Соглашение о поручении обработки персональных данных (DPA)
Дата последнего обновления: 20 мая 2026 г.
Настоящее Соглашение о поручении обработки персональных данных (далее — «Соглашение», «DPA») заключается между Пользователем сервиса AiMaxChat (далее — «Оператор ПДн», «Заказчик») и лицом, предоставляющим доступ к сервису AiMaxChat (далее — «Обработчик»).
Соглашение является неотъемлемой частью Пользовательского соглашения (публичной оферты), размещённого по адресу aimaxchat.ru/terms, и регулирует обработку персональных данных Посетителей — физических лиц, взаимодействующих с чат-виджетом на сайте Заказчика.
DPA не регулирует обработку данных самого Заказчика как пользователя Сервиса, включая регистрацию, оплату подписки, чеки и взаимодействие с платёжными провайдерами. Такая обработка описана в Политике конфиденциальности и Пользовательском соглашении.
1. Термины
- Обработчик / процессор — Сливин Максим Сергеевич, самозанятый (плательщик налога на профессиональный доход, 422-ФЗ), ИНН 583411728004, г. Пенза, email: support@aimaxchat.ru, предоставляющий сервис AiMaxChat и обрабатывающий ПДн Посетителей по поручению Заказчика.
- Заказчик (оператор ПДн посетителей сайта) — Пользователь сервиса AiMaxChat, разместивший Виджет на своём сайте. Является оператором персональных данных Посетителей своего сайта в смысле 152-ФЗ.
- Посетитель (Субъект ПДн) — физическое лицо, взаимодействующее с Виджетом на сайте Заказчика и передающее свои персональные данные.
- ПДн — персональные данные Посетителей, обрабатываемые в рамках работы Виджета.
- Виджет — чат-бот AiMaxChat, встроенный на сайт Заказчика.
2. Предмет Соглашения
2.1. Заказчик поручает, а Обработчик принимает на себя обязательство по обработке ПДн Посетителей в целях и на условиях, определённых настоящим Соглашением, в соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2.2. Обработчик действует исключительно на основании поручения Заказчика и не определяет самостоятельно цели обработки ПДн Посетителей.
3. Категории персональных данных и цели обработки
| Категория ПДн | Цель обработки | Основание |
|---|---|---|
| Имя (если указано в лид-форме) | Идентификация обращения, передача лида Заказчику | Согласие Посетителя |
| Номер телефона (если указан) | Обратная связь по запросу Посетителя | Согласие Посетителя |
| Email (если указан) | Обратная связь по запросу Посетителя | Согласие Посетителя |
| Краткий фрагмент обращения в чате | Передача Заказчику контекста заявки в уведомлении о лиде без полной истории диалога | Согласие Посетителя на отправку заявки |
| Фрагмент переписки для CRM | Передача лида в Bitrix24 или универсальный webhook Заказчика, если Заказчик включил интеграцию и передачу transcript в настройках | Согласие Посетителя и инструкции Заказчика в настройках Сервиса |
| Отдельное согласие на информационные и маркетинговые сообщения | Фиксация необязательного согласия для follow-up коммуникаций Заказчика | Отдельное согласие Посетителя |
| Содержание диалога с ботом | Формирование ответа ИИ и связанная обработка сообщения, добровольно отправленного Посетителем через Виджет | Согласие Посетителя, подтверждаемое в Виджете до первого сообщения |
| IP-адрес, User-Agent, origin/referer, visitor_id | Техническое обеспечение работы, anti-abuse, безопасность и аудит | Законный интерес Заказчика |
3.1. Перечень действий (операций) с персональными данными
В рамках поручения Заказчика Обработчик вправе совершать только те действия с ПДн Посетителей, которые необходимы для работы выбранных функций Сервиса и прямо следуют из настоящего Соглашения, Пользовательского соглашения и настроек Заказчика.
- Сбор и получение ПДн от Посетителя через Виджет, а также получение сопутствующих технических данных запроса.
- Запись, систематизация, накопление и хранение ПДн в инфраструктуре Сервиса.
- Уточнение, обновление и извлечение данных в пределах функциональности Сервиса, включая обработку запросов Заказчика и повторную доставку лида.
