(GDPR · UK GDPR · LGPD · PDPL · CCPA/CPRA) · Last Updated: April 21, 2026 · Version 2.0
This Data Processing Addendum ("DPA") forms part of the Geniri Terms of Service or other written or electronic agreement (the "Agreement") between Varneli LLC, a Florida limited liability company d/b/a Geniri ("Geniri," "Processor"), and the customer identified in the Agreement ("Customer," "Controller"), and governs Geniri's Processing of Personal Data on Customer's behalf. Capitalized terms not defined in this DPA have the meanings given in the Agreement. By executing or accepting the Agreement, or by using the Service, Customer is deemed to have executed this DPA.
With respect to Personal Data Processed under this DPA: (a) Customer is the Controller (or, where Customer itself acts as a processor for a third-party controller, the Processor); and (b) Geniri is the Processor (or, as applicable, Sub-processor). Under CCPA/CPRA, Geniri acts as a Service Provider and Customer is the Business.
Geniri Processes Personal Data solely for the purpose of providing, maintaining, securing, and supporting the Service in accordance with the Agreement and Customer's documented instructions.
This DPA applies for the duration of the Agreement and any period thereafter during which Geniri Processes Personal Data.
The Agreement, this DPA, and Customer's use of the features and settings of the Service constitute Customer's complete and documented instructions to Geniri. Geniri shall Process Personal Data only on those instructions unless required otherwise by Applicable Law, in which case Geniri shall, to the extent permitted, inform Customer of that legal requirement before Processing.
Customer represents, warrants, and covenants that:
Geniri shall Process Personal Data only on Customer's documented instructions, including with regard to transfers to a third country, except as required by Applicable Law. Geniri shall immediately inform Customer if, in its opinion, an instruction violates Data Protection Laws.
Geniri shall ensure that persons authorized to Process Personal Data are subject to appropriate confidentiality obligations and receive appropriate data-protection training.
Geniri shall implement and maintain appropriate technical and organizational measures ("TOMs") appropriate to the risk, as described in Annex II.
Taking into account the nature of the Processing, Geniri shall assist Customer, by appropriate technical and organizational measures and insofar as possible, to respond to requests by Data Subjects to exercise their rights (access, rectification, erasure, restriction, portability, objection, withdrawal of consent). Where Geniri receives such a request directly from a Data Subject, Geniri shall promptly forward it to Customer without responding.
Geniri shall provide Customer with reasonable assistance necessary to perform DPIAs and prior consultations with Supervisory Authorities under Articles 35 and 36 GDPR and equivalent provisions.
Geniri shall notify Customer without undue delay, and in any event within seventy-two (72) hours, after becoming aware of a Personal Data Breach affecting Personal Data.
The notification will include, to the extent known: (a) nature of the breach, categories and approximate number of Data Subjects and records; (b) likely consequences; (c) measures taken or proposed; (d) contact details. Geniri shall cooperate in investigating and mitigating the breach. Notifications to Data Subjects and Supervisory Authorities are Customer's responsibility (as Controller), except where Geniri is directly required by law to notify.
Upon termination of the Agreement, or upon Customer's earlier written request, Geniri shall, at Customer's choice, return or delete all Personal Data Processed on Customer's behalf, unless Applicable Law requires retention. Geniri shall delete existing copies within ninety (90) days of termination. Back-ups and logs are deleted in accordance with Geniri's retention schedule and remain subject to this DPA until deletion.
Geniri shall maintain records of all categories of Processing activities in accordance with Article 30(2) GDPR and equivalent Data Protection Laws, and shall make such records available to Customer and Supervisory Authorities upon reasonable request.
Geniri shall not "sell" or "share" Personal Data within the meaning of CCPA/CPRA, shall not retain, use, or disclose Personal Data for any purpose other than the specific purpose of performing the services specified in the Agreement, and shall not retain, use, or disclose Personal Data outside the direct business relationship with Customer.
Customer provides a general authorization to Geniri to engage Sub-processors, subject to the following conditions.
A current list of Sub-processors is published at legal@geniri.ai and reproduced in Annex III. Customers may subscribe to email notifications by emailing privacy@geniri.ai.
