Соглашение о поручении обработки персональных данных (DPA)
Редакция от 07 мая 2026 г.
Настоящее Соглашение о поручении обработки персональных данных (далее — «Соглашение», «DPA») заключается между Пользователем сервиса AiMaxChat (далее — «Оператор ПДн», «Заказчик») и лицом, предоставляющим доступ к сервису AiMaxChat (далее — «Обработчик»).
Соглашение является неотъемлемой частью Пользовательского соглашения (публичной оферты), размещённого по адресу aimaxchat.ru/terms, и регулирует обработку персональных данных Посетителей — физических лиц, взаимодействующих с чат-виджетом на сайте Заказчика.
1. Термины
- Обработчик / процессор — Сливин Максим Сергеевич, самозанятый (плательщик налога на профессиональный доход, 422-ФЗ), ИНН 583411728004, г. Пенза, email: support@aimaxchat.ru, предоставляющий сервис AiMaxChat и обрабатывающий ПДн Посетителей по поручению Заказчика.
- Заказчик (оператор ПДн посетителей сайта) — Пользователь сервиса AiMaxChat, разместивший Виджет на своём сайте. Является оператором персональных данных Посетителей своего сайта в смысле 152-ФЗ.
- Посетитель (Субъект ПДн) — физическое лицо, взаимодействующее с Виджетом на сайте Заказчика и передающее свои персональные данные.
- ПДн — персональные данные Посетителей, обрабатываемые в рамках работы Виджета.
- Виджет — чат-бот AiMaxChat, встроенный на сайт Заказчика.
2. Предмет Соглашения
2.1. Заказчик поручает, а Обработчик принимает на себя обязательство по обработке ПДн Посетителей в целях и на условиях, определённых настоящим Соглашением, в соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2.2. Обработчик действует исключительно на основании поручения Заказчика и не определяет самостоятельно цели обработки ПДн Посетителей.
3. Категории персональных данных и цели обработки
| Категория ПДн | Цель обработки | Основание |
|---|---|---|
| Имя (если указано в лид-форме) | Идентификация обращения, передача лида Заказчику | Согласие Посетителя |
| Номер телефона (если указан) | Обратная связь по запросу Посетителя | Согласие Посетителя |
| Email (если указан) | Обратная связь по запросу Посетителя | Согласие Посетителя |
| Краткий фрагмент обращения в чате | Передача Заказчику контекста заявки в уведомлении о лиде без полной истории диалога | Согласие Посетителя на отправку заявки |
| Отдельное согласие на информационные и маркетинговые сообщения | Фиксация необязательного согласия для follow-up коммуникаций Заказчика | Отдельное согласие Посетителя |
| Содержание диалога с ботом | Формирование ответа AI и связанная обработка сообщения, добровольно отправленного Посетителем через Виджет | Согласие Посетителя, подтверждаемое в Виджете до первого сообщения |
| IP-адрес, User-Agent, origin/referer, visitor_id | Техническое обеспечение работы, anti-abuse, безопасность и аудит | Законный интерес Заказчика |
4. Обязанности Обработчика
Обработчик обязуется:
- Обрабатывать ПДн исключительно в целях, указанных в разделе 3, и только на основании документированных инструкций Заказчика. Настоящее Соглашение и Пользовательское соглашение являются такими инструкциями.
- Не использовать ПДн Посетителей в собственных целях, не передавать третьим лицам, не предоставлять доступ, за исключением случаев, прямо предусмотренных Соглашением или требованиями закона.
- Обеспечивать конфиденциальность ПДн и не раскрывать их третьим лицам без письменного согласия Заказчика, за исключением передачи субобработчикам (раздел 6) и случаев, предусмотренных законодательством РФ.
- Для регистрации пользователей Сервиса, лид-формы Виджета и server-side обработки первого сообщения в чате обеспечивать первичную фиксацию данных и/или журналов согласия на инфраструктуре в РФ до downstream-передачи в продуктовые системы Сервиса.
