Договор-поручение

Преамбула

Настоящий договор-поручение (далее — «Поручение») заключается между:

Оператором персональных данных: Пользователем SaaS-платформы «БьютиБот» — индивидуальным предпринимателем, юридическим лицом или самозанятым (далее — «Салон»), являющимся оператором персональных данных клиентов своего салона красоты.

Обработчиком персональных данных: Индивидуальным предпринимателем Ходиков Михаил Олегович, ИНН 645114610924, ОГРНИП 321645700005102, г. Саратов, ул. Пшеничная, д. 25Б (далее — «Обработчик»).

Поручение является неотъемлемой частью договора оферты на использование Платформы «БьютиБот» (далее — «Договор»). Акцептом Поручения является регистрация в Платформе и оплата подписки.

1. Предмет поручения

1.1. Салон поручает Обработчику обработку персональных данных клиентов салона (далее — «Субъекты ПД») в целях, способами и в объёме, определённых настоящим Поручением.

1.2. Обработка осуществляется в рамках предоставления Салону доступа к функциональности Платформы «БьютиБот»: ведение клиентской базы, журнала записей, AI-консьержа, рассылок, напоминаний.

1.3. Обработчик действует от имени Салона и в его интересах. Самостоятельные действия Обработчика с персональными данными Субъектов ПД допускаются только в случаях, прямо предусмотренных настоящим Поручением или законодательством РФ.

2. Перечень персональных данных Субъектов

2.1. Обработчик обрабатывает следующие персональные данные Субъектов ПД, передаваемые Салоном:

• Фамилия, имя, отчество (если указаны)
• Номер мобильного телефона
• Адрес электронной почты (если указан)
• Идентификатор в мессенджере Telegram (ID, username)
• Идентификатор в мессенджере MAX (если применимо)
• Дата рождения (если указана)
• История записей и оказанных услуг
• Предпочтения (любимый мастер, услуги, заметки)
• Отзывы и обращения
• Технические данные (дата и время взаимодействия)

2.2. Особые категории персональных данных (информация об особенностях здоровья, например, об аллергии на материалы) обрабатываются только при добровольном предоставлении Субъектом ПД и только в рамках конкретной цели — обеспечения безопасности услуги.

3. Цели обработки

3.1. Обработчик обрабатывает персональные данные Субъектов ПД исключительно в следующих целях:

• запись клиента на услуги салона;
• автоматические напоминания о записях;
• сбор подтверждения присутствия клиента;
• AI-ассистент для ответов на вопросы клиентов от имени Салона;
• хранение истории взаимодействия для повторного обслуживания;
• маркетинговые рассылки от имени Салона — только при отдельном согласии Субъекта ПД;
• статистика и аналитика работы Салона (в обезличенном виде).

3.2. Использование персональных данных Субъектов ПД для целей, не предусмотренных настоящим Поручением, не допускается.

4. Действия с персональными данными

4.1. Обработчик осуществляет следующие действия с персональными данными Субъектов ПД:

• сбор (через интерфейс Платформы и через бот в Telegram/MAX);
• запись и систематизация;
• хранение на серверах Обработчика на территории РФ;
• использование в целях, определённых в разделе 3;
• передача (в случаях, описанных в разделе 5);
• блокирование и удаление по запросу Субъекта ПД или Салона;
• обезличивание для целей аналитики.

4.2. Обработка осуществляется автоматизированными средствами Платформы.

5. Передача данных третьим лицам

5.1. Обработчик может передавать персональные данные Субъектов ПД следующим категориям получателей в обезличенном виде:

• Telegram, MAX — мессенджеры, через которые осуществляется доставка сообщений от Салона клиенту;
• Провайдеры AI-технологий (OpenAI, Yandex GPT) — для обработки запросов клиентов в режиме AI-консьержа. Передаются только обезличенные фрагменты диалогов (без ФИО, телефона, других идентификаторов);
• Хостинг-провайдеры на территории РФ — для хранения данных в зашифрованном виде;
• Государственные органы — по официальному запросу в порядке, установленном законодательством РФ.

5.2. Трансграничная передача данных (в США через OpenAI) осуществляется только в обезличенном виде и только при наличии явного согласия Субъекта ПД, полученного при первом взаимодействии с ботом.

5.3. Обработчик не передаёт персональные данные Субъектов ПД в маркетинговых целях третьим лицам, не имеющим отношения к функциональности Платформы.

6. Требования к защите данных

6.1. Обработчик обеспечивает защиту персональных данных Субъектов ПД в соответствии с требованиями ФЗ-152 и подзаконных актов:

• шифрование данных при передаче (TLS 1.2+);
• шифрование резервных копий;
• ограничение доступа по принципу минимально необходимых привилегий;
• журналирование всех действий с персональными данными;
• обезличивание перед передачей в AI-сервисы;
• двухфакторная аутентификация для административных аккаунтов;
• регулярное резервное копирование;
• защита от несанкционированного доступа.

6.2. Обработчик имеет необходимые организационные документы, регулирующие обработку персональных данных: Политику обработки персональных данных, регламенты доступа, журнал учёта согласий.