Geniri shall provide at least thirty (30) days' prior notice of any new or replacement Sub-processor. Customer may object on reasonable data-protection grounds by written notice to privacy@geniri.ai. If the parties cannot resolve the objection, Customer may, as its sole remedy, terminate the affected part of the Service and receive a pro rata refund of any prepaid, unused fees.
Geniri shall enter into a written agreement with each Sub-processor imposing data-protection obligations substantially equivalent to those in this DPA. Geniri remains liable to Customer for the acts and omissions of its Sub-processors as if they were Geniri's own.
Where Personal Data originating from the EEA, United Kingdom, Switzerland, Brazil, or another jurisdiction imposing transfer restrictions is transferred to Geniri or Sub-processors in a third country without an adequacy decision, such transfers are governed by the Standard Contractual Clauses incorporated by reference:
The parties shall implement supplementary technical, contractual, and organizational measures as further described in Annex II, including where required by Schrems II transfer-impact-assessment principles.
Geniri shall make available to Customer all information reasonably necessary to demonstrate compliance with this DPA, including summaries of its most recent third-party security audit reports (SOC 2, ISO 27001, or similar), subject to confidentiality obligations.
Customer may audit Geniri's compliance with this DPA no more than once per year, upon at least 60 days' prior written notice, during normal business hours, and subject to confidentiality. Audits will be conducted by Customer or by an independent auditor mutually agreed to by the parties (excluding Geniri's competitors). Customer bears audit costs unless the audit reveals a material breach, in which case Geniri bears reasonable costs.
With respect to Personal Data subject to CCPA/CPRA:
Each party's liability under this DPA is subject to the limitations and exclusions of liability set out in the Agreement. This DPA does not increase or decrease the parties' liability otherwise limited in the Agreement, except where Data Protection Laws require otherwise. Nothing in this DPA limits a Data Subject's rights against either party or a party's liability that cannot be limited under Data Protection Laws.
In case of conflict between this DPA and the Agreement, this DPA prevails with respect to the Processing of Personal Data. In case of conflict between this DPA and the SCCs, the SCCs prevail to the extent required by Data Protection Laws.
Except where mandatory Data Protection Laws or the SCCs provide otherwise, this DPA is governed by the law of the State of Florida, United States.
Geniri may update this DPA from time to time to reflect changes in the Service, Sub-processors, or Data Protection Laws, provided that updates do not materially reduce the protections for Personal Data.
Varneli LLC d/b/a Geniri — Privacy Team
17290 Rainstream Rd, Boca Raton, FL 33496, United States
Email: privacy@geniri.ai · DPO: dpo@geniri.ai
Data Exporter / Controller: The Customer identified in the Agreement.
Data Importer / Processor: Varneli LLC d/b/a Geniri, 17290 Rainstream Rd, Boca Raton, FL 33496, United States. Contact: privacy@geniri.ai.
Categories of Data Subjects: Customer's employees, contractors, prospects, leads, customers, business contacts, newsletter subscribers, website visitors, and other individuals whose Personal Data Customer uploads to or processes through the Service.
Categories of Personal Data: identification and contact data (name, email, phone, job title, employer, business address); communication content (email text, subject lines, attachments, commercial proposals); campaign and engagement data (sends, opens, clicks, replies, bounces, unsubscribes); CRM data (activities, notes, pipeline stages, deals, custom fields); authentication and account data (username, hashed password, IP address, session identifiers); technical data (log data, device and browser information).
Sensitive Data: Not intended to be Processed. Customer shall not upload special categories of Personal Data under GDPR Article 9 or sensitive Personal Data under LGPD without prior written agreement.
Frequency of Transfer: Continuous, for the duration of the Agreement.
Nature of Processing: Collection, recording, organization, structuring, storage, adaptation, retrieval, consultation, use, disclosure by transmission, dissemination, alignment, combination, restriction, erasure, or destruction of Personal Data as necessary to provide, secure, support, and improve the Service.
Purpose of Processing: To provide the Service to Customer, including executing email campaigns; managing contacts and CRM records; generating AI-assisted content and proposals; delivering analytics; authenticating Users; securing the Service; providing support; complying with legal obligations.
Retention Period: Personal Data is Processed for the duration of the Agreement and deleted within 90 days of termination. Logs and backups retained per Geniri's documented schedule, generally not exceeding 36 months.
