контролёра.
12. Ответственность
Ответственность сторон по настоящему DPA определяется сервисным договором между сторонами, если иное не предписано императивными нормами применимого права.
13. Срок действия и приоритет
Настоящий DPA вступает в силу с момента подписания или с момента вступления в силу сервисного договора (что наступит позже) и действует в течение срока обработки данных. Положения о конфиденциальности, безопасности и возврате/удалению сохраняют силу после прекращения.
В случае конфликта между настоящим DPA и сервисным договором приоритет имеет настоящий DPA в части обработки персональных данных.
14. Применимое право
DPA регулируется законодательством Грузии, без ущерба для применимости императивных норм GDPR при обработке данных резидентов ЕЭП.
15. Подписи
DPA подписывается уполномоченными представителями обеих сторон. Подписание возможно квалифицированной электронной подписью.
Это шаблон для ознакомления. Готовая версия DPA, адаптированная под конкретный проект, подписывается отдельно как приложение к сервисному договору. Запросите актуальную версию на support@quantrol.ge.
1. Parties
Data Controller ("Controller", "Client"): the legal entity or sole proprietor that has signed a service agreement with Quantrol and determines the purposes of personal data processing.
Data Processor ("Processor", "Quantrol"): LLC Quantrol, ID 405580250, Tbilisi, Georgia. DPO contact: support@quantrol.ge
2. Subject Matter and Roles
The Controller instructs the Processor to process personal data of end-users (Controller's customers) who interact with the Controller via communication channels operated by Quantrol (Instagram, WhatsApp, Facebook Messenger, Telegram, telephony, web chat).
The Controller determines the purposes and means of processing; the Processor acts solely on documented instructions of the Controller.
3. Processing Details
| Parameter | Description |
|---|---|
| Subject | Processing of end-user messages, calls, and metadata to provide AI agent, analytics, and integration services |
| Duration | Term of service agreement + 90 days for data return / deletion |
| Nature | Automated processing using LLMs, transcription, classification, routing, storage, transfer to Controller's systems |
| Purpose | Automated processing of Controller's customer inquiries, quality analytics, operational metrics |
| Data types | Identifiers (name, username, phone, email), content of messages and calls, metadata, audio recordings, transcripts |
| Data subjects | Customers, prospects, and contacts of the Controller who reach out via serviced channels |
4. Processor Obligations
The Processor undertakes to:
- process data only on documented instructions of the Controller, except where required by law;
- ensure data confidentiality and bind employees and contractors with NDAs;
- apply adequate technical and organizational security measures (section 7);
- assist the Controller in responding to data subject requests (access, rectification, erasure, etc.) — within 7 business days of notification;
- notify the Controller of any personal data security incidents without undue delay, no later than 48 hours after detection;
- upon termination of services, delete or return data to the Controller at its choice within 90 days;
- provide the Controller with information necessary to demonstrate compliance with this DPA;
- permit and contribute to audits conducted by the Controller or its appointed auditor, no more than once a year with reasonable notice (at least 30 calendar days).
5. Controller Obligations
- ensure a lawful basis for data processing, including obtaining end-user consent where necessary;
- publish its own privacy policy informing end-users about data processing, including use of AI tools and transfer to Quantrol;
- provide the Processor only with data for which a lawful basis exists;
- respond to data subject requests forwarded by the Processor;
- notify the Processor of changes requiring adjustment of processing.
6. Sub-processors
The Controller provides general consent for the Processor to engage sub-processors to deliver the services. The current list of sub-processors is published at subprocessors.html and includes, in particular:
- LLM: Anthropic, OpenAI
- Communication channels: Meta Platforms (WhatsApp Business Cloud API, Instagram Graph, Messenger), Telegram
- Cloud infrastructure: certified providers (AWS / GCP / Azure / Hetzner — specific provider listed in SoW)
- Voice / transcription: VoIP and speech-to-text providers
The Processor enters into a written agreement with each sub-processor imposing obligations no less stringent than this DPA. The Processor notifies the Controller of its intention to engage or replace a sub-processor at least 30 calendar days in advance. The Controller may reasonably object; if no agreement can be reached — the Controller may terminate the service agreement without penalty.
