Перейти к содержимому
FFormhook

Соглашение об обработке данных

Последнее обновление: 2026-05-08

1. Стороны и предмет

Это Соглашение об обработке данных («DPA») регулирует обработку персональных данных Formhook («Обработчик»), управляемым astropixels.rs, от имени владельца формы («Оператор»), создающего аккаунт и использующего Formhook для приёма отправок. Оно дополняет наши Условия использования и Политику конфиденциальности. Создание и использование аккаунта Formhook составляет принятие этого DPA; отдельная подпись не требуется.

2. Срок действия

Это DPA применяется пока активен аккаунт Оператора в Formhook и в любой период после прекращения, в течение которого Обработчик ещё хранит данные Оператора (см. пункт 12).

3. Характер и цель обработки

Обработчик обрабатывает персональные данные от имени Оператора чтобы:

  • принимать отправки форм на endpoints Оператора;
  • хранить эти отправки и показывать их в панели Оператора;
  • отправлять операционные письма Оператору (подтверждение аккаунта, сброс пароля, уведомления о квоте);
  • доставлять веб-push на opt-in устройства Оператора при поступлении новых отправок.

4. Категории субъектов данных

Субъекты данных - лица, заполняющие формы Оператора (обычно посетители сайта, клиенты, потенциальные клиенты, кандидаты - кому форма Оператора адресована).

5. Категории персональных данных

Обработчик обрабатывает:

  • любые поля, которые Оператор выбрал запрашивать в форме (часто имя, email, сообщение, но решает Оператор);
  • технические метаданные отправки: IP-адрес, строка User-Agent, заголовок Origin, метка времени.

Оператор отвечает за то, чтобы не собирать через Formhook данные особых категорий (ст. 9 GDPR), кроме случаев правового основания и надлежащего информирования отправителей.

6. Субобработчики

Текущие субобработчики и что они получают перечислены в нашей Политике конфиденциальности. Обработчик уведомит Оператора о любых изменениях списка субобработчиков баннером в панели или письмом не позднее чем за 14 дней до вступления в силу. Если Оператор возражает против нового субобработчика, он может прекратить аккаунт и экспортировать данные согласно пунктам 8 и 12 ниже.

7. Конфиденциальность и меры безопасности

Обработчик поддерживает следующие технические и организационные меры:

  • TLS для всех данных в транзите;
  • Argon2id хеширование паролей для учётных данных аккаунта;
  • ночные бэкапы Postgres, зашифрованные age, хранятся 14 дней;
  • административный доступ ограничен операторами, подписавшими условия конфиденциальности Обработчика;
  • роль базы данных приложения с минимальными привилегиями; учётные данные service-role не выходят в браузер.

8. Помощь с правами субъектов данных

Большинство прав по статьям 15–22 GDPR (доступ, исправление, удаление, переносимость, ограничение) Оператор может удовлетворить напрямую через панель:

  • Доступ / переносимость - Аккаунт → Экспорт скачивает JSON-файл со всеми данными Оператора, которые мы храним.
  • Удаление - Аккаунт → Удалить аккаунт безвозвратно убирает аккаунт Оператора и все его формы и отправки; удаление по одной форме также доступно в настройках формы.
  • Исправление - отправки и конфигурацию формы Оператор может редактировать в панели.

Для нестандартных запросов (например, ответ на запрос прав конечного пользователя, который Оператор не может выполнить самостоятельно) пишите на info@formhook.app.

9. Уведомление о нарушении

Обработчик уведомит Оператора без неоправданной задержки (цель: в течение 72 часов после становления известным) о любом нарушении персональных данных, затрагивающем данные Оператора, предоставив информацию, требуемую ст. 33(3) GDPR (характер нарушения, категории и приблизительное число затронутых субъектов, вероятные последствия, меры по смягчению).

10. Международные передачи

Основное место обработки - Германия (Hetzner). Edge Cloudflare обрабатывает данные только в транзите. Resend обрабатывает исходящие письма в своём регионе отправки в ЕС. У нас нет текущих намерений передавать данные Оператора за пределы ЕС/ЕЭЗ. Если что-то изменится, мы обновим этот пункт и список субобработчиков и будем опираться на стандартные договорные положения или другие гарантии Главы V GDPR.

11. Право на аудит

Оператор может запрашивать, не чаще одного раза в календарный год и при разумном уведомлении, письменную информацию, демонстрирующую соблюдение Обработчиком этого DPA. Аудит на месте вне сферы при текущем масштабе сервиса.

12. Прекращение, возврат и удаление

По прекращении аккаунта Оператора Оператор может экспортировать данные в течение 30 дней через функцию Аккаунт → Экспорт. Через 60 дней после прекращения все данные Оператора удаляются из живой базы. Зашифрованные бэкапы с более ранними снимками устаревают автоматически в течение 14-дневного окна хранения бэкапов, описанного в нашей Политике конфиденциальности.

13. Ответственность и порядок приоритета

Условия ответственности из наших Условий использования применяются к обработке по этому DPA. В случае противоречия это DPA регулирует вопросы обработки персональных данных; Условия регулируют всё остальное.

14. Изменения

Мы можем обновлять это DPA. Существенные изменения будут отмечены в панели или письмом не позднее чем за 14 дней до вступления в силу.