iSales AI - Data Processing Addendum

Last Updated: 1st June, 2025

This Data Processing Addendum (“DPA”) forms an integral part of the iSales AI Terms of Service, and any other applicable master services agreement between you (“Customer,” “you,” or “your”) and iSales AI (“iSales AI,” “we,” “us,” or “our”) (collectively, the “Agreement”).

This DPA applies to the Processing of Personal Data by iSales AI in the course of providing the iSales AI Services (as defined in the Agreement), including AI-powered chatbot functionalities managed primarily through a native Telegram bot interface. It sets forth the terms and conditions under which iSales AI Processes Personal Data on behalf of the Customer as a Processor, and how iSales AI Processes certain Personal Data as a Controller.

By entering into the Agreement, Customer enters into this DPA on behalf of itself and, to the extent required under Applicable Data Protection Laws, in the name and on behalf of its authorized Affiliates.

Table of Contents

1. Определения

Аффилированное лицо означает любое юридическое лицо, которое прямо или косвенно контролирует, контролируется или находится под общим контролем с субъектом. «Контроль» для целей настоящего определения означает прямое или косвенное владение или контроль более чем 50% голосующих акций субъекта.

Применимые законы о защите данных означает все законы, нормативные акты и правительственные требования в области конфиденциальности, безопасности данных и защиты данных, применимые к соответствующей стороне в ее роли в соответствии с Соглашением, включая, помимо прочего, GDPR, UK GDPR, FADP, CCPA/CPRA, LGPD, Федеральный закон РФ № 152-ФЗ «О персональных данных» и другие применимые национальные или государственные законы. Каждая сторона несет ответственность за определение и соблюдение своих собственных Применимых законов о защите данных.

Контролер означает юридическое лицо, которое определяет цели и средства Обработки Персональных данных. В контексте Федерального закона РФ № 152-ФЗ это соответствует «Оператору».

Данные Учетной Записи Клиента означает Персональные данные, относящиеся к Клиенту, его представителям и уполномоченным Конечным пользователям, которые iSales AI Обрабатывает в качестве независимого Контролера, как более подробно описано в Приложении 1, Части B настоящего ДОД.

Контент Клиента означает Персональные данные, относящиеся к Конечным пользователям и Участникам бесед Клиента, которые iSales AI Обрабатывает от имени Клиента в качестве Обработчика в ходе предоставления Услуг, включая данные, введенные в Функции ИИ или сгенерированные ими, как более подробно описано в Приложении 1, Части A настоящего ДОД.

Участники бесед Клиента (или «Участники бесед») означает Субъектов данных, с которыми Клиент общается с использованием Услуг (например, конечные пользователи чат-ботов Клиента в Telegram, WhatsApp, Facebook, Instagram) и/или чьи Персональные данные загружаются в Услуги или обрабатываются ими от имени Клиента.

Утечка Данных означает подтвержденное нарушение безопасности, приведшее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным, переданным, сохраненным или иным образом Обработанным iSales AI. Утечка данных не включает неудачные попытки или действия, которые не ставят под угрозу безопасность Персональных данных, такие как неудачные попытки входа в систему, пинги, сканирование портов, атаки типа «отказ в обслуживании» или другие сетевые атаки на брандмауэры или сетевые системы.

Рамки Конфиденциальности Данных или «DPF» означает совместно Рамки конфиденциальности данных ЕС-США (EU-U.S. DPF), Расширение Великобритании к EU-U.S. DPF (UK Extension) и Рамки конфиденциальности данных Швейцария-США (Swiss-U.S. DPF), администрируемые Министерством торговли США.

Субъект Данных означает идентифицированное или идентифицируемое физическое лицо, к которому относятся Персональные данные.

Конечные пользователи означает Клиента и других Субъектов данных, которые имеют законный доступ к Услугам в рамках учетной записи Клиента или с его разрешения.

GDPR означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных.

LGPD означает Общий закон Бразилии о защите данных (Закон № 13.709/2018).

Персональные Данные означает «персональные данные», «личную информацию», «информацию, позволяющую установить личность» или аналогичные термины, как определено в соответствии с Применимыми законами о защите данных. В соответствии с настоящим ДОД Персональные данные включают как Контент Клиента, так и Данные Учетной Записи Клиента.

