ДОГОВОР-ПОРУЧЕНИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

(Приложение 1 к Публичной оферте сервиса «AvenBot»)

Дата опубликования действующей редакции: 23 мая 2026 г. (редакция 2)
Адрес размещения: https://platform.avenbot.ru/dpa

Настоящий Договор-поручение на обработку персональных данных (далее — «Договор-поручение» или «DPA») регулирует отношения между ООО «АВЕНБОТ» (ИНН 9726110867, ОГРН 1267700048770, далее — «Лицензиар» или «Обработчик») и Заказчиком сервиса «AvenBot» (далее — «Лицензиат» или «Оператор») по поводу обработки Обработчиком персональных данных клиентов Оператора, осуществляемой по поручению Оператора через функционал Сервиса.

Настоящий Договор-поручение считается заключённым между Сторонами с момента совершения Оператором (Заказчиком) первого действия в Сервисе, связанного с обработкой персональных данных клиентов Оператора (в том числе загрузка клиентской базы, настройка автоматических уведомлений или напоминаний через Сервис), но не ранее акцепта Оператором Публичной оферты. До указанного момента настоящий Договор-поручение не применяется. Заключение настоящего Договора осуществляется в соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).

1. Термины и определения

1.1. Программа / Сервис — SaaS-платформа «AvenBot».

1.2. Оператор (Лицензиат) — Заказчик, самостоятельно определяющий цели обработки персональных данных своих клиентов и осуществляющий обработку через функционал Сервиса.

1.3. Обработчик (Лицензиар) — Исполнитель, осуществляющий обработку персональных данных по поручению Оператора в соответствии с настоящим Договором-поручением.

1.4. Субъект персональных данных — физическое лицо (клиент Оператора), чьи персональные данные обрабатываются через Сервис.

1.5. Запрос субъекта — требование или обращение субъекта персональных данных, касающееся обработки его персональных данных.

2. Предмет Договора-поручения

2.1. Оператор поручает, а Обработчик обязуется осуществлять обработку персональных данных клиентов Оператора (далее — Субъекты ПД) в объёме и в целях, установленных настоящим Договором-поручением, строго в пределах функциональных возможностей Сервиса, активированных Оператором.

2.2. Оператор самостоятельно определяет цели обработки персональных данных Субъектов ПД, а также правовые основания такой обработки, и несёт перед Субъектами ПД и уполномоченными органами ответственность за законность сбора и обработки персональных данных (ч. 5 ст. 6 Закона о персональных данных).

2.3. Обработчик не является оператором персональных данных клиентов Оператора, вводимых Оператором в Сервис вручную либо поступающих в Сервис из внешних источников (включая API-интеграции с CRM-системами и иными сервисами). В указанных случаях Обработчик обеспечивает исключительно техническую обработку таких данных по поручению Оператора в рамках функциональности Сервиса, не используя их в собственных интересах и не принимая решений относительно целей или способов обработки. Все решения о содержании направляемых сообщений (напоминаний, уведомлений), сегментации аудитории, настройке шаблонов, триггеров и алгоритмов автоматизации коммуникаций, а также о правовых основаниях обработки и получении согласий Субъектов ПД принимаются Оператором самостоятельно и под его полную ответственность. Обработчик предоставляет Оператору лишь технический инструментарий, обеспечивающий реализацию принятых Оператором решений.

2.4. Обработчик в соответствии с ч. 3 ст. 6 Закона о персональных данных не обязан самостоятельно получать согласия Субъектов ПД на обработку их персональных данных и не проверяет наличие у Оператора таких согласий; обязанность по получению согласий Субъектов ПД лежит на Операторе. По обоснованному запросу Обработчика Оператор обязан в течение 10 (десяти) рабочих дней предоставить копии полученных от Субъектов ПД согласий на обработку и передачу данных Обработчику.

3. Перечень обрабатываемых персональных данных

3.1. Обработчик обрабатывает следующие категории персональных данных Субъектов ПД, загружаемых Оператором в Сервис или автоматически передаваемых в ходе коммуникаций через Сервис:

фамилия, имя, отчество;

номер телефона;

логин/идентификатор в мессенджере (Telegram, WhatsApp и иные, поддерживаемые Сервисом);

адрес электронной почты (при указании);

история коммуникаций (тексты сообщений, отправленные и полученные через Сервис);

сведения о записях и визитах в салон Оператора (дата, время, услуга, стоимость);

иные сведения, добровольно загруженные Оператором в Сервис в рамках ведения клиентской базы.

