Соглашение об обработке по поручению
Последнее обновление: 22 апреля 2026 · Версия 3.0
1. Применимость и правовой контекст
Настоящее Соглашение об обработке по поручению (далее — «DPA») является обязательной составной частью Пользовательского соглашения Community Network и применяется в тех случаях, когда пользователь («Оператор», «вы»), являющийся предпринимателем, организацией, владельцем бизнес-аккаунта или организатором коммьюнити/мероприятия на Платформе, загружает или иным образом размещает на Платформе данные третьих физических лиц. DPA составлено в соответствии с: частью 3 статьи 6 152-ФЗ «О персональных данных»; статьёй 28 Регламента (ЕС) 2016/679 (GDPR); UK-GDPR и Data Protection Act 2018; аналогичными нормами о processor agreements в других юрисдикциях. Отдельное двустороннее подписание DPA не требуется. Акцептом DPA является любое действие, предполагающее передачу данных третьих лиц на Платформу.
2. Статусы сторон и предмет поручения
Оператор (Controller): пользователь Платформы, в интересах и под ответственностью которого осуществляется обработка данных третьих лиц. Обработчик (Processor): KG Connect ltd. (Компания), обрабатывающий персональные данные третьих лиц исключительно по поручению Оператора и исключительно в объёме, необходимом для функционирования Платформы. Предмет поручения: оказание Компанией инфраструктурных услуг Платформы, в ходе которых техническими средствами осуществляются операции с персональными данными, загруженными Оператором. Длительность поручения: с момента загрузки данных и до удаления данных Оператором или Компанией в порядке, предусмотренном DPA и применимым законом.
3. Категории данных и субъектов
Категории субъектов данных: сотрудники Оператора; члены коммьюнити, которыми управляет Оператор; контактные лица контрагентов Оператора; участники мероприятий, организуемых Оператором; приглашённые гости. Категории обрабатываемых данных: идентификационные (ФИО, username); контактные (email, телефон, мессенджеры); изображения (фотографии); должности, место работы, роль в коммьюнити; технические (IP-адрес, метаданные сессии). Оператор гарантирует, что не загружает на Платформу специальные категории персональных данных (биометрия, здоровье, данные несовершеннолетних, политические/религиозные убеждения и т. п.) без предварительного письменного согласования с Компанией и выполнения дополнительных требований закона.
4. Разрешённые операции обработки
Оператор поручает, а Компания вправе совершать следующие операции с данными в пределах, необходимых для оказания услуг Платформы: — сбор; — запись; — систематизация; — накопление; — хранение; — уточнение (обновление, изменение); — извлечение; — использование; — передача (предоставление, доступ) — в пределах функциональности Платформы и техническим подрядчикам (раздел 7); — обезличивание; — блокирование; — удаление; — уничтожение. Этот перечень исчерпывающий и соответствует терминологии 152-ФЗ.
5. Цели обработки
Обработка осуществляется исключительно для следующих целей: — обеспечение функционирования Платформы для Оператора; — предоставление технических возможностей коммуникации, управления коммьюнити и мероприятиями; — обеспечение информационной безопасности Платформы; — обезличенная аналитика по совокупным показателям использования; — выполнение законных запросов государственных органов. Компания не вправе использовать персональные данные третьих лиц для собственных маркетинговых целей, обучения моделей ИИ (за исключением публичных данных с opt-out), продажи или передачи рекламодателям.
6. Обязанности Компании (Обработчика)
Конфиденциальность. Обрабатывать данные конфиденциально; обязать сотрудников и подрядчиков с доступом к данным к соблюдению конфиденциальности. Меры безопасности. Применять технические и организационные меры безопасности в соответствии со статьями 18.1 и 19 152-ФЗ, статьёй 32 GDPR (подробный перечень — раздел 11 Политики конфиденциальности). Локализация. В отношении данных граждан РФ обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ). Уведомление об инциденте. Немедленно (не позднее 24 часов) уведомлять Оператора об инциденте, подпадающем под ч. 3.1 ст. 21 152-ФЗ или ст. 33 GDPR. Содействие Оператору. По письменному запросу предоставлять документы, подтверждающие выполнение требований закона; содействовать в реагировании на запросы субъектов, проведении оценок воздействия (DPIA / оценка вреда), предварительных консультациях с надзорными органами. Субобработчики. Привлекать третьих лиц только при условии наложения на них обязательств не менее строгих, чем в настоящем DPA. Удаление по окончании. По окончании услуг или по запросу Оператора удалить или вернуть все персональные данные, кроме копий, обязательных к хранению по закону. Аудит. По обоснованному письменному запросу Оператора не чаще одного раза в 12 месяцев предоставлять отчёты о соответствии или проходить аудит за счёт запрашивающей стороны.
