← Назад

Поручение на обработку персональных данных

Приложение к договору для организаций, использующих платформу Flyer
Редакция 1.0 • дата вступления в силу 2026-03-22

1. Предмет поручения

1.1. Организация, являющаяся оператором персональных данных в пределах целей собственной деятельности по оказанию услуг клиентам, поручает Правообладатель платформы Flyer (далее — Обработчик) осуществлять обработку персональных данных в объёме, составе и для целей, указанных в настоящем Поручении.

1.2. Обработчик осуществляет обработку персональных данных исключительно для обеспечения работы функционала платформы Flyer и только в пределах документированных инструкций Организации, настоящего Поручения, настроек Платформы и иных согласованных письменных/электронных указаний.

1.3. Обработчик не использует персональные данные, переданные по настоящему Поручению, для собственных несовместимых целей, если иное прямо не предусмотрено законом или отдельным самостоятельным основанием обработки, о котором субъект данных и/или Организация уведомлены надлежащим образом.

2. Категории субъектов, состав данных и операции

3. Инструкции Организации

Обработчик вправе обрабатывать только те данные, которые загружены в Платформу Организацией, пользователями в адрес Организации либо сформированы в результате использования функций записи, чатов, витрин, расписаний, обращений и иных связанных процессов.

Обработчик предоставляет доступ к данным Организации через интерфейсы Платформы, API и иные технические механизмы только в пределах ролей и настроек, определённых Организацией и/или Правообладателем по условиям сервиса.

Обработчик вправе привлекать субобработчиков, необходимых для хостинга, хранения, доставки уведомлений, техподдержки, аналитики, резервного копирования и иных технических функций, при условии возложения на них эквивалентных обязанностей по конфиденциальности и безопасности.

Организация может давать дополнительные инструкции через интерфейсы Платформы, письменные запросы или иные согласованные каналы. Если инструкция противоречит закону, безопасности сервиса или архитектурным ограничениям, Обработчик вправе запросить её уточнение либо отказаться от исполнения в соответствующей части.

4. Обязанности Обработчика

соблюдать принципы и правила обработки персональных данных, применимые к обработке по поручению оператора;

обеспечивать конфиденциальность персональных данных и ограничивать доступ к ним кругом лиц, которым такой доступ объективно необходим;

принимать правовые, организационные и технические меры защиты, соразмерные характеру и рискам обработки;

по запросу Организации предоставлять информацию и документы, подтверждающие принятие мер по защите данных и соблюдению условий Поручения, в разумных пределах и с учётом конфиденциальности инфраструктуры;

оказывать Организации разумное содействие при рассмотрении запросов субъектов персональных данных, проверок уполномоченных органов, претензий и инцидентов, если соответствующий запрос относится к данным, обрабатываемым по настоящему Поручению;

уведомлять Организацию о случаях неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных и иных инцидентах, если такие случаи затрагивают данные, обрабатываемые по поручению.

5. Обязанности Организации

самостоятельно определять цели обработки, состав данных, сроки хранения и законные основания обработки персональных данных своих клиентов и работников в собственных бизнес-процессах;

до передачи данных Обработчику обеспечить наличие правовых оснований для такой передачи и дальнейшей обработки, включая информирование субъектов персональных данных и получение согласий либо использование иных законных оснований там, где это требуется;

не передавать в Платформу данные, обработка которых запрещена законом или не нужна для заявленных целей;

не загружать специальные категории персональных данных, биометрические данные и документы повышенной чувствительности без отдельной правовой проверки и явной потребности функционала;

самостоятельно отвечать перед субъектами персональных данных за правомерность определения целей обработки и законность первоначального сбора данных;

оперативно реагировать на уведомления Обработчика об инцидентах, запросах субъектов данных и необходимости принять решение как оператору.

6. Субобработчики и подрядчики

6.1. Организация соглашается, что Обработчик может привлекать субобработчиков и технических подрядчиков для отдельных функций сервиса. К таким функциям могут относиться: хостинг, облачное хранение файлов, резервное копирование, email/SMS/push-рассылки, мониторинг инфраструктуры, техподдержка, платёжные процессы, телефония и аналитика.

