Действует с 14 июля 2026Обновлено 14 июля 2026

Поручение на обработку персональных данных (DPA)

Условия, на которых Chatix обрабатывает персональные данные по поручению B2B-клиента.

поручение152-ФЗB2B

1. Статус и предмет поручения

Настоящее DPA является неотъемлемой частью договора. Клиент является оператором данных, которые он или его пользователи размещают в рабочем пространстве, а Chatix обрабатывает их по поручению Клиента в целях предоставления сервиса.

Документированной инструкцией являются договор и DPA, настройки рабочего пространства, включение каналов и интеграций, API-запросы и обращения уполномоченных пользователей в поддержку. Chatix сообщает Клиенту, если инструкция, по его обоснованному мнению, нарушает применимые требования к персональным данным.

2. Субъекты и категории данных

  • субъекты: клиенты, посетители, лиды, контрагенты, работники и иные физические лица, с которыми Клиент взаимодействует через Chatix;
  • идентификационные и контактные данные: имя, псевдоним, телефон, email, идентификаторы мессенджеров, внешние ID и адрес доставки, если Клиент добавил такое поле;
  • коммуникации: текст сообщений, вложения, аудио после преобразования в текст, статусы, дата и время, сведения о канале и операторе;
  • данные базы знаний и форм: документы, вопросы и ответы, комментарии, выбранные услуги, записи и иные поля, настроенные Клиентом;
  • технические данные: IP-адрес, user-agent, cookie или токен виджет-сессии, идентификаторы устройства, события доставки, ошибок и безопасности;
  • данные интеграций: записи CRM, календаря, заказов, платежных статусов и иных подключенных систем в объеме, выбранном Клиентом.
Специальные категории и биометрические данные не входят в стандартное поручение. Их обработка допускается только после отдельного письменного согласования, определения мер и подтверждения Клиентом правового основания.

3. Цели, действия и срок

Цели: прием и маршрутизация обращений, ответы AI и операторов, поиск по базе знаний, выполнение настроенных действий, доставка сообщений, аналитика качества, хранение истории, поддержка, безопасность и резервное восстановление.

Разрешенные действия: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, сопоставление, передача подключенным по инструкции Клиента получателям, обезличивание, блокирование, удаление и уничтожение с использованием средств автоматизации и без них.

Поручение действует в течение договора и разумного срока завершения экспорта, возврата, удаления, резервного цикла или обязательного хранения. Chatix не использует данные Клиента для самостоятельных несовместимых целей.

4. Обязанности Клиента

  • определить цели, состав, категории субъектов, сроки и законные основания обработки;
  • разместить собственную политику, предоставить субъектам обязательную информацию и получить согласия, когда они требуются;
  • передавать только необходимые данные и настроить срок хранения, доступы, каналы, AI-провайдеров и интеграции с учетом рисков;
  • не поручать обработку, запрещенную законом, договором или настоящим DPA;
  • принимать решения по запросам субъектов и давать Chatix конкретные инструкции по поиску, выгрузке, исправлению, блокированию или удалению;
  • выполнять требования о локализации, уведомлении Роскомнадзора и трансграничной передаче в своей роли оператора.

5. Обязанности Chatix

  • обрабатывать данные только по документированным инструкциям Клиента и соблюдать конфиденциальность;
  • обеспечивать локализацию первичного сбора данных граждан РФ и соблюдать требования к базам данных на территории РФ в применимом объеме;
  • принимать меры, предусмотренные статьями 18.1 и 19 Федерального закона № 152-ФЗ, с учетом порученной обработки и актуальных угроз;
  • допускать к данным только лиц, которым доступ необходим для исполнения обязанностей, и связывать их обязательством конфиденциальности;
  • предоставлять по обоснованному запросу документы и сведения, подтверждающие соблюдение условий поручения, без раскрытия секретов других клиентов и опасных деталей защиты;
  • оказывать содействие при запросах субъектов, проверках, оценке последствий и прекращении обработки в пределах функциональности и разумных инструкций Клиента;
  • по окончании поручения удалить или вернуть данные по инструкции Клиента, кроме данных, которые должны храниться по закону, и резервных копий до завершения установленного цикла.

6. Привлекаемые лица без публикации коммерческого перечня

Клиент дает общее разрешение привлекать категории лиц, необходимые для сервиса: инфраструктура и хранение, связь и доставка сообщений, AI и обработка документов, мониторинг и безопасность, платежи и документы, а также интеграции, выбранные Клиентом.

Chatix заключает с такими лицами применимые договорные условия конфиденциальности, защиты и обработки данных. Коммерческий перечень и наименования подрядчиков публично не раскрываются. Сведения, объективно необходимые Клиенту как оператору, предоставляются по обоснованному запросу и могут быть защищены обязательством конфиденциальности.

О существенном изменении категории, функции или страны обработки, влияющем на риски Клиента, Chatix сообщает доступным способом. Провайдер, которого Клиент подключил собственными учетными данными, считается выбранным Клиентом.

7. Локализация и трансграничная передача

Первичная запись, систематизация, накопление, хранение, уточнение, обновление и извлечение данных граждан РФ выполняются в российских базах данных. Передача иностранному провайдеру возможна после локализации, по документированной инструкции и при выполнении применимых требований к трансграничной передаче.

Если Клиент включает иностранный AI-провайдер, канал или интеграцию, он подтверждает, что оценил законность передачи, выполнил уведомительные обязанности и сообщил субъектам необходимые сведения. Chatix выполняет собственные обязанности лица, действующего по поручению, и предоставляет доступную информацию о категории и стране обработки по запросу.

8. Безопасность и инциденты

Chatix применяет разграничение доступа, аутентификацию, TLS, изоляцию рабочих пространств, управление секретами, журналирование, резервное копирование и процедуры реагирования. Конкретный набор мер корректируется с учетом рисков и архитектуры.

О подтвержденном инциденте с порученными данными Chatix уведомляет Клиента без необоснованной задержки и, насколько практически возможно, не позднее 12 часов с момента обнаружения. Уведомление содержит известные категории данных и субъектов, характер и вероятные последствия, принятые меры и контакт для взаимодействия; недостающая информация предоставляется по мере расследования.

Стороны оперативно сотрудничают, чтобы Клиент мог выполнить предусмотренные законом сроки уведомления уполномоченного органа. Уведомление об инциденте само по себе не означает признание нарушения или ответственности.

9. Запросы, подтверждения и прекращение

Если субъект обращается напрямую в Chatix по данным, где оператором является Клиент, Chatix не принимает решение за Клиента и перенаправляет обращение либо запрашивает инструкцию. Клиент предоставляет идентификаторы и объем действий, достаточные для безопасного исполнения запроса.

Запросы по DPA направляются на hi@chatix.ai. По завершении договора стороны согласуют доступный экспорт и удаление. Отсутствие в интерфейсе self-service кнопки не отменяет обязанности Chatix исполнить законную и технически определенную инструкцию через поддержку.

Контакты по документу

По вопросам применения документа «DPA» напишите на hi@chatix.ai. В запросе укажите ваше имя, контакт для ответа и суть обращения.