Поручение на обработку персональных данных (DPA)
Действует с 1 июня 2026 г.
1. Стороны, статус и приоритет документов
Настоящее Поручение — неотъемлемая часть публичной оферты Коперто (https://lk.coperto.rest/legal/offer) и Пользовательского соглашения. Оно регулирует обработку персональных данных по поручению Заказчика. Заказчик (ресторан, подключённый к Коперто) выступает оператором персональных данных гостей и иных субъектов, данные которых он вводит или поручает обрабатывать через Сервис. Индивидуальный предприниматель Суд Константин Исаакович (далее — Обработчик) действует по поручению Заказчика в порядке, предусмотренном частью 3 статьи 6 Федерального закона № 152-ФЗ «О персональных данных». В части ответственности, ограничения убытков, сроков, приостановки услуг и прекращения договора применяются положения публичной оферты и Пользовательского соглашения.
2. Предмет поручения и границы обработки
2.1. По поручению Заказчика Обработчик совершает с персональными данными действия только в объёме, необходимом для оказания услуг SaaS-платформы Коперто и в соответствии с документированными инструкциями Заказчика (настройки в интерфейсе, API-запросы, обращения уполномоченных пользователей Заказчика), а именно: — сбор и запись в CRM ресторана; — хранение и систематизация; — передача уведомлений гостю (электронная почта, SMS, мессенджеры) — в объёме, заданном Заказчиком; — обработка обращений субъектов данных, поступивших через сервисные формы; — удаление или обезличивание по указанию Заказчика или в сроки, установленные офертой и политикой обработки ПДн. 2.2. Категории данных: имя, фамилия, телефон, адрес электронной почты, сведения о бронированиях и взаимодействиях, маркетинговые предпочтения и зафиксированные согласия — в объёме, введённом Заказчиком или полученном от гостя через виджет/формы Заказчика. 2.3. Обработчик не обязан обрабатывать персональные данные в целях, объёмах или способами, не предусмотренными функционалом Сервиса, настройками Заказчика или отдельным письменным поручением. Запросы на обработку вне таких рамок могут быть выполнены только по отдельному соглашению и за отдельную плату. 2.4. Обработчик не использует персональные данные гостей Заказчика в собственных маркетинговых целях.
3. Обязанности и гарантии Заказчика
3.1. Заказчик гарантирует, что: — имеет все необходимые правовые основания для обработки и поручения обработки персональных данных; — получил согласия субъектов данных и (или) иные основания, требуемые законодательством Российской Федерации; — инструкции и настройки, передаваемые Обработчику, не противоречат закону и не нарушают права субъектов данных. 3.2. Заказчик несёт ответственность за содержание загружаемых данных, текстов рассылок, списков получателей и включение интеграций, передающих данные третьим лицам. 3.3. Заказчик обязан своевременно отвечать на запросы Обработчика, необходимые для исполнения поручения, в том числе по уточнению инструкций, подтверждению правовых оснований и взаимодействию с субъектами данных — в разумный срок, но не позднее 10 рабочих дней, если более короткий срок не установлен законом. 3.4. Обработчик вправе приостановить обработку или отдельные операции, если имеются обоснованные основания полагать, что поручение Заказчика незаконно, до получения подтверждения правовых оснований от Заказчика.
4. Конфиденциальность и безопасность
4.1. Обработчик обеспечивает конфиденциальность персональных данных и принимает разумные и достаточные организационные и технические меры защиты, соответствующие характеру обрабатываемых данных и рискам, в том числе: — разграничение доступа сотрудников; — защита каналов передачи (TLS); — журналирование операций с персональными данными; — процедуры реагирования на инциденты информационной безопасности. 4.2. Обработчик не гарантирует абсолютную защиту от всех видов кибератак и не несёт ответственности за инциденты, вызванные действиями Заказчика (компрометация учётных записей, передача доступов третьим лицам), уязвимостями сторонних систем Заказчика или форс-мажором — в пределах, допустимых законодательством Российской Федерации. 4.3. При выявлении инцидента, затрагивающего персональные данные, Обработчик уведомляет Заказчика без неоправданной задержки после установления факта инцидента и его существенных параметров. Заказчик обязан самостоятельно выполнять обязанности оператора перед субъектами данных и уполномоченными органами, если это требуется законом.
