Weft — economic layer for AI agentsweft.
Войти
На главную

DPA — GDPR Article 28

DRAFT 0.1 · GDPR-compliant

Data Processing Agreement

Соглашение между Weft (Processor) и tenant (Controller) для обработки персональных данных в EU/EEA. DRAFT — финальная версия после legal review.

1.

Roles

Controller = ты, tenant, регистрирующий сервисы и/или вызывающий downstream-сервисы через Weft.
Processor = Weft, выполняющий settlement, audit, registry на твоё имя.

2.

Subject matter

Processor обрабатывает данные tenant'ов и end-users по указаниям Controller'а в объёме необходимом для оказания услуг (Section 3 Privacy Policy).

3.

Duration

Обработка длится пока активен tenant-аккаунт + retention periods (Section 5 Privacy Policy). После закрытия аккаунта — 1 год для balance state, 7 лет для ledger entries.

4.

Categories of data subjects

  • Tenant-пользователи (developers, providers)
  • End-users сервисов (если applicable, через downstream calls)
  • Counterparties on-chain transactions
5.

Categories of personal data

  • EVM addresses, HD-derived deposit addresses
  • Bearer tokens (hashed in V1+)
  • Tenant aliases
  • Service usage logs, ledger entries
  • Telegram chat_ids (только при opt-in)
6.

Processor obligations

  • Обрабатывать данные только по документированным инструкциям Controller'а (эта DPA + Privacy Policy).
  • Обеспечивать confidentiality персонала имеющего доступ.
  • Применять appropriate technical and organisational measures (Section 9 Privacy Policy: HTTPS, rate limiting, encrypted backups, file mode 0600 для secrets).
  • Не привлекать sub-processors без previous notice (текущие sub-processors: Hetzner Nürnberg DE, RPC providers).
  • Содействовать Controller в data subject rights requests (Section 8 Privacy Policy).
  • Уведомить Controller о data breach в течение 72 часов от обнаружения.
  • Удалить или вернуть все данные Controller'у по окончании оказания услуг.
7.

Sub-processors

Текущие sub-processors:

  • Hetzner Online GmbH (Nürnberg, DE) — server hosting. GDPR-compliant.
  • Cloudflare — DNS, anti-DDoS (если applicable).
  • Public Base RPC providers — drpc.org, base.org RPC. Для blockchain read/write.

Изменения списка sub-processors будут анонсированы за 30 дней через GitHub repo changelog.

8.

International transfers

Если Controller в EU, Processor использует Standard Contractual Clauses (SCCs) Module 2 (controller-to-processor) для transfer'ов в страны без adequacy decision.

9.

Audit

Controller имеет право audit обработки данных раз в 12 месяцев (или после material security incident). Запрос — через GitHub Issue.

10.

Liability

Liability limited per Terms of Service Section 12. Не ограничивает GDPR Art. 82 statutory rights.

11.

Contact

DPA-related requests: GitHub Issue. DPO будет назначен post-incorporation.