3.2. Обработчик не обрабатывает специальные категории персональных данных и биометрические персональные данные. Оператор обязуется не загружать такие данные в Сервис.

3.3. Категории Субъектов ПД, персональные данные которых обрабатываются Обработчиком по поручению Оператора: (а) действующие и потенциальные клиенты Оператора (физические лица), сведения о которых загружаются Оператором в Сервис, поступают через интеграции с используемыми Оператором информационными системами либо передаются Субъектами ПД самостоятельно по каналам, подключённым Оператором к Сервису; (б) контактные лица контрагентов Оператора (при использовании Сервиса для B2B-коммуникаций). География Субъектов ПД: преимущественно граждане Российской Федерации; обрабатываемые данные граждан Российской Федерации хранятся исключительно на серверах, расположенных на территории Российской Федерации (ч. 5 ст. 18 Закона о персональных данных).

4. Цели обработки

4.1. Обработка персональных данных Субъектов ПД осуществляется Обработчиком исключительно в следующих целях:

обеспечение функционирования Сервиса и оказание услуг Оператору в соответствии с Публичной офертой;

хранение и систематизация клиентской базы Оператора;

автоматизация коммуникаций Оператора с Субъектами ПД;

формирование аналитической отчётности по запросам Оператора;

обеспечение технической поддержки Оператора.

4.2. Обработчик не использует персональные данные Субъектов ПД в собственных целях, за исключением использования обезличенных данных для улучшения качества Сервиса.

5. Перечень действий с персональными данными

5.1. Поручается совершение следующих действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) в пределах и в целях, указанных в настоящем Договоре, обезличивание, блокирование, удаление и уничтожение.

5.2. Обработка осуществляется с использованием средств автоматизации.

6. Обязанности Обработчика

6.1. Обработчик в соответствии с ч. 3 ст. 6 Закона о персональных данных обязуется:

обрабатывать персональные данные исключительно в целях, установленных настоящим Договором, и в строгом соответствии с поручениями Оператора, выражающимися в использовании Оператором функционала Сервиса;

соблюдать конфиденциальность персональных данных Субъектов ПД;

обеспечивать безопасность персональных данных при их обработке и применять правовые, организационные и технические меры защиты персональных данных в соответствии со ст. 18.1 и 19 Закона о персональных данных и Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

соблюдать требования ч. 5 ст. 18 Закона о персональных данных, в том числе обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации исключительно с использованием баз данных, находящихся на территории Российской Федерации;

до начала обработки персональных данных предоставить Оператору сведения, подтверждающие принятие Обработчиком мер и соблюдение требований, установленных ст. 6, ст. 18.1 и ст. 19 Закона о персональных данных, в том числе сведения об уровне защищённости информационной системы и применяемых средствах защиты (в соответствии с ч. 3.2 ст. 6 Закона); в дальнейшем — предоставлять указанные сведения по запросу Оператора, но не чаще одного раза в календарный год, за исключением случаев обоснованных подозрений нарушения настоящего Договора;

обеспечивать возможность удаления, изменения и блокирования персональных данных по поручению Оператора;

уведомлять Оператора об инцидентах, повлёкших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных Субъектов ПД либо иные нарушения прав Субъектов ПД, не позднее 24 (двадцати четырёх) часов с момента выявления инцидента, с указанием: предположительных причин инцидента, предполагаемого вреда правам Субъектов ПД, состава затронутых персональных данных и категорий Субъектов, принятых мер по устранению последствий. По результатам внутреннего расследования — не позднее 72 (семидесяти двух) часов с момента выявления инцидента — передавать Оператору дополнительные сведения, необходимые Оператору для исполнения обязанностей, предусмотренных ч. 3.1 ст. 21 Закона о персональных данных;

по окончании оказания услуг по Публичной оферте либо по обоснованному требованию Оператора — вернуть или уничтожить персональные данные Субъектов ПД в срок не более 30 (тридцати) календарных дней с составлением акта об уничтожении персональных данных, предоставляемого Оператору в течение 5 (пяти) рабочих дней с даты уничтожения, за исключением случаев, когда сохранение данных предусмотрено законодательством РФ.