5. Субобработка
5.1. Обработчик вправе привлекать субобработчиков в объёме, необходимом для оказания услуг (платёжные и коммуникационные провайдеры, хостинг, интеграции и т. п.). Актуальный перечень публикуется в документе «Субпроцессоры»: https://lk.coperto.rest/legal/subprocessors. 5.2. Обработчик обеспечивает, чтобы субобработчики принимали обязательства по защите данных не ниже установленных настоящим Поручением, в пределах применимого к ним законодательства. 5.3. Обработчик вправе изменять состав субобработчиков при сохранении или повышении уровня защиты. О существенных изменениях (новый субобработчик для уже используемой категории услуг) Заказчик уведомляется через публикацию обновлённого перечня. Заказчик вправе возразить в течение 14 календарных дней, если изменение делает невозможным lawful использование Сервиса; в этом случае стороны согласуют альтернативу или прекращение соответствующей функции. 5.4. Включение Заказчиком интеграций с POS, PMS, мессенджерами, SMS, телефонией и иными сервисами означает поручение на передачу данных соответствующим провайдерам в объёме, определяемом настройками Заказчика. Ответственность за выбор и законность таких интеграций несёт Заказчик.
6. Трансграничная передача
Трансграничная передача персональных данных допускается только при наличии правового основания и в рамках законодательства Российской Федерации. Перечень сервисов и стран — в документе «Субпроцессоры» на сайте Коперто. Заказчик подтверждает, что ознакомлён с возможностью трансграничной передачи при использовании отдельных интеграций и включении соответствующих функций, и самостоятельно обеспечивает необходимые уведомления и основания, если это требуется законом.
7. Содействие, аудит и возмещение
7.1. Обработчик оказывает Заказчику разумное содействие в обработке запросов субъектов данных и реагировании на инциденты в объёме, прямо связанном с данными, обрабатываемыми в Сервисе. 7.2. Расширенное содействие (юридический анализ, подготовка ответов в регулятор, выездной аудит, нестандартные выгрузки) оказывается по отдельному согласованию и может оплачиваться Заказчиком дополнительно. 7.3. Заказчик вправе не чаще одного раза в 12 месяцев запросить информацию о мерах защиты, достаточную для оценки соблюдения настоящего Поручения, при условии предварительного уведомления не менее чем за 15 рабочих дней. Аудит на площадке Обработчика допускается только по взаимному письменному согласованию; расходы на аудит несёт Заказчик, если иное не согласовано. 7.4. Заказчик возмещает Обработчику документально подтверждённые убытки и расходы, возникшие вследствие незаконных инструкций Заказчика, отсутствия правовых оснований у Заказчика или нарушения им законодательства о персональных данных, — в пределах, допустимых законодательством Российской Федерации.
8. Срок, прекращение и удаление данных
8.1. Поручение действует в течение срока договора (акцептованной оферты). 8.2. После прекращения оплаты или расторжения договора применяется регламент хранения Коперто (раздел 9.1 оферты и раздел 7 политики обработки персональных данных): 12 месяцев полного хранения, затем архив с возможностью экспорта до 18 месяцев, обезличивание персональных данных на 18-м месяце, закрытие учётной записи на 24-м месяце. 8.3. По запросу Заказчика в период архива Обработчик предоставляет экспорт в машиночитаемом формате в разумный срок. Записи, хранение которых обязательно по закону Российской Федерации (в том числе платёжные и бухгалтерские), сохраняются в установленные сроки независимо от обезличивания данных CRM. 8.4. Обработчик не обязан хранить персональные данные дольше сроков, установленных офертой и политикой, или бесплатно выполнять нестандартное удаление сверх функционала Сервиса, если иное не согласовано письменно.
9. Ограничение ответственности
Ответственность Обработчика по настоящему Поручению ограничивается в порядке и пределах, установленных публичной офертой и Пользовательским соглашением, включая ограничение совокупной ответственности суммой фактически уплаченного вознаграждения за последние 12 месяцев и исключение косвенных убытков, если иное не установлено императивными нормами законодательства Российской Федерации.
10. Контакты
По вопросам обработки персональных данных и исполнения настоящего Поручения: Индивидуальный предприниматель Суд Константин Исаакович Электронная почта: info@copero.rest