Соглашение об обработке персональных данных

Поручение на обработку персональных данных (DPA)

Редакция от 19 марта 2026 г.

Настоящее Соглашение является неотъемлемой частью Публичной оферты (Договора) об оказании услуг сервиса НУБИ и регулирует обработку персональных данных клиентов Пользователя в соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Соглашение вступает в силу с момента акцепта Публичной оферты и применяется автоматически ко всем Пользователям, использующим сервис НУБИ.

Стороны Соглашения

Оператор (Поручитель)

Пользователь сервиса НУБИ — физическое или юридическое лицо (мастер, салон красоты, ИП, организация), являющийся оператором персональных данных своих клиентов в соответствии с 152-ФЗ.

Пользователь самостоятельно определяет цели обработки ПДн своих клиентов и несёт полную ответственность за законность их обработки.

Обработчик (Поверенный)

ИП Базлеев Иван Валентинович
ИНН: 773475020907
ОГРНИП: 325774600258609

Обработчик осуществляет обработку ПДн исключительно по поручению и в интересах Оператора, в рамках предоставления SaaS-услуг (сервис НУБИ).

Термины и определения

  • Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).
  • Оператор — Пользователь сервиса НУБИ, самостоятельно определяющий цели и состав обрабатываемых ПДн своих клиентов.
  • Обработчик — ИП Базлеев И.В., осуществляющий обработку ПДн по поручению Оператора в рамках предоставления услуг сервиса НУБИ.
  • Субъекты ПДн — клиенты Оператора (физические лица), данные которых вносятся в сервис НУБИ.
  • Поручение — настоящее Соглашение, являющееся документальным оформлением поручения на обработку ПДн по ч. 3 ст. 6 152-ФЗ.
  • Инцидент безопасности — несанкционированный доступ к ПДн, их утечка, уничтожение или иное нарушение безопасности.

1. Предмет поручения

1.1. В соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ Оператор поручает Обработчику обработку персональных данных клиентов Оператора в объёме и на условиях, установленных настоящим Соглашением.

1.2. Обработка персональных данных осуществляется исключительно в целях предоставления Оператору функциональности сервиса НУБИ — автоматизации записи клиентов, управления расписанием, ведения клиентской базы, отправки уведомлений и работы ИИ-администратора.

1.3. Обработчик не вправе обрабатывать персональные данные клиентов Оператора в иных целях, не предусмотренных настоящим Соглашением, без письменного (в том числе электронного) согласия Оператора.

2. Состав и категории персональных данных

2.1. По настоящему Соглашению Обработчик обрабатывает следующие категории ПДн клиентов Оператора:

Идентификационные данные

  • · Имя и фамилия (отчество — при наличии)
  • · Номер мобильного телефона
  • · Адрес электронной почты (при наличии)
  • · Telegram username (при наличии и подключённом канале)

Данные о взаимодействии с сервисом

  • · История записей и визитов (дата, услуга, мастер)
  • · История платежей (идентификатор транзакции, сумма, статус)
  • · Комментарии и заметки мастера к карточке клиента
  • · Отзывы и оценки, оставленные клиентом
  • · История переписки с ИИ-администратором

2.2. Обработчик не обрабатывает специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, состояние здоровья и т.п.), за исключением случаев, когда Оператор добавляет такие данные в комментарии к карточке клиента — в этом случае ответственность за законность их обработки лежит на Операторе.

2.3. Биометрические персональные данные по настоящему Соглашению не обрабатываются.

3. Цели обработки персональных данных

3.1. Обработчик осуществляет обработку ПДн клиентов Оператора исключительно в следующих целях:

  • Онлайн-запись клиентов: Создание, подтверждение, изменение и отмена записей на услуги через виджет, мессенджеры и дашборд Оператора.
  • Управление клиентской базой: Ведение карточек клиентов, хранение истории взаимодействия для персонализации обслуживания.
  • Отправка уведомлений: Напоминания о записях, подтверждения бронирования, уведомления о статусе заявки через Telegram, email, push-уведомления.
  • Работа ИИ-администратора: Обработка сообщений клиентов через языковую модель для ответа на вопросы и записи на услуги в режиме 24/7.
  • Обработка платежей: Передача необходимого минимума данных платёжным операторам (ЮКасса) для проведения оплаты услуг.
  • Фискализация: Формирование чеков через Атол Онлайн (54-ФЗ) и ФНС «Мой Налог» (НПД) при проведении расчётов.

