Соглашение о поручении обработки персональных данных (DPA)

о поручении на обработку персональных данных

(Приложение к Публичной оферте о заключении лицензионного договора)

Редакция от «19» апреля 2026 г.

Настоящее Соглашение о поручении на обработку персональных данных (далее — «Соглашение», «DPA») заключается между Индивидуальным предпринимателем Луценко Тимофеем Сергеевичем (ОГРНИП 312253702300020, ИНН 253703285994, адрес: 690011, г. Владивосток, ул. Борисенко, д. 64, кв. 22; регистрационный номер в Реестре операторов ПДн 25-25-031710) — далее «Обработчик», и Лицензиатом — далее «Оператор», в соответствии с частью 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»).

Акцепт Лицензиатом Публичной оферты о заключении лицензионного договора, размещённой по адресу https://florist.cloud/legal/offer (далее — «Договор»), одновременно является принятием условий настоящего Соглашения. Настоящее Соглашение является неотъемлемой частью Договора.

1. ПРЕДМЕТ СОГЛАШЕНИЯ

1.1. Оператор поручает, а Обработчик принимает на себя обработку персональных данных, передаваемых Обработчику в рамках использования программы для ЭВМ «Florist Cloud» (далее — «Сервис») в объёме, на условиях и в целях, установленных настоящим Соглашением.

1.2. Стороны исходят из следующего распределения ролей: Оператором в отношении персональных данных, обрабатываемых с использованием Сервиса, является Лицензиат; Обработчиком, действующим от имени и по поручению Оператора, является ИП Луценко Т.С.

1.3. Обработчик осуществляет обработку персональных данных исключительно в пределах поручения Оператора, не использует персональные данные в собственных целях и не определяет цели их обработки.

1.4. Настоящее Соглашение является поручением на обработку персональных данных в значении части 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет перечень действий (операций) с персональными данными, цели обработки, обязанности Обработчика по соблюдению конфиденциальности и требований к защите обрабатываемых персональных данных в соответствии со статьями 18.1 и 19 указанного Федерального закона.

1.5. Оператор гарантирует, что получил все необходимые согласия субъектов персональных данных и иные предусмотренные законодательством правовые основания обработки, включая основание для передачи персональных данных Обработчику в рамках настоящего Соглашения. Получение и надлежащее оформление таких согласий и оснований — обязанность Оператора.

2. ЦЕЛИ ОБРАБОТКИ

2.1. Обработчик обрабатывает персональные данные исключительно в следующих целях:

обеспечение функционирования Сервиса и предоставление Оператору доступа к его функционалу в соответствии с Договором;

хранение, резервное копирование и восстановление персональных данных, загружаемых Оператором в Сервис;

оказание Оператору технической поддержки;

обеспечение безопасности Сервиса и предотвращение неправомерного доступа к персональным данным;

исполнение обязательных требований законодательства Российской Федерации.

2.2. Обработчик не использует персональные данные, полученные от Оператора, для продвижения товаров, работ или услуг Обработчика, направления маркетинговых сообщений субъектам персональных данных Оператора, а также для любых иных целей, не предусмотренных настоящим Соглашением.

2.3. Обработчик вправе использовать обезличенные и агрегированные данные, полученные в результате обработки, в целях анализа и улучшения качества Сервиса при условии, что такие данные не позволяют идентифицировать субъектов персональных данных и Оператора.

3. КАТЕГОРИИ СУБЪЕКТОВ И ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработчик обрабатывает персональные данные следующих категорий субъектов:

сотрудники и представители Оператора, использующие Сервис (Конечные пользователи);

клиенты Оператора — физические лица и представители юридических лиц, приобретающие товары у Оператора через интернет-магазин, мобильное приложение и иные каналы, интегрированные с Сервисом;

получатели заказов Оператора;

контрагенты и партнёры Оператора — физические лица.

