Соглашение об обработке данных (DPA)

1. Термины

Владелец сайта (Контролёр / Оператор ПДн) — Пользователь Сервиса, установивший наш JavaScript SDK на своём интернет-ресурсе и/или отправляющий данные через API/интеграции.

Сервис (Обработчик / Processor) — ИП Диденко Л.Ю., осуществляющий обработку ПДн посетителей сайта Владельца по поручению Владельца.

Сайт Владельца — интернет-ресурс, на котором установлен наш SDK или с которого отправляются данные через интеграции (Авито, Wildberries, Ozon, Telegram, REST API).

Посетитель / Пользователь сайта — субъект ПДн, чьи данные поступают в Сервис через SDK/API Владельца.

Термины «ПДн», «обработка ПДн», «Оператор ПДн» используются в значениях, определённых Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

2. Предмет соглашения

Настоящее Соглашение об обработке данных (Data Processing Agreement, DPA) регулирует отношения между Владельцем сайта (Контролёром) и Сервисом (Обработчиком) в части обработки персональных данных посетителей сайта Владельца, поступающих в Сервис через:

• JavaScript SDK Notix;
• REST API / Webhook-и;
• интеграции с маркетплейсами (Авито, Wildberries, Ozon), мессенджерами (Telegram) и иными сервисами.

DPA применяется автоматически с момента подключения SDK/API/интеграции Владельцем сайта.

3. Распределение ролей (Контролёр / Обработчик)

3.1. Владелец сайта = Контролёр (Оператор ПДн)

Владелец сайта является самостоятельным Оператором ПДн в отношении персональных данных посетителей своего сайта в значении ст. 3 152-ФЗ. Владелец самостоятельно:

• определяет цели обработки ПДн;
• определяет состав обрабатываемых ПДн (включая данные, передаваемые через формы, чат-виджеты, метрики);
• получает необходимые согласия посетителей (ст. 9 152-ФЗ);
• размещает на своём сайте политику конфиденциальности и уведомления о cookies;
• обеспечивает права субъектов ПДн (ст. 14–17 152-ФЗ);
• выполняет иные обязанности, предусмотренные 152-ФЗ.

3.2. Сервис = Обработчик (Processor)

Сервис выступает в качестве Обработчика ПДн по поручению Владельца сайта (ст. 6 152-ФЗ). Сервис не определяет цели и состав обрабатываемых данных, не контролирует содержание форм и виджетов, через которые посетители передают свои данные, и действует исключительно в рамках технической обработки, необходимой для предоставления функциональности.

4. Обязанности Сервиса (Обработчика)

Сервис обязуется:

1. Обрабатывать ПДн только в объёме, необходимом для исполнения договора (Оферты) с Владельцем.
2. Не раскрывать ПДн третьим лицам, кроме случаев, прямо предусмотренных настоящим DPA и применимым законодательством.
3. Обеспечивать конфиденциальность ПДн, принимать необходимые организационные и технические меры в соответствии со ст. 19 152-ФЗ (см. п. 8).
4. Привлекать субподрядчиков (субобработчиков) только с обеспечением аналогичного уровня защиты (см. п. 9).
5. По запросу Владельца предоставлять информацию, необходимую для подтверждения выполнения обязательств по 152-ФЗ (в разумном объёме).
6. Уведомлять Владельца об инцидентах безопасности (п. 11).
7. По окончании обработки (в т.ч. при удалении аккаунта Владельца) — удалить или вернуть ПДн по выбору Владельца (п. 12).

5. Обязанности Владельца сайта (Контролёра)

Владелец сайта обязуется:

1. Разместить на своём сайте актуальную политику конфиденциальности, отражающую использование нашего SDK, сбор аналитики и передачу данных в Сервис.
2. Уведомлять посетителей об использовании cookie и аналитических инструментов (включая наш SDK) в соответствии с применимым законодательством.
3. Получать необходимые согласия от посетителей на обработку их ПДн, если это требуется по закону (ст. 9 152-ФЗ). Это касается, в частности, данных, которые Владелец собирает через формы, чат-виджеты, иные виджеты с передачей в наш Сервис.
4. Не передавать в Сервис специальные категории ПДн (раса, религия, здоровье, биометрия, сексуальная ориентация, политические взгляды) без отдельного соглашения с Оператором.
5. Обеспечивать права субъектов ПДн (ст. 14–17 152-ФЗ). Владелец самостоятельно обрабатывает запросы субъектов о доступе, уточнении, удалении данных, отзыве согласия.
6. Уведомлять Роскомнадзор об обработке ПДн в порядке, установленном 152-ФЗ (если Владелец подпадает под обязанность уведомления).
7. Соблюдать требования ст. 10.1 152-ФЗ о локализации данных граждан РФ на территории РФ, если это применимо.

Владелец самостоятельно и за свой счёт урегулирует любые претензии посетителей, Роскомнадзора и иных уполномоченных органов, связанные с обработкой данных, переданных в Сервис через SDK/API/интеграции, и возместит Сервису понесённые убытки (включая штрафы).