Transfers to Sub-processors: As listed in Annex III.
Where the SCCs apply: (a) for EEA Data Subjects, the supervisory authority of the Member State where the Data Subject is resident; (b) for UK, the ICO; (c) for Swiss, the FDPIC; (d) for Brazilian, the ANPD.
The current list is maintained at legal@geniri.ai and may be updated from time to time in accordance with Section 5 of this DPA. The key Sub-processors as of the effective date are listed below. For the full, up-to-date list, locations, purposes, and transfer mechanisms, see the Sub-processors page.
| Sub-processor | Service | Location |
|---|---|---|
| Twilio SendGrid, Inc. | Email delivery | United States |
| Amazon Web Services, Inc. (AWS) | Cloud infrastructure | US / EU regions |
| Stripe, Inc. | Payment processing (billing) | United States |
| OpenAI, L.L.C. | AI model inference | United States |
| Anthropic, PBC | AI model inference (Claude) | United States |
| Google LLC (Gemini API) | AI model inference | US / EU regions |
| Perplexity AI, Inc. | AI search / inference | United States |
| Cloudflare, Inc. | CDN, WAF, DDoS | US (global edge) |
| Google LLC (Workspace, GA4) | Email, analytics | US / EU regions |
| Functional Software, Inc. (Sentry) | Error monitoring | United States |
| Intercom, Inc. | Customer support | US / EU |
| Vercel Inc. | Frontend hosting | US (global edge) |
| Apollo.io, Inc. | Licensed B2B contact data | United States |
| Termly Inc. | Cookie consent platform | United States |
(GDPR · UK GDPR · LGPD · PDPL · CCPA/CPRA) · Последнее обновление: 21 апреля 2026 · Версия 2.0
Настоящее Соглашение об обработке данных («DPA») является частью Условий использования Geniri или иного письменного либо электронного соглашения («Соглашение») между Varneli LLC, компанией с ограниченной ответственностью штата Флорида, d/b/a Geniri («Geniri», «Обработчик»), и клиентом, указанным в Соглашении («Клиент», «Контроллер»), и регулирует обработку Geniri Персональных данных от имени Клиента. Принимая Соглашение или используя Сервис, Клиент считается подписавшим настоящее DPA.
В случае расхождений преимущественную силу имеет английская версия.
В отношении Персональных данных, обрабатываемых по настоящему DPA: (а) Клиент действует как Контроллер (или, если сам Клиент является процессором для стороннего контроллера, — как Процессор); (б) Geniri действует как Процессор (или, при необходимости, Суб-процессор). По CCPA/CPRA Geniri действует как Service Provider, а Клиент — как Business.
Geniri обрабатывает Персональные данные исключительно для предоставления, обслуживания, защиты и поддержки Сервиса в соответствии с Соглашением и документированными инструкциями Клиента.
Настоящее DPA применяется на срок действия Соглашения и любой период после, в течение которого Geniri обрабатывает Персональные данные.
Соглашение, настоящее DPA и использование Клиентом функций и настроек Сервиса составляют полные и документированные инструкции Клиента для Geniri. Geniri обрабатывает Персональные данные только по этим инструкциям, если иное не требуется Применимым правом, при этом в допустимых пределах Geniri информирует Клиента о таком юридическом требовании до обработки.
Клиент заявляет, гарантирует и обязуется, что:
Geniri обрабатывает Персональные данные только по документированным инструкциям Клиента, включая передачи в третью страну, за исключением случаев, требуемых Применимым правом. Geniri незамедлительно информирует Клиента, если, по её мнению, инструкция нарушает Законы.
Geniri обеспечивает, чтобы лица, уполномоченные обрабатывать Персональные данные, были связаны соответствующими обязательствами конфиденциальности и проходили обучение защите данных.
Geniri внедряет и поддерживает соответствующие технические и организационные меры (ТОМ), описанные в Приложении II.
С учётом характера обработки Geniri оказывает Клиенту помощь посредством соответствующих технических и организационных мер в реализации запросов Субъектов данных (доступ, исправление, удаление, ограничение, переносимость, возражение, отзыв согласия). Если Geniri получает такой запрос напрямую от Субъекта, Geniri незамедлительно перенаправляет его Клиенту без ответа Субъекту.
