Соглашение об обработке данных (DPA)
Настоящее Соглашение об обработке данных (англ. Data Processing Agreement, далее — «Соглашение», «DPA») является публичной действующей редакцией и определяет условия обработки персональных данных, осуществляемой лицом, оказывающим услуги сервиса «оборот.io», по поручению корпоративного клиента (Пользователя тарифа Enterprise). Дата последней редакции: 29 мая 2026 года.
Соглашение применяется к отношениям, в рамках которых Пользователь поручает Обработчику обработку персональных данных третьих лиц (в частности, клиентов и контрагентов Пользователя) в связи с использованием Сервиса. Соглашение заключается в дополнение к договору об оказании услуг (оферте) и индивидуальному договору тарифа Enterprise; в части обработки персональных данных по поручению Оператора положения настоящего Соглашения имеют приоритет.
1. Термины, роли сторон и соотношение с 152-ФЗ
1.1. В настоящем Соглашении используются следующие термины:
- «ПДн», «персональные данные» — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), в значении Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»).
- «Оператор», «Заказчик» — Пользователь Сервиса, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку ПДн, а также определяющий цели обработки, состав ПДн и совершаемые с ними действия, и поручающий обработку Обработчику в значении ч. 3 ст. 6 152-ФЗ.
- «Обработчик», «Исполнитель» — ИП Дулин Даниил Игоревич (ИНН 343523406156, ОГРНИП 319344300029560), оказывающий услуги Сервиса оборот.io и осуществляющий обработку ПДн по поручению Оператора в значении ч. 3 ст. 6 152-ФЗ.
- «Сервис» — программный сервис «оборот.io» (сайт https://oborot.io), предоставляющий единый программный интерфейс (API) для интеграции продавцов с маркетплейсами (Wildberries, Ozon, Яндекс Маркет, Мегамаркет, Lamoda): управление карточками товаров, остатками, ценами и заказами, а также доставка событий через webhooks.
- «Личный кабинет» — раздел Сервиса по адресу https://portal.oborot.io.
- «Субъект ПДн» — физическое лицо, к которому относятся обрабатываемые ПДн (в частности, клиенты, покупатели и контрагенты Оператора).
- «Субпроцессор» — третье лицо, привлекаемое Обработчиком к обработке ПДн в рамках исполнения поручения Оператора.
- «Поручение» — настоящее Соглашение и иные документированные указания Оператора, определяющие состав, цели и пределы обработки ПДн.
- «Инцидент» — нарушение безопасности ПДн, повлёкшее неправомерные или случайные доступ, уничтожение, изменение, блокирование, копирование, предоставление или распространение ПДн либо иные неправомерные действия в отношении ПДн.
1.2. Стороны исходят из того, что в отношениях по обработке ПДн субъектов, чьи данные передаются Оператором в Сервис:
- Оператором (лицом, определяющим цели и содержание обработки) является Заказчик;
- лицом, осуществляющим обработку ПДн по поручению Оператора (процессором), является Обработчик.
1.3. Обработчик осуществляет обработку ПДн исключительно в объёме и в целях, определённых поручением Оператора. Обработчик не определяет самостоятельно цели обработки поручённых ему ПДн и не использует их в собственных целях.
1.4. В части ПДн самого Пользователя как стороны договора (адрес электронной почты, наименование организации/ИП, данные биллинга и т. п.) Обработчик выступает самостоятельным оператором; такая обработка регулируется Политикой обработки персональных данных Сервиса и не является предметом настоящего Соглашения.
1.5. Заключая настоящее Соглашение, Оператор подтверждает, что он обладает законными правовыми основаниями для обработки передаваемых ПДн и для поручения их обработки Обработчику, а также что им получены все необходимые согласия субъектов ПДн и (или) имеются иные основания, предусмотренные ст. 6 152-ФЗ. Согласие субъекта ПДн на обработку его данных лицом, осуществляющим обработку по поручению Оператора (Обработчиком), не требуется в силу ч. 3 ст. 6 152-ФЗ; ответственность перед субъектом ПДн за действия Обработчика несёт Оператор.