7. Technical and Organizational Security Measures
The Processor applies the following measures:
- Encryption: TLS 1.2+ in transit, AES-256 for personal data at rest;
- Access control: least-privilege principle, multi-factor authentication for all employees;
- Logging: access and data operation logs retained for at least 90 days;
- Backups: regular encrypted backups;
- Isolation: logical separation of data from different Controllers;
- Vulnerability management: regular dependency updates, security monitoring;
- Personnel training: regular data protection and information security training;
- Confidentiality agreements with all employees and contractors having access to data.
Measures are reviewed and updated as industry standards evolve.
8. Security Incidents
Upon detection of an incident affecting the Controller's personal data, the Processor:
- notifies the Controller within 48 hours of detection;
- describes the nature of the incident, categories and approximate number of affected subjects and records;
- describes likely consequences and measures taken/proposed to address them;
- provides the name and contacts of the responsible person for further information;
- assists the Controller in fulfilling its obligations to notify supervisory authorities and data subjects.
9. Data Subject Requests
If an end-user contacts the Processor with a request to exercise their rights (access, rectification, erasure, restriction, portability, objection), the Processor:
- does not respond substantively on its own (unless otherwise agreed);
- forwards the request to the Controller within 5 business days;
- provides the Controller with reasonable technical assistance in handling the request.
10. International Data Transfer
Some sub-processors (Anthropic, OpenAI, Meta) are located outside Georgia and the EEA. Transfer is based on:
- European Commission Standard Contractual Clauses (SCCs) in the applicable version;
- other legal mechanisms ensuring an adequate level of protection in accordance with GDPR and Georgian Personal Data Protection Law;
- additional technical and organizational measures where necessary.
11. Data Return and Deletion
Upon termination of services (termination or expiry of agreement), the Processor within 90 calendar days:
- returns data to the Controller in an agreed machine-readable format — upon Controller's request, and/or
- irreversibly deletes all copies of data, except those required to be retained by law;
- provides written confirmation of completion upon Controller's request.
12. Liability
Liability of the parties under this DPA is determined by the service agreement between the parties, unless otherwise required by mandatory provisions of applicable law.
13. Term and Precedence
This DPA enters into force upon signing or upon the effective date of the service agreement (whichever is later) and remains in effect for the duration of data processing. Provisions on confidentiality, security, and return/deletion survive termination.
In case of conflict between this DPA and the service agreement, this DPA prevails for matters of personal data processing.
14. Governing Law
The DPA is governed by the laws of Georgia, without prejudice to the applicability of mandatory GDPR provisions when processing EEA residents' data.
15. Signatures
The DPA is signed by authorized representatives of both parties. Signing may be done by qualified electronic signature.
This is a template for reference. The final DPA, adapted to a specific project, is signed separately as an annex to the service agreement. Request the current version at support@quantrol.ge.
1. მხარეები
მონაცემთა მაკონტროლებელი („მაკონტროლებელი“, „კლიენტი“): იურიდიული პირი ან ინდმეწარმე, რომელმაც გააფორმა სამომსახურეო ხელშეკრულება Quantrol-თან და განსაზღვრავს პერსონალური მონაცემების დამუშავების მიზნებს.
მონაცემთა დამმუშავებელი („დამმუშავებელი“, „Quantrol“): შპს „Quantrol“ (LLC Quantrol), ID 405580250, თბილისი, საქართველო. DPO კონტაქტი: support@quantrol.ge
2. ხელშეკრულების საგანი და როლები
მაკონტროლებელი ავალებს დამმუშავებელს დაამუშავოს საბოლოო მომხმარებლების (მაკონტროლებლის კლიენტების) პერსონალური მონაცემები, რომლებიც კავშირდებიან მაკონტროლებელთან Quantrol-ის მიერ მომსახურებული საკომუნიკაციო არხებით (Instagram, WhatsApp, Facebook Messenger, Telegram, ტელეფონია, ვებ-ჩატი).
