Договор-поручение на обработку персональных данных

(Приложение № 1 к Публичной оферте «Утренний разбор» V2)

Редакция: v2.0 Дата редакции: 2026-05-27 Заменяет: v1.0 от 2026-05-26 Место публикации: https://aiopssprint.ru/utr-razbor/dpa.html

Преамбула

Настоящий Договор-поручение (далее - «Поручение») заключается в соответствии со ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - «152-ФЗ») между:

Заказчиком по основному Договору на оказание услуг «Утренний разбор» (Публичная оферта v2.0 от 2026-05-26), являющимся Оператором персональных данных в значении 152-ФЗ (далее - «Оператор»), с одной стороны, и

Индивидуальным предпринимателем Тухбатуллиной Еленой Сергеевной (ИНН 165014444775, ОГРНИП 325169000128387), выступающей в роли Лица, осуществляющего обработку персональных данных по поручению Оператора (далее - «Обработчик»), с другой стороны,

совместно именуемых «Стороны».

Настоящее Поручение является неотъемлемой частью Публичной оферты на оказание услуг «Утренний разбор» v2.0 (далее - «Основной договор») и применяется в случае фактической передачи Оператором Обработчику персональных данных третьих лиц в ходе исполнения Основного договора.

1. Предмет Поручения

1.1. Оператор поручает, а Обработчик принимает на себя обязательство осуществлять обработку персональных данных физических лиц (далее - «ПД»), полученных Обработчиком из учётной системы Оператора через API маркетплейса-партнёра (МойСклад, RetailCRM, Bitrix24, AmoCRM и иных, далее - «Маркетплейс») в ходе исполнения Основного договора, исключительно в целях и в пределах, установленных настоящим Поручением.

1.2. Поручение не предполагает плановой передачи ПД от Оператора Обработчику. Услуга строится на обработке агрегированных коммерческих показателей. Настоящее Поручение применяется к ситуациям технически неустранимого присутствия ПД в данных, получаемых через API Маркетплейса (например, поля с ФИО клиентов в карточках продаж, контакты в карточках контрагентов, поля «комментарий» с произвольным текстом).

1.3. С момента фактического получения Обработчиком ПД от Оператора через API Маркетплейса настоящее Поручение считается заключённым и действующим в отношении соответствующего объёма ПД.

2. Цели обработки

2.1. Обработка ПД по настоящему Поручению осуществляется исключительно в следующих целях:

• технический приём данных из учётной системы Оператора через API Маркетплейса в рамках оказания Услуги по Основному договору;
• автоматическое выявление, обезличивание (замена на агрегированные коды) либо удаление ПД из получаемого набора данных в максимально короткий срок;
• последующее хранение исключительно обезличенных агрегатов, не относящихся к ПД.

2.2. Обработка ПД в любых иных целях, включая маркетинговые, аналитические в отношении субъектов ПД, передачу третьим лицам, в том числе передачу в AI-сервис, - запрещена.

3. Перечень и категории обрабатываемых ПД

3.1. Категории субъектов ПД, чьи данные могут быть получены Обработчиком через API Маркетплейса:

• работники Оператора;
• клиенты и посетители Оператора;
• представители контрагентов Оператора (юридических лиц и индивидуальных предпринимателей).

3.2. Состав ПД, возможный к получению:

• фамилия, имя, отчество;
• контактные данные: номер телефона, адрес электронной почты;
• идентификаторы в мессенджерах;
• сведения о трудовой деятельности (для работников Оператора);
• иные ПД, технически возвращаемые API Маркетплейса в составе карточек контрагентов, продаж, заказов.

3.3. Запрещённые к передаче категории: - специальные категории ПД (раса, политические взгляды, состояние здоровья и др.); - биометрические ПД; - сведения о судимости; - ПД несовершеннолетних.

При обнаружении в полученных данных указанных категорий Обработчик обязан немедленно прекратить обработку, уничтожить соответствующие данные и уведомить Оператора в течение 24 часов.

4. Перечень действий с ПД

4.1. Обработчик вправе совершать со ПД следующие действия:

• получение через API Маркетплейса;
• кратковременная запись и хранение в системах Обработчика на территории РФ;
• идентификация и немедленное обезличивание либо удаление;
• передача результатов обработки (только в обезличенном виде) Оператору обратно в составе «Утреннего разбора».

