Data Processing Agreement / Соглашение об обработке персональных данных
Настоящее DPA применяется, если Заказчик (юридическое лицо, ИП или агентство) загружает в сервис Righty персональные данные третьих лиц (например, CSV-файлы с email/телефонами клиентов для RFM-аудита или оффлайн-конверсий). В этом случае Заказчик выступает Оператором ПДн, а ИП Филяев Илья Юрьевич (далее — «Righty») — Обработчиком.
1. Стороны
Оператор: Заказчик — юридическое лицо, индивидуальный предприниматель или агентство, аккаунт которого зарегистрирован в Сервисе Righty и который загружает в Сервис данные своих клиентов.
Обработчик: Индивидуальный предприниматель Филяев Илья Юрьевич, ИНН 482619918391, ОГРНИП 324480000044861, юридический адрес: предоставляется по запросу на support@righty.ru.
2. Предмет DPA
2.1. Оператор поручает Обработчику обработку персональных данных физических лиц (клиентов Оператора, далее — «Субъекты ПДн»), которые Оператор загружает или генерирует в Сервисе Righty.
2.2. Обработка осуществляется в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ «О персональных данных» на основании настоящего DPA и условий Публичной оферты.
3. Перечень обрабатываемых ПДн и категории субъектов
3.1. Категории субъектов
Клиенты Оператора, чьи данные Оператор загружает в Сервис в рамках:
- RFM-аудита (
/audience) — CSV с базой клиентов; - Загрузки офлайн-конверсий в Яндекс.Метрику (
/api/metrika/offline-conversions); - CRM-вебхуков — приём событий из внешних CRM;
- Иных модулей Сервиса, где загружаются клиентские данные.
3.2. Категории ПДн
В зависимости от выбранного модуля Оператор может загружать:
- Email-адреса клиентов;
- Номера телефонов клиентов;
- ФИО (при наличии в CSV);
- Yclid (Яндекс Click ID — псевдоним пользователя);
- Идентификаторы сделок, заказов;
- Суммы и даты транзакций;
- Хешированные идентификаторы (SHA-256 от email/phone) для Яндекс.Аудиторий.
Обработчик не запрашивает и не настаивает на загрузке избыточных категорий ПДн.
4. Цели обработки
Обработчик обрабатывает ПДн исключительно в следующих целях:
4.1. Хранение данных в Личном кабинете Оператора для последующего просмотра.
4.2. Алгоритмическая обработка (RFM-сегментация, ABC-классификация, агрегаты).
4.3. Передача данных в указанные Оператором сторонние сервисы (например, отправка офлайн-конверсий в Яндекс.Метрику от имени Оператора через его OAuth-токен).
4.4. Создание резервных копий и обеспечение восстановления данных при инцидентах.
5. Обязанности Обработчика (Righty)
5.1. Соблюдение требований 152-ФЗ
Обработчик обязуется:
5.1.1. Обрабатывать ПДн только по поручению Оператора и в целях, указанных в разделе 4.
5.1.2. Не передавать ПДн третьим лицам, за исключением sub-processors (см. раздел 7) и случаев, предусмотренных законом.
5.1.3. Не использовать ПДн в собственных коммерческих интересах (маркетинг, обогащение собственных датасетов, обучение ML/AI-моделей).
5.1.4. Обеспечить конфиденциальность ПДн.
5.2. Меры безопасности
Обработчик применяет следующие технические и организационные меры защиты ПДн:
- Шифрование at-rest для всей базы данных;
- Шифрование in-transit (TLS 1.2+);
- Ограниченный доступ — к производственной БД имеют доступ только серверные процессы Сервиса и Обработчик лично;
- Логирование всех операций с ПДн (структурированные логи pino);
- Регулярные бэкапы — ежедневные, с retention 30 дней (локально) и 90 дней (S3-совместимое хранилище в РФ);
- Анти-bruteforce — rate-limit на формы авторизации;
- Регулярный аудит безопасности (квартально).
5.3. Локализация
Хранение и обработка ПДн осуществляются на серверах, физически расположенных на территории Российской Федерации (требование ст. 18 ч. 5 152-ФЗ).
5.4. Уведомление об инцидентах
Обработчик обязуется в течение 24 часов уведомить Оператора о любых инцидентах безопасности, затронувших ПДн Оператора:
- утечка данных;
- несанкционированный доступ;
- потеря данных без возможности восстановления;
- иные нарушения безопасности.
Уведомление направляется на email учётной записи Оператора и дублируется на дополнительные контакты, указанные Оператором.
