← На главную

Версия 1.0 · вступила в силу 03 июня 2026 г.

Соглашение об обработке персональных данных (DPA)

SHA-256: 258ab1f3623d23545c2eac267e294c36cdf4662196de21af7be08a89596180c7

Соглашение об обработке персональных данных

к Договору-оферте на участие в Private Beta NexyTect AI

Версия 1.0 от « 24 » мая 2026 года



Настоящее Соглашение об обработке персональных данных (далее — «DPA», «Соглашение») заключено между:



Общество с ограниченной ответственностью «УНИВЕРСИТЕТ НАРОДНОГО КАЧЕСТВА» (ОГРН 1238600012122, ИНН 8604073630, КПП 860401001), именуемое в дальнейшем «Лицо, осуществляющее обработку» (далее также — «Исполнитель», «Обработчик»), в лице Генерального директора Горичевой Ларисы Юрьевны, действующего на основании Устава, с одной стороны, и

[Полное наименование юридического лица] (ОГРН [ОГРН], ИНН [ИНН], КПП [КПП]), именуемое в дальнейшем «Оператор персональных данных» (далее также — «Пользователь»), в лице Генерального директора Горичевой Ларисы Юрьевны, действующего на основании Устава, с другой стороны, совместно именуемые «Стороны», заключили настоящее Соглашение о нижеследующем.

1. Общие положения

1.1. Настоящее DPA заключено в развитие Договора-оферты на участие в Private Beta NexyTect AI (далее — «Основной договор») и регулирует порядок обработки персональных данных, передаваемых Оператором Обработчику в связи с использованием сервиса NexyTect AI (далее — «Сервис»).

1.2. Стороны исходят из того, что Оператор является оператором персональных данных в значении пункта 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о ПДн»), а Обработчик — лицом, осуществляющим обработку персональных данных по поручению Оператора в значении части 3 статьи 6 Закона о ПДн.

1.3. Обработчик обрабатывает персональные данные исключительно в целях и в объёме, установленных настоящим DPA и Основным договором, в строгом соответствии с указаниями Оператора и требованиями Закона о ПДн.

1.4. Термины, не определённые в настоящем DPA, используются в значениях, установленных Законом о ПДн и Основным договором.

2. Категории субъектов и обрабатываемых персональных данных

2.1. Обработчик обрабатывает персональные данные следующих категорий субъектов:

сотрудники Оператора, выступающие представителями Оператора при использовании Сервиса;

должностные лица Оператора (руководители, ответственные за СМК), чьи персональные данные указываются Оператором в загружаемых документах и (или) в ответах на интервью.

2.2. Категории обрабатываемых персональных данных:

фамилия, имя, отчество;

должность и подразделение;

служебный адрес электронной почты;

служебный телефон (если указан);

сведения о ролях и полномочиях в Рабочем пространстве (Owner, Admin, Member, Viewer);

иные персональные данные, которые могут быть включены Оператором в Контент Пользователя (в загружаемые документы и ответы на интервью) — при этом Оператор обязан минимизировать такие сведения и подтверждает, что имеет правовые основания для их передачи.

2.3. Обработчик не обрабатывает специальные категории персональных данных и биометрические персональные данные. В случае если Оператор передаёт такие данные, Обработчик не несёт ответственности за их обработку, а Оператор обязуется незамедлительно изъять такие данные из Сервиса.

3. Цели обработки

3.1. Обработчик обрабатывает персональные данные исключительно в следующих целях:

предоставление Оператору доступа к функционалу Сервиса;

аутентификация и идентификация представителей Оператора;

генерация документов СМК с использованием указанных Оператором персональных данных (например, регламентов с указанием ФИО ответственных лиц);

предоставление поддержки и направление сервисных уведомлений;

аналитика использования Сервиса в обезличенной форме;

обеспечение безопасности Сервиса и ведения журнала событий (audit log).

4. Способы и условия обработки

4.1. Обработчик вправе совершать со сведениями следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) в случаях, предусмотренных настоящим DPA, обезличивание, блокирование, удаление и уничтожение.

4.2. Обработка осуществляется как с использованием средств автоматизации, так и без таковых.