3.2. Категории обрабатываемых персональных данных:

фамилия, имя, отчество субъекта;

номер телефона;

адрес электронной почты;

адрес доставки (почтовый адрес);

сведения о заказах, покупках, предпочтениях субъекта;

учётные данные Конечных пользователей в Сервисе (логин, хешированный пароль, роль и права доступа);

идентификаторы в мессенджерах (при использовании интеграций);

иные данные, загружаемые Оператором в Сервис в рамках его обычной хозяйственной деятельности.

3.3. Обработчик не обрабатывает специальные категории персональных данных и биометрические персональные данные. Оператор обязуется не загружать в Сервис данные указанных категорий.

4. ДЕЙСТВИЯ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

4.1. Обработчик осуществляет следующие действия с персональными данными:

сбор (получение от Оператора при загрузке данных в Сервис);

запись, систематизация, накопление, хранение;

уточнение (обновление, изменение) по команде Оператора;

извлечение и использование исключительно для обеспечения функционирования Сервиса;

передача третьим лицам исключительно по поручению Оператора или в случаях, предусмотренных пунктом 7.1 настоящего Соглашения;

обезличивание, блокирование, удаление, уничтожение по команде Оператора или в соответствии с настоящим Соглашением.

4.2. Обработка персональных данных осуществляется с использованием средств автоматизации. Обработчик не осуществляет обработку персональных данных без использования средств автоматизации в интересах Оператора, за исключением единичных случаев обращения в техническую поддержку.

5. ТРЕБОВАНИЯ К БЕЗОПАСНОСТИ

5.1. Обработчик обязуется обеспечивать безопасность персональных данных при их обработке в соответствии с требованиями статьи 19 152-ФЗ, Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСТЭК России от 18.02.2013 № 21 и иных применимых нормативных правовых актов.

5.2. Обработчик применяет следующие меры защиты:

определение угроз безопасности персональных данных при их обработке в информационных системах и поддержание модели угроз в актуальном состоянии;

применение организационных и технических мер, соответствующих необходимому уровню защищённости информационной системы персональных данных;

разграничение прав доступа сотрудников и подрядчиков Обработчика к персональным данным; доступ предоставляется по принципу минимально необходимого объёма;

ведение журналов событий и журналов доступа;

шифрование каналов передачи персональных данных (TLS);

хранение паролей в хешированном виде;

регулярное резервное копирование и тестирование восстановления данных;

использование сертифицированных и/или соответствующих требованиям средств защиты информации (антивирусные средства, межсетевые экраны, средства обнаружения вторжений);

заключение соглашений о неразглашении с сотрудниками и подрядчиками, имеющими доступ к персональным данным.

5.3. Физическое размещение информационных систем персональных данных обеспечивается на серверах публичного облачного провайдера «VK Cloud» (ООО «В Контакте»), расположенных на территории Российской Федерации, что обеспечивает выполнение требования части 5 статьи 18 152-ФЗ. Обработчик обязуется не осуществлять трансграничную передачу персональных данных без предварительного письменного согласия Оператора и без соблюдения требований статьи 12 152-ФЗ.

5.4. С учётом характера обрабатываемых персональных данных (общедоступные и иные категории персональных данных, специальные категории и биометрические персональные данные не обрабатываются), количества субъектов и модели угроз 3-го типа для обрабатываемых информационных систем установлен и обеспечивается 4-й уровень защищённости персональных данных в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 и Приказом ФСТЭК России от 18.02.2013 № 21. При изменении характера обработки, выходящем за пределы 4-го уровня защищённости, Обработчик в разумный срок уведомляет об этом Оператора и обеспечивает применение соответствующего уровня защиты.

5.5. Работники Обработчика, имеющие доступ к персональным данным, ознакомлены с требованиями законодательства Российской Федерации о персональных данных и локальных актов Обработчика под роспись. С указанными работниками заключены обязательства (соглашения) о неразглашении. Доступ работников к персональным данным предоставляется по принципу минимально необходимого объёма.