6.2. Обязательство о конфиденциальности работников Обработчика. Обработчик обеспечивает, чтобы работники Обработчика и иные лица, получающие доступ к персональным данным Субъектов ПД при исполнении настоящего Договора-поручения, были ознакомлены с положениями законодательства о персональных данных и локальными актами Обработчика и приняли на себя письменное обязательство о неразглашении персональных данных, действующее как в течение, так и после прекращения трудовых (гражданско-правовых) отношений с Обработчиком. Доступ работников к персональным данным предоставляется по принципу минимально необходимого доступа и подлежит периодическому пересмотру.

6.3. Сертификации и подтверждение мер защиты. По обоснованному запросу Оператора Обработчик предоставляет Оператору краткую сводку (саммари) применяемых мер защиты персональных данных, копии действующих сертификатов соответствия (при их наличии — ISO/IEC 27001, сертификаты ФСТЭК России на применяемые средства защиты информации и иные применимые документы), а также сведения об уровне защищённости информационной системы персональных данных, в которой осуществляется обработка по поручению Оператора, определённом в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119. Указанные сведения предоставляются не чаще одного раза в календарный год, за исключением случаев обоснованных подозрений нарушения настоящего Договора или произошедшего инцидента.

7. Обязанности и заверения Оператора

7.1. Оператор обязуется:

обеспечить законность обработки персональных данных Субъектов ПД, включая получение от них согласий на обработку, оформленных отдельными документами в соответствии с п. 1 ст. 9 Закона о персональных данных, и на передачу персональных данных Обработчику;

довести до сведения Субъектов ПД информацию о привлечении Обработчика к обработке персональных данных и целях такой обработки в своей политике обработки персональных данных;

направить уведомление в Роскомнадзор об обработке персональных данных в порядке, установленном ст. 22 Закона о персональных данных;

не загружать в Сервис специальные категории персональных данных, биометрические данные, а также персональные данные третьих лиц, получение согласия которых на обработку не обеспечено Оператором;

своевременно направлять Обработчику поручения об уточнении, блокировании и уничтожении персональных данных на основании обращений Субъектов ПД;

при получении от Обработчика уведомления об инциденте безопасности — самостоятельно и в установленные законом сроки уведомлять Роскомнадзор и Субъектов ПД в порядке, установленном ч. 3.1 ст. 21 Закона о персональных данных.

7.2. Оператор заверяет Обработчика, что:

персональные данные Субъектов ПД получены законными способами;

Оператором получены все необходимые согласия Субъектов ПД, и такие согласия могут быть предоставлены Обработчику для подтверждения легитимности обработки по обоснованному запросу;

цели сбора и обработки персональных данных совместимы с целями, определёнными настоящим Договором-поручением.

8. Меры по обеспечению безопасности

8.1. Обработчик применяет следующие меры защиты персональных данных:

назначение должностного лица, ответственного за организацию обработки персональных данных;

утверждение документов, определяющих политику и процедуры обработки персональных данных;

применение средств защиты информации (шифрование каналов связи по протоколу TLS/HTTPS, средства разграничения доступа, антивирусная защита, средства мониторинга безопасности). Шифровальные (криптографические) средства в значении, установленном законодательством Российской Федерации о криптографической защите, Обработчиком не используются;

контроль доступа работников Обработчика к персональным данным на основе принципа минимально необходимого доступа;

резервное копирование данных и обеспечение возможности восстановления;

учёт машинных носителей персональных данных;

регулярный внутренний контроль соответствия обработки персональных данных требованиям законодательства.

регулярное тестирование защищённости информационных систем (включая тестирование на проникновение) и оценка эффективности применяемых мер не реже одного раза в год; обязательное обучение работников Обработчика по вопросам защиты персональных данных и реагирования на инциденты не реже одного раза в год; применение средств обнаружения и предотвращения вторжений (IDS/IPS); ведение журналов аудита действий пользователей и администраторов с регулярным анализом аномалий.