Обработка (и его однокоренные слова, такие как «Обрабатывать») означает любую операцию или набор операций, выполняемых с Персональными данными или наборами Персональных данных, независимо от того, выполняются ли они автоматизированными средствами, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультация, использование, раскрытие путем передачи, распространения или иного предоставления доступа, выравнивание или комбинирование, ограничение, стирание или уничтожение.

Обработчик означает юридическое лицо, которое Обрабатывает Персональные данные от имени Контролера. В контексте Федерального закона РФ № 152-ФЗ это соответствует лицу, «обрабатывающему персональные данные по поручению оператора».

Услуги означает услуги чат-бота на базе ИИ, связанное программное обеспечение, инструменты и платформу (включая собственный интерфейс бота Telegram), предоставляемые iSales AI Клиенту в соответствии с Соглашением.

Стандартные Договорные Условия или «SCC» означает, в зависимости от обстоятельств: (i) если применяется GDPR, стандартные договорные условия, прилагаемые к Имплементационному решению Европейской комиссии 2021/914 от 4 июня 2021 года («EU SCC»); (ii) если применяется UK GDPR, применимые стандартные положения о защите данных, принятые в соответствии со статьей 46(2)(c) или (d) UK GDPR, включая Дополнение о международной передаче данных Великобритании к EU SCC («UK Addendum»); (iii) если применяется Федеральный закон Швейцарии о защите данных («FADP»), применимые стандартные положения о защите данных, изданные, утвержденные или признанные Федеральным уполномоченным Швейцарии по защите данных и информации («Swiss SCC»); и (iv) если применяется LGPD, применимые стандартные положения о защите данных («Brazilian SCC»), изданные, утвержденные или признанные Национальным органом Бразилии по защите данных («ANPD»), в каждом случае с дополнениями или изменениями, описанными в Приложении 3 (Международные положения и условия для конкретных юрисдикций) настоящего ДОД.

Субобработчик означает любого Обработчика, привлеченного iSales AI или Аффилированным лицом iSales AI для Обработки Контента Клиента.

Все термины, написанные с заглавной буквы и не определенные в настоящем ДОД, имеют значения, изложенные в Соглашении.

2. Взаимоотношения Сторон и Роли

2.1. iSales AI как Обработчик:

Стороны признают и соглашаются, что в отношении Обработки Контента Клиента iSales AI является Обработчиком, действующим от имени Клиента. Клиент может выступать в качестве Контролера (или «Оператора» в соответствии с российским законодательством) или в качестве Обработчика для другого Контролера в отношении Контента Клиента. iSales AI обязуется Обрабатывать Контент Клиента только для целей, описанных в настоящем ДОД, и строго в соответствии с документально оформленными законными инструкциями Клиента, изложенными в Разделе 3 настоящего ДОД.

2.2. iSales AI как Контролер:

Стороны признают, что в отношении Обработки Данных Учетной Записи Клиента iSales AI является независимым Контролером (или «Оператором» в соответствии с российским законодательством), а не совместным Контролером с Клиентом. iSales AI будет Обрабатывать Данные Учетной Записи Клиента в качестве Контролера для выполнения необходимых функций, таких как заключение Соглашения, управление учетной записью, соблюдение законодательства, бухгалтерский учет, налогообложение, выставление счетов, аудит, продажи и маркетинговые коммуникации с Клиентом, а также для улучшения обслуживания, как подробно описано в его Политике конфиденциальности. iSales AI будет Обрабатывать такие Данные Учетной Записи Клиента в соответствии со своей Политикой конфиденциальности (https://isales.ai/privacy-policy) и применимыми положениями настоящего ДОД.

2.3. Детали Обработки Данных:

Приложение 1 (Детали Обработки) к настоящему ДОД дополнительно определяет предмет, продолжительность, характер и цель Обработки, типы Обрабатываемых Персональных данных и категории Субъектов данных.

3. Обязательства и Инструкции Клиента

3.1. Инструкции Клиента:

iSales AI будет Обрабатывать Контент Клиента только в соответствии с документально оформленными законными инструкциями Клиента. Заключая Соглашение и настоящее ДОД, Клиент поручает iSales AI Обрабатывать Контент Клиента для: (a) предоставления, эксплуатации и поддержки Услуг, как описано в Соглашении; (b) соблюдения других разумных инструкций, предоставленных Клиентом (например, по электронной почте или через тикеты поддержки), которые соответствуют условиям Соглашения; и (c) как дополнительно указано в настоящем ДОД. Клиент также уполномочивает iSales AI анонимизировать и/или агрегировать Контент Клиента для таких целей, как улучшение продукта, аналитика и разработка новых функций, при условии, что такие анонимизированные/агрегированные данные не идентифицируют какое-либо физическое лицо или Клиента.