4. Перечень действий с персональными данными

4.1. В соответствии с ч. 3 ст. 6 152-ФЗ Обработчик вправе совершать следующие действия с персональными данными:

Сбор и запись
Систематизация и накопление
Хранение
Уточнение (обновление, изменение)
Использование в функциях сервиса
Передача (предоставление, доступ)
Блокирование по требованию
Удаление и уничтожение

4.2. Обработка осуществляется с использованием средств автоматизации (программных средств сервиса НУБИ). Неавтоматизированная обработка не предусмотрена, за исключением случаев, когда сотрудники Обработчика получают доступ к данным в рамках технической поддержки — только с согласия Оператора и в минимально необходимом объёме.

5. Обязанности Обработчика

5.1. Обработчик обязан:

  • Обрабатывать персональные данные исключительно в соответствии с настоящим Соглашением и в объёме, необходимом для достижения указанных целей обработки.
  • Обеспечивать конфиденциальность персональных данных и запретить доступ к ним лиц, не имеющих служебной необходимости.
  • Принимать необходимые правовые, организационные и технические меры для защиты персональных данных в соответствии со ст. 19 152-ФЗ.
  • Незамедлительно уведомлять Оператора (в течение 24 часов) об инциденте безопасности, повлёкшем несанкционированный доступ к персональным данным или их утечку.
  • Уведомлять Роскомнадзор об инциденте безопасности в течение 24 часов после его обнаружения, а о результатах внутреннего расследования — в течение 72 часов, в соответствии с требованиями 152-ФЗ (в редакции, действующей с 01.09.2025).
  • Хранить все базы данных с персональными данными граждан РФ на серверах, расположенных на территории Российской Федерации (ст. 18.1 ч. 5 152-ФЗ).
  • Обеспечить возможность реализации Оператором прав субъектов ПДн: предоставить инструменты для доступа к данным, их исправления, блокирования и удаления.
  • По запросу Оператора предоставить информацию, подтверждающую соблюдение требований настоящего Соглашения и 152-ФЗ.
  • После расторжения договора или по требованию Оператора уничтожить персональные данные в течение 30 дней, если иное не предусмотрено законодательством РФ.

6. Технические и организационные меры защиты

6.1. Обработчик применяет следующие меры по обеспечению безопасности персональных данных в соответствии со ст. 19 152-ФЗ и Постановлением Правительства РФ от 01.11.2012 № 1119:

Криптографическая защита

  • · Шифрование данных при передаче: TLS 1.3
  • · Шифрование данных при хранении: AES-256
  • · Хэширование паролей: bcrypt (cost factor ≥ 12)

Разграничение доступа

  • · Row-Level Security (RLS) в PostgreSQL — изоляция данных между тенантами на уровне СУБД
  • · JWT-авторизация с TTL 15 минут + refresh-токены в httpOnly cookies
  • · Принцип минимально необходимых привилегий для сотрудников

Мониторинг и аудит

  • · Аудит-лог всех операций с персональными данными
  • · Rate limiting и защита от брутфорса на всех API-эндпоинтах
  • · Мониторинг аномальной активности в режиме реального времени

Организационные меры

  • · Ограниченный круг лиц, допущенных к обработке ПДн
  • · Регулярный аудит зависимостей на уязвимости (CVE мониторинг)
  • · Резервное копирование с шифрованием и проверкой целостности

6.2. Уровень защищённости информационной системы персональных данных: УЗ-3 (персональные данные без специальных категорий, число субъектов — более 100 000, угрозы 2-го типа — актуальные угрозы, связанные с недокументированными возможностями в системном ПО, рассматриваются как неактуальные).