5.6. У Обработчика назначен ответственный за организацию обработки персональных данных в соответствии со статьёй 22.1 Федерального закона № 152-ФЗ. Контакт ответственного: электронная почта legal@florist.cloud, ФИО ответственного — Луценко Тимофей Сергеевич. Сведения об изменении ответственного публикуются в Политике обработки персональных данных, размещённой по адресу https://florist.cloud/legal/privacy.

6. ВЗАИМОДЕЙСТВИЕ ПРИ ИНЦИДЕНТАХ

6.1. Обработчик обязуется уведомить Оператора о любом инциденте, связанном с неправомерным или случайным доступом к персональным данным, передачей, распространением, предоставлением, блокированием, удалением, уничтожением или иным нарушением защиты персональных данных, не позднее 12 (двенадцати) часов с момента обнаружения такого инцидента.

6.2. Уведомление направляется по адресу электронной почты Оператора, указанному в Личном кабинете, и должно содержать:

описание инцидента;

предполагаемые причины инцидента;

предполагаемый вред, причинённый правам и законным интересам субъектов персональных данных;

принятые Обработчиком меры по устранению последствий;

сведения о лице, уполномоченном Обработчиком на взаимодействие с Роскомнадзором.

6.3. Обработчик самостоятельно уведомляет Роскомнадзор о таких инцидентах в сроки, установленные частью 3.1 статьи 21 Федерального закона № 152-ФЗ и Приказом Роскомнадзора от 14.11.2022 № 187, а именно: в течение 24 (двадцати четырёх) часов с момента выявления инцидента — о факте, предполагаемых причинах и возможных последствиях инцидента; в течение 72 (семидесяти двух) часов — о результатах внутреннего расследования, принятых мерах и лицах, действия которых стали причиной инцидента. Указанные уведомления направляются в случаях, когда инцидент затрагивает инфраструктуру Обработчика. Оператор самостоятельно уведомляет Роскомнадзор об инцидентах в части, касающейся собственных обязанностей оператора.

6.4. Стороны оказывают друг другу разумное содействие в расследовании инцидентов и выполнении требований уполномоченных органов.

6.5. В случае получения Обработчиком запроса государственного органа, суда или иного уполномоченного лица о предоставлении персональных данных, обрабатываемых по поручению Оператора, Обработчик незамедлительно уведомляет об этом Оператора, если иное не предусмотрено законодательством Российской Федерации. Обработчик предоставляет такие персональные данные только в том объёме, который требуется обязательными требованиями закона, и только после внутренней правовой проверки законности запроса.

7. ПРИВЛЕЧЕНИЕ ТРЕТЬИХ ЛИЦ

7.1. Обработчик вправе привлекать третьих лиц (далее — «Субобработчики») для обработки персональных данных в целях, предусмотренных настоящим Соглашением (в том числе: облачный провайдер инфраструктуры; операторы связи; поставщики услуг SMS, e-mail, push-уведомлений; операторы платёжных систем; подрядчики по технической поддержке). Обработчик обеспечивает, чтобы Субобработчики соблюдали требования законодательства о персональных данных и настоящего Соглашения, в том числе путём включения в договоры с Субобработчиками условий о конфиденциальности и безопасности обработки, не менее строгих, чем предусмотрено настоящим Соглашением.

7.2. Актуальный перечень Субобработчиков, привлечённых Обработчиком для обработки персональных данных, публикуется Обработчиком по адресу https://florist.cloud/legal/subprocessors. Об изменении состава Субобработчиков Обработчик уведомляет Оператора путём обновления указанного перечня и направления информационного сообщения по электронной почте Оператора, указанной в Личном кабинете, не менее чем за 15 (пятнадцать) календарных дней до фактической замены или добавления Субобработчика, кроме случаев срочной замены, вызванной необходимостью обеспечения работоспособности Сервиса.

