Соглашение о поручении обработки персональных данных (DPA)

Версия: 2026-06-16 · Статус: ШАБЛОН — НЕ финальный юридический текст

⚠️ Это структурированный шаблон, а не готовый договор. Плейсхолдеры вида

Индивидуальный предприниматель Гнатюк Сергей Валентинович, ОГРНИП 325619600231870, ИНН 614329780763, дата регистрации 10.10.2025, Ростовская область, г. Ростов-на-Дону. E-mail: info@dsmaster.pro. и [ЮРИСТ: …] обязательны к замене. Финальная редакция,

формулировки и юридическая сила — за квалифицированным юристом. Не публиковать

и не подписывать без правовой экспертизы.

Настоящее соглашение является поручением на обработку персональных данных по

ст. 6 ч. 3 Федерального закона № 152-ФЗ «О персональных данных» и определяет

условия, на которых Клиент (далее — «Оператор» / «Заказчик», лицо, организующее

обработку ПДн контрагентов и иных субъектов в своих учётных системах) поручает

Обработчику (далее — «Сервис», [ОПЕРАТОР: ИП/ООО ___, ИНН ___, ОГРН(ИП) ___])

обработку персональных данных в объёме, необходимом для оказания услуги интеграции

данных (СБИС ↔ 1С:УНФ и иные системы).

Принимая настоящее соглашение при регистрации/использовании Сервиса, Клиент

подтверждает, что является надлежащим оператором ПДн и имеет правовые основания

для передачи ПДн на обработку Обработчику.

1. Стороны и роли

• Оператор (Клиент): [Клиент — указывается при заключении: наименование, ИНН].

Организует и определяет цели и состав обработки ПДн субъектов (контрагентов,

контактных лиц и пр.).

• Обработчик (Сервис): `[ОПЕРАТОР: наименование, ИНН/ОГРН(ИП), адрес, контакт

ответственного за обработку ПДн]`. Обрабатывает ПДн исключительно по поручению

Оператора, не определяет цели обработки самостоятельно.

2. ОБЯЗАТЕЛЬНЫЕ ЭЛЕМЕНТЫ ПОРУЧЕНИЯ (ст. 6 ч. 3 152-ФЗ)

Поручение в силу закона должно содержать четыре элемента — они приведены ниже.

2.1. Перечень действий (операций) с персональными данными

Обработчик вправе совершать с ПДн, переданными по поручению, следующие действия:

• сбор (получение из подключённых систем Клиента по его поручению),
• запись, систематизация, накопление, хранение (в т. ч. в «зеркале» данных),
• уточнение (обновление, изменение) при синхронизации,
• использование (сопоставление, передача между системами Клиента по заданным правилам),
• блокирование, обезличивание,
• удаление, уничтожение.

[ЮРИСТ: при необходимости сузить/расширить перечень под фактический сценарий обмена]

2.2. Цель обработки

Обработка осуществляется исключительно в целях оказания Клиенту услуги

интеграции и синхронизации данных между его учётными системами (двусторонний обмен

номенклатурой, контрагентами, документами, остатками и ценами) и её технического

сопровождения. Обработка в любых иных целях не допускается.

2.3. Обязанность соблюдать конфиденциальность

Обработчик обязан обеспечивать конфиденциальность персональных данных и **не

раскрывать** их третьим лицам и не распространять без согласия Оператора, если иное

не предусмотрено федеральным законом. Обязанность конфиденциальности

распространяется на работников и привлечённых лиц Обработчика и сохраняется после

прекращения обработки. Доступ к ПДн предоставляется по принципу минимальных

привилегий (RBAC) и изоляции по организации (multi-tenant).

2.4. Требования к защите по ст. 19 152-ФЗ

Обработчик обязан обеспечивать безопасность ПДн при обработке в соответствии со

ст. 19 152-ФЗ, в том числе принимать необходимые правовые, организационные и

технические меры для защиты ПДн от неправомерного доступа, уничтожения, изменения,

блокирования, копирования, распространения, а равно от иных неправомерных действий.

Реализуемые меры (фактические):

• шифрование секретов подключений (envelope AES-256-GCM); ПДн в логах маскируются;
• разграничение доступа (RBAC), изоляция данных по организации (multi-tenant);
• журналирование значимых действий (неизменяемая хеш-цепь аудита);
• режим «только чтение» по умолчанию (запись во внешние системы — по явному решению);
• реагирование на инциденты и уведомление в сроки ст. 13.11/ст. 21 152-ФЗ;
• уничтожение/ретеншн ПДн с формированием акта (ст. 21 ч. 7).

`[ЮРИСТ/ОПЕРАТОР: при необходимости сослаться на конкретный уровень защищённости

по ПП РФ № 1119 и приказ ФСТЭК № 21, актуальные на дату заключения]`

3. Обязанности Оператора (Клиента)

• Передавать на обработку только те ПДн, на обработку которых у Клиента есть

правовое основание (включая, где применимо, согласие субъектов).

• Определять состав и направление обмена для каждого справочника/документа.
• Своевременно сообщать об отзыве согласий субъектов и о требованиях субъектов

(доступ, уточнение, удаление).

4. Срок, прекращение и судьба данных

Поручение действует на период использования Сервиса. По прекращении Обработчик в

разумный срок прекращает обработку и по выбору Оператора удаляет или

возвращает ПДн (механизмы: DSAR-выгрузка GET /api/privacy/export, удаление

POST /api/privacy/erase, уничтожение с актом POST /api/privacy/destruction),

за исключением данных, хранение которых предписано законом.

[ЮРИСТ: уточнить срок и форму возврата/уничтожения]

5. Привлечение третьих лиц (субпроцессоров)

`[ОПЕРАТОР: перечислить субпроцессоров — напр. платёжный провайдер ЮKassa,

хостинг-провайдер. ЮРИСТ: условие предварительного согласия Оператора и ответственности

Обработчика за действия субпроцессоров]`

6. Ответственность

[ЮРИСТ: распределение ответственности сторон, пределы, ст. 24 152-ФЗ]

7. Реквизиты Обработчика

`[ОПЕРАТОР: наименование, ИНН/ОГРН(ИП), адрес, банковские/контактные реквизиты,

ответственный за организацию обработки ПДн]`

Факт принятия настоящего поручения (вид dpa, версия документа, дата, IP)

фиксируется в системе (таблица consents) как доказательная база.