3.2. Клиент как Обработчик:

Если Клиент является Обработчиком от имени другого Контролера в отношении Контента Клиента, Клиент на постоянной основе гарантирует, что соответствующий Контролер уполномочил: (i) инструкции, предоставленные iSales AI, как описано в настоящем ДОД и Соглашении; (ii) назначение iSales AI в качестве Субобработчика; и (iii) привлечение iSales AI дальнейших Субобработчиков, как описано в Разделе 4. Клиент незамедлительно перешлет соответствующему Контролеру любое уведомление, предоставленное iSales AI в соответствии с настоящим ДОД (например, относительно новых Субобработчиков, Утечек данных, запросов Субъектов данных).

3.3. Соблюдение Законов:

Каждая сторона будет соблюдать свои соответствующие обязательства в соответствии с Применимыми законами о защите данных в отношении своей Обработки Персональных данных.

3.4. Обязанности Клиента:

Клиент заявляет и гарантирует, что он предоставил и будет продолжать предоставлять все необходимые уведомления и получил и будет продолжать получать все необходимые согласия, разрешения и права (или установил другие действительные правовые основания) в соответствии с Применимыми законами о защите данных для законной Обработки iSales AI Контента Клиента от имени Клиента для целей, предусмотренных Соглашением и настоящим ДОД. Это включает, без ограничений, любые согласия, необходимые для использования Функций ИИ и передачи Контента Клиента iSales AI и ее Субобработчикам. Клиент несет ответственность за законность, точность, качество и легальность Контента Клиента и средства, с помощью которых Клиент его приобрел. Клиент обязуется информировать своих Участников бесед об использовании iSales AI в качестве Обработчика и предоставлять им всю информацию, требуемую Применимыми законами о защите данных.

3.5. Особые Юрисдикционные Требования:

Клиент должен в письменной форме информировать iSales AI о любых особых требованиях к Обработке Контента Клиента компанией iSales AI, которые налагаются Применимыми законами о защите данных Клиента и еще не охвачены настоящим ДОД или Соглашением. Клиент обязуется возместить убытки и оградить iSales AI от любых претензий, обязательств, ущерба или расходов, возникающих в результате несоблюдения Клиентом своих обязательств в соответствии с настоящим Разделом 3.

4. Субобработка

4.1. Уполномоченные Субобработчики:

Клиент признает и соглашается, что iSales AI может привлекать Субобработчиков для Обработки Контента Клиента в связи с предоставлением Услуг. Список текущих Субобработчиков iSales AI доступен по адресу Список Субобработчиков ИИ (https://isales.ai/service-providers) (или иным образом предоставлен iSales AI) («Список Субобработчиков»). Клиент специально разрешает привлечение этих Субобработчиков.

4.2. Обязательства Субобработчика:

В отношении всех Субобработчиков iSales AI обязуется:

  • Проводить надлежащую проверку таких Субобработчиков.
  • Заключать юридически обязывающее письменное соглашение с каждым Субобработчиком, налагающее обязательства по защите данных, которые по существу аналогичны и, по крайней мере, столь же защищают, как и те, которые изложены в настоящем ДОД.
  • Оставаться в полной мере ответственным перед Клиентом за выполнение обязательств Субобработчика по защите данных и за любые действия или бездействие Субобработчика, которые приводят к нарушению iSales AI каких-либо своих обязательств в соответствии с настоящим ДОД.

4.3. Привлечение Новых Субобработчиков:

iSales AI может привлекать новых Субобработчиков. iSales AI уведомит Клиента о любом предполагаемом привлечении нового Субобработчика путем обновления Списка Субобработчиков и предоставления механизма для подписки Клиента на уведомления о таких обновлениях (например, по электронной почте или через RSS-канал). Такое уведомление будет предоставлено не менее чем за 30 дней до того, как новый Субобработчик начнет Обрабатывать какой-либо Контент Клиента, за исключением случаев, когда iSales AI обоснованно полагает, что привлечение нового Субобработчика в ускоренном порядке необходимо для защиты конфиденциальности, целостности или доступности Контента Клиента или для предотвращения существенного нарушения Услуг, и в этом случае уведомление будет предоставлено в кратчайшие разумно возможные сроки.

