Редакция от 31 марта 2026 г.

Поручение на обработку персональных данных

Соглашение между Заказчиком и CortexNova об обработке персональных данных третьих лиц, содержащихся в загружаемых аудиозаписях (DPA)

О настоящем документе

Настоящее Поручение заключается в соответствии со статьёй 6 пункт 3 Федерального закона № 152-ФЗ «О персональных данных» и является неотъемлемой частью Договора на оказание услуг (Публичной оферты CortexNova). Оно вступает в силу одновременно с акцептом Оферты.

1. Термины и определения

  1. Оператор — Заказчик, принявший условия Публичной оферты CortexNova: лицо, самостоятельно организующее и осуществляющее обработку персональных данных своих клиентов и сотрудников (субъектов ПД) в целях своей деятельности.
  2. Поручитель / Обработчик — ИП Клименко Алексей Юрьевич (CortexNova), обрабатывающий персональные данные по поручению Оператора в рамках предоставления услуг Сервиса.
  3. Субъект персональных данных (субъект ПД) — физическое лицо, чьи голос, речь или иные персональные данные содержатся в аудиозаписях, загружаемых Оператором в Сервис (клиенты, сотрудники, менеджеры по продажам Оператора).
  4. Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу, включая голосовые данные, имена, контактные сведения, упоминаемые в аудиозаписях.
  5. Обработка ПД — любое действие с персональными данными, включая сбор, запись, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
  6. Сервис — программное обеспечение CortexNova, доступное по адресу calls.cortexnova.app.
  7. Субобработчик — третья сторона, привлекаемая Обработчиком для технического обеспечения отдельных функций Сервиса (транскрипция, AI-анализ).

2. Предмет поручения

  1. Оператор поручает, а Обработчик принимает на себя обязательство обрабатывать персональные данные субъектов ПД исключительно в целях оказания услуг в соответствии с Публичной офертой.
  2. Обработка производится исключительно по задокументированным инструкциям Оператора, выраженным в настоящем Поручении и параметрах использования Сервиса (загрузка аудиозаписей, настройка критериев скоринга).
  3. Обработчик не использует персональные данные субъектов ПД в собственных целях, не продаёт и не передаёт их третьим лицам за пределами, указанными в разделе 5 настоящего Поручения.

3. Состав и категории обрабатываемых данных

  1. В рамках настоящего Поручения Обработчик работает со следующими категориями ПД:
    • голосовые данные (аудиозаписи переговоров);
    • текстовые транскрипции, автоматически создаваемые из аудиозаписей;
    • имена и должности лиц, упоминаемые в записях (при наличии);
    • контактные данные (номера телефонов, email), упоминаемые в разговорах (при наличии);
    • иные сведения, добровольно сообщённые субъектами ПД в ходе зафиксированных переговоров.
  2. Особые категории персональных данных (сведения о здоровье, политических взглядах, расовой принадлежности и т.п.) не являются целевыми данными для обработки. Оператор обязан не загружать записи, основным содержанием которых являются такие сведения.
  3. Данные несовершеннолетних не являются целевой аудиторией Сервиса. Оператор гарантирует, что не загружает записи, в которых субъектами ПД выступают лица младше 18 лет.

4. Цели и правовые основания обработки

  1. Цели обработки ПД в рамках настоящего Поручения:
    • автоматическая транскрипция аудиозаписей в текст;
    • AI-скоринг и оценка переговоров по критериям, заданным Оператором;
    • формирование аналитических отчётов и хранение их в дашборде Оператора;
    • техническое обеспечение функционала Сервиса (резервное копирование, отладка).
  2. Правовым основанием обработки ПД субъектов со стороны Оператора является:
    • согласие субъекта ПД (статья 6 пункт 1 подпункт 1 ФЗ-152), и/или
    • выполнение договора, стороной которого является субъект ПД (статья 6 пункт 1 подпункт 5 ФЗ-152), и/или
    • иное законное основание, определяемое Оператором самостоятельно.
  3. Оператор самостоятельно определяет правовое основание для обработки ПД своих клиентов и несёт ответственность за его наличие. Обработчик не проверяет наличие таких оснований и действует на основании поручения Оператора.

5. Субобработчики и передача данных третьим лицам

  1. Для технического обеспечения функционала Сервиса Обработчик привлекает следующих субобработчиков:
    • RunPod Inc. (США) — облачные вычислительные ресурсы для транскрипции аудиозаписей;
    • Anthropic, PBC (США) — API языковых моделей для AI-скоринга и анализа текста;
    • Hetzner Online GmbH (Германия) — серверная инфраструктура для хранения данных.
  2. Привлечение субобработчиков осуществляется на условиях, не менее строгих, чем настоящее Поручение. Обработчик остаётся ответственным перед Оператором за действия субобработчиков.
  3. Обработчик вправе заменить или добавить субобработчика, уведомив Оператора не позднее чем за 10 календарных дней. Если Оператор не согласен с новым субобработчиком, он вправе расторгнуть договор в порядке, предусмотренном Публичной офертой.
  4. Передача ПД субъектов государственным органам производится исключительно в случаях и порядке, установленных законодательством РФ. Обработчик обязан уведомить Оператора о таком запросе в течение 3 рабочих дней, если это не запрещено законом.

6. Трансграничная передача данных

  1. В целях обеспечения функционала транскрипции и AI-анализа аудиозаписи могут обрабатываться на серверах субобработчиков, расположенных за пределами Российской Федерации (США, Германия).
  2. Оператор, акцептуя Публичную оферту и настоящее Поручение, даёт явное согласие на трансграничную передачу ПД субъектов в указанных целях и принимает на себя обязанность обеспечить соответствующее уведомление субъектов ПД в соответствии со статьёй 12 ФЗ-152.
  3. Обработчик принимает разумные технические меры для минимизации объёма ПД, передаваемых субобработчикам (передаётся только содержимое аудиозаписи, без идентификаторов Оператора и метаданных субъектов).