6. Типы обрабатываемых данных

6.1. Данные метрики (по умолчанию)

• visitor_id, session_id (анонимные UUID)
• user-agent, screen resolution, language, timezone
• IP-адрес (для определения геолокации)
• referrer, UTM-метки
• поведенческие данные: просмотренные страницы, клики, скролл, время на странице

6.2. Данные форм (опционально, по инициативе Владельца)

Владелец может настроить наш SDK для перехвата данных из форм на своём сайте (функция autoCapture). В этом случае Сервис получает те поля формы, которые Владелец явно разрешает собирать. Состав данных определяется Владельцем.

6.3. Данные интеграций

При подключении Владельцем интеграций (Авито, Wildberries, Ozon, Telegram) Сервис получает данные, возвращаемые API соответствующего сервиса по запросам Владельца.

7. Правовые основания обработки

Сервис обрабатывает ПДн посетителей на основании поручения Владельца сайта (ст. 6 152-ФЗ). Сервис исходит из того, что Владелец получил все необходимые правовые основания для обработки и передачи данных Сервису.

Сервис не несёт ответственности за отсутствие у Владельца правовых оснований для обработки.

8. Безопасность и конфиденциальность

Сервис принимает следующие меры защиты ПДн:

• Шифрование данных при передаче (TLS 1.2+, HTTPS everywhere)
• Шифрование данных при хранении (AES-256 для критичных полей)
• Контроль доступа на основе ролей (RBAC)
• Аудит действий сотрудников (логирование)
• Регулярное обновление программного обеспечения
• Резервное копирование и план восстановления
• Защита от DDoS, WAF, мониторинг аномалий
• Двухфакторная аутентификация для админ-доступа

Сервис соответствует требованиям ст. 19 152-ФЗ к мерам защиты ПДн.

9. Субподрядчики (субобработчики)

Сервис вправе привлекать следующих субработчиков:

Сервис обязуется уведомлять Владельца о планируемом привлечении новых субработчиков не менее чем за 30 (тридцать) дней. Владелец вправе возразить в течение указанного срока.

10. Запросы субъектов ПДн

Запросы субъектов ПДн (посетителей сайта) о доступе, уточнении, удалении данных, отзыве согласия обрабатываются Владельцем сайта как Контролёром.

Сервис оказывает Владельцу разумное содействие в обработке таких запросов в технических рамках (предоставление инструментов экспорта/удаления в админ-панели, API).

Если запрос субъекта ПДн поступает непосредственно в Сервис, Сервис:

• перенаправляет запрос Владельцу сайта (Контролёру);
• либо при наличии технических оснований — самостоятельно предоставляет субъекту информацию о том, кто является Контролёром его данных.

11. Уведомление об инцидентах

В случае утечки или компрометации ПДн, обрабатываемых по поручению Владельца, Сервис обязуется:

• уведомить Владельца в срок не позднее 24 часов с момента обнаружения инцидента;
• предоставить Владельцу информацию, необходимую для выполнения обязанности уведомления Роскомнадзора (ст. 21 152-ФЗ) и субъектов ПДн (ст. 22 152-ФЗ);
• принять разумные меры по устранению последствий инцидента.

Владелец самостоятельно уведомляет Роскомнадзор и субъектов ПДн в установленные законом сроки.

12. Удаление данных

При удалении аккаунта Владельца или прекращении использования SDK/интеграций Сервис:

• прекращает обработку ПДн по поручению Владельца;
• удаляет ПДн из активных систем в течение 30 (тридцати) дней;
• удаляет данные из резервных копий в течение 90 (девяноста) дней.

Данные могут быть сохранены в случаях, предусмотренных законодательством (бухгалтерский учёт, налоговые органы, иные обязательства).

13. Аудит

Владелец вправе запросить у Сервиса подтверждение выполнения обязательств по настоящему DPA (предоставление отчёта о мерах защиты, прохождении проверок, сертификации). Запрос направляется в письменной форме. Срок ответа — 30 дней.

14. Ответственность и оговорки

14.1. Сервис не несёт ответственности за:

• отсутствие у Владельца правовых оснований для сбора и передачи ПДн посетителей;
• нарушение Владельцем ст. 10.1 152-ФЗ (локализация данных граждан РФ);
• неисполнение Владельцем обязанностей Контролёра (ст. 18–22.1 152-ФЗ);
• претензии посетителей, Роскомнадзора и иных органов, вызванные действиями/бездействием Владельца по сбору согласий и уведомлению посетителей;
• содержание форм, виджетов, контента на сайте Владельца, через которые поступают ПДн.

14.2. Владелец обязуется возместить Сервису любые убытки (включая штрафы по ст. 13.11 КоАП РФ), понесённые Сервисом в связи с нарушением Владельцем своих обязанностей по настоящему DPA и применимому законодательству о ПДн.

Реквизиты