მაკონტროლებელი განსაზღვრავს დამუშავების მიზნებსა და საშუალებებს; დამმუშავებელი მოქმედებს მხოლოდ მაკონტროლებლის დოკუმენტირებული ინსტრუქციებით.
3. დამუშავების დეტალები
| პარამეტრი | აღწერა |
|---|---|
| საგანი | საბოლოო მომხმარებლების შეტყობინებების, ზარების და მეტამონაცემების დამუშავება AI-აგენტის, ანალიტიკისა და ინტეგრაციის სერვისების მიწოდებისთვის |
| ხანგრძლივობა | სამომსახურეო ხელშეკრულების ვადა + 90 დღე მონაცემთა დაბრუნებისა / წაშლისთვის |
| ბუნება | ავტომატიზებული დამუშავება LLM-ების გამოყენებით, ტრანსკრიფცია, კლასიფიკაცია, მარშრუტიზაცია, შენახვა, მაკონტროლებლის სისტემებში გადაცემა |
| მიზნები | მაკონტროლებლის კლიენტთა მიმართვების ავტომატიზებული დამუშავება, ხარისხის ანალიტიკა, ოპერაციული მაჩვენებლები |
| მონაცემთა ტიპები | იდენტიფიკატორები (სახელი, username, ტელეფონი, email), შეტყობინებებისა და ზარების შინაარსი, მეტამონაცემები, აუდიო ჩანაწერები, ტრანსკრიფციები |
| სუბიექტთა კატეგორიები | მაკონტროლებლის კლიენტები, პოტენციური კლიენტები და კონტაქტები, რომლებიც კავშირდებიან მომსახურებული არხებით |
4. დამმუშავებლის ვალდებულებები
- დაამუშავოს მონაცემები მხოლოდ მაკონტროლებლის დოკუმენტირებული ინსტრუქციებით, გარდა იმ შემთხვევებისა, როდესაც დამუშავება მოითხოვება კანონით;
- უზრუნველყოს მონაცემთა კონფიდენციალურობა და შებოჭოს თანამშრომლები და კონტრაქტორები კონფიდენციალურობის ხელშეკრულებებით;
- გამოიყენოს ადეკვატური ტექნიკური და ორგანიზაციული უსაფრთხოების ზომები (ნაწილი 7);
- დაეხმაროს მაკონტროლებელს მონაცემთა სუბიექტების მოთხოვნებზე რეაგირებაში — შეტყობინების მიღებიდან 7 სამუშაო დღის განმავლობაში;
- აცნობოს მაკონტროლებელს პერსონალური მონაცემების უსაფრთხოების ნებისმიერი ინციდენტის შესახებ გადაუდებლად, არაუგვიანეს 48 საათისა აღმოჩენიდან;
- მომსახურების დასრულების შემდეგ წაშალოს ან დაუბრუნოს მონაცემები მაკონტროლებელს მისი არჩევანით 90 დღის განმავლობაში;
- მიაწოდოს მაკონტროლებელს ინფორმაცია, რომელიც აუცილებელია წინამდებარე DPA-სთან შესაბამისობის დასადასტურებლად;
- დართოს ნება და დაეხმაროს მაკონტროლებლის ან მის მიერ დანიშნული აუდიტორის მიერ ჩატარებულ აუდიტს, არაუმეტეს წელიწადში ერთხელ გონივრული შეტყობინებით (არანაკლებ 30 კალენდარული დღით ადრე).
5. მაკონტროლებლის ვალდებულებები
- უზრუნველყოს მონაცემთა დამუშავების კანონიერი საფუძველი, მათ შორის, საჭიროების შემთხვევაში, საბოლოო მომხმარებლების თანხმობის მიღება;
- გამოაქვეყნოს საკუთარი კონფიდენციალურობის პოლიტიკა, რომელიც აცნობებს საბოლოო მომხმარებლებს მონაცემთა დამუშავების, AI-ის გამოყენებისა და Quantrol-ისთვის გადაცემის შესახებ;
- მიაწოდოს დამმუშავებელს მხოლოდ ის მონაცემები, რომელთა დამუშავებისთვისაც არსებობს სამართლებრივი საფუძველი;
- უპასუხოს მონაცემთა სუბიექტების მოთხოვნებს, რომელთაც გადასცემს დამმუშავებელი;
- აცნობოს დამმუშავებელს ცვლილებების შესახებ, რომლებიც საჭიროებენ დამუშავების კორექტირებას.