7. Обязанности Обработчика

  1. Обработчик обязуется:
    1. обрабатывать ПД исключительно в соответствии с настоящим Поручением и инструкциями Оператора;
    2. обеспечивать конфиденциальность ПД и не раскрывать их третьим лицам без оснований, предусмотренных законом или настоящим Поручением;
    3. принимать технические и организационные меры для защиты ПД от несанкционированного доступа, уничтожения, изменения, блокирования, копирования и иных неправомерных действий;
    4. незамедлительно (не позднее 72 часов с момента обнаружения) уведомлять Оператора о выявленных инцидентах безопасности, повлёкших утечку или несанкционированный доступ к ПД субъектов;
    5. содействовать Оператору в исполнении обязанностей по обеспечению прав субъектов ПД (пункт 7.2) в разумные сроки;
    6. по запросу Оператора предоставлять информацию, необходимую для подтверждения соблюдения настоящего Поручения;
    7. уничтожить или вернуть Оператору все ПД после прекращения оказания услуг в порядке, предусмотренном разделом 9.
  2. По письменному запросу Оператора Обработчик обязан содействовать в реализации следующих прав субъектов ПД:
    • право на доступ к своим ПД;
    • право на исправление неточных ПД;
    • право на удаление ПД (право на забвение);
    • право на ограничение обработки.

8. Обязанности Оператора

  1. Оператор обязуется:
    1. обеспечить законность сбора, хранения и передачи Обработчику аудиозаписей, содержащих ПД субъектов, в том числе наличие необходимых согласий на запись переговоров;
    2. уведомлять субъектов ПД о трансграничной передаче их данных в целях, указанных в разделе 6;
    3. не загружать в Сервис аудиозаписи, содержащие ПД несовершеннолетних или особые категории ПД (раздел 3.2, 3.3);
    4. незамедлительно уведомлять Обработчика о любых изменениях в правовом основании обработки ПД субъектов, которые могут повлечь необходимость прекращения обработки;
    5. самостоятельно отвечать на запросы субъектов ПД и регуляторов, касающиеся ПД, которые Оператор передал Обработчику.

9. Хранение и удаление данных

  1. Обработчик хранит ПД субъектов (аудиозаписи, транскрипции, результаты скоринга) в течение срока действия договора между сторонами.
  2. После расторжения договора Обработчик удаляет все ПД субъектов, загруженные Оператором, в течение 30 (тридцати) календарных дней, если Оператор не запросил удаление раньше.
  3. Оператор вправе в любой момент запросить досрочное удаление всех или отдельных ПД, направив запрос на support@cortexnova.ru. Обработчик обязан исполнить запрос в течение 10 рабочих дней и направить подтверждение.
  4. Данные, включённые в резервные копии, удаляются в плановом порядке в течение 60 (шестидесяти) дней с момента удаления основной копии.
  5. Обработчик вправе сохранять обезличенные агрегированные метрики (количество звонков, средний балл скоринга без привязки к субъектам ПД) после удаления данных в целях улучшения качества Сервиса.

10. Меры защиты данных

  1. Обработчик применяет следующие технические и организационные меры защиты ПД:
    • шифрование данных при передаче (TLS 1.2+);
    • разграничение доступа к данным по принципу минимальных привилегий;
    • аутентификация пользователей с использованием защищённых токенов;
    • регулярное резервное копирование данных;
    • мониторинг доступности и целостности сервисов.
  2. Обработчик проводит периодический аудит мер безопасности и вправе вносить улучшения без уведомления Оператора при условии, что уровень защиты не снижается.

11. Ответственность

  1. Каждая из сторон несёт ответственность за нарушение настоящего Поручения перед другой стороной в соответствии с законодательством РФ и условиями Публичной оферты.
  2. Ответственность Обработчика перед Оператором за нарушение настоящего Поручения ограничена суммой абонентской платы, уплаченной Оператором за последние 3 (три) расчётных периода.
  3. Оператор несёт полную ответственность за законность обработки ПД субъектов (наличие оснований, согласий, уведомлений) перед субъектами ПД и регулятором (Роскомнадзор). Обработчик не несёт ответственности за действия Оператора в отношении субъектов ПД.

12. Срок действия и прекращение

  1. Настоящее Поручение вступает в силу с момента акцепта Публичной оферты и действует в течение всего срока её действия.
  2. Прекращение настоящего Поручения происходит одновременно с прекращением договора, заключённого на основании Публичной оферты.
  3. Обязательства по конфиденциальности и удалению данных, предусмотренные разделами 7 и 9, сохраняют силу после прекращения Поручения.

13. Применимое право

  1. Настоящее Поручение регулируется законодательством Российской Федерации, в том числе:
    • Федеральным законом № 152-ФЗ «О персональных данных»;
    • Постановлением Правительства РФ № 1119 «Об утверждении требований к защите персональных данных»;
    • Приказом ФСТЭК России № 21 «Об утверждении состава и содержания мер по обеспечению безопасности персональных данных».
  2. В части, не урегулированной настоящим Поручением, применяются условия Публичной оферты.

14. Реквизиты Обработчика

ОбработчикИП Клименко Алексей Юрьевич
ИНН642101338458
ОГРНИП326645700034442
Контакт по вопросам ПДsupport@cortexnova.ru