- Использование ПДн для формирования ответа ИИ, работы лид-формы, журналов согласия, anti-abuse, безопасности, аудита и связанных технических операций.
- Передача и предоставление ПДн Заказчику через личный кабинет, подключённые им каналы уведомлений, CRM и иные endpoint'ы, указанные им в настройках Сервиса.
- Передача ПДн субобработчикам Обработчика в объёме, необходимом для работы выбранных Заказчиком функций Сервиса.
- Блокирование, удаление и уничтожение ПДн по запросу Заказчика, по достижении целей обработки либо в случаях, предусмотренных законодательством РФ.
- Обезличивание данных только в тех случаях, когда это технически применяется в конкретной функции Сервиса или требуется законом.
4. Обязанности Обработчика
Обработчик обязуется:
- Обрабатывать ПДн исключительно в целях, указанных в разделе 3, и только на основании документированных инструкций Заказчика. Настоящее Соглашение и Пользовательское соглашение являются такими инструкциями.
- Не использовать ПДн Посетителей в собственных целях, не передавать третьим лицам, не предоставлять доступ, за исключением случаев, прямо предусмотренных Соглашением или требованиями закона.
- Обеспечивать конфиденциальность ПДн и не раскрывать их третьим лицам без письменного согласия Заказчика, за исключением передачи субобработчикам (раздел 6) и случаев, предусмотренных законодательством РФ.
- Обеспечивать размещение данных, необходимых для регистрации пользователей Сервиса, работы лид-формы Виджета и журналов согласия, на инфраструктуре в РФ, если иное прямо не следует из выбранной функции Сервиса и согласия субъекта ПДн.
- Принимать организационные и технические меры защиты ПДн в соответствии с требованиями 152-ФЗ (раздел 5).
- Уведомить Заказчика об инцидентах безопасности ПДн (утечка, несанкционированный доступ) в срок не более 72 часов с момента обнаружения, предоставив описание инцидента, затронутые категории данных и принятые меры.
- Оказывать Заказчику разумное содействие в исполнении запросов Субъектов ПДн (доступ, исправление, удаление, отзыв согласия) в пределах функциональности Сервиса.
- По прекращении действия Соглашения удалить ПДн Посетителей в сроки, указанные в Пользовательском соглашении (в течение 30 дней после удаления бота или аккаунта Заказчика, включая возможность технического удаления сразу после запроса), за исключением данных, хранение которых требуется по закону.
5. Меры защиты
Обработчик обеспечивает следующие меры безопасности:
- Шифрование данных при передаче (TLS 1.2 и выше)
- Хэширование паролей пользователей Сервиса
- Разграничение доступа к данным — данные каждого Заказчика изолированы
- Хранение основных данных и журналов на инфраструктуре Оператора в РФ
- Ограничение круга лиц с доступом к серверной инфраструктуре и базам данных
- Регулярное обновление программного обеспечения для устранения уязвимостей
- Логирование доступа к данным для целей аудита
6. Субобработчики Обработчика
Заказчик настоящим даёт общее согласие на привлечение Обработчиком следующих субобработчиков для целей предоставления Сервиса:
| Субобработчик | Страна | Назначение |
|---|---|---|
| Timeweb Cloud / инфраструктура Оператора | Россия | Размещение сайта и серверной части Сервиса, база данных Сервиса, хранение файлов и техническая инфраструктура |
| Yandex Cloud / YandexGPT | Россия | Обработка запросов ИИ-моделью, генерация ответов и эмбеддинги |
| GigaChat (Сбер) | Россия | Обработка запросов ИИ-моделью, генерация ответов и эмбеддинги |
| Telegram Messenger Inc. / Telegram Bot API | За пределами РФ | Уведомления о новых лидах, если Заказчик подключил этот канал |
| Timeweb SMTP / почта домена Сервиса | Россия | Email-уведомления о новых лидах, если Заказчик подключил этот канал |
| MAX / внешний webhook уведомлений | Россия или иная страна в зависимости от подключённого сервиса | Уведомления о новых лидах, если такой канал включён Обработчиком |
Обработчик уведомляет Заказчика об изменении перечня субобработчиков путём обновления настоящего Соглашения на Сайте. Заказчик вправе возразить в течение 14 дней; при неразрешённом возражении Заказчик вправе расторгнуть Соглашение.
