Соглашение об обработке данных (DPA)
Последнее обновление: 12 июня 2026 г.Настоящее Соглашение об обработке данных («DPA») является частью Условий обслуживания или иного соглашения («Соглашение») между оператором cs.cheap («Обработчик», «мы», «нас» или «наш») и клиентом — стороной Соглашения («Контролёр» или «Клиент»).
Настоящее DPA применяется только тогда, когда Обработчик обрабатывает Персональные данные от имени Контролёра в связи с Сервисами. Если вы используете Сервисы исключительно для собственного личного аккаунта, действует наша Политика конфиденциальности, а настоящее DPA не применяется.
1. Определения
- «Применимое законодательство о защите данных» — все применимые законы о конфиденциальности и защите данных, включая (где применимо) Общий регламент ЕС по защите данных (Регламент (ЕС) 2016/679) («GDPR»), UK GDPR и Калифорнийский закон о защите конфиденциальности потребителей с поправками («CCPA/CPRA»).
- «Персональные данные» — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, обрабатываемая Обработчиком от имени Контролёра.
- «Обработка» имеет значение, установленное Применимым законодательством о защите данных.
- «Субобработчик» — любая третья сторона, привлечённая Обработчиком для обработки Персональных данных от имени Контролёра.
2. Роли сторон
Стороны признают и соглашаются, что:
- Контролёр является контролёром данных (или business в значении CCPA/CPRA) в отношении Персональных данных своего персонала и уполномоченных пользователей, охватываемых настоящим DPA;
- Обработчик является обработчиком данных (или service provider) в отношении таких Персональных данных;
- Обработчик обрабатывает такие Персональные данные исключительно от имени Контролёра и не определяет цели и средства их обработки, кроме как в объёме, необходимом для предоставления Сервисов.
В целях администрирования аккаунтов, ведения записей о биллинге и платежах, безопасности, предотвращения мошенничества и злоупотреблений, соблюдения законодательства и поддержки мы также можем обрабатывать определённые персональные данные в качестве независимого контролёра (или business) для собственных целей, как описано в нашей Политике конфиденциальности. Такая обработка не входит в сферу действия настоящего DPA.
3. Объём и характер обработки
3.1 Предмет
Предоставление веб-сайта и API cs.cheap (ценовые данные предметов Counter-Strike), а также связанных функций аккаунта, подписки и биллинга.
3.2 Срок
В течение срока действия Соглашения и до удаления или возврата Персональных данных в соответствии с разделом 10.
3.3 Характер и цель
Обработка, необходимая для того, чтобы:
- аутентифицировать уполномоченных пользователей Контролёра и защищать их аккаунты;
- управлять метаданными доступа на уровне аккаунта, записями об API-ключах, статусом подписки и метаданными использования, получаемыми от Сервисов или связанными с ними;
- управлять подписками, кредитами и записями о платежах;
- формировать журналы аутентификации и безопасности;
- предотвращать мошенничество и злоупотребления;
- поддерживать целостность сервиса.
3.4 Категории субъектов данных
- Персонал Клиента и уполномоченные пользователи.
3.5 Категории Персональных данных
Могут включать:
- идентификаторы (например, email, SteamID, идентификатор GitHub, ID пользователя);
- учётные данные аутентификации (например, хэшированные пароли, токены сессий) и API-ключи;
- метаданные биллинга и использования;
- метаданные входа (например, IP-адрес, сведения об устройстве) и журналы безопасности.
Чувствительные персональные данные для Сервисов не требуются.
4. Обязательства Обработчика
Обработчик обязуется:
- обрабатывать Персональные данные только по документированным указаниям Контролёра;
- обеспечивать, чтобы персонал, уполномоченный обрабатывать Персональные данные, был связан обязательствами конфиденциальности;
- применять надлежащие технические и организационные меры защиты Персональных данных, описанные в Приложении II;
- без неоправданной задержки уведомлять Контролёра, узнав о нарушении безопасности Персональных данных;
- с учётом характера обработки содействовать Контролёру в ответах на запросы субъектов данных;
- содействовать Контролёру в выполнении обязательств, связанных с безопасностью, уведомлением о нарушениях, оценкой воздействия и консультациями с регуляторами, где это применимо.
5. Субобработчики
Обработчик может привлекать Субобработчиков для предоставления Сервисов. Текущие Субобработчики включают провайдеров облачного хостинга и serverless-вычислений, Neon (база данных), Resend (доставка писем) и Cloudflare (защита от ботов).
Независимые сервисы, с которыми интегрированы Сервисы, — включая Steam и GitHub (вход) и NOWPayments (обработка платежей) — выступают независимыми контролёрами обрабатываемых ими данных и не являются Субобработчиками по настоящему DPA; см. нашу Политику конфиденциальности.
Обработчик обязуется:
- поддерживать актуальный список Субобработчиков, предоставляемый по запросу;
- возлагать на Субобработчиков обязательства по защите данных, соответствующие настоящему DPA;
- нести ответственность за действия Субобработчиков.
Контролёр может возразить против нового Субобработчика по обоснованным причинам защиты данных в течение 10 дней с момента уведомления.