- Принимать организационные и технические меры защиты ПДн в соответствии с требованиями 152-ФЗ (раздел 5).
- Уведомить Заказчика об инцидентах безопасности ПДн (утечка, несанкционированный доступ) в срок не более 72 часов с момента обнаружения, предоставив описание инцидента, затронутые категории данных и принятые меры.
- Оказывать Заказчику разумное содействие в исполнении запросов Субъектов ПДн (доступ, исправление, удаление, отзыв согласия) в пределах функциональности Сервиса.
- По прекращении действия Соглашения удалить ПДн Посетителей в сроки, указанные в Пользовательском соглашении (30 дней после удаления бота или аккаунта Заказчика), за исключением данных, хранение которых требуется по закону.
5. Меры защиты
Обработчик обеспечивает следующие меры безопасности:
- Шифрование данных при передаче (TLS 1.2 и выше)
- Хэширование паролей пользователей Сервиса
- Разграничение доступа к данным на уровне базы данных (Row Level Security) — данные каждого Заказчика изолированы
- Первичное хранение explicit intake-потоков на российской инфраструктуре Оператора (Timeweb / RF Postgres)
- Хранение продуктовых данных и аутентификации у инфраструктурных провайдеров Сервиса (включая Supabase / AWS)
- Ограничение круга лиц с доступом к серверной инфраструктуре и базам данных
- Регулярное обновление программного обеспечения для устранения уязвимостей
- Логирование доступа к данным для целей аудита
6. Субобработчики
Заказчик настоящим даёт общее согласие на привлечение Обработчиком следующих субобработчиков для целей предоставления Сервиса:
| Субобработчик | Страна | Назначение |
|---|---|---|
| Timeweb Cloud / российский gateway Оператора | Россия | Первичный приём регистрации, лидов и журналов согласия/проксирования в РФ |
| Supabase, Inc. (AWS) | США | Хранение данных, аутентификация, серверные функции |
| OpenAI, Inc. | США | Обработка запросов AI-моделью для генерации ответов |
| Yandex Cloud / YandexGPT | Россия | Обработка запросов AI-моделью, генерация ответов и эмбеддинги |
| GigaChat (Сбер) | Россия | Обработка запросов AI-моделью, генерация ответов и эмбеддинги |
| Telegram Messenger Inc. / Telegram Bot API | За пределами РФ | Уведомления о новых лидах по настройкам Заказчика |
| Timeweb SMTP / почта домена Сервиса | Россия | Email-уведомления о новых лидах владельцу бота |
| Vercel, Inc. | США | Хостинг веб-приложения, доставка контента (CDN) |
Обработчик уведомляет Заказчика об изменении перечня субобработчиков путём обновления настоящего Соглашения на Сайте. Заказчик вправе возразить в течение 14 дней; при неразрешённом возражении Заказчик вправе расторгнуть Соглашение.
Обработчик обеспечивает наличие договорных обязательств с каждым субобработчиком, обеспечивающих уровень защиты ПДн не ниже предусмотренного настоящим Соглашением.
Уведомления через MAX рассматриваются как будущий опциональный канал и не являются активным субобработчиком до отдельного подключения. Перед включением такого канала Обработчик обновляет перечень субобработчиков.
7. Обязанности Заказчика (Оператора ПДн)
Заказчик обязуется:
- Быть оператором ПДн Посетителей и обеспечить наличие правового основания для сбора и обработки их данных (согласие, договор и т.д.) до размещения Виджета на своём сайте.
- Разместить на своём сайте политику конфиденциальности, соответствующую требованиям 152-ФЗ, с указанием AiMaxChat как обработчика ПДн.
- Подать уведомление в Роскомнадзор о начале обработки ПДн, если это требуется по закону.
- Не загружать в базу знаний бота специальные категории ПДн (медицинские данные пациентов, биометрические данные и т.п.) без отдельного письменного соглашения с Обработчиком.
