Replyo

Договор поручения на обработку персональных данных

Версия
1.0
Действует с
17 апреля 2026

Настоящий договор (DPA — Data Processing Agreement) заключается между Клиентом Сервиса Replyo, являющимся Оператором ПДн Посетителей своего сайта, и Replyo как лицом, обрабатывающим ПДн по поручению Оператора. Договор составлен в соответствии с частью 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ.

Черновик DPA-шаблона. Подлежит проверке юристом по ПДн. Автоматически применяется к юридическим лицам и ИП — Заказчикам Replyo, принявшим Публичную оферту.

1. Термины

  • Оператор — Клиент Replyo (юридическое лицо или ИП, владелец сайта), определяющий цели и состав обрабатываемых ПДн
  • Процессор — Replyo, обрабатывающий ПДн по поручению и в интересах Оператора
  • Субъект — Посетитель сайта Оператора, взаимодействующий с чат-ботом

2. Предмет

Оператор поручает, а Процессор принимает на себя обработку ПДн Субъектов в объёме, необходимом для работы чат-бот-сервиса Replyo на сайте Оператора, включая:

  • Сбор и запись сообщений Посетителей
  • Хранение истории диалогов
  • Использование данных для формирования ответов AI-моделью
  • Обработку лидов (контактных данных), оставленных Посетителями
  • Передачу данных по назначенным Оператором каналам (email, Telegram, CRM)

3. Обязанности Процессора

Replyo обязуется:

  1. Обрабатывать ПДн строго в пределах поручения Оператора и целей настоящего договора
  2. Не передавать ПДн третьим лицам, за исключением случаев, предусмотренных настоящим договором и законом
  3. Обеспечить защиту ПДн согласно ст. 19 152-ФЗ, в том числе:
    • Шифрование каналов передачи (TLS 1.3)
    • Шифрование чувствительных полей при хранении
    • Разграничение доступа, изоляция данных каждого Оператора
    • Журналирование доступа
  4. Уведомлять Оператора об инцидентах информационной безопасности в течение 24 часов с момента обнаружения
  5. По требованию Оператора предоставлять сведения об обработке ПДн Субъектов
  6. При прекращении договора — удалить или возвратить ПДн Субъектов в течение 30 дней

4. Обязанности Оператора

Оператор обязуется:

  1. Иметь правовые основания для обработки ПДн Субъектов (согласие, исполнение договора, законные интересы)
  2. Разместить на своём сайте уведомление о сборе ПДн и работе AI-бота, с указанием того, что данные обрабатываются по поручению Оператора Процессором Replyo
  3. Опубликовать Политику обработки ПДн, соответствующую требованиям 152-ФЗ (ст. 18.1)
  4. Обеспечить возможность Субъектов реализовать свои права (ст. 14 152-ФЗ)
  5. Не давать Процессору поручений, противоречащих закону или нарушающих права Субъектов

5. Субпроцессоры

Для оказания услуг Процессор привлекает следующих субпроцессоров (поставщиков инфраструктурных сервисов), о чём Оператор настоящим уведомлён и согласен:

СубпроцессорРольЛокация
Яндекс.ОблакоХостинг, хранение ПДнРФ
ЮKassa / CloudPaymentsОбработка платежейРФ
Anthropic / OpenAIAI-обработка текстов запросовСША
GigaChat (Сбер)AI-обработка текстов запросовРФ
ResendТранзакционная email-рассылкаСША

Изменения в списке субпроцессоров публикуются на сайте Replyo и применяются спустя 30 дней. Оператор вправе возразить — в этом случае договор может быть расторгнут без штрафных санкций.

6. Трансграничная передача

Процессор осуществляет трансграничную передачу ПДн Субъектов в США (для AI-обработки) только в объёме, необходимом для оказания услуг, и при наличии оснований, указанных в законе. Оператор обязуется получить согласие Субъектов на трансграничную передачу и указать это в своей Политике.

7. Уведомление об инцидентах

При утечке или несанкционированном доступе к ПДн Процессор:

  • Уведомляет Оператора в течение 24 часов
  • Уведомляет Роскомнадзор в течение 24 часов (ст. 21 152-ФЗ)
  • Уведомляет Субъектов в разумный срок
  • Принимает меры по локализации инцидента

8. Сроки и расторжение

Договор действует в период активной подписки Оператора на Сервис Replyo и прекращается автоматически при отмене подписки. Положения об обязанностях по защите ПДн действуют и после прекращения договора в течение срока хранения данных.

9. Ответственность

Стороны несут ответственность согласно законодательству РФ. Процессор отвечает перед Оператором за убытки, возникшие в результате нарушения Процессором настоящего договора, в пределах сумм, предусмотренных Публичной офертой (не более оплаты за 3 месяца).

Оператор освобождает Процессора от ответственности перед третьими лицами, если требования связаны с нарушением Оператором своих обязательств (indemnification).

10. Заключительные положения

Настоящий договор является неотъемлемой частью Публичной оферты Replyo и автоматически применяется при акцепте оферты юридическим лицом или индивидуальным предпринимателем.

По запросу Клиента может быть заключено отдельное соглашение с печатью и подписью — направьте заявку на legal@replyo.su.

Форма DPA составлена на основе рекомендаций Роскомнадзора и европейской практики (GDPR Article 28). Перед применением требуется проверка профильным юристом.