4.4. Права на Возражение:

Клиент может возразить против назначения iSales AI нового Субобработчика, уведомив iSales AI в письменной форме в течение 15 дней после получения уведомления от iSales AI, при условии, что такое возражение основано на разумных, документально подтвержденных опасениях относительно защиты данных. Если Клиент возражает, iSales AI приложит коммерчески разумные усилия, чтобы предоставить Клиенту изменение в Услугах или порекомендовать коммерчески разумное изменение конфигурации или использования Услуг Клиентом, чтобы избежать Обработки Контента Клиента оспариваемым новым Субобработчиком без необоснованного обременения Клиента. Если iSales AI не сможет предоставить такое изменение в течение разумного периода, который не должен превышать 30 дней, Клиент может в качестве своего единственного и исключительного средства правовой защиты расторгнуть применимое Соглашение или затронутую Услугу для удобства, предоставив письменное уведомление iSales AI, без возмещения предварительно оплаченных сборов. Клиент останется ответственным за любые сборы, предусмотренные применимой формой заказа. Если Клиент не возражает в течение указанного периода, считается, что iSales AI уполномочен Клиентом на привлечение нового Субобработчика.

5. Меры Безопасности

5.1. Реализация Мер Безопасности:

iSales AI будет внедрять и поддерживать в течение всего срока действия настоящего ДОД соответствующие технические и организационные меры безопасности, предназначенные для защиты Контента Клиента от Утечек данных и для сохранения безопасности, конфиденциальности и целостности Контента Клиента. Эти меры должны учитывать современный уровень техники, затраты на внедрение, а также характер, объем, контекст и цели Обработки, а также риски различной вероятности и серьезности для прав и свобод физических лиц. Такие меры дополнительно описаны в Приложении 2 (Меры безопасности) к настоящему ДОД.

5.2. Конфиденциальность Обработки:

iSales AI обеспечивает, чтобы любое лицо, уполномоченное iSales AI на Обработку Контента Клиента (включая его персонал, агентов и Субобработчиков), находилось под соответствующим обязательством о конфиденциальности (будь то договорное или установленное законом обязательство).

5.3. Ответственность Клиента за Безопасность:

Клиент признает и соглашается, что:

  • Он рассмотрел и оценил Меры безопасности, описанные в Приложении 2, и считает их подходящими для защиты Контента Клиента в соответствии с Применимыми законами о защите данных Клиента, включая предоставление надлежащих гарантий для трансграничной передачи Персональных данных, если это применимо.
  • За исключением случаев, предусмотренных настоящим ДОД, Клиент несет ответственность за безопасное использование Услуг, включая обеспечение безопасности своих учетных данных для аутентификации (например, для собственного интерфейса бота Telegram), защиту безопасности Контента Клиента при его передаче в Услуги и из них, а также обеспечение безопасности собственных систем и устройств Клиента, используемых для доступа к Услугам.

5.4. Обновления Мер Безопасности:

Клиент признает, что Меры безопасности подвержены техническому прогрессу и развитию. iSales AI может время от времени обновлять или изменять Меры безопасности при условии, что такие обновления и изменения не приводят к существенному снижению общей безопасности Услуг, приобретенных Клиентом. Клиент несет ответственность за ознакомление с информацией, предоставленной iSales AI относительно обновленной безопасности данных, и за принятие независимого решения о том, соответствуют ли Услуги требованиям и юридическим обязательствам Клиента в соответствии с Применимыми законами о защите данных Клиента.

6. Обзоры Безопасности и Аудиты

6.1. Отчеты и Сертификаты Безопасности:

iSales AI может использовать внешних аудиторов для проверки адекватности своих мер безопасности и может получать соответствующие сертификаты или аттестаты безопасности (например, ISO 27001, SOC 2). По письменному запросу Клиента и при условии соблюдения соответствующих обязательств о конфиденциальности iSales AI предоставит Клиенту краткую копию своего последнего соответствующего аудиторского отчета или сертификата в той мере, в какой они общедоступны для клиентов.

