Соглашение об обработке персональных данных (DPA)
Data Processing Agreement
Редакция от 1 мая 2026
Когда нужен DPA? Если ваша организация обрабатывает персональные
данные третьих лиц (клиентов, сотрудников, контрагентов) и использует «Вышку»
как инструмент работы с ними — формально вы являетесь Оператором ПД, а
Вышка — Обработчиком (Data Processor) от вашего имени. Этот документ
закрепляет границы ответственности.
1. Стороны
| Роль | Описание |
|---|
Заказчик
Оператор ПД |
Юридическое лицо или ИП, владеющий своим Bitrix24-порталом и
являющийся Оператором ПД своих клиентов в смысле 152-ФЗ.
Подписывает оферту/договор с Исполнителем. |
Исполнитель
Обработчик ПД |
ИП Сапрыкина Екатерина Викторовна, г. Ярославль (правообладатель
ПО «Вышка»). Обрабатывает ПД исключительно от имени
Заказчика и по его поручению. |
2. Какие категории ПД обрабатываются
В рамках использования Сервиса «Вышка» Исполнитель может обрабатывать
следующие категории ПД, принадлежащих субъектам Заказчика:
- Контактные данные: ФИО, должность, телефон, email
контактных лиц компаний-контрагентов Заказчика.
- Договорные данные: наименование организации, ИНН,
КПП, адрес, банковские реквизиты — поступают через CRM Bitrix24
Заказчика.
- Коммуникации: комментарии в сделках, история звонков
(если включена интеграция с телефонией), транскрипты записей.
- Поведенческие: метки активности, AI-оценки сделок,
прогнозы конверсии — генерируются Сервисом на основе входных данных.
Специальные категории ПД (раса, политика, биометрия,
здоровье — ст. 10 152-ФЗ) Сервисом не обрабатываются. При выявлении таких
данных в сделках Заказчик обязан удалить их или прекратить использование
Сервиса для соответствующих сделок.
3. Цель и средства обработки
Цель: оказание услуг по подписке на Сервис «Вышка». Конкретные операции:
- Чтение данных из CRM Заказчика по выданному им webhook/OAuth-токену.
- Обработка средствами AI (анализ, классификация, генерация подсказок).
- Запись результатов обратно в CRM Заказчика (комментарии, оценки).
- Хранение производных данных (агрегированные метрики, аудит-лог) в
изолированном tenant-контуре Сервиса.
Средства: облачная инфраструктура на территории РФ (см. п. 6).
4. Права и обязанности Заказчика
Заказчик в роли Оператора ПД:
- Гарантирует наличие правовых оснований для передачи ПД Исполнителю
(согласие субъектов или иное основание ст. 6 152-ФЗ).
- Своевременно уведомляет Исполнителя об отзыве согласий конкретных
субъектов — Исполнитель обязан удалить их данные в течение 30 дней.
- Обеспечивает безопасность своих учётных данных (webhook-токен,
API-токен tenant'а).
- Не передаёт через Сервис данные не подпадающие под цели обработки.
5. Права и обязанности Исполнителя
Исполнитель в роли Обработчика ПД:
- Обрабатывает ПД исключительно по поручению Заказчика
в рамках предмета договора.
- Не использует ПД Заказчика для собственных целей (маркетинг, обучение
моделей, передача третьим лицам — все запрещено).
- Соблюдает требования 152-ФЗ к технико-организационным мерам защиты.
- В течение 24 часов уведомляет Заказчика об инциденте безопасности
затрагивающем его данные.
- По прекращении договора удаляет ПД Заказчика в срок 30 дней (с
возможностью предварительного экспорта по запросу).
- Содействует Заказчику в исполнении прав субъектов ПД (предоставляет
данные, удаляет, блокирует) в течение 10 рабочих дней.
6. Технические меры защиты
| Мера | Реализация |
|---|
| Локализация | Серверы РФ (jino.ru), бэкапы РФ |
| Шифрование в покое | ext4 + LUKS, секреты в /etc/ 640 root:www-data |
| Шифрование в передаче | TLS 1.2+ на всех endpoints, HSTS |
| Контроль доступа | Bearer-токен per-tenant, signed URLs для widgets, IP-whitelist для админа |
| Изоляция tenant'ов | Per-tenant env-файл, отдельный state/log директории |
| Аудит | Append-only decisions.jsonl, недоступный для модификации web-handler'ом |
| Логи безопасности | 90 дней, затем анонимизация |
| Резервное копирование | Ежедневно, шифрованные снимки на отдельный VPS |
7. Субподрядчики Исполнителя
Исполнитель привлекает следующих субподрядчиков (sub-processors):
| Субподрядчик | Назначение | Локация |
|---|
| jino.ru | VPS-инфраструктура | РФ |
| АО «Тинькофф Банк» | Эквайринг (только платёжные данные) | РФ |
| Bitrix24 (1C-Bitrix) | Платформа CRM Заказчика | РФ (Bitrix24.ru) |
Исполнитель уведомляет Заказчика о смене или добавлении субподрядчика
за 30 дней. Заказчик вправе возразить — в этом случае Исполнитель либо
не привлекает спорного субподрядчика, либо договор подлежит расторжению.
8. Аудит и инспекция
Заказчик вправе один раз в 12 месяцев запросить отчёт о соответствии
Исполнителя требованиям настоящего DPA. Внеплановый аудит — только при
обоснованных подозрениях на инцидент. Стоимость внепланового аудита — за
счёт Заказчика, если нарушений не выявлено.
9. Срок действия
DPA действует с момента первой регистрации Заказчика в Сервисе и до
полного удаления его tenant'а (включая 30-дневный grace-период после
расторжения договора подписки).
10. Прочее
- В случае противоречий между DPA и Публичной офертой — приоритет имеет
DPA в части обработки ПД.
- Изменения DPA публикуются по адресу /api/dpa.php
с уведомлением Заказчика на email за 30 дней.
- Применимое право: законодательство РФ. Подсудность — Арбитражный суд
Ярославской области.
Реквизиты Исполнителя
ИП Сапрыкина Екатерина Викторовна
Email: zayavka@bez-it.ru
Сайт: vyshka.cloud · bez-it.ru
Подписать DPA отдельным документом (для тендеров, госов, банков):
напишите на
zayavka@bez-it.ru, тема
«DPA: подписание для <ваша компания>». Высылаем в формате PDF на подпись
квалифицированной электронной подписью.
Политика конфиденциальности ·
Публичная оферта ·
Тарифы