1.6. Настоящее Соглашение является документом, оформляющим поручение Оператора Обработчику на обработку ПДн, и в соответствии с ч. 3 ст. 6 152-ФЗ содержит: перечень действий (операций) с ПДн, которые совершаются Обработчиком (раздел 4), цели обработки (раздел 4), обязанность Обработчика соблюдать конфиденциальность ПДн (раздел 5), а также требования к защите обрабатываемых ПДн (разделы 6 и 10).
1.7. Обязанность по подаче уведомления о намерении осуществлять обработку ПДн в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор), а также по ведению иных обязательных для оператора документов в отношении передаваемых в Сервис ПДн, возлагается на Оператора, если иное прямо не предусмотрено законодательством РФ.
2. Предмет и срок обработки
2.1. Предметом Соглашения является обработка Обработчиком ПДн по поручению Оператора, необходимая для оказания услуг Сервиса в соответствии с подключённым тарифом Enterprise.
2.2. Обработка осуществляется в течение срока действия договора об оказании услуг Сервиса (срока действия учётной записи Оператора), если иной срок не установлен поручением Оператора или требованиями законодательства РФ.
2.3. Прекращение обработки и судьба ПДн по завершении срока действия Соглашения регулируются разделом 9 настоящего Соглашения.
3. Категории субъектов и виды обрабатываемых данных
3.1. Категории субъектов ПДн, чьи данные обрабатываются по поручению Оператора:
- клиенты, покупатели и иные контрагенты Оператора, информация о которых поступает в Сервис в связи с обработкой заказов на маркетплейсах;
- уполномоченные представители и сотрудники Оператора, использующие Сервис.
3.2. Виды (категории) обрабатываемых ПДн определяются составом данных, передаваемых Оператором в Сервис и поступающих из подключённых маркетплейсов, и могут включать, в частности:
- данные заказов и связанные с ними сведения о покупателях в объёме, передаваемом маркетплейсами через API (например, идентификаторы заказов, сведения о доставке, контактные данные в составе заказов);
- учётные данные (API-ключи) Оператора от его кабинетов на маркетплейсах;
- технические данные, сопутствующие использованию API (счётчики потребления, журналы доставки webhook-событий, IP-адрес).
3.3. Специальные категории ПДн и биометрические ПДн обработке по настоящему Соглашению не подлежат. Оператор обязуется не передавать в Сервис такие данные. В случае передачи специальных категорий ПДн ответственность за правомерность их обработки несёт Оператор.
3.4. Конкретный состав ПДн определяется настройками интеграции и действиями Оператора. Оператор самостоятельно определяет, какие данные передаются в Сервис, и несёт ответственность за их состав и правомерность передачи.
4. Цели и пределы обработки строго по поручению Оператора
4.1. Обработчик обрабатывает ПДн исключительно в следующих целях, определённых поручением Оператора:
- оказание услуг Сервиса: интеграция с маркетплейсами, управление карточками товаров, остатками, ценами и заказами, доставка событий через webhooks;
- обеспечение функционирования, доступности и безопасности Сервиса;
- исполнение обязательных требований законодательства РФ.
4.2. Обработчик совершает с ПДн следующие действия (операции): сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ) субпроцессорам в пределах раздела 7, блокирование, удаление, уничтожение — в объёме, необходимом для достижения целей, указанных в п. 4.1.
4.3. Обработчик не вправе обрабатывать ПДн в целях, не предусмотренных поручением Оператора, и не вправе передавать ПДн третьим лицам, кроме субпроцессоров, указанных в разделе 7, либо случаев, прямо предусмотренных законодательством РФ.
4.4. Если Обработчик обязан осуществить обработку ПДн в силу требования законодательства РФ (например, по законному запросу уполномоченного государственного органа), он, насколько это допустимо законом, информирует об этом Оператора до начала такой обработки.
4.5. Если, по мнению Обработчика, какое-либо указание Оператора нарушает требования 152-ФЗ или иных нормативных правовых актов, Обработчик незамедлительно уведомляет об этом Оператора.
5. Обязанности Обработчика
5.1. Соблюдение поручения. Обработчик обрабатывает ПДн только в соответствии с настоящим Соглашением и документированными указаниями Оператора, за исключением случаев, когда обработка требуется в силу законодательства РФ.
