odolopo
Попробовать
Правовая информация

Поручение на обработку персональных данных

Действует с 15 мая 2026 г.

Настоящее Поручение (далее — «Поручение») регулирует условия, на которых пользователь Сервиса odolopo (далее — Клиент или Оператор) поручает компании-разработчику Сервиса odolopo (далее — Обработчик) обработку персональных данных в рамках предоставления Клиенту доступа к функционалу Сервиса.

Поручение является неотъемлемой частью Договора-оферты и применяется в редакции, действующей на момент использования Сервиса. Принятие Договора-оферты означает принятие настоящего Поручения.

1. Термины

  • Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных) согласно ст. 3 152-ФЗ.
  • Оператор — Клиент Сервиса, который определяет цели и средства обработки ПДн своих сотрудников, заказчиков, контрагентов.
  • Обработчик — компания-разработчик Сервиса odolopo, которая обрабатывает ПДн по поручению Оператора в объёме и для целей, указанных в настоящем Поручении.
  • Субпроцессор — третье лицо, привлечённое Обработчиком для обработки части ПДн (хостинг, email-доставка, аутентификация и др.).
  • Сервис — программный комплекс odolopo, доступный по адресам https://app.odolopo.com и https://odolopo.com.

2. Категории субъектов и виды ПДн

Обработчик обрабатывает следующие категории ПДн по поручению Оператора:

  • Сотрудники Оператора — ФИО, должность, рабочий email, телефон, аватар, hashed-пароль.
  • Заказчики Оператора — наименование (для юр. лиц), ФИО контактного лица (для физ. лиц), ИНН/КПП/ОГРН, юр. адрес, телефон, email контактного лица.
  • Контрагенты и подрядчики Оператора — те же данные, что и для заказчиков.
  • Контент — сметы, задачи, графики, файлы (аватары, логотипы, PDF-документы), которые Оператор загружает или генерирует в Сервисе.

Обработчик не обрабатывает специальные категории ПДн (раса, политические взгляды, здоровье и т.п.) и биометрические ПДн.

3. Цели обработки

  • Предоставление Оператору функционала Сервиса в объёме оплаченного тарифа.
  • Авторизация и аутентификация пользователей; восстановление паролей; отправка системных уведомлений и инвайтов.
  • Хранение пользовательского контента (смет, задач, файлов) в инфраструктуре Сервиса до отзыва поручения или удаления Оператором.
  • Автоматизированное автозаполнение реквизитов контрагентов через сторонние справочные сервисы (см. раздел 6).
  • Опционально: AI-генерация (помощник по подбору шаблонов PDF, генерация смет) при активации Оператором соответствующей функции.
  • Техническая поддержка, диагностика инцидентов, обеспечение информационной безопасности.

4. Действия с ПДн

Обработчик совершает с ПДн следующие действия: сбор (через интерфейс Сервиса), запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Обработка осуществляется автоматизированными способами через Сервис.

5. Срок обработки

  • В течение срока действия Договора-оферты с Оператором.
  • После прекращения договора — в течение 30 (тридцати) календарных дней с даты последнего входа в Сервис, после чего ПДн удаляются или обезличиваются (если иное не предусмотрено законом — налоговое законодательство РФ предписывает хранить первичные документы 5 лет).
  • Оператор имеет право в любой момент удалить ПДн через интерфейс Сервиса или направив запрос на support@odolopo.com.
  • Логи серверов хранятся не более 90 дней с момента создания.

6. Субпроцессоры

Обработчик привлекает следующих субпроцессоров для оказания части услуг. Оператор настоящим даёт согласие на привлечение указанных субпроцессоров. Изменения списка субпроцессоров публикуются на этой странице с уведомлением Оператора по email не менее чем за 30 дней до вступления в силу.