6. Международная передача
Когда Персональные данные передаются за пределы ЕЭЗ, Великобритании или Швейцарии, Обработчик обеспечивает наличие надлежащих гарантий, включая стандартные договорные положения, изложенные в Приложении A.
7. Меры безопасности
Обработчик поддерживает программу информационной безопасности, включающую технические и организационные меры, описанные в Приложении II Приложения A.
8. Право на аудит
По обоснованному письменному запросу Контролёр может запросить документацию, подтверждающую соблюдение Обработчиком настоящего DPA. Выездные аудиты проводятся не чаще одного раза в год и подчиняются разумным ограничениям конфиденциальности и безопасности.
9. Положения CCPA/CPRA
Обработчик обязуется:
- не «продавать» (sell) Персональные данные и не «передавать» (share) их в значении CCPA/CPRA;
- не сохранять, не использовать и не раскрывать Персональные данные вне прямых деловых отношений или для каких-либо целей, кроме предоставления Сервисов;
- соблюдать применимые обязательства service provider согласно CCPA/CPRA.
10. Возврат и удаление
После прекращения действия Соглашения Обработчик удаляет или возвращает Персональные данные, за исключением случаев, когда их хранение требуется по закону.
11. Ответственность
Ответственность по настоящему DPA подчиняется ограничениям ответственности, установленным Соглашением.
Приложение A — Стандартные договорные положения (SCCs)
В отношении передачи Персональных данных из Европейской экономической зоны (ЕЭЗ), Швейцарии или Великобритании в страны, не признанные обеспечивающими достаточный уровень защиты данных, стороны соглашаются о следующем:
- Стандартные договорные положения, утверждённые Имплементационным решением Европейской комиссии (ЕС) 2021/914 от 4 июня 2021 года («SCCs ЕС»), включаются в настоящее DPA путём отсылки.
- Модуль два (Контролёр — Обработчик) применяется, когда Контролёр выступает контролёром, а Обработчик — обработчиком.
- Модуль три (Обработчик — Обработчик) применяется в соответствующих случаях.
- В пункте 7 применяется факультативное положение о присоединении (docking clause).
- В пункте 9 применяется вариант 2; срок предварительного уведомления об изменении Субобработчиков определяется разделом 5 настоящего DPA.
- В пункте 11 факультативная формулировка не применяется.
- В пункте 17 применимым правом является право Ирландии (или иного государства — члена ЕС по соглашению сторон).
- Согласно пункту 18(b), споры разрешаются судами Ирландии.
- Для передач из Великобритании Дополнение Великобритании о международной передаче данных (UK International Data Transfer Addendum) к SCCs ЕС включается путём отсылки.
- Приложения I, II и III к SCCs ЕС заполняются, как указано ниже.
Приложение I.A — Перечень сторон
- Экспортёр данных: Клиент — сторона Соглашения, выступающий контролёром. Контактные данные: указанные в аккаунте Клиента.
- Импортёр данных: оператор cs.cheap, выступающий обработчиком. Контакт: [email protected].
Приложение I.B — Описание передачи
- Категории субъектов данных: как описано в разделе 3.4 настоящего DPA.
- Категории персональных данных: как описано в разделе 3.5 настоящего DPA; чувствительные данные не передаются.
- Периодичность передачи: непрерывная, в течение срока действия Соглашения.
- Характер и цель обработки: как описано в разделах 3.1 и 3.3 настоящего DPA.
- Срок хранения: в течение срока действия Соглашения и до удаления или возврата согласно разделу 10; записи о платежах могут храниться дольше, если этого требует налоговое и бухгалтерское законодательство.
- Передача Субобработчикам: как описано в разделе 5 и Приложении III.
Приложение I.C — Компетентный надзорный орган
Надзорный орган государства — члена ЕС, в котором учреждён экспортёр данных. Если экспортёр данных не учреждён в ЕС, компетентный надзорный орган определяется в соответствии с пунктом 13 SCCs ЕС; при отсутствии такого определения — Ирландская комиссия по защите данных (Irish Data Protection Commission).
Приложение II — Технические и организационные меры
- Шифрование данных при передаче (TLS).
- Пароли хранятся в хэшированном виде; API-ключи хранятся хэшированными или иным защищённым способом, никогда не передаются клиентскому коду и не записываются в журналы в открытом виде.
- Логический контроль доступа по принципу наименьших привилегий с периодическим пересмотром прав доступа.
- Многофакторная аутентификация для административного доступа.
- Мониторинг безопасности и журналирование аудита.
- Процедуры резервного копирования и восстановления.
- Практики безопасной разработки программного обеспечения, включая проверку зависимостей.
- Процедуры реагирования на инциденты, включая уведомление о нарушениях согласно разделу 4.
Приложение III — Субобработчики
Субобработчики, перечисленные в разделе 5 настоящего DPA.
Полный текст SCCs ЕС доступен по адресу: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
Настоящее DPA публикуется на английском, упрощённом китайском и русском языках. При расхождении между переводом и английской версией преимущественную силу, в пределах, допускаемых законом, имеет английская версия.
Используя Сервисы, стороны соглашаются с настоящим DPA.