Data Processing Agreement (DPA)

Соглашение об обработке персональных данных по GDPR Art. 28 и ФЗ-152. Если ты подписываешь договор от имени организации — этот DPA становится частью договора.

Роли

Заказчик — Контролёр (Data Controller). Expertroom — Обработчик (Data Processor). Категории субъектов: ваши клиенты + сотрудники, чьи данные вы загружаете в кабинет.

Безопасность

Шифрование at rest (Postgres + pgcrypto для BYOK ключей)
TLS 1.3 в transit
RLS multi-tenant — данные одного юзера не доступны другому
Audit log на каждое мутирующее действие
Удаление по запросу — в течение 30 дней (GDPR Art. 17)

Sub-processors

Полный список — на /subprocessors. Уведомление об изменениях — за 30 дней по email.

Контакт DPO

dpo@expertroom.ai

v1, 2026-04-30