Обработчик обеспечивает наличие договорных обязательств с каждым субобработчиком, обеспечивающих уровень защиты ПДн не ниже предусмотренного настоящим Соглашением.
ЮKassa и иные платёжные провайдеры, используемые для оплаты подписки Заказчиком, не включены в перечень субобработчиков по настоящему DPA, поскольку не обрабатывают ПДн Посетителей сайта Заказчика по поручению Заказчика в рамках работы Виджета.
6.1. Получатели и интеграции, определяемые Заказчиком
Bitrix24, универсальный webhook и иные CRM/endpoint'ы, указанные Заказчиком в настройках Сервиса, не являются субобработчиками Обработчика по умолчанию. Это получатели данных, выбранные и определённые самим Заказчиком как оператором ПДн.
| Получатель / интеграция | Страна | Назначение |
|---|---|---|
| Bitrix24 | Определяется настройками Заказчика | Получение лида и, если включено Заказчиком, ограниченного transcript до 6 последних сообщений по 1000 символов каждое |
| Универсальный webhook Заказчика | Определяется настройками Заказчика | Получение лида и, если включено Заказчиком, ограниченного transcript до 6 последних сообщений по 1000 символов каждое |
Заказчик самостоятельно отвечает за законность передачи ПДн таким получателям, за раскрытие их в своей политике конфиденциальности и, при необходимости, в уведомлении РКН.
7. Обязанности Заказчика (Оператора ПДн)
Заказчик обязуется:
- Быть оператором ПДн Посетителей и обеспечить наличие правового основания для сбора и обработки их данных (согласие, договор и т.д.) до размещения Виджета на своём сайте.
- Разместить на своём сайте политику конфиденциальности, соответствующую требованиям 152-ФЗ, с указанием AiMaxChat как обработчика ПДн.
- Подать уведомление в Роскомнадзор о начале обработки ПДн, если это требуется по закону.
- Не загружать в базу знаний бота персональные данные Посетителей, специальные категории ПДн (медицинские данные пациентов, биометрические данные и т.п.), конфиденциальную информацию и иные материалы, требующие отдельного правового режима, если такой режим не обеспечен Заказчиком и не согласован с Обработчиком отдельно.
- Предупреждать Посетителей сайта о том, что свободный текст чата и материалы базы знаний не предназначены для передачи персональных данных, если Заказчик не организовал для этого отдельный правовой режим обработки.
- Обеспечить, чтобы текст подтверждения обработки сообщений перед первым сообщением в Виджете и политика конфиденциальности на сайте Заказчика соответствовали фактической обработке данных, используемым ИИ-сервисам в РФ, перечню субобработчиков и получателей, определяемых Заказчиком.
- Самостоятельно оценивать необходимость выполнения дополнительных требований 152-ФЗ, включая требования о трансграничной передаче ПДн, если Заказчик подключает интеграции или каналы уведомлений с получателями за пределами РФ.
- Своевременно уведомлять Обработчика об изменении целей обработки или отзыве согласий Субъектов ПДн.
8. Трансграничная передача данных
Ядро Сервиса — личный кабинет, база данных, документы и обработка запросов — размещается в российской инфраструктуре. Обработка запросов ИИ для генерации ответов и эмбеддингов выполняется с использованием ИИ-сервисов, расположенных в РФ, в том числе YandexGPT и/или GigaChat (раздел 6).
При подключении Заказчиком каналов уведомлений, CRM или webhook отдельные получатели могут находиться за пределами РФ в зависимости от их настроек. Заказчик как оператор ПДн самостоятельно обеспечивает наличие правового основания и выполнение требований законодательства РФ, включая требования о трансграничной передаче ПДн, если использует такие интеграции или передаёт данные, для которых требуется соответствующий режим обработки.
Заказчик обязан проверить документы, уведомление РКН и настройки Виджета с учётом фактически подключённых интеграций и каналов уведомлений.