6. ქვედამმუშავებლები
მაკონტროლებელი იძლევა ზოგად თანხმობას დამმუშავებლის მიერ ქვედამმუშავებლების ჩართვაზე სერვისის მიწოდებისთვის. ქვედამმუშავებლების მიმდინარე სია გამოქვეყნებულია მისამართზე subprocessors.html და მოიცავს, კერძოდ:
- LLM: Anthropic, OpenAI
- საკომუნიკაციო არხები: Meta Platforms (WhatsApp Business Cloud API, Instagram Graph, Messenger), Telegram
- ღრუბლოვანი ინფრასტრუქტურა: სერტიფიცირებული პროვაიდერები (AWS / GCP / Azure / Hetzner — კონკრეტული მითითებულია SoW-ში)
- ხმოვანი / ტრანსკრიფცია: VoIP და speech-to-text მიმწოდებლები
დამმუშავებელი თითოეულ ქვედამმუშავებელთან აფორმებს წერილობით ხელშეკრულებას, რომელიც აკისრებს მას ვალდებულებებს არანაკლებ მკაცრს, ვიდრე წინამდებარე DPA. დამმუშავებელი აცნობებს მაკონტროლებელს ქვედამმუშავებლის ჩართვის ან შეცვლის განზრახვის შესახებ 30 კალენდარული დღით ადრე. მაკონტროლებელს უფლება აქვს მოტივირებულად გააპროტესტოს; შეთანხმების მიღწევის შეუძლებლობის შემთხვევაში — მაკონტროლებელს შეუძლია შეწყვიტოს სამომსახურეო ხელშეკრულება ჯარიმის გარეშე.
7. ტექნიკური და ორგანიზაციული უსაფრთხოების ზომები
- დაშიფვრა: TLS 1.2+ გადაცემისას, AES-256 პერსონალური მონაცემების შენახვისას;
- წვდომის კონტროლი: მინიმალური აუცილებლობის პრინციპი, მრავალფაქტორული ავთენტიფიკაცია ყველა თანამშრომლისთვის;
- ლოგირება: წვდომისა და მონაცემთა ოპერაციების ლოგები ინახება არანაკლებ 90 დღისა;
- სარეზერვო ასლები: რეგულარული დაშიფრული ბექაპები;
- იზოლაცია: სხვადასხვა მაკონტროლებელთა მონაცემების ლოგიკური გამიჯვნა;
- დაუცველობების მართვა: დამოკიდებულებების რეგულარული განახლება, უსაფრთხოების მონიტორინგი;
- პერსონალის ტრენინგი: რეგულარული ტრენინგი მონაცემთა დაცვისა და ინფორმაციული უსაფრთხოების შესახებ;
- კონფიდენციალურობის ხელშეკრულებები ყველა თანამშრომელთან და კონტრაქტორთან, რომელსაც აქვს წვდომა მონაცემებზე.
8. უსაფრთხოების ინციდენტები
მაკონტროლებლის პერსონალურ მონაცემებზე ზემოქმედი ინციდენტის აღმოჩენისას, დამმუშავებელი:
- აცნობებს მაკონტროლებელს აღმოჩენიდან 48 საათის განმავლობაში;
- აღწერს ინციდენტის ხასიათს, კატეგორიებსა და დაზარალებული სუბიექტებისა და ჩანაწერების სავარაუდო რაოდენობას;
- აღწერს სავარაუდო შედეგებსა და მიღებულ/შემოთავაზებულ ზომებს;
- მიუთითებს პასუხისმგებელი პირის სახელსა და კონტაქტებს დამატებითი ინფორმაციისთვის;
- ეხმარება მაკონტროლებელს ზედამხედველი ორგანოებისა და მონაცემთა სუბიექტების შეტყობინების ვალდებულებების შესრულებაში.