7. Обязанности Салона

7.1. Салон обязуется:

• получать у Субъектов ПД надлежащее согласие на обработку их персональных данных в соответствии с ФЗ-152, до момента передачи таких данных Обработчику через Платформу;
• использовать встроенный в Платформу механизм сбора согласия через бот в Telegram и MAX, который автоматически фиксирует факт, дату и хэш текста согласия в журнале consent_logs;
• предоставлять Субъектам ПД доступ к их данным по их запросу;
• обеспечивать возможность отзыва согласия Субъектом ПД (через интерфейс бота или по обращению);
• не передавать Обработчику персональные данные третьих лиц без надлежащего согласия от них;
• незамедлительно (но не позднее 24 часов) уведомлять Обработчика об инцидентах с данными или о запросах Субъектов ПД, требующих участия Обработчика;
• возмещать Обработчику в полном объёме все убытки, штрафы, расходы на юридическую защиту, иные финансовые потери, возникшие у Обработчика в связи с нарушением Салоном обязанностей оператора персональных данных, в том числе при предъявлении претензий со стороны Субъектов ПД, Роскомнадзора, иных государственных органов и третьих лиц;
• самостоятельно нести ответственность перед Субъектами ПД и государственными органами за получение согласия, корректность обработки, отзыв согласия, удаление данных по запросу и иные обязанности оператора по ФЗ-152.

7.2. Обработчик вправе в одностороннем порядке приостановить обработку персональных данных Субъектов ПД (полностью или частично) в следующих случаях:

• при наличии обоснованных сомнений в законности получения Салоном согласия Субъектов ПД;
• при получении Обработчиком жалобы от Субъекта ПД на действия Салона;
• при предписании Роскомнадзора или иного государственного органа;
• при нарушении Салоном условий настоящего Поручения или Договора оферты.

Приостановка обработки не является основанием для возврата Салону оплаченной подписки.

8. Обязанности Обработчика

8.1. Обработчик обязуется:

• обрабатывать персональные данные исключительно в соответствии с настоящим Поручением;
• не передавать данные третьим лицам, кроме случаев, описанных в разделе 5;
• незамедлительно уведомлять Салон об инцидентах с данными (утечка, несанкционированный доступ);
• по запросу Салона предоставлять информацию о порядке обработки персональных данных Субъектов ПД;
• по запросу Субъекта ПД через Салон — обеспечивать удаление, блокирование, уточнение данных;
• по прекращении настоящего Поручения — обеспечить удаление данных Субъектов ПД в течение 30 (тридцати) календарных дней, за исключением данных, хранение которых обязательно по законодательству РФ.

9. Сроки хранения

9.1. Персональные данные Субъектов ПД хранятся:

• В период действия подписки Салона на Платформу — весь период;
• После отмены подписки — 30 (тридцать) календарных дней для возможности восстановления;
• После полного удаления аккаунта Салона — данные Субъектов ПД удаляются в течение 30 дней;
• Журнал согласий (consent_logs) — 3 года после отзыва согласия в соответствии с Приказом Росархива №236;
• Платёжные данные — 5 лет (требования НК РФ и 402-ФЗ).

10. Ответственность сторон

10.1. Обработчик несёт ответственность за нарушения, допущенные исключительно в рамках обработки персональных данных, осуществляемой собственными действиями Обработчика, в пределах, установленных законодательством РФ. Совокупная ответственность Обработчика по настоящему Поручению не может превышать сумму, фактически уплаченную Салоном за последний один календарный месяц подписки на Платформу, и не может превышать 2 500 ₽ при любых обстоятельствах.

10.2. Салон несёт полную и единоличную ответственность за:

• получение надлежащего согласия от каждого Субъекта ПД до передачи его данных Обработчику;
• корректность, актуальность и законность вводимых в Платформу данных;
• использование данных только в целях, для которых Субъекты ПД дали согласие;
• удаление данных Субъектов ПД по их запросу;
• соответствие своей деятельности оператора персональных данных требованиям ФЗ-152;
• любые претензии, иски, штрафы, иные убытки, предъявленные Субъектами ПД, Роскомнадзором, прокуратурой, судами или иными лицами в связи с обработкой персональных данных Субъектов ПД.

10.3. В случае предъявления Роскомнадзором, иным государственным органом или Субъектом ПД претензий по поводу обработки данных Субъектов ПД:

• стороны взаимодействуют в режиме сотрудничества, обмениваются необходимой информацией для урегулирования;
• Салон обязан в течение 30 дней компенсировать Обработчику все понесённые расходы (включая, но не ограничиваясь: оплата юридической помощи, судебные расходы, штрафы), если претензии связаны с нарушением Салоном обязанностей оператора;
• Обработчик не отвечает за действия или бездействие Салона как оператора персональных данных.

11. Срок действия и расторжение

11.1. Настоящее Поручение действует с момента акцепта Договора оферты и до его прекращения.

11.2. При прекращении Договора оферты Поручение прекращается автоматически. Обработчик обязан в течение 30 дней удалить персональные данные Субъектов ПД, за исключением данных, обязательных для хранения по законодательству.

11.3. Салон может в любой момент запросить полную выгрузку персональных данных Субъектов ПД в структурированном формате (CSV / JSON). Срок выгрузки — 10 рабочих дней.

12. Контакты Обработчика