При этом контактные данные, переданные через лид-форму Виджета, а также журналы согласия и технические сведения о подтверждении обработки сообщений размещаются на инфраструктуре в РФ; последующая передача выполняется только в объёме, необходимом для работы Сервиса и уведомления Заказчика. Telegram/email-уведомления о лиде содержат контактные данные и ограниченный краткий фрагмент обращения, но не полную историю диалога. Получатели, определяемые Заказчиком, включая Bitrix24 и универсальный webhook, могут получать ограниченный transcript до 6 последних сообщений по 1000 символов каждое, если Заказчик включил такую передачу в настройках.
Материалы базы знаний загружаются и хранятся с привлечением инфраструктуры Сервиса. Подтверждение Заказчика перед загрузкой базы знаний о составе загружаемых материалов не заменяет обязанность Заказчика обеспечить правовое основание для обработки и передачи ПДн, если такие данные фактически загружаются.
Файлы базы знаний могут временно храниться в private temp storage для обработки и затем в private source storage для переиндексации. Такие объекты не являются публичными URL и используются только серверной частью Сервиса.
Обработчик со своей стороны обеспечивает защиту данных при передаче посредством шифрования и договорных обязательств с субобработчиками в пределах доступных ему мер и выбранных Заказчиком функций Сервиса.
9. Срок действия и прекращение
9.1. Настоящее Соглашение применяется с момента его принятия Заказчиком в личном кабинете и регулирует обработку ПДн Посетителей в тех сценариях использования Виджета, где Заказчик поручает такую обработку Обработчику. Если Виджет размещён до принятия DPA, Заказчик обязан принять DPA до включения лид-формы; система не позволяет включить лид-форму без принятого DPA. Для chat-only обработки сообщений отдельная техническая проверка принятия DPA сейчас не применяется, поэтому до принятия DPA Заказчик самостоятельно оценивает необходимость его принятия, наличие правового основания и корректность документов на своём сайте.
9.2. При прекращении Соглашения Обработчик удаляет ПДн Посетителей в соответствии с Пользовательским соглашением (в течение 30 дней, включая возможность технического удаления сразу после запроса), за исключением данных, хранение которых требуется по законодательству РФ.
9.3. Обязательства по конфиденциальности ПДн сохраняются после прекращения Соглашения бессрочно.
10. Проверки и аудит
10.1. Заказчик вправе запросить у Обработчика информацию, необходимую для подтверждения соблюдения обязательств по настоящему Соглашению. Обработчик предоставляет запрашиваемую информацию в разумный срок (не более 15 рабочих дней).
10.2. При необходимости проведения аудита стороны согласовывают порядок, сроки и объём проверки. Аудит не должен нарушать конфиденциальность данных других Заказчиков.
11. Ответственность
11.1. Обработчик несёт ответственность за нарушение обязательств по настоящему Соглашению в пределах, установленных Пользовательским соглашением (сумма, фактически уплаченная Заказчиком за последние 3 месяца).
11.2. Заказчик несёт ответственность за законность сбора ПДн Посетителей на своём сайте, наличие правовых оснований обработки и соблюдение требований 152-ФЗ в части, относящейся к Оператору ПДн.
12. Заключительные положения
12.1. Настоящее Соглашение регулируется законодательством Российской Федерации.
12.2. Споры разрешаются в порядке, предусмотренном Пользовательским соглашением.
12.3. Обработчик вправе вносить изменения в Соглашение. Новая редакция вступает в силу с даты публикации на Сайте, если иное не указано в самой редакции. Заказчик уведомляется по email.
12.4. Если какое-либо положение признано недействительным, остальные положения сохраняют силу.
13. Реквизиты Обработчика
- ФИО: Сливин Максим Сергеевич
- ИНН: 583411728004
- Статус: самозанятый (плательщик налога на профессиональный доход, 422-ФЗ)
- Адрес: г. Пенза
- Email: support@aimaxchat.ru
Как использовать DPA
Актуальная редакция DPA опубликована на этой странице. Храните ссылку или распечатанную копию вместе с вашей политикой обработки персональных данных. В своей политике укажите AiMaxChat как обработчика ПДн Посетителей сайта.
Скачать DPA в PDF- Актуальная онлайн-редакция остаётся доступна на этой странице.
- При проверке Роскомнадзора предоставьте DPA вместе с вашей политикой.
- При изменении процессов обработки данных обновите документы вместе с юристом.