4.2. Обработчик не вправе:

• передавать ПД третьим лицам, включая внешний AI-сервис Anthropic (Claude), используемый Обработчиком для генерации текстовых пояснений; в AI-сервис передаются исключительно агрегаты после обезличивания;
• использовать ПД для целей, не связанных с исполнением Основного договора;
• объединять ПД из выгрузок разных клиентов Обработчика;
• осуществлять профилирование субъектов ПД;
• принимать на основании ПД юридически значимые решения, затрагивающие субъектов ПД.

4.3. Внешний AI-сервис и ПД. Используемый Обработчиком AI-сервис Anthropic (Claude, юрисдикция США) не получает ПД в силу обязательной обработки данных на предварительном этапе:

• (i) фильтрация полей карточек по схеме (исключаются поля с типом «контакт», «ФИО», «комментарий», «телефон», «e-mail» и аналогичными);
• (ii) замена идентификаторов сущностей на обезличенные коды (Точка #N, Контрагент #N, Категория #N);
• (iii) агрегация числовых показателей до уровня дня и Точки;
• (iv) контроль состава пакета, отправляемого в AI-сервис, на отсутствие персонализирующих признаков.

В случае выявления Обработчиком сбоя одной из ступеней фильтрации (i)-(iv), повлёкшего риск передачи ПД во внешний AI-сервис, Обработчик действует в порядке п. 6.3 настоящего Поручения.

5. Срок обработки и хранения

5.1. Максимальный срок хранения полученных ПД Обработчиком - 30 (тридцать) календарных дней с даты фактического получения через API Маркетплейса, при условии, что более раннее уничтожение технически возможно.

5.2. По общему правилу Обработчик обязан выявить и удалить (либо обезличить) ПД в течение 3 (трёх) рабочих дней с момента поступления соответствующей порции данных.

5.3. По окончании срока, указанного в п. 5.1, либо по требованию Оператора (направленному по электронной почте), Обработчик обязан: - удалить ПД из всех своих систем и резервных копий; - направить Оператору акт об уничтожении в течение 5 (пяти) рабочих дней с момента уничтожения.

5.4. Прекращение Основного договора по любому основанию влечёт обязанность Обработчика уничтожить все ПД в течение 30 (тридцати) календарных дней.

6. Требования к защите ПД

6.1. Обработчик обеспечивает выполнение требований ч. 5 ст. 18 и ст. 19 152-ФЗ, в том числе:

• локализацию хранения и обработки ПД граждан РФ на серверах российского хостинг-провайдера Timeweb, расположенных на территории Российской Федерации;
• шифрование ПД при передаче по открытым каналам связи (TLS 1.2+);
• шифрование хранимых ПД на уровне приложения (Vault / pgsodium);
• разграничение доступа к ПД: доступ предоставляется только ИП Тухбатуллиной Е.С. и явно допущенным привлечённым лицам, подписавшим соглашение о неразглашении;
• журналирование (audit log) всех операций с ПД: дата и время, идентификатор оператора, тип операции, объём данных. Срок хранения журнала - 3 (три) года;
• резервное копирование с применением шифрования и сроком хранения резервных копий не более срока, указанного в п. 5.1;
• антивирусную защиту рабочих мест и серверов;
• парольную защиту доступа с обязательной сменой паролей не реже 1 раза в 90 дней.

6.2. Обработчик применяет уровень защищённости 4 в значении Постановления Правительства РФ от 01.11.2012 № 1119 как минимально достаточный для обрабатываемых категорий ПД. Перечень и состав используемых средств защиты информации оформляется отдельным внутренним документом Обработчика «Положение об организационных и технических мерах защиты ПД».

6.3. Уведомление об инциденте. В случае выявления неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения, иных неправомерных действий, в том числе сбоя фильтрации, повлёкшего риск передачи ПД во внешний AI-сервис, Обработчик обязан:

• уведомить Оператора по электронной почте и в Telegram в течение 24 (двадцати четырёх) часов с момента обнаружения инцидента;
• направить уведомление в Роскомнадзор в порядке, установленном Приказом Роскомнадзора от 14.11.2022 № 187 (первичное - в течение 24 часов, расширенное по итогам расследования - в течение 72 часов);
• оказать Оператору необходимое содействие в работе с обращениями субъектов ПД и государственных органов.