4.3. Обработчик хранит персональные данные на серверах третьих лиц, указанных в разделе 6 настоящего DPA, с применением мер защиты, предусмотренных разделом 7.

5. Сроки обработки и хранения

5.1. Обработчик обрабатывает персональные данные в течение срока действия Основного договора.

5.2. По истечении срока действия Основного договора или досрочного прекращения доступа Обработчик обязан в срок до 30 (тридцати) календарных дней:

по письменному запросу Оператора — удалить или возвратить персональные данные;

при отсутствии такого запроса — удалить персональные данные или обезличить их.

5.3. Сведения, обезличенные таким образом, что не позволяют определить субъекта персональных данных, могут храниться и использоваться Обработчиком в аналитических целях без ограничения срока.

5.4. Сведения, переданные третьим лицам — поставщикам инфраструктуры (раздел 6) — удаляются в соответствии с их собственными политиками. Обработчик прилагает разумные усилия для обеспечения удаления.

6. Передача персональных данных третьим лицам. Трансграничная передача

6.1. Для обеспечения работы Сервиса Обработчик передаёт персональные данные следующим третьим лицам — поставщикам инфраструктуры и сервисов (далее — «Субпроцессоры»):

Anthropic, PBC (юрисдикция — США) — обработка пользовательских запросов через API больших языковых моделей;

Voyage AI, Inc. (юрисдикция — США) — генерация векторных представлений для функции поиска по документам;

Replit, Inc. (юрисдикция — США) — хостинг Сервиса и хранение данных в облаке;

Resend, Inc. (юрисдикция — США) — отправка сервисных уведомлений по электронной почте;

Yandex Cloud LLC (Российская Федерация) — резервное копирование (планируется);

ООО «НКО ЮМани» / ООО «ЮКасса» (Российская Федерация) — обработка платежей (применимо после завершения Беты).

6.2. Передача персональных данных в адрес иностранных Субпроцессоров, расположенных на территории Соединённых Штатов Америки, квалифицируется как трансграничная передача персональных данных. США относятся к иностранным государствам, не включённым в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый уполномоченным органом по защите прав субъектов персональных данных.

6.3. Трансграничная передача персональных данных в адрес Субпроцессоров, расположенных на территории США, осуществляется при условии получения письменного согласия субъекта персональных данных на такую передачу в соответствии со статьями 9 и 12 Закона о ПДн. Оператор обязан обеспечить получение таких согласий от субъектов персональных данных, чьи данные передаются в Сервис.

6.4. Перед началом трансграничной передачи персональных данных Обработчик в установленном Законом о ПДн порядке уведомляет уполномоченный орган по защите прав субъектов персональных данных о намерении осуществлять трансграничную передачу.

6.5. Обработчик обязуется заключать с Субпроцессорами соглашения, обеспечивающие уровень защиты персональных данных не ниже, чем предусмотрено настоящим DPA, и несёт ответственность за действия Субпроцессоров как за свои собственные.

6.6. Об изменении состава Субпроцессоров Обработчик уведомляет Оператора не позднее чем за 15 (пятнадцать) календарных дней до фактического изменения, путём публикации обновлённого списка в Сервисе и направления уведомления на адрес электронной почты Оператора. Оператор вправе возразить против привлечения нового Субпроцессора; в этом случае Стороны добросовестно ищут альтернативное решение, а при невозможности его согласования Оператор вправе расторгнуть Основной договор.

7. Меры защиты персональных данных

7.1. Обработчик применяет следующие организационные и технические меры защиты персональных данных:

шифрование чувствительных сведений и ключей доступа (AES-256-GCM);

передача данных по защищённым каналам (HTTPS/TLS);

разграничение доступа на основе ролей (Owner, Admin, Member, Viewer);

ведение журнала действий пользователей (audit log) с фиксацией даты, времени, IP-адреса и совершённых действий;

регулярное резервное копирование;

контроль доступа сотрудников Обработчика к персональным данным по принципу минимально необходимого объёма;

обучение сотрудников Обработчика правилам обработки персональных данных.

7.2. Обработчик ведёт документацию, фиксирующую применяемые меры защиты, и предоставляет её Оператору по обоснованному письменному запросу.