9. Порядок взаимодействия при запросах субъектов и проверках

9.1. При получении Оператором от Субъекта ПД запроса об отзыве согласия или требования о прекращении обработки, Оператор в течение 5 (пяти) рабочих дней направляет Обработчику уведомление с указанием состава данных, подлежащих удалению.

9.2. Обработчик при получении такого уведомления в течение 7 (семи) рабочих дней прекращает обработку и уничтожает указанные персональные данные, если отсутствуют законные основания для продолжения обработки, и уведомляет Оператора о прекращении обработки.

9.3. При проведении Роскомнадзором или иным уполномоченным органом проверки, затрагивающей обработку персональных данных, осуществляемую по поручению Оператора, Обработчик немедленно информирует Оператора о поступившем запросе и при необходимости перенаправляет такой запрос Оператору для надлежащего исполнения.

9.4. В случае предъявления Обработчику претензий, исков или требований со стороны Субъектов ПД, третьих лиц или уполномоченных органов в связи с отсутствием или недействительностью согласий Субъектов ПД либо иных нарушений, допущенных Оператором, Оператор обязуется за свой счёт урегулировать такие требования и в течение 10 (десяти) календарных дней с даты получения письменного требования Обработчика возместить все понесённые Обработчиком убытки, включая суммы штрафов, наложенных на Обработчика.

9.5. Право Оператора на аудит (right to audit). Оператор вправе не чаще одного раза в календарный год проводить аудит (проверку) соблюдения Обработчиком требований настоящего Договора-поручения и законодательства Российской Федерации о персональных данных в части обработки, осуществляемой по поручению Оператора. Аудит проводится по предварительному уведомлению Обработчика не позднее чем за 30 (тридцать) календарных дней до начала проверки, в рабочее время Обработчика, силами работников Оператора и (или) привлечённого Оператором независимого аудитора, с которым Оператор заключил соглашение о конфиденциальности. По итогам аудита Стороны составляют совместный отчёт; выявленные несоответствия устраняются Обработчиком в разумный срок, согласованный Сторонами. Расходы на проведение аудита несёт Оператор, за исключением случаев, когда аудитом выявлены существенные нарушения настоящего Договора, — в этом случае расходы возмещаются Обработчиком. Внеплановый аудит допускается без соблюдения 30-дневного срока в случае произошедшего инцидента безопасности либо при наличии обоснованных подозрений в нарушении Обработчиком требований настоящего Договора.

10. Привлечение субобработчиков

10.1. Обработчик вправе привлекать к обработке персональных данных третьих лиц (субобработчиков) в объёме, необходимом для оказания услуг по Публичной оферте: поставщиков облачной инфраструктуры (хостинг), сервисов рассылки и иных технических провайдеров, расположенных на территории Российской Федерации.

10.2. Обработчик обеспечивает, чтобы субобработчики соблюдали требования к защите персональных данных не менее строгие, чем установленные настоящим Договором.

10.3. Актуальный перечень используемых субобработчиков (с указанием наименования, ИНН и состава поручаемых им действий) поддерживается Обработчиком в актуальном состоянии и публикуется по адресу https://platform.avenbot.ru/subprocessors. О планируемом включении нового субобработчика, влекущем изменение состава обрабатываемых персональных данных или географии обработки, Обработчик уведомляет Оператора не позднее чем за 30 (тридцать) календарных дней до начала обработки. Оператор вправе обоснованно возразить против привлечения нового субобработчика; в случае невозможности достижения согласия Оператор вправе расторгнуть настоящий Договор в одностороннем порядке.

10.4. За действия субобработчиков перед Оператором отвечает Обработчик.

10.5. Сервис Apify (Apify Technologies s.r.o., Чехия), используемый Обработчиком для получения публично доступных сведений из карточек организаций в рамках модуля анализа конкурентного окружения, не выступает субобработчиком персональных данных клиентов Оператора, поручаемых настоящим Договором, и не получает доступа к таким данным. Apify предоставляет Обработчику технический инструментарий получения сведений из публичных карточек сторонних организаций. Данное обстоятельство не влечёт обязанности Обработчика по включению Apify в перечень субобработчиков в значении настоящего раздела.