6.2. Проверка Безопасности:

В дополнение к любым доступным отчетам или сертификатам iSales AI будет отвечать на разумные письменные запросы информации от Клиента для подтверждения соблюдения iSales AI настоящего ДОД, включая ответы на разумные анкеты Клиента по информационной безопасности и должной осмотрительности. Клиент не должен использовать это право чаще одного раза в календарный год, если только не произошла подтвержденная Утечка данных, затрагивающая Контент Клиента.

6.3. Аудиты:

В той мере, в какой это требуется Применимыми законами о защите данных, Клиент (или его независимый сторонний аудитор, который не является конкурентом iSales AI и связан соответствующими обязательствами о конфиденциальности) может проводить аудит соблюдения iSales AI своих обязательств в соответствии с настоящим ДОД. Такие аудиты должны: (a) проводиться не чаще одного раза в календарный год, если только подтвержденная Утечка данных, затрагивающая Контент Клиента, не требует дополнительного аудита; (b) проводиться по предварительному письменному уведомлению iSales AI не менее чем за 30 дней; (c) иметь объем, сроки и продолжительность, взаимно согласованные с iSales AI; (d) проводиться в обычные рабочие часы iSales AI; (e) осуществляться за счет Клиента; и (f) проводиться таким образом, чтобы необоснованно не мешать деловой деятельности iSales AI и не ставить под угрозу безопасность или конфиденциальность данных других клиентов. iSales AI может удовлетворить такие запросы на аудит, предоставив соответствующие сторонние аудиторские отчеты или сертификаты, как описано в Разделе 6.1.

7. Уведомление об Утечке Данных

7.1. Сроки Уведомления:

Узнав о подтвержденной Утечке данных, затрагивающей Контент Клиента, iSales AI уведомит Клиента без неоправданной задержки и, по возможности, в течение 72 часов после обнаружения, если это не запрещено применимым законодательством или указанием правоохранительных органов. Задержка в предоставлении такого уведомления, запрошенная правоохранительными органами и/или в свете законных потребностей iSales AI в расследовании или устранении проблемы до предоставления уведомления, не будет считаться неоправданной задержкой.

7.2. Содержание Уведомления:

Такие уведомления будут описывать, насколько это разумно возможно и известно на тот момент: (a) характер Утечки данных; (b) категории и приблизительное количество затронутых Субъектов данных и записей Персональных данных; (c) вероятные последствия Утечки данных; и (d) меры, принятые или предложенные iSales AI для устранения Утечки данных, включая, при необходимости, меры по смягчению ее возможных неблагоприятных последствий.

7.3. Сотрудничество со стороны iSales AI:

iSales AI будет разумно сотрудничать с Клиентом и предпринимать такие разумные коммерческие шаги, которые указаны Клиентом, для содействия в расследовании, смягчении последствий и устранении каждой такой Утечки данных. Уведомление iSales AI об Утечке данных или ответ на нее в соответствии с настоящим Разделом не будут толковаться как признание iSales AI какой-либо вины или ответственности в отношении Утечки данных.

7.4. Ответственность Клиента за Уведомления:

Клиент несет единоличную ответственность за соблюдение своих собственных обязательств в соответствии с Применимыми законами о защите данных по уведомлению соответствующих надзорных органов и/или затронутых Субъектов данных о любой Утечке данных.

8. Права Субъектов Данных и Сотрудничество

8.1. Ответы на Запросы Субъектов Данных:

Принимая во внимание характер Обработки, iSales AI предоставит Клиенту разумную помощь, в том числе с помощью соответствующих технических и организационных мер, насколько это возможно, чтобы позволить Клиенту отвечать на запросы Субъектов данных, стремящихся реализовать свои права в соответствии с Применимыми законами о защите данных (например, права на доступ, исправление, удаление, ограничение, переносимость и возражение) в отношении Контента Клиента. Если Клиент не может разумно выполнить такие запросы самостоятельно, используя функции самообслуживания Услуг, Клиент может запросить помощь iSales AI.

8.2. Прямые Запросы к iSales AI:

Если iSales AI получает запрос непосредственно от Субъекта данных относительно Контента Клиента, iSales AI, в той мере, в какой это разрешено законом, незамедлительно уведомит Клиента о запросе и посоветует Субъекту данных направить свой запрос Клиенту. Клиент будет нести ответственность за ответ на любой такой запрос. Несмотря на вышеизложенное, если Субъект данных запрашивает (i) отписку от сообщений, отправленных Клиентом через Услуги, или (ii) удаление его Контента Клиента в рамках Услуг, Клиент уполномочивает и поручает iSales AI предпринять разумные шаги для выполнения таких запросов непосредственно, где это возможно, с помощью функциональных возможностей Услуг.