5.2. Конфиденциальность. Обработчик обеспечивает конфиденциальность ПДн и не раскрывает их третьим лицам без согласия Оператора, за исключением случаев, предусмотренных настоящим Соглашением или законодательством РФ. Обработчик обеспечивает, чтобы лица, допущенные к обработке ПДн, были обязаны соблюдать конфиденциальность и обрабатывали ПДн только по мере необходимости для исполнения своих функций. Обязанность соблюдать конфиденциальность сохраняется и после прекращения соответствующих отношений с указанными лицами.
5.3. Содействие в реализации прав субъектов ПДн. Обработчик оказывает Оператору разумное содействие в исполнении обязанностей Оператора по реагированию на обращения субъектов ПДн (доступ, уточнение, блокирование, удаление и т. п.). При получении обращения субъекта ПДн непосредственно Обработчиком последний не отвечает на него по существу самостоятельно, а в разумный срок перенаправляет обращение Оператору, если из обращения следует, что данные обрабатываются по поручению Оператора.
5.4. Содействие в обеспечении безопасности и при инцидентах. С учётом характера обработки и доступной информации Обработчик оказывает Оператору разумное содействие в обеспечении выполнения обязанностей Оператора, предусмотренных 152-ФЗ, в том числе в части реагирования на инциденты безопасности ПДн (раздел 8) и проведения оценки рисков.
5.5. Принятие мер безопасности. Обработчик принимает технические и организационные меры, предусмотренные разделом 6, обеспечивающие защиту ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
5.6. Локализация. Обработчик обеспечивает обработку и хранение ПДн на территории Российской Федерации в соответствии с разделом 10.
5.7. Документирование. Обработчик ведёт необходимые записи об обработке ПДн, осуществляемой по поручению Оператора, и по разумному запросу Оператора предоставляет информацию, необходимую для подтверждения соблюдения настоящего Соглашения.
5.8. Содействие в подтверждении соответствия (право на проверку). Обработчик по разумному предварительному письменному запросу Оператора, но не чаще одного раза в течение календарного года (за исключением случаев инцидента или законного требования уполномоченного органа), предоставляет Оператору документированную информацию, необходимую для подтверждения соблюдения обязанностей по настоящему Соглашению. Проведение проверок осуществляется в согласованные Сторонами сроки, в рабочее время, без нарушения нормального функционирования Сервиса и с соблюдением конфиденциальности и требований безопасности в отношении данных иных пользователей Сервиса и коммерческой тайны Обработчика.
6. Технические и организационные меры безопасности
6.1. Обработчик применяет, в частности, следующие меры обеспечения безопасности ПДн:
- Шифрование. Учётные данные (API-ключи) Оператора хранятся в зашифрованном виде по алгоритму AES-256-GCM; передача данных осуществляется по защищённым протоколам.
- Разграничение доступа. Доступ к ПДн предоставляется по принципу минимально необходимых привилегий ограниченному кругу уполномоченных лиц; применяются механизмы аутентификации и контроля доступа.
- Журналы аудита. Ведутся журналы аудита действий, позволяющие фиксировать и контролировать операции, совершаемые с учётными записями и данными.
- Изоляция и сегментация. Применяется разграничение сетевого доступа к компонентам Сервиса и базам данных.
- Резервное копирование. Создаются резервные копии данных, размещаемые на территории РФ (раздел 10).
- Размещение в РФ. Серверы, базы данных и резервные копии размещаются в инфраструктуре ООО «Селектел» (дата-центры на территории РФ).
6.2. Меры безопасности принимаются с учётом требований ст. 18.1 и ст. 19 152-ФЗ, а также принятых в их исполнение подзаконных актов (в том числе требований к защите ПДн при их обработке в информационных системах персональных данных). Перечень мер может уточняться и совершенствоваться Обработчиком при условии, что уровень защищённости ПДн не снижается.
6.3. Обработчик принимает разумные меры для того, чтобы привлекаемые субпроцессоры применяли сопоставимый уровень мер безопасности.
7. Привлечение субпроцессоров
7.1. Заключая настоящее Соглашение, Оператор предоставляет Обработчику общее согласие (полномочие) на привлечение к обработке ПДн субпроцессоров, указанных в п. 7.2, на условиях настоящего раздела.