СервисНазначениеКакие данные передаютсяЮрисдикция
Yandex Cloud Object StorageХранение загруженных файлов (логотипов, аватаров)Файлы пользователейРФ
DaData (АО «ИНФОКОМ»)Автозаполнение реквизитов по ИНН и БИКИНН организации, БИК банкаРФ
Resend, Inc.Доставка транзакционных emailEmail получателя, текст письмаСША
Google LLC (OAuth)Авторизация по Google-аккаунту (опционально)Email, имя, аватарСША
Anthropic, OpenAI, OpenRouter, AitunnelAI-функции (опционально, при активации)Содержание смет / документов, которые Оператор передаёт в AI-запросСША / РФ (Aitunnel — прокси через РФ)

Обработчик гарантирует, что каждый субпроцессор связан с ним соглашением, обязывающим соблюдать требования по защите ПДн, эквивалентные настоящему Поручению.

7. Трансграничная передача

Часть субпроцессоров (см. раздел 6) расположена за пределами Российской Федерации. Обработчик:

  • Подал/подаёт уведомление в Роскомнадзор о трансграничной передаче ПДн.
  • Получает согласие субъектов ПДн на трансграничную передачу через интерфейс Сервиса (в форме регистрации и приёма Договора-оферты).
  • Минимизирует передаваемый объём данных (например, AI-провайдерам передаётся только содержание документов, необходимое для обработки запроса, без идентификаторов пользователей).

8. Меры защиты

Обработчик принимает следующие технические и организационные меры по защите ПДн в соответствии со ст. 19 152-ФЗ и Приказом ФСТЭК № 21:

  • Шифрование данных при передаче (TLS 1.2 / 1.3).
  • Хеширование паролей (bcrypt, cost factor 12).
  • Шифрование чувствительных полей в базе (API-ключей и т.п.).
  • Разграничение доступа на уровне приложения (RBAC: admin / supplier / manager / estimator / viewer) и на уровне tenant'а (multi-tenancy через organization_id).
  • SSH-доступ к серверам — только по ключам, без password-аутентификации.
  • Брандмауэр (UFW) с deny-by-default, fail2ban на SSH, auditd на критичные файлы.
  • Автоматическая установка обновлений безопасности (unattended-upgrades).
  • Ежедневное резервное копирование БД с offsite-хранением и шифрованием бэкапов. Срок хранения резервных копий — 14 дней (после чего ротация).
  • Подробности — см. страницу безопасности.

9. Уведомление об инцидентах

В случае выявленного несанкционированного доступа к ПДн или иного инцидента Обработчик уведомляет:

  • Роскомнадзор — в течение 24 часов с момента выявления (предварительно), 72 часов — окончательно (по 152-ФЗ ст. 21 ч. 3.1).
  • Оператора — по email, указанному в Личном кабинете, без неоправданной задержки.
  • Субъектов ПДн (если инцидент создаёт высокий риск их правам и свободам) — через Оператора или напрямую, в зависимости от обстоятельств.

10. Права субъектов ПДн

Субъекты ПДн имеют права, предусмотренные гл. 3 152-ФЗ, в том числе: право на доступ, уточнение, удаление, отзыв согласия. Запросы направляются Оператору; Обработчик содействует Оператору в их исполнении в течение 10 рабочих дней.

11. Ответственность

Стороны несут ответственность по законодательству РФ. Обработчик отвечает перед Оператором за действия привлечённых субпроцессоров как за свои собственные.

12. Изменения Поручения

Обработчик вправе вносить изменения в Поручение с уведомлением Оператора по email не менее чем за 30 календарных дней до вступления изменений в силу. Продолжение использования Сервиса после уведомления означает принятие новой редакции. Не согласный с изменениями Оператор вправе расторгнуть Договор-оферту.

13. Контакты

Запросы, связанные с обработкой ПДн, направляйте на privacy@odolopo.com. Срок ответа — не более 10 рабочих дней.

Назначенное лицо, ответственное за организацию обработки ПДн в odolopo, указано в Политике конфиденциальности.