FormFlow
RU
Начать бесплатно
Правовое

Соглашение об обработке данных

Обновлено: 10 июня 2026 г.

Политика конфиденциальностиУсловия использованияСоглашение об обработке данных

Это Соглашение об обработке данных («DPA») является частью договора между FormFlow («Процессор», «мы») и клиентом («Контролёр», «вы») в рамках Условий использования. Оно применяется всюду, где мы по вашему поручению обрабатываем персональные данные, содержащиеся в заявках ваших форм, включая случаи, когда применяется GDPR или эквивалентное законодательство.

1. Роли и область действия

Для данных заявок — полей форм, загруженных файлов и связанных метаданных (IP-адрес, страна, user agent, источник), полученных через ваши формы, — вы являетесь контролёром, а FormFlow — процессором. Для данных наших собственных аккаунтов и биллинга мы выступаем самостоятельным контролёром; эта обработка описана в Политике конфиденциальности и не входит в область действия этого DPA.

2. Детали обработки

  • Предмет: работа сервиса форм-бэкенда FormFlow.
  • Характер и цель: приём, хранение, отображение и пересылка заявок (email-уведомления, доставка вебхуков, хранение файлов, агрегированная аналитика) по вашим поручениям.
  • Категории данных: то, что собирают ваши формы, — обычно контактные данные и свободный текст — плюс технические метаданные; загруженные файлы в исходном виде.
  • Субъекты данных: люди, отправляющие ваши формы.
  • Длительность: настроенное вами окно хранения (в пределах лимита плана) и в любом случае не дольше срока договора плюс указанные ниже сроки удаления.

3. Ваши поручения

Мы обрабатываем данные заявок только по вашим документированным поручениям: это DPA, настройки ваших форм и аккаунта (окна хранения, адреса уведомлений, эндпоинты вебхуков) и ваше использование API и консоли. Мы сообщим вам, если, по нашему мнению, поручение нарушает применимое законодательство о защите данных.

4. Конфиденциальность и безопасность

Лица, уполномоченные обрабатывать данные заявок, связаны обязательствами конфиденциальности. Мы применяем соответствующие технические и организационные меры, включая: шифрование при передаче (TLS) и при хранении (шифрование хранилищ Cloudflare D1/R2/KV), хеширование API-credentials, разделённые типы ключей с одноразовым показом, изоляцию данных по аккаунтам, журналирование управляющих действий и описанные в документации механизмы защиты от злоупотреблений. С учётом характера обработки мы помогаем вам выполнять обязательства по безопасности, запросам субъектов данных, уведомлениям об утечках и оценкам воздействия (ст. 32–36 GDPR).

5. Субпроцессоры

Вы разрешаете привлечение следующих субпроцессоров:

СубпроцессорНазначениеЛокация обработки
Cloudflare, Inc.Edge-вычисления, хранилища (D1, R2, KV), сетьГлобальная edge-сеть; основное хранилище с настройкой юрисдикции ЕС
Resend, Inc.Доставка транзакционных писем (уведомления, ссылки для входа)США

О добавлении или замене субпроцессора мы уведомим минимум за 14 дней (changelog и/или email); в этот срок вы можете возразить по обоснованным причинам защиты данных. Если возражение невозможно учесть, вы можете прекратить использование затронутого сервиса. Субпроцессоры связаны обязательствами по защите данных не менее строгими, чем это DPA.

6. Международные передачи

Там, где обработка включает передачи за пределы ЕС/ЕЭЗ (или другой юрисдикции с ограничениями на передачу), стороны опираются на Стандартные договорные условия ЕС (2021/914), включённые в условия обработки данных наших субпроцессоров (включая DPA Cloudflare и DPA Resend), вместе с дополнительными мерами, где они требуются.

7. Запросы субъектов данных и уведомления об утечках

Мы без неоправданной задержки передаём вам запросы субъектов данных, которые можем отнести к вашим формам, и предоставляем инструменты консоли и API (поиск, экспорт, удаление), чтобы вы могли выполнять такие запросы самостоятельно. Узнав об утечке персональных данных, затрагивающей данные заявок, мы уведомляем вас без неоправданной задержки, предоставляя сведения, разумно необходимые для ваших собственных уведомлений.

8. Удаление и возврат

Вы можете в любой момент экспортировать данные заявок через консоль или API и удалить их (по заявке, по форме или удалив аккаунт). По окончании договора мы удаляем оставшиеся данные заявок в течение 30 дней, кроме минимальных записей, хранение которых требуется по закону. Настроенные окна хранения удаляют данные автоматически в течение срока договора.

9. Аудит

Мы предоставляем информацию, разумно необходимую для подтверждения соблюдения этого DPA (включая сводки сторонних аудитов и сертификаций наших субпроцессоров), и, где это требуется по закону, допускаем аудиты с вашей стороны или со стороны уполномоченного аудитора — с разумной периодичностью, при разумном уведомлении и без доступа к данным других клиентов.

10. Приоритет

При противоречии между этим DPA и Условиями использования в части обработки персональных данных приоритет имеет DPA. Вопросы: contact@formflow.cc.