7.2. На дату редакции Обработчик привлекает следующих субпроцессоров:
| Субпроцессор | Назначение (функция обработки) | Территория |
|---|---|---|
| ООО «Селектел» (Selectel) | Хостинг, управляемые СУБД, кэш, очереди сообщений, резервное копирование | РФ |
| АО «ТБанк» (T-Pay) | Приём платежей (интернет-эквайринг) | РФ |
| Оператор фискальных данных (ОФД) | Формирование и направление кассовых чеков (54-ФЗ) | РФ |
| Сервис рассылки транзакционных писем Selectel (smtp.mail.selcloud.ru) | Направление сервисных и транзакционных электронных писем | РФ |
7.3. Обработчик заключает с каждым субпроцессором соглашение (или иным образом обеспечивает принятие им обязательств), предусматривающее обязанности по защите ПДн, по существу не менее строгие, чем установленные настоящим Соглашением, включая соблюдение требований 152-ФЗ и локализацию обработки на территории РФ.
7.4. При намерении привлечь нового субпроцессора либо заменить существующего Обработчик заблаговременно информирует об этом Оператора (в том числе путём обновления перечня субпроцессоров и (или) уведомления по электронной почте). Оператор вправе по обоснованным основаниям, связанным с защитой ПДн, заявить мотивированное возражение; при невозможности устранения разногласий Оператор вправе расторгнуть договор в части соответствующих услуг.
7.5. Обработчик остаётся ответственным перед Оператором за действия (бездействие) привлечённых им субпроцессоров в части обработки ПДн, как за свои собственные.
8. Уведомление об инцидентах (нарушениях безопасности ПДн)
8.1. При выявлении инцидента Обработчик уведомляет Оператора без неоправданной задержки, но не позднее 24 (двадцати четырёх) часов с момента, когда инцидент стал ему достоверно известен.
8.2. Уведомление направляется на адрес электронной почты, указанный Оператором в качестве контактного, и в разумно доступном объёме содержит:
- описание характера инцидента и, по возможности, категорий и примерного объёма затронутых ПДн и субъектов;
- сведения о вероятных последствиях инцидента;
- описание принятых или предлагаемых мер по устранению инцидента и снижению возможного вреда;
- контактные данные для получения дополнительной информации.
8.3. Если предоставить всю информацию одновременно невозможно, она может предоставляться поэтапно по мере установления обстоятельств без неоправданной задержки.
8.4. Обработчик оказывает Оператору разумное содействие в выполнении обязанностей Оператора по уведомлению уполномоченного органа по защите прав субъектов ПДн (Роскомнадзора) и (или) субъектов ПДн в сроки и в порядке, предусмотренные ст. 21 152-ФЗ (в том числе в части уведомления об инциденте в течение 24 часов с момента его выявления и о результатах внутреннего расследования в течение 72 часов). Самостоятельное взаимодействие Обработчика с уполномоченным органом по поводу инцидента в отношении поручённых ПДн осуществляется только по согласованию с Оператором либо если это прямо требуется законом.
8.5. Стороны исходят из того, что обязанность по направлению уведомлений в адрес уполномоченного органа и субъектов ПДн в отношении поручённых ПДн как оператор несёт Оператор; Обработчик предоставляет необходимую для этого информацию и содействие.
9. Возврат и удаление данных по завершении обработки
9.1. По прекращении оказания услуг Сервиса либо по соответствующему указанию Оператора Обработчик прекращает обработку ПДн и, по выбору Оператора, возвращает ПДн Оператору и (или) удаляет их, за исключением случаев, когда хранение ПДн требуется в силу законодательства РФ.
9.2. При удалении учётной записи применяется «мягкое удаление» с окном восстановления 30 (тридцать) дней, по истечении которого данные подлежат безвозвратному удалению. В течение указанного окна Оператор вправе инициировать восстановление учётной записи.
9.3. Документы бухгалтерского и налогового учёта (счета и иные подобные документы) хранятся не менее 5 (пяти) лет в соответствии со ст. 23 Налогового кодекса РФ; такие данные хранятся в обезличенном виде в объёме, необходимом для исполнения требований законодательства.