7. Обязанности Сторон

7.1. Оператор обязуется:

• обеспечить наличие у себя правовых оснований обработки ПД в соответствии с 152-ФЗ;
• получить, при необходимости, согласия субъектов ПД на передачу их данных Обработчику в целях, предусмотренных настоящим Поручением;
• предоставлять Обработчику минимально необходимый объём прав доступа в учётной системе через API Маркетплейса;
• информировать субъектов ПД об Обработчике как о лице, осуществляющем обработку по поручению (если применимо);
• незамедлительно уведомлять Обработчика об отзыве согласия субъекта ПД, поступившем Оператору, и об отзыве API-доступа через интерфейс Маркетплейса.

7.2. Обработчик обязуется:

• обрабатывать ПД исключительно в целях, определённых настоящим Поручением;
• соблюдать конфиденциальность ПД и обеспечивать их безопасность;
• выполнять требования, изложенные в разделе 6;
• обеспечивать многоступенчатую фильтрацию данных перед отправкой в любой внешний AI-сервис, исключающую попадание ПД во внешние системы (п. 4.3);
• незамедлительно прекращать обработку ПД по требованию Оператора либо при отзыве Оператором API-доступа;
• предоставлять Оператору по его запросу информацию об обработке ПД, в том числе об организационных и технических мерах защиты;
• содействовать Оператору в реализации прав субъектов ПД и в работе с проверками Роскомнадзора;
• не передавать ПД третьим лицам без письменного согласия Оператора;
• по окончании срока обработки уничтожать ПД и предоставлять акт об уничтожении.

8. Ответственность

8.1. За нарушение требований 152-ФЗ Стороны несут ответственность в соответствии с законодательством РФ (КоАП РФ, УК РФ, ГК РФ).

8.2. Ответственность перед субъектом ПД за действия Обработчика несёт Оператор. Обработчик несёт ответственность перед Оператором в порядке регресса.

8.3. Финансовая ответственность Обработчика перед Оператором за нарушение требований настоящего Поручения, повлёкшее наложение на Оператора штрафов государственных органов или возмещение вреда субъектам ПД, ограничена суммой, фактически уплаченной Оператором за пользование Услугой по Основному договору за последние 12 (двенадцать) Расчётных периодов, предшествующих событию.

8.4. Ограничение, установленное п. 8.3, не применяется в случае умышленного нарушения Обработчиком требований настоящего Поручения, повлёкшего утечку ПД.

9. Срок действия Поручения

9.1. Поручение действует с момента фактического получения Обработчиком ПД из учётной системы Оператора через API Маркетплейса и до момента полного уничтожения ПД Обработчиком.

9.2. Прекращение Основного договора не прекращает обязательств Обработчика по уничтожению ПД (п. 5.4) и сохранению конфиденциальности.

10. Заключительные положения

10.1. Настоящее Поручение составлено в соответствии с требованиями ч. 3 ст. 6 152-ФЗ и регулирует отношения Сторон в части обработки ПД.

10.2. Во всём остальном, что не урегулировано настоящим Поручением, применяются положения Основного договора и законодательства РФ.

10.3. Контактные лица Сторон по вопросам обработки ПД:

• Со стороны Оператора: ФИО и email указываются Заказчиком в Личном кабинете приложения.
• Со стороны Обработчика: Тухбатуллина Елена Сергеевна, email support@aiopssprint.ru.

10.4. Поручение принимается Оператором по факту: предоставление Оператором Обработчику API-доступа к учётной системе через Маркетплейс с правами на чтение карточек, содержащих ПД, в рамках исполнения Основного договора означает согласие Оператора с условиями настоящего Поручения в действующей редакции на момент предоставления доступа.

Реквизиты Обработчика

Индивидуальный предприниматель Тухбатуллина Елена Сергеевна

• ИНН: 165014444775
• ОГРНИП: 325169000128387
• Адрес регистрации: 423826, Россия, Республика Татарстан, г. Набережные Челны, ул. Шамиля Усманова, д. 108, кв. 215
• Электронная почта: support@aiopssprint.ru
• Регистрация в реестре операторов ПД Роскомнадзора: уведомление направлено в Роскомнадзор; реестровый номер будет указан в настоящем Поручении после включения Обработчика в реестр.

Дата редакции: 2026-05-27 Версия: 2.0 Документ опубликован по адресу: https://aiopssprint.ru/utr-razbor/dpa.html