7. Привлечение третьих лиц (субпоручение)

7.1. Для исполнения обязательств по настоящему Соглашению Обработчик привлекает следующих субобработчиков, которым передаются персональные данные в минимально необходимом объёме:

ЮКасса (ООО НКО «ЮМани»)

РФ

Обработка платежей по картам и СБП

Идентификатор транзакции, сумма. Полные платёжные данные ЮКасса обрабатывает самостоятельно как независимый оператор.

АО «АТОЛ» (Атол Онлайн)

РФ

Фискализация платежей (54-ФЗ)

Имя покупателя, email или телефон для электронного чека, сумма и наименование услуги.

ФНС России («Мой Налог»)

РФ

Формирование чеков НПД для самозанятых

Данные о доходе и покупателе. Только по явному согласию Оператора-самозанятого.

Telegram Messenger Inc.

Международный (данные передаются в минимальном объёме, необходимом для доставки сообщения)

Доставка уведомлений через Telegram Business Bot API

Идентификатор чата, текст сообщения. Данные обрабатываются в рамках ToS Telegram.

7.2. Обработчик несёт ответственность перед Оператором за действия субобработчиков в том же объёме, что и за собственные действия. Все субобработчики обязаны обеспечивать уровень защиты ПДн, не ниже предусмотренного настоящим Соглашением.

7.3. Обработчик обязан уведомить Оператора об изменении перечня субобработчиков не позднее чем за 10 рабочих дней до начала передачи данных новому субобработчику.

8. Реализация прав субъектов персональных данных

8.1. Оператор является ответственным за взаимодействие с субъектами ПДн. При поступлении от субъекта ПДн запроса непосредственно к Обработчику, Обработчик обязан перенаправить такой запрос Оператору в течение 3 рабочих дней.

8.2. Обработчик предоставляет Оператору технические инструменты для реализации следующих прав субъектов ПДн:

  • Право на доступ: Экспорт карточки клиента и истории взаимодействия из дашборда Оператора
  • Право на исправление: Редактирование данных клиента в его карточке
  • Право на удаление: Удаление карточки клиента и всей связанной истории
  • Право на ограничение: Блокирование отправки уведомлений конкретному клиенту
  • Право на отзыв согласия: Удаление согласия и прекращение обработки данных клиента

8.3. Срок исполнения запросов субъектов ПДн: 10 рабочих дней с момента получения запроса Оператором (в соответствии со ст. 20 152-ФЗ, в редакции 2025 г.).

9. Срок действия и хранения данных

9.1. Настоящее Соглашение действует в течение всего срока действия договора об оказании услуг сервиса НУБИ, заключённого путём акцепта Публичной оферты.

9.2. После расторжения договора Обработчик хранит персональные данные ещё в течение 3 (трёх) лет для исполнения обязательств перед Оператором по возможным претензиям и в целях соблюдения требований налогового законодательства РФ.

9.3. По истечении срока хранения или по запросу Оператора данные уничтожаются безвозвратно в течение 30 дней. Обработчик составляет акт об уничтожении по запросу Оператора.

9.4. Финансовые и платёжные данные хранятся не менее 5 лет с момента совершения операции в соответствии с требованиями Налогового кодекса РФ.

10. Ответственность сторон

10.1. Обработчик несёт ответственность за нарушение настоящего Соглашения в соответствии с законодательством РФ.

10.2. Оператор несёт ответственность как оператор персональных данных в соответствии с 152-ФЗ, включая: получение согласия субъектов ПДн, определение правовых оснований обработки, соблюдение сроков хранения данных и исполнение требований Роскомнадзора.

10.3. Оператор самостоятельно несёт ответственность за нарушение прав субъектов ПДн, если нарушение произошло вследствие несоблюдения Оператором требований 152-ФЗ (в частности, при отсутствии надлежащего согласия субъекта).

10.4. Обработчик не несёт ответственности за содержание персональных данных, внесённых Оператором или его клиентами в сервис НУБИ.

11. Контакты ответственного за обработку ПДн

ИП Базлеев Иван Валентинович — ответственное лицо по вопросам обработки ПДн

По всем вопросам, связанным с настоящим Соглашением, направляйте обращения на email с темой «DPA — [ваш запрос]». Срок ответа — 10 рабочих дней.

Политика конфиденциальности·Условия использования·Политика cookies·На главную