Geniri оказывает Клиенту разумную помощь в проведении оценок воздействия на защиту данных (DPIA) и предварительных консультаций с Надзорными органами согласно ст. 35 и 36 GDPR и эквивалентных норм.
Geniri уведомляет Клиента без необоснованной задержки и в любом случае в течение семидесяти двух (72) часов после обнаружения инцидента с Персональными данными.
Уведомление включает (в известных пределах): (а) характер инцидента, категории и примерное число затронутых Субъектов и записей; (б) вероятные последствия; (в) принятые или предложенные меры; (г) контактные данные. Geniri сотрудничает в расследовании и смягчении. Уведомления Субъектов данных и Надзорных органов — ответственность Клиента (как Контроллера), если иное не требуется законом от Geniri напрямую.
После прекращения Соглашения или по более раннему письменному запросу Клиента Geniri, по выбору Клиента, возвращает или удаляет все Персональные данные, если Применимое право не требует иного. Geniri удаляет существующие копии в течение 90 дней с момента прекращения. Бэкапы и логи удаляются в соответствии с расписанием Geniri и остаются предметом настоящего DPA до удаления.
Geniri ведёт записи всех категорий активностей обработки в соответствии со ст. 30(2) GDPR и эквивалентными нормами и предоставляет их Клиенту и Надзорным органам по разумному запросу.
Geniri не «продаёт» и не «передаёт» Персональные данные в смысле CCPA/CPRA, не сохраняет, не использует и не раскрывает Персональные данные для любой цели, кроме выполнения услуг по Соглашению, и не сохраняет их вне прямых деловых отношений с Клиентом.
Клиент предоставляет общее разрешение Geniri привлекать Суб-процессоров при следующих условиях.
Актуальный список опубликован по адресу legal@geniri.ai и воспроизведён в Приложении III. Клиенты могут подписаться на уведомления по email, написав на privacy@geniri.ai.
Geniri предоставляет уведомление не менее чем за 30 дней о любом новом или заменяющем Суб-процессоре. Клиент может возразить по обоснованным основаниям защиты данных письмом на privacy@geniri.ai. Если стороны не могут разрешить возражение, Клиент может в качестве единственного средства защиты прекратить затронутую часть Сервиса и получить пропорциональный возврат предоплаченных неиспользованных платежей.
Geniri заключает письменное соглашение с каждым Суб-процессором, налагающее обязательства защиты данных, по существу эквивалентные настоящему DPA. Geniri остаётся ответственным перед Клиентом за действия и бездействие своих Суб-процессоров как за собственные.
При передаче Персональных данных из ЕЭЗ, Великобритании, Швейцарии, Бразилии или иной юрисдикции с ограничениями на трансграничную передачу к Geniri или Суб-процессорам в третьей стране без решения о достаточности такие передачи регулируются SCCs, включёнными посредством ссылки:
Стороны внедряют дополнительные технические, договорные и организационные меры, описанные в Приложении II, включая требования Schrems II Transfer Impact Assessment.
Geniri предоставляет Клиенту всю информацию, разумно необходимую для демонстрации соблюдения настоящего DPA, включая резюме последних отчётов сторонних аудитов безопасности (SOC 2, ISO 27001 и аналогичные), при условии обязательств конфиденциальности.
Клиент может аудировать соблюдение Geniri настоящего DPA не чаще одного раза в год с уведомлением не менее чем за 60 дней, в нормальные рабочие часы, при соблюдении конфиденциальности. Аудит проводит Клиент или независимый аудитор, согласованный сторонами (за исключением конкурентов Geniri). Клиент несёт расходы на аудит, кроме случая выявления существенного нарушения, когда расходы несёт Geniri.
В отношении Персональных данных, подпадающих под CCPA/CPRA:
Ответственность каждой стороны по настоящему DPA подчинена ограничениям и исключениям, установленным в Соглашении. Настоящее DPA не увеличивает и не уменьшает ответственность сторон, иначе ограниченную в Соглашении, за исключением случаев, когда Законы о защите данных требуют иного. Ничто в настоящем DPA не ограничивает права Субъекта данных против любой стороны или ответственность, которая не может быть ограничена по Законам о защите данных.
