Соглашение о поручении обработки персональных данных (DPA)

1. Предмет и правовые основания

1.1. Оператор поручает, а Обработчик обязуется осуществлять обработку ПДн Конечных клиентов Оператора, передаваемых в Сервис, в соответствии с 152-ФЗ, подзаконными актами Роскомнадзора, ФСТЭК, ФСБ.

1.2. Правовое основание — ч. 3 ст. 6 152-ФЗ.

1.3. Обработчик вправе обрабатывать ПДн только в объёме и способами, предусмотренными Соглашением, и только в целях оказания услуг.

2. Категории ПДн и субъектов

2.1. Категории субъектов: Пользователи ЛК Оператора (сам Оператор, сотрудники-операторы); Конечные клиенты — физические лица, взаимодействующие с Оператором через Сервис.

2.2. Обрабатываемые ПДн.

От Пользователей ЛК: ФИО, email, телефон, хеш пароля (argon2), IP, user-agent, сессии, токенизированные платёжные реквизиты.

От Конечных клиентов: идентификаторы каналов (Telegram user id, VK id, MAX id, cookie виджета); имя; телефон, email; содержимое сообщений и вложений; метаданные взаимодействия; UTM/referrer виджета; данные записей NovaClients; история покупок / чеков — при передаче Оператором в рамках loyalty.

2.3. Специальные категории ПДн не обрабатываются. Оператор обязуется не загружать в Сервис специальные категории и биометрические ПДн. Медицинская тематика допускается только с отдельного письменного согласия Обработчика и при соблюдении Оператором ст. 10 152-ФЗ.

3. Цели обработки

3.1. Обработчик обрабатывает ПДн исключительно для:

• функционирования Сервиса (приём сообщений, генерация AI-ответов, история, уведомления);
• предоставления Оператору доступа к его данным через ЛК;
• работы NovaClients;
• выполнения платёжных операций;
• информационной безопасности (анти-фрод, защита от атак);
• исполнения требований законодательства РФ.

3.2. Обработчик не использует ПДн Конечных клиентов для собственного маркетинга; для обучения LLM-моделей; для передачи за пределы перечня соисполнителей (раздел 5).

4. Перечень действий по обработке

Сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (в пределах раздела 5), обезличивание, блокирование, удаление, уничтожение. С использованием средств автоматизации на серверах в ЦОД AdminVPS (г. Москва, РФ).

5. Привлечение соисполнителей

Оператор даёт согласие на следующих соисполнителей (sub-processors):

О привлечении новых соисполнителей Обработчик уведомляет за 14 дней обновлением DPA и нотификацией в ЛК. При возражении Оператор вправе расторгнуть Договор по п. 5.7 Оферты.

6. Меры защиты (УЗ-3)

Технические: шифрование секретов в БД (AES-256-GCM); HTTPS/TLS 1.2+ с HSTS; HMAC-подпись публичных widget-эндпоинтов; хеширование паролей argon2id; token versioning для инвалидации JWT; rate limiting, анти-фрод; изолированные сети Docker, firewall; журналирование AppLog (не менее 180 дней); ежедневное резервное копирование с шифрованием; мониторинг целостности, алёрты на аномалии.

Организационные: доступ по принципу минимальных прав; NDA со всеми имеющими доступ к ПДн; ответственный за обработку — ИП Карзаков Д.Е. лично; регламент реагирования на инциденты; ежегодный аудит.

Обработчик включён в реестр операторов персональных данных Роскомнадзора и поддерживает сведения об обработке ПДн актуальными в порядке, предусмотренном 152-ФЗ.

7. Инциденты безопасности

При обнаружении несанкционированного доступа, изменения, уничтожения ПДн Обработчик обязан:

• в течение 24 часов — уведомить Оператора по email, указанному при регистрации;
• в течение 72 часов — уведомить Роскомнадзор (ч. 3.1 ст. 21 152-ФЗ);
• в срок до 72 часов — первичный отчёт Оператору (объём, причины, меры);
• в течение 30 дней — окончательный отчёт о результатах реагирования.

Оператор самостоятельно уведомляет Конечных клиентов, если это требуется законом; Обработчик оказывает информационное содействие.

8. Права субъектов ПДн

Обработчик содействует Оператору в реализации прав субъектов (ст. 14 152-ФЗ): получение сведений, уточнение, блокирование, удаление, отзыв согласия, обжалование.

Запросы субъектов, поступившие Обработчику, пересылаются Оператору в течение 3 рабочих дней. Оператор отвечает субъекту в срок, установленный 152-ФЗ (до 10 рабочих дней + 5 дней).

Технические инструменты — через ЛК Оператора или API: выгрузка, удаление, блокирование.

9. Сроки обработки и удаление

9.1. Обработчик хранит ПДн в течение действия Договора и в сроки, установленные законодательством.

9.2. История диалогов — согласно глубине Тарифа (7 / 30 / 90 / 365 дней).

9.3. После расторжения Договора:

• операционные данные — удаление в течение 30 дней (режим «только чтение» для выгрузки);
• резервные копии — удаление в течение 90 дней;
• журналы безопасности (AppLog) — до 1 года.

9.4. По письменному запросу Оператора Обработчик подтверждает факт уничтожения ПДн актом в 10 рабочих дней.

10. Ответственность

10.1. Обработчик несёт ответственность перед Оператором в пределах п. 10.2 Оферты.

10.2. Оператор несёт ответственность за законность передачи ПДн Конечных клиентов Обработчику, в том числе за наличие правовых оснований.

10.3. При претензиях/штрафах регулятора к Обработчику по вине Оператора — Оператор возмещает Обработчику убытки.

11. Заключительные положения

11.1. Соглашение вступает в силу с момента акцепта Оферты и действует до прекращения Договора.

11.2. Прекращение Соглашения не освобождает Обработчика от обязанности удалить/вернуть ПДн по разделу 9.

11.3. Ответственный за организацию обработки ПДн: legal@novalead.ru.