9.4. По разумному запросу Оператора Обработчик подтверждает факт удаления (уничтожения) ПДн, за исключением данных, подлежащих хранению согласно п. 9.3.
10. Локализация в РФ и отсутствие трансграничной передачи
10.1. Обработчик обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 152-ФЗ.
10.2. Серверы, базы данных и резервные копии размещаются в инфраструктуре ООО «Селектел» (дата-центры на территории РФ).
10.3. Трансграничная передача ПДн в рамках обработки по настоящему Соглашению не осуществляется. Изменение данного условия возможно только при заблаговременном уведомлении Оператора и соблюдении требований ст. 12 152-ФЗ, включая уведомление уполномоченного органа.
11. Ответственность сторон
11.1. Каждая Сторона несёт ответственность за нарушение настоящего Соглашения в соответствии с законодательством РФ и условиями договора об оказании услуг Сервиса.
11.2. Оператор несёт ответственность за правомерность определения целей и состава обрабатываемых ПДн, за наличие правовых оснований обработки и согласий субъектов ПДн, а также за правомерность и состав данных, передаваемых им в Сервис.
11.3. Обработчик несёт ответственность за обработку ПДн с нарушением поручения Оператора и (или) требований настоящего Соглашения. При обработке ПДн по поручению Оператора обязанность по обеспечению конфиденциальности и безопасности ПДн возлагается на Обработчика в соответствии с ч. 3 ст. 6 152-ФЗ, при этом ответственность перед субъектом ПДн за действия Обработчика несёт Оператор, а Обработчик несёт ответственность перед Оператором.
11.4. Пределы и ограничения ответственности Обработчика (в том числе предельный размер ответственности) определяются договором об оказании услуг Сервиса и индивидуальным договором тарифа Enterprise, если иное не установлено императивными нормами законодательства РФ.
11.5. Обработчик не несёт ответственности за последствия, вызванные действиями (бездействием) самого Оператора, в том числе за передачу Оператором в Сервис избыточных данных, специальных категорий ПДн или данных при отсутствии правовых оснований.
12. Заключительные положения
12.1. Настоящее Соглашение вступает в силу с момента его акцепта (в том числе с момента начала использования услуг тарифа Enterprise) и действует в течение срока действия договора об оказании услуг Сервиса.
12.2. Во всём, что не урегулировано настоящим Соглашением, Стороны руководствуются договором об оказании услуг Сервиса (офертой), Политикой обработки персональных данных Сервиса и законодательством Российской Федерации.
12.3. Обработчик вправе вносить изменения в настоящее Соглашение, размещая актуальную редакцию на сайте Сервиса. В части перечня субпроцессоров и существенных изменений условий обработки применяется порядок уведомления, предусмотренный п. 7.4.
12.4. Споры, вытекающие из настоящего Соглашения, разрешаются в порядке, предусмотренном договором об оказании услуг Сервиса; в отсутствие соответствующих условий — в соответствии с законодательством РФ.
12.5. По вопросам обработки ПДн Стороны взаимодействуют по следующим адресам электронной почты Обработчика: по вопросам обработки ПДн — privacy@oborot.io; по вопросам безопасности — security@oborot.io; по общим вопросам — support@oborot.io.
13. Реквизиты Обработчика (Исполнителя)
- Наименование: Индивидуальный предприниматель Дулин Даниил Игоревич
- ИНН: 343523406156
- ОГРНИП: 319344300029560
- Адрес регистрации: 404101, Волгоградская обл., г. Волжский, ул. Пушкина, д. 208, кв. 47
- Расчётный счёт: 40802810800001010904
- Банк: АО «ТБанк»
- БИК: 044525974
- Корреспондентский счёт: 30101810145250000974
- Сайт: https://oborot.io
- Контакт по вопросам обработки ПДн: privacy@oborot.io
Реквизиты Оператора (Заказчика): наименование, ИНН/ОГРН(ИП), адрес и контактные данные Оператора указываются в индивидуальном договоре тарифа Enterprise и (или) в данных учётной записи Оператора в Личном кабинете и являются неотъемлемой частью настоящего Соглашения.