7. Субобработчики
Актуальный список субобработчиков и их категорий услуг: — Хостинг: DigitalOcean (США/Россия, сегментированно), AWS (США/ЕС — резервные копии); — CDN / защита: Cloudflare (США); — Почта: SendGrid / Mailgun (США); — Push: Firebase (Google) / Apple APNs (США); — SMS: лицензированные шлюзы (РФ/ЕС/США); — KYC: SumSub (Великобритания/ЕС); — Платежи: Stripe / ЮKassa (США/ЕС/РФ); — Аналитика: Google Analytics (опционально, США, с согласия); — ИИ-модели: OpenRouter / Anthropic / OpenAI (США, без обучения на запросах). Данные граждан РФ обрабатываются на субобработчиках с инфраструктурой в РФ, с соблюдением локализации. При привлечении нового субобработчика Компания уведомляет Операторов через email и/или баннер не менее чем за 14 дней; в этот период Оператор вправе возразить.
8. Трансграничная передача
Трансграничная передача персональных данных осуществляется в порядке, предусмотренном статьёй 12 152-ФЗ, главой V GDPR, соответствующими нормами UK-GDPR и актами других юрисдикций. Применяемые механизмы: — решения об адекватности (Adequacy Decisions); — EU-U.S. Data Privacy Framework (DPF); — Стандартные договорные условия (SCCs) — Приложение к DPA по запросу; — UK IDTA / IDTA Addendum; — оценка воздействия трансграничной передачи (TIA) в юрисдикциях без адекватности.
9. Обязанности Оператора
Правовое основание. Иметь законное основание обработки в соответствии с применимым правом для каждой категории данных, которую он передаёт Компании. Согласия. Получить от субъектов данных надлежащим образом оформленные согласия или обеспечить наличие иного правового основания. Информирование субъектов. Выполнить в отношении субъектов обязанности по информированию (ст. 18 152-ФЗ, ст. 13-14 GDPR). Не загружать на Платформу данные, обработка которых запрещена законом или превышает объём, необходимый для заявленной цели. Возмещение. Возместить Компании все убытки, штрафы, судебные расходы, возникшие в связи с нарушением Оператором требований применимого закона или настоящего DPA.
10. Ответственность
Стороны несут ответственность в соответствии с применимым законодательством с учётом ограничений, предусмотренных Пользовательским соглашением (раздел 11). Обязанность первичного ответа перед субъектами данных лежит на Операторе. При поступлении в Компанию запроса субъекта Компания в разумный срок переадресует его Оператору и/или оказывает Оператору техническое содействие в реализации прав субъекта.
11. Срок действия и прекращение
DPA вступает в силу с момента акцепта Пользовательского соглашения и первой загрузки данных третьих лиц на Платформу. DPA прекращается по окончании Пользовательского соглашения или по требованию Оператора об удалении данных, в зависимости от того, что наступит раньше. По окончании Компания удаляет или анонимизирует данные в сроки, предусмотренные Политикой конфиденциальности (раздел 10), кроме данных, обязательных к хранению по закону.
12. Прочие положения
Преимущество русскоязычной редакции (при расхождениях с переводами). При противоречии DPA и Пользовательского соглашения приоритет в части обработки персональных данных имеет DPA. Применимое право, подсудность, арбитраж — согласно Пользовательскому соглашению.
13. Контактная информация
DPO / вопросы обработки: privacy@communitynet.app / dpo@communitynet.app Юридические вопросы: legal@communitynet.app Платформа: www.communitynet.ru (русскоязычная) · www.communitynet.app (международная) Компания: KG Connect ltd.
© 2026 Community Network