8.3. Помощь с Оценками Воздействия на Защиту Данных (DPIA) и Предварительными Консультациями:

Принимая во внимание характер Обработки и информацию, доступную iSales AI, iSales AI предоставит разумную помощь Клиенту по письменному запросу Клиента в проведении оценок воздействия на защиту данных (DPIA) и предварительных консультаций с надзорными органами, если таковые требуются от Клиента в соответствии с Применимыми законами о защите данных в связи с Обработкой Контента Клиента компанией iSales AI. Если такая помощь требует от iSales AI выделения значительных ресурсов, она может быть предоставлена за счет Клиента по взаимному соглашению.

9. Возврат или Удаление Данных

9.1. Возврат или Удаление:

По прекращении или истечении срока действия Соглашения или по письменному запросу Клиента в любое время iSales AI по выбору Клиента либо удалит, либо вернет Клиенту весь Контент Клиента (включая существующие копии) из систем iSales AI, находящихся в ее владении или под ее контролем, в соответствии с процедурами и сроками, указанными в Соглашении или иным образом согласованными. Если Клиент не выберет возврат или удаление в течение 60 дней с момента прекращения/истечения срока действия, iSales AI может удалить Контент Клиента.

9.2. Хранение в Юридических Целях:

Несмотря на вышеизложенное, Клиент понимает, что iSales AI может сохранять определенный Контент Клиента, если это требуется применимым законодательством или для законных и документально подтвержденных целей архивирования, резервного копирования или аварийного восстановления, и в этом случае такие данные будут по-прежнему подпадать под обязательства по конфиденциальности и безопасности настоящего ДОД до тех пор, пока они хранятся.

10. Прочее

10.1. Места Обработки:

Клиент признает, что предоставление Услуг и деятельность iSales AI в качестве Контролера могут потребовать Обработки Персональных данных компанией iSales AI, ее Аффилированными лицами и Субобработчиками в странах за пределами юрисдикции Клиента, в том числе в Соединенных Штатах, как более подробно описано в Приложении 1 и Списке Субобработчиков. Международные передачи будут осуществляться с соблюдением гарантий, описанных в Приложении 3.

10.2. Уведомления:

Любые уведомления, запросы или другие сообщения в адрес iSales AI, связанные с настоящим ДОД, должны направляться по адресу [email protected] или иным образом, указанным в Соглашении. iSales AI будет отправлять уведомления Клиенту по адресу электронной почты, указанному Клиентом при регистрации, или через пользовательский интерфейс Услуг.

10.3. Претензии и Ответственность:

Любые претензии, предъявленные в соответствии с настоящим ДОД или в связи с ним, подпадают под действие условий, включая, помимо прочего, исключения и ограничения ответственности, изложенные в Соглашении. Клиент соглашается с тем, что любые регуляторные штрафы, понесенные iSales AI в связи с Контентом Клиента, которые возникают в результате или в связи с несоблюдением Клиентом своих обязательств в соответствии с настоящим ДОД или Применимыми законами о защите данных Клиента, будут учитываться и уменьшать предел ответственности iSales AI в соответствии с Соглашением, как если бы это была ответственность перед Клиентом. И наоборот, iSales AI несет ответственность за регуляторные штрафы, понесенные Клиентом или iSales AI, которые возникают в результате несоблюдения iSales AI своих обязательств в соответствии с настоящим ДОД или Применимыми законами о защите данных iSales AI, с учетом ограничений, указанных в Соглашении. Несмотря ни на какие положения об обратном, ни одна из сторон не будет нести ответственность за штрафы, наложенные или взысканные с другой стороны регулирующим органом из-за независимого нарушения другой стороной своих Применимых законов о защите данных.

10.4. Отсутствие Прав Третьих Лиц-Бенефициаров:

Настоящее ДОД не предоставляет никаких прав третьим лицам-бенефициарам, за исключением случаев, прямо указанных (например, для Субъектов данных в соответствии с определенными SCC). Оно предназначено исключительно для выгоды сторон настоящего документа и их соответствующих разрешенных правопреемников и цессионариев.