В случае конфликта между настоящим DPA и Соглашением настоящее DPA имеет приоритет в отношении обработки Персональных данных. В случае конфликта между настоящим DPA и SCCs приоритет имеют SCCs в пределах, требуемых Законами.
За исключением случаев, когда обязательные Законы о защите данных или SCCs предусматривают иное, настоящее DPA регулируется правом штата Флорида, США.
Geniri может обновлять настоящее DPA для отражения изменений в Сервисе, Суб-процессорах или Законах, при условии что обновления не уменьшают защиту Персональных данных.
Varneli LLC d/b/a Geniri — Команда Privacy
17290 Rainstream Rd, Boca Raton, FL 33496, США
Email: privacy@geniri.ai · DPO: dpo@geniri.ai
Экспортёр / Контроллер: Клиент, указанный в Соглашении.
Импортёр / Обработчик: Varneli LLC d/b/a Geniri, 17290 Rainstream Rd, Boca Raton, FL 33496, США. Контакт: privacy@geniri.ai.
Категории Субъектов данных: сотрудники, подрядчики, потенциальные клиенты, лиды, клиенты, деловые контакты, подписчики рассылок, посетители сайта и другие лица, чьи Персональные данные Клиент загружает в Сервис.
Категории Персональных данных: идентификационные и контактные (имя, email, телефон, должность, работодатель, рабочий адрес); контент коммуникаций (текст email, темы, вложения, коммерческие предложения); данные кампаний (отправки, открытия, клики, ответы, bounce, отписки); данные CRM (активности, заметки, стадии pipeline, сделки, custom fields); аутентификационные данные (username, хэшированный пароль, IP, session identifiers); технические данные (логи, информация об устройстве/браузере).
Чувствительные данные: не предполагается обработка. Клиент не загружает специальные категории по GDPR ст. 9 или чувствительные данные по LGPD без письменного согласия.
Частота передачи: непрерывно на срок Соглашения.
Характер обработки: сбор, запись, организация, структурирование, хранение, адаптация, извлечение, консультация, использование, раскрытие посредством передачи, распространение, выравнивание, комбинация, ограничение, удаление или уничтожение Персональных данных, необходимые для предоставления, защиты, поддержки и улучшения Сервиса.
Цель обработки: предоставление Сервиса Клиенту — выполнение email-кампаний; управление контактами и CRM; генерация AI-контента; доставка аналитики; аутентификация Пользователей; безопасность Сервиса; поддержка; соблюдение юридических обязательств.
Срок хранения: Персональные данные обрабатываются на срок Соглашения и удаляются в течение 90 дней после прекращения. Логи и бэкапы — по документированному расписанию Geniri, обычно не более 36 месяцев.
Передачи Суб-процессорам: как указано в Приложении III.
При применении SCCs: (а) для Субъектов в ЕЭЗ — надзорный орган страны-члена, где Субъект является резидентом; (б) для Великобритании — ICO; (в) для Швейцарии — FDPIC; (г) для Бразилии — ANPD.
Актуальный список поддерживается по адресу legal@geniri.ai. Ключевые Суб-процессоры на дату вступления в силу:
| Суб-процессор | Услуга | Локация |
|---|---|---|
| Twilio SendGrid, Inc. | Доставка email | США |
| Amazon Web Services, Inc. (AWS) | Облачная инфраструктура | США / регионы ЕС |
| Stripe, Inc. | Обработка платежей (биллинг) | США |
| OpenAI, L.L.C. | AI-инференс | США |
| Anthropic, PBC | AI-инференс (Claude) | США |
| Google LLC (Gemini API) | AI-инференс | США / регионы ЕС |
| Perplexity AI, Inc. | AI-поиск / инференс | США |
| Cloudflare, Inc. | CDN, WAF, DDoS | США (глобальный edge) |
| Google LLC (Workspace, GA4) | Email, аналитика | США / регионы ЕС |
| Functional Software, Inc. (Sentry) | Мониторинг ошибок | США |
| Intercom, Inc. | Клиентская поддержка | США / ЕС |
| Vercel Inc. | Фронтенд-хостинг | США (глобальный edge) |
| Apollo.io, Inc. | Лицензированные B2B контакты | США |
| Termly Inc. | Платформа cookie consent | США |