11. Трансграничная передача

11.1. Обработчик не осуществляет самостоятельную трансграничную передачу персональных данных Субъектов ПД. Возможность такой самостоятельной передачи Обработчиком может быть реализована только на основании предварительного письменного согласования с Оператором и с соблюдением требований ст. 12 Закона о персональных данных, включая обязательное уведомление Роскомнадзора. Обмен сообщениями через сторонние каналы связи, инициированный Оператором, регулируется пунктом 11.2 настоящего Договора.

11.2. Передача сообщений Субъектам ПД через сторонние мессенджеры и иные каналы связи, инициированная Оператором через функционал Сервиса (включая, но не ограничиваясь, Telegram, WhatsApp), осуществляется в рамках обычного обмена сообщениями с Субъектом по выбранному им каналу связи. Стороны признают, что инфраструктура указанных мессенджеров и каналов связи может находиться за пределами Российской Федерации. Ответственность за оценку и соблюдение требований ст. 12 Закона о персональных данных в отношении такой передачи (включая получение от Субъектов ПД соответствующих согласий и направление уведомления в Роскомнадзор) возлагается на Оператора. Обработчик в указанной части выступает исключительно как поставщик технического инструментария.

12. Ответственность Сторон

12.1. За нарушение обязанностей, установленных настоящим Договором-поручением, Стороны несут ответственность в соответствии с законодательством Российской Федерации.

12.2. Обработчик несёт перед Оператором ответственность за соблюдение требований Закона о персональных данных в части обработки, поручённой настоящим Договором. Перед Субъектами ПД ответственность за действия Обработчика несёт Оператор (ч. 5 ст. 6 Закона о персональных данных).

12.3. Обработчик не несёт ответственности за:

достоверность, полноту, точность и актуальность персональных данных, размещаемых в Сервисе Оператором; персональные данные обрабатываются в полученном виде;

несоблюдение Оператором организационных и технических мер, повлёкшее неправомерный доступ к данным, уничтожение, изменение, блокирование, копирование или распространение персональных данных;

неправомерные действия работников Оператора и третьих лиц, получивших доступ к Аккаунту Оператора по его вине.

12.4. Совокупная ответственность Обработчика по настоящему Договору-поручению ограничивается суммой, уплаченной Оператором за Сервис за последний оплаченный период Подписки.

13. Срок действия

13.1. Настоящий Договор-поручение вступает в силу с момента совершения Оператором первого действия в Сервисе, связанного с обработкой персональных данных его клиентов (но не ранее акцепта Публичной оферты), и действует в течение всего срока оказания услуг по Оферте.

13.2. Обязанности Сторон по обеспечению конфиденциальности и уничтожению персональных данных продолжают действовать после прекращения настоящего Договора.

13.3. В случае неисполнения Оператором обязанности по уничтожению персональных данных Субъектов ПД, размещённых им в Сервисе, в течение 7 (семи) рабочих дней с даты соответствующего требования Обработчик вправе самостоятельно прекратить обработку и уничтожить такие персональные данные.

14. Заключительные положения

14.1. Изменения настоящего Договора-поручения вступают в силу с момента размещения новой редакции на Сайте Обработчика. Обработчик уведомляет Оператора об изменениях не позднее чем за 14 (четырнадцать) календарных дней через Личный кабинет или по электронной почте.

14.2. К настоящему Договору применяется право Российской Федерации.

14.3. Споры рассматриваются в суде по месту нахождения Обработчика после соблюдения обязательного претензионного порядка (срок ответа — 30 календарных дней).

15. Реквизиты Обработчика

ООО «АВЕНБОТ»

ИНН 9726110867, КПП 772601001, ОГРН 1267700048770

Юридический адрес: 117638, г. Москва, Варшавское ш., д. 50, кв. 44

р/с 40702810338720036353 в ПАО Сбербанк

БИК 044525225, к/с 30101810400000000225

Телефон: +7 (993) 923-16-90

E-mail: info@avenbot.ru

E-mail по вопросам обработки персональных данных: info@avenbot.ru

Telegram: @avenadmin