7.3. Если Оператор не согласен с привлечением конкретного Субобработчика, он вправе направить Обработчику мотивированное возражение в срок до вступления изменений в силу. Если Стороны не достигнут согласия, Оператор вправе отказаться от исполнения Публичной оферты и настоящего Соглашения с возвратом ему Лицензионного вознаграждения за неистёкший период в порядке, предусмотренном Публичной офертой.

7.4. Обработчик несёт перед Оператором ответственность за действия Субобработчиков как за свои собственные.

8. ПРАВА СУБЪЕКТОВ

8.1. Обязанность по обеспечению реализации прав субъектов персональных данных (право на доступ, уточнение, удаление, отзыв согласия и иные права, предусмотренные главой 3 152-ФЗ) лежит на Операторе.

8.2. Обработчик оказывает Оператору разумное техническое содействие в реализации прав субъектов персональных данных: обеспечивает функционал выгрузки, изменения и удаления персональных данных в Сервисе. При получении Обработчиком обращения непосредственно от субъекта персональных данных, относящегося к данным Оператора, Обработчик перенаправляет такое обращение Оператору в течение 3 (трёх) рабочих дней и не даёт ответа по существу без поручения Оператора.

8.3. Оператор вправе в любое время в одностороннем порядке направить Обработчику письменное требование о прекращении обработки определённых персональных данных и об их удалении. Обработчик исполняет такое требование в срок не более 10 (десяти) рабочих дней с даты получения, за исключением сведений, которые Обработчик обязан сохранить в силу императивных требований законодательства.

8.4. Не чаще одного раза в 12 (двенадцать) месяцев, а также в случае инцидента, связанного с безопасностью персональных данных Оператора, Оператор вправе направить Обработчику письменный запрос о представлении отчёта о мерах, принятых Обработчиком для обеспечения защиты персональных данных в рамках настоящего Соглашения. Обработчик предоставляет такой отчёт в срок не более 20 (двадцати) рабочих дней с даты получения запроса. Отчёт предоставляется в объёме, не раскрывающем конфиденциальных сведений Обработчика о внутренних процессах, инфраструктуре и иных клиентах Обработчика.

9. СРОК ДЕЙСТВИЯ И СУДЬБА ДАННЫХ

9.1. Настоящее Соглашение вступает в силу с даты акцепта Оператором Публичной оферты и действует в течение срока действия Договора.

9.2. По прекращении Договора Обработчик удаляет персональные данные, полученные от Оператора, в сроки и в порядке, установленные разделом о судьбе Данных в Публичной оферте (в течение 90 (девяноста) календарных дней с даты расторжения Договора, с учётом 30-дневного периода выгрузки и 60-дневного периода холодного хранения). По письменному запросу Оператора Обработчик вправе удалить персональные данные ранее указанного срока.

9.3. Обработчик вправе сохранить минимально необходимый объём персональных данных для исполнения обязательных требований налогового, бухгалтерского законодательства и законодательства о противодействии легализации доходов.

10. ОТВЕТСТВЕННОСТЬ

10.1. Каждая Сторона самостоятельно несёт ответственность за неисполнение либо ненадлежащее исполнение своих обязанностей по 152-ФЗ.

10.2. Обработчик несёт ответственность перед Оператором за нарушение настоящего Соглашения в размере реального ущерба, в пределах ограничения ответственности, установленного Публичной офертой, за исключением случаев умысла и грубой неосторожности.

10.3. Оператор обязуется обеспечить получение всех необходимых согласий субъектов персональных данных, включая согласие на передачу данных Обработчику, и возместить Обработчику убытки, понесённые последним в результате отсутствия таких согласий либо иного нарушения Оператором обязанностей оператора персональных данных.

11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Актуальная редакция настоящего Соглашения размещается по адресу https://florist.cloud/legal/dpa.

11.2. К настоящему Соглашению применяется право Российской Федерации. Споры разрешаются в порядке, установленном Публичной офертой.

11.3. Во всём, что не урегулировано настоящим Соглашением, Стороны руководствуются Публичной офертой и законодательством Российской Федерации.