- Предупреждать Посетителей сайта о том, что свободный текст чата и материалы базы знаний не предназначены для передачи персональных данных, если Заказчик не организовал для этого отдельный правовой режим и контур обработки.
- Если Заказчик использует виджет в режиме подтверждения server-side обработки перед первым сообщением, обеспечить, чтобы текст согласия и политика конфиденциальности на сайте Заказчика не противоречили фактической архитектуре обработки и перечню субобработчиков.
- Своевременно уведомлять Обработчика об изменении целей обработки или отзыве согласий Субъектов ПДн.
8. Трансграничная передача данных
Заказчик подтверждает, что осведомлён о том, что в зависимости от выбранной server-side конфигурации AI-провайдеров обработка ПДн Посетителей может включать как российских, так и иностранных субобработчиков (раздел 6), и даёт на это согласие. Обработчик обеспечивает защиту данных при трансграничной передаче посредством шифрования и договорных обязательств с субобработчиками.
При этом контактные данные, переданные через лид-форму Виджета, а также журналы согласия и технические метаданные подтверждения обработки первого сообщения сначала фиксируются на инфраструктуре в РФ; последующая пересылка выполняется только в объёме, необходимом для работы Сервиса и уведомления Заказчика. Внешние уведомления о лиде содержат контактные данные и ограниченный краткий фрагмент обращения, но не полную историю диалога.
9. Срок действия и прекращение
9.1. Настоящее Соглашение действует с момента размещения Заказчиком Виджета на своём сайте и до момента удаления аккаунта Заказчика из Сервиса или расторжения Пользовательского соглашения.
9.2. При прекращении Соглашения Обработчик удаляет ПДн Посетителей в соответствии с п. 13.3 Пользовательского соглашения (в течение 30 дней), за исключением данных, хранение которых требуется по законодательству РФ.
9.3. Обязательства по конфиденциальности ПДн сохраняются после прекращения Соглашения бессрочно.
10. Проверки и аудит
10.1. Заказчик вправе запросить у Обработчика информацию, необходимую для подтверждения соблюдения обязательств по настоящему Соглашению. Обработчик предоставляет запрашиваемую информацию в разумный срок (не более 15 рабочих дней).
10.2. При необходимости проведения аудита стороны согласовывают порядок, сроки и объём проверки. Аудит не должен нарушать конфиденциальность данных других Заказчиков.
11. Ответственность
11.1. Обработчик несёт ответственность за нарушение обязательств по настоящему Соглашению в пределах, установленных Пользовательским соглашением (сумма, фактически уплаченная Заказчиком за последние 3 месяца).
11.2. Заказчик несёт ответственность за законность сбора ПДн Посетителей на своём сайте, наличие правовых оснований обработки и соблюдение требований 152-ФЗ в части, относящейся к Оператору ПДн.
12. Заключительные положения
12.1. Настоящее Соглашение регулируется законодательством Российской Федерации.
12.2. Споры разрешаются в порядке, предусмотренном Пользовательским соглашением.
12.3. Обработчик вправе вносить изменения в Соглашение. Новая редакция вступает в силу через 14 дней после публикации на Сайте. Заказчик уведомляется по email.
12.4. Если какое-либо положение признано недействительным, остальные положения сохраняют силу.
13. Реквизиты Обработчика
- ФИО: Сливин Максим Сергеевич
- ИНН: 583411728004
- Статус: самозанятый (плательщик налога на профессиональный доход, 422-ФЗ)
- Адрес: г. Пенза
- Email: support@aimaxchat.ru
Как использовать этот документ
- Распечатайте эту страницу в PDF (Ctrl+P → «Сохранить как PDF»)
- Храните копию у себя для подтверждения соответствия 152-ФЗ
- Укажите AiMaxChat как обработчика ПДн в вашей политике конфиденциальности
- При проверке Роскомнадзора предоставьте этот документ вместе с вашей политикой