10.5. Регулирующее Законодательство и Юрисдикция:

Настоящее ДОД будет регулироваться и толковаться в соответствии с регулирующим законодательством и положениями о юрисдикции, указанными в Соглашении, если иное не требуется императивными положениями Применимых законов о защите данных Клиента или как указано в Приложении 3.

10.6. Прекращение Действия:

Настоящее ДОД автоматически прекращает свое действие по истечении срока действия или прекращении действия Соглашения. Прекращение действия настоящего ДОД возможно только при условии прекращения действия Соглашения.

10.7. Связь с Соглашением:

Настоящее ДОД является неотъемлемой частью Соглашения. За исключением случаев, прямо указанных в настоящем ДОД, Соглашение остается без изменений и в полной силе и действии. В случае любого противоречия между настоящим ДОД и Соглашением в отношении Обработки Персональных данных, настоящее ДОД будет иметь преимущественную силу. Настоящее ДОД заменяет любое существующее дополнение об обработке данных, которое стороны могли ранее заключить в связи с Услугами.

Приложения

ПРИЛОЖЕНИЕ 1: Детали Обработки

Часть A: iSales AI как Обработчик

Предмет:

Обработка Контента Клиента компанией iSales AI для предоставления Услуг Клиенту, как описано в Соглашении и настоящем ДОД.

Продолжительность:

На срок действия Соглашения и до удаления или возврата Контента Клиента в соответствии с Разделом 9 настоящего ДОД.

Характер и Цель Обработки:

  • Предоставление услуг чат-бота на базе ИИ на различных платформах обмена сообщениями (например, Telegram, WhatsApp, Facebook, Instagram) в соответствии с конфигурацией Клиента.
  • Обработка Входных данных (подсказок, конфигураций, обучающих данных, баз знаний, предоставленных Клиентом) Функциями ИИ для генерации Выходных данных (ответов чат-бота, анализов и т.д.).
  • Хранение, передача и управление данными бесед между чат-ботами Клиента и Участниками бесед.
  • Предоставление Клиенту возможности управлять настройками и производительностью чат-бота, в основном через собственный интерфейс бота Telegram.
  • Предоставление поддержки, обслуживания и устранения неполадок для Услуг.
  • Регистрация действий для обеспечения безопасности, аудита и отслеживания ошибок.
  • Обеспечение доступности, безопасности и удобства использования Услуг.
  • Анонимизация и/или агрегирование Контента Клиента для улучшения обслуживания, аналитики и разработки новых функций (в соответствии с инструкциями Клиента согласно Разделу 3.1).

Категории Субъектов Данных:

  • Конечные пользователи, уполномоченные Клиентом на использование или управление Услугами.
  • Участники бесед Клиента (т.е. лица, взаимодействующие с чат-ботами Клиента, развернутыми через Услуги).

Категории Персональных Данных (Контент Клиента):

Объем Персональных данных определяется и контролируется Клиентом по его собственному усмотрению посредством его конфигурации и использования Услуг. Это может включать:

Для Конечных пользователей (управляющих Услугой):

Идентификационная информация (например, имя, адрес электронной почты, идентификатор пользователя, связанный с собственным интерфейсом бота Telegram), учетные данные, данные конфигурации, IP-адреса, данные об использовании, информация об устройстве.

Для Участников бесед:

  • Идентификационная информация, полученная с платформ обмена сообщениями (например, идентификатор пользователя на конкретной платформе, имя/имя пользователя, изображение профиля, номер телефона, если предоставлен платформой/пользователем).
  • Контактные данные, если предоставлены Участником беседы (например, адрес электронной почты, номер телефона).
  • Содержание сообщений с чат-ботами, включая текст, изображения, голосовые данные (если поддерживаются и используются), и любые другие Персональные данные, которыми Участник беседы поделился в чате.
  • Метаданные чата (например, временные метки, идентификаторы сообщений, идентификаторы платформ).
  • Технические данные (например, IP-адрес, тип устройства, информация о браузере, данные о местоположении, если переданы платформой/пользователем и обработаны чат-ботом).
  • Любые другие Персональные данные, содержащиеся во Входных данных, предоставленных Клиентом (например, в обучающих данных или базах знаний для ИИ).