6.2. Перечень актуальных категорий субобработчиков и ключевых поставщиков должен быть отражён в Политике обработки персональных данных и/или на странице документации сервиса: в разделе документов сервиса и/или по запросу.

6.3. Если привлечение субобработчика влечёт фактическую трансграничную передачу персональных данных, соответствующий процесс должен быть отдельно учтён в правовой модели сервиса и раскрыт Организации.

7. Запросы субъектов персональных данных

7.1. Если субъект персональных данных обращается к Обработчику по вопросу, относящемуся к данным, обрабатываемым исключительно по поручению Организации, Обработчик вправе перенаправить такое обращение Организации как оператору либо ответить в объёме, согласованном с Организацией.

7.2. По разумному запросу Организации Обработчик оказывает содействие в поиске, выгрузке, блокировании, удалении или ограничении данных, если это технически возможно и не противоречит закону, обязательному хранению, резервному циклу и архитектуре сервиса.

8. Инциденты безопасности

8.1. Под инцидентом для целей настоящего Поручения понимается выявленный факт неправомерного или случайного доступа к данным, их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иной ситуации, повлиявшей на конфиденциальность, целостность или доступность данных, обрабатываемых по поручению.

8.2. Уведомление Организации об инциденте направляется по адресу support@flyer-services.ru без неоправданной задержки и, при возможности, содержит описание характера инцидента, затронутых категорий данных, известных последствий и мер реагирования.

8.3. Обработчик не принимает на себя обязанности давать правовую квалификацию инцидента за Организацию как оператора, однако предоставляет информацию, необходимую Организации для исполнения собственных обязанностей перед субъектами данных и уполномоченными органами.

9. Хранение, возврат и удаление данных

9.1. Персональные данные по настоящему Поручению хранятся в течение срока действия основного договора и далее — в пределах, необходимых для резервного хранения, урегулирования споров, исполнения закона и завершения процедур удаления или выгрузки.

9.2. После прекращения основного договора Обработчик по запросу Организации либо предоставляет ей выгрузку данных в доступном формате, либо удаляет данные, кроме сведений, которые подлежат обязательному сохранению по закону, остаются в резервных копиях до истечения их цикла хранения или необходимы для защиты прав Обработчика.

9.3. Рекомендуемый срок на организацию процедуры удаления/возврата после прекращения договора: 30.

10. Проверки и подтверждение мер

10.1. Организация вправе не чаще не реже одного раза в год запрашивать у Обработчика разумный пакет документов и сведений, подтверждающих соблюдение настоящего Поручения.

10.2. Стороны исходят из того, что проверки должны проводиться без раскрытия коммерческой тайны, сведений об уязвимостях, исходного кода, конфигурации безопасности и данных других клиентов Обработчика.

11. Ответственность сторон

11.1. Организация как оператор несёт ответственность перед субъектами персональных данных за правомерность определения целей обработки, состав данных, наличие оснований обработки и передачу данных Обработчику.

11.2. Обработчик несёт ответственность перед Организацией за нарушение условий настоящего Поручения, включая выход за пределы инструкций, нарушение конфиденциальности и непринятие согласованных мер защиты.

11.3. Если вред, претензии или санкции возникли из-за незаконных инструкций Организации, отсутствия у неё законных оснований обработки, передачи запрещённых данных или предоставления недостоверной информации, соответствующие риски относятся на Организацию.

12. Срок действия и связь с основным договором

12.1. Настоящее Поручение вступает в силу с момента акцепта Организацией основного договора и действует в течение всего срока, пока Обработчик фактически обрабатывает персональные данные по поручению Организации.

12.2. Прекращение основного договора влечёт прекращение настоящего Поручения, за исключением обязанностей по конфиденциальности, инцидентам, архивному хранению и удалению данных, которые сохраняют силу до их полного исполнения.

13. Реквизиты сторон

Для публикации в продакшене реквизиты и контактные данные правообладателя должны быть заполнены через переменные окружения LEGAL_* в настройках Django, если они ещё не заданы.