8. Уведомление об инцидентах

8.1. Обработчик обязуется в срок не позднее 72 (семидесяти двух) часов с момента обнаружения уведомить Оператора о любом инциденте безопасности, повлёкшем или способном повлечь несанкционированный доступ, изменение, утрату или раскрытие персональных данных Оператора.

8.2. Уведомление направляется на адрес электронной почты Оператора, указанный в Основном договоре, и должно содержать: краткое описание инцидента; категории и приблизительный объём затронутых данных; принятые и планируемые меры реагирования; контактные данные ответственного лица Обработчика.

8.3. Уведомление в адрес уполномоченного органа по защите прав субъектов персональных данных и в адрес затронутых субъектов осуществляется Оператором (как оператором персональных данных) в порядке, установленном частями 3.1 и 3.2 статьи 21 Закона о ПДн. Обработчик оказывает Оператору разумное содействие.

9. Права субъектов персональных данных

9.1. Субъекты персональных данных вправе:

получать сведения об обработке своих персональных данных;

требовать уточнения, блокирования или уничтожения персональных данных в случае их неполноты, неточности или незаконного характера обработки;

отзывать согласие на обработку персональных данных;

обжаловать действия Обработчика и Оператора в уполномоченный орган по защите прав субъектов персональных данных или в суд.

9.2. Обращения субъектов персональных данных по поводу обработки направляются на адрес: info@nexytectai.online. Обработчик уведомляет Оператора о поступивших обращениях и оказывает содействие в их удовлетворении в пределах своих возможностей.

10. Ответственность сторон. Гарантии

10.1. Стороны несут ответственность за нарушение требований Закона о ПДн в соответствии с действующим законодательством Российской Федерации.

10.2. Оператор гарантирует, что:

он получил от субъектов персональных данных все необходимые согласия на обработку и передачу их персональных данных Обработчику, в том числе на трансграничную передачу;

обработка персональных данных Обработчиком в порядке, предусмотренном настоящим DPA, не нарушает прав субъектов персональных данных и применимого законодательства;

он несёт самостоятельную ответственность за надлежащее уведомление субъектов о порядке обработки их персональных данных.

10.3. В случае предъявления к Обработчику требований третьих лиц (включая субъектов персональных данных и уполномоченные органы), связанных с нарушением Оператором гарантий, предусмотренных пунктом 10.2, Оператор обязуется возместить Обработчику все понесённые расходы (включая штрафы и судебные издержки).

10.4. Ограничения ответственности Обработчика, предусмотренные Основным договором, применяются и к настоящему DPA, кроме случаев, когда это запрещено императивными нормами законодательства.

11. Срок действия и порядок изменения

11.1. Настоящее DPA вступает в силу с даты его акцепта (одновременно с акцептом Основного договора) и действует в течение срока действия Основного договора, а в части обязательств, переживающих прекращение Основного договора (удаление данных, конфиденциальность), — до полного их исполнения.

11.2. Изменения в настоящее DPA вносятся в порядке, предусмотренном пунктом 12.4 Основного договора.

11.3. Прекращение Основного договора влечёт прекращение DPA, за исключением положений раздела 5 (сроки хранения и порядок удаления), раздела 8 (уведомление об инцидентах в отношении ранее произошедших инцидентов) и раздела 10 (ответственность сторон).

12. Заключительные положения

12.1. Во всём, что не урегулировано настоящим DPA, Стороны руководствуются Основным договором и законодательством Российской Федерации.

12.2. DPA составлено в двух экземплярах, по одному для каждой Стороны, имеющих равную юридическую силу. При электронном акцепте — в порядке пункта 12.3 Основного договора.



13. Реквизиты сторон



Обработчик:

ООО «УНИВЕРСИТЕТ НАРОДНОГО КАЧЕСТВА»

ИНН 8604073630 / КПП 860401001

ОГРН 1238600012122

Юр. адрес: 628306, ХМАО-Югра, г. Нефтеюганск, мкр. 14-й, дом 2, кв. 30

Email: info@nexytectai.online



_____________________ /[ФИО]/

Генеральный директор

м.п.