9. მონაცემთა სუბიექტების მოთხოვნები
თუ საბოლოო მომხმარებელი მიმართავს დამმუშავებელს თავისი უფლებების რეალიზაციის მოთხოვნით (წვდომა, გასწორება, წაშლა, შეზღუდვა, გადატანადობა, წინააღმდეგობა), დამმუშავებელი:
- დამოუკიდებლად არ პასუხობს არსებითად (თუ სხვაგვარად არ არის შეთანხმებული);
- გადასცემს მოთხოვნას მაკონტროლებელს 5 სამუშაო დღის განმავლობაში;
- უწევს მაკონტროლებელს გონივრულ ტექნიკურ დახმარებას მოთხოვნის დამუშავებაში.
10. მონაცემთა საერთაშორისო გადაცემა
ზოგი ქვედამმუშავებელი (Anthropic, OpenAI, Meta) მდებარეობს საქართველოს და ევროპის ეკონომიკური ზონის გარეთ. გადაცემა ხორციელდება:
- ევროკომისიის Standard Contractual Clauses (SCC)-ის მოქმედი ვერსიის საფუძველზე;
- სხვა სამართლებრივი მექანიზმებით, რომლებიც უზრუნველყოფს დაცვის ადეკვატურ დონეს GDPR-ისა და საქართველოს კანონის შესაბამისად;
- საჭიროების შემთხვევაში — დამატებითი ტექნიკური და ორგანიზაციული ზომებით.
11. მონაცემთა დაბრუნება და წაშლა
მომსახურების დასრულების (ხელშეკრულების შეწყვეტა ან ვადის ამოწურვა) შემდეგ დამმუშავებელი 90 კალენდარული დღის განმავლობაში:
- აბრუნებს მონაცემებს მაკონტროლებელს შეთანხმებულ მანქანურად წაკითხვად ფორმატში — მაკონტროლებლის თხოვნით, და/ან
- შეუქცევადად შლის მონაცემთა ყველა ასლს, გარდა იმ მონაცემებისა, რომელთა შენახვა საჭიროა კანონის თანახმად;
- წერილობით ადასტურებს ოპერაციის შესრულებას მაკონტროლებლის თხოვნით.
12. პასუხისმგებლობა
მხარეთა პასუხისმგებლობა წინამდებარე DPA-ით განისაზღვრება მხარეთა შორის სამომსახურეო ხელშეკრულებით, თუ სხვაგვარად არ მოითხოვს მოქმედი სამართლის იმპერატიული ნორმები.
13. ვადა და უპირატესობა
წინამდებარე DPA ძალაში შედის ხელმოწერის მომენტიდან ან სამომსახურეო ხელშეკრულების ძალაში შესვლის მომენტიდან (რომელიც დადგება მოგვიანებით) და მოქმედებს მონაცემთა დამუშავების მთელი ვადით. კონფიდენციალურობის, უსაფრთხოებისა და დაბრუნება/წაშლის დებულებები რჩება ძალაში შეწყვეტის შემდეგაც.
წინამდებარე DPA-სა და სამომსახურეო ხელშეკრულებას შორის კონფლიქტის შემთხვევაში, პერსონალური მონაცემების დამუშავების ნაწილში უპირატესობა ენიჭება წინამდებარე DPA-ს.
14. გამოსაყენებელი სამართალი
DPA რეგულირდება საქართველოს კანონმდებლობით, ევროპის ეკონომიკური ზონის რეზიდენტთა მონაცემების დამუშავებისას GDPR-ის იმპერატიული ნორმების გამოყენებას ზიანის მიყენების გარეშე.
15. ხელმოწერები
DPA ხელმოიწერება ორივე მხარის უფლებამოსილი წარმომადგენლების მიერ. ხელმოწერა შესაძლებელია კვალიფიციური ელექტრონული ხელმოწერით.
ეს არის შაბლონი გასაცნობად. კონკრეტული პროექტისთვის ადაპტირებული DPA-ის საბოლოო ვერსია ხელმოიწერება ცალკე, სამომსახურეო ხელშეკრულების დანართის სახით. აქტუალური ვერსიის მისაღებად მოგვწერეთ support@quantrol.ge-ზე.