5.5. Аудит со стороны Оператора
По запросу Оператора Обработчик предоставляет:
- описание применяемых мер безопасности;
- результаты последнего внутреннего аудита;
- сертификаты соответствия (при наличии);
- логи операций с ПДн конкретного Оператора (за обоснованный период).
Срок ответа — 30 календарных дней.
5.6. Возврат и удаление данных
5.6.1. По запросу Оператора (через настройки Личного кабинета или email-запрос) Обработчик:
- предоставляет копию обрабатываемых ПДн в машиночитаемом формате (CSV / JSON);
- удаляет ПДн со всех систем хранения, включая резервные копии (срок очистки бэкапов — до 90 дней).
5.6.2. При расторжении договора между Оператором и Обработчиком по любым основаниям — Обработчик удаляет все ПДн Оператора в течение 30 дней.
5.6.3. Для целей разрешения возможных будущих споров Обработчик вправе хранить обезличенные агрегаты (статистику использования, без возможности идентификации субъектов) в течение срока исковой давности — 3 года.
6. Обязанности Оператора
6.1. Правомерность сбора ПДн
Оператор гарантирует, что:
- Все ПДн, передаваемые Обработчику, собраны Оператором с соблюдением 152-ФЗ;
- Оператор получил согласия Субъектов ПДн на обработку (включая передачу третьим лицам — обработчикам);
- Оператор имеет правовое основание для обработки в соответствии с ч. 1 ст. 6 152-ФЗ.
6.2. Реагирование на запросы Субъектов
Все запросы Субъектов ПДн (доступ, изменение, удаление) направляются непосредственно Оператору. Обработчик не отвечает на такие запросы напрямую, но обязуется:
- предоставить Оператору технические средства для исполнения запросов (экспорт, удаление);
- оперативно выполнить инструкции Оператора по обработке запросов Субъектов.
6.3. Уведомление РКН
Если в результате инцидента у Обработчика затронуты ПДн подопечных Оператора — Оператор уведомляет Роскомнадзор и Субъектов как Оператор персональных данных. Обработчик предоставляет Оператору всю необходимую информацию.
7. Sub-processors (привлечённые обработчики)
Обработчик привлекает следующих sub-processors для исполнения обязательств перед Оператором:
| Sub-processor | Назначение | Локализация |
|---|---|---|
| UFO Hosting LLC, ЦОД в Москве (РФ) (Yandex Cloud / Selectel / Timeweb) | Хостинг серверов, БД, бэкапов | РФ |
| Sentry | Мониторинг ошибок (без передачи ПДн в открытом виде) | РФ / ЕС |
| ЮКасса (ООО НКО «ЮMoney») | Не получает данных третьих лиц Оператора | РФ |
Обработчик уведомляет Оператора об изменении списка sub-processors за 30 дней до изменения через email на учётную запись.
Оператор вправе возражать против привлечения конкретного sub-processor. В этом случае стороны должны прийти к соглашению об альтернативе. Если соглашение не достигнуто — Оператор вправе расторгнуть DPA и договор.
8. Срок действия и расторжение
8.1. Настоящее DPA действует с момента активации Оператором тарифа Pro или Agency и до расторжения договора (Оферты).
8.2. Расторжение DPA осуществляется одновременно с расторжением Оферты.
8.3. Положения о возврате и удалении ПДн (раздел 5.6) и об уведомлении об инцидентах (раздел 5.4) действуют и после расторжения договора в течение установленных сроков хранения.
9. Ответственность
9.1. Обработчик отвечает за нарушение собственных обязательств по настоящему DPA в соответствии с законодательством РФ и Публичной офертой.
9.2. Оператор отвечает за правомерность сбора и передачи ПДн Обработчику. Обработчик не отвечает за нарушения 152-ФЗ, допущенные Оператором при сборе данных.
9.3. Совокупная ответственность Обработчика по DPA не превышает суммы оплаченных Оператором услуг за последние 12 месяцев.
10. Применимое право и порядок разрешения споров
Согласно разделу 11 Публичной оферты.
11. Активация DPA
11.1. Для активации DPA Оператор должен:
- Подписаться на тариф Pro или Agency.
- В настройках Личного кабинета (
/settings/billing) поставить отметку «Я подтверждаю, что использую Сервис как Оператор ПДн третьих лиц и принимаю условия DPA».
11.2. До активации DPA Оператору запрещается загружать в Сервис ПДн третьих лиц.
12. Контакты
| Email DPO Обработчика | privacy@righty.ru |
| Email общей поддержки | support@righty.ru |
| Адрес | предоставляется по запросу на support@righty.ru |
Дата вступления в силу настоящей редакции: 1 июня 2026 года. Версия документа: 1.0.