Обрабатываемые Конфиденциальные Данные (если таковые имеются):

Клиент соглашается не предоставлять и не настраивать Услуги для запроса или сбора конфиденциальных Персональных данных (как определено Применимыми законами о защите данных, например, информация о здоровье, биометрические данные, расовое или этническое происхождение, политические взгляды, религиозные убеждения и т.д.) от Участников бесед, если только Клиент не получил явного согласия или не имеет другого действительного правового основания в соответствии с Применимыми законами о защите данных для такой Обработки и не проинформировал iSales AI. iSales AI не обрабатывает преднамеренно конфиденциальные Персональные данные, за исключением случаев, когда они случайно содержатся в Контенте Клиента, Обрабатываемом в соответствии с инструкциями Клиента.

Частота Передачи:

На постоянной основе по мере использования Клиентом Услуг.

Источник Данных:

Клиент (или Конечные пользователи, действующие от имени Клиента) посредством использования и конфигурации Услуг, включая данные, введенные в собственный интерфейс бота Telegram, данные с интегрированных платформ обмена сообщениями и данные, предоставленные Участниками бесед во время взаимодействия с чат-ботами Клиента.

Дальнейшие Передачи (Субобработчики):

Как указано в Списке Субобработчиков, доступном по адресу Список Субобработчиков ИИ (https://isales.ai/service-providers). Продолжительность субобработки ограничена периодом хранения Обработки компанией iSales AI.

Часть B: iSales AI как Контролер

Предмет:

Обработка Данных Учетной Записи Клиента компанией iSales AI.

Продолжительность:

На срок действия Соглашения и в дальнейшем, как того требует применимое законодательство или для законных деловых целей iSales AI (например, ведение учета, разрешение споров), в соответствии с Политикой конфиденциальности iSales AI и политиками хранения данных.

Характер и Цель Обработки:

  • Заключение и управление договорными отношениями с Клиентом.
  • Создание, администрирование и управление учетной записью (включая управление Кредитами).
  • Предоставление поддержки клиентов и общение с Клиентом относительно Услуг (например, обновления, предупреждения о безопасности, уведомления о выставлении счетов).
  • Выставление счетов, выставление счетов-фактур и обработка платежей.
  • Соблюдение юридических и нормативных обязательств (например, налогообложение, бухгалтерский учет, проверка на предмет санкций).
  • Аудит и мониторинг безопасности.
  • Продажи и маркетинговые коммуникации с Клиентом (с учетом предпочтений Клиента и применимого законодательства).
  • Улучшение услуг iSales AI, деловых операций и разработка новых предложений (обычно с использованием агрегированных или анонимизированных данных, где это возможно).

Категории Субъектов Данных:

  • Клиент (если физическое лицо).
  • Представители и Конечные пользователи Клиента (например, сотрудники, подрядчики, уполномоченные управлять или использовать учетную запись iSales AI Клиента).

Категории Персональных Данных (Данные Учетной Записи Клиента):

Контактная и Идентификационная Информация:

Имя, адрес электронной почты, номер телефона, название компании, должность, юридический адрес, имя пользователя/идентификатор (включая данные учетной записи Telegram, связанные для настроек).

Платежная и Финансовая Информация:

Платежный адрес, данные платежной карты (например, последние четыре цифры, срок действия, обрабатываемые платежным процессором, соответствующим PCI-DSS), информация о банковском счете (если применимо), история транзакций, записи о покупке Кредитов.

Информация об Учетной Записи и Использовании:

Детали тарифного плана, настройки и предпочтения учетной записи, IP-адреса, информация об устройстве, тип браузера, операционная система, журналы доступа и использования платформы iSales AI (исключая Контент Клиента), записи обращений в службу поддержки.

Обрабатываемые Конфиденциальные Данные:

iSales AI не собирает преднамеренно конфиденциальные Персональные данные для целей Данных Учетной Записи Клиента.

Частота Передачи:

На постоянной основе по мере взаимодействия Клиента с iSales AI и Услугами.

Источник Данных:

Непосредственно от Клиента или его представителей/Конечных пользователей в процессе регистрации, настройки учетной записи (включая привязку учетной записи Telegram для настроек), использования Услуг, платежных транзакций и общения с iSales AI.

Дальнейшие Передачи (Поставщики Услуг):

Поставщикам услуг iSales AI (действующим в качестве Обработчиков для iSales AI как Контролера) для таких целей, как обработка платежей, CRM, доставка электронной почты, аналитика, облачный хостинг. См. Политику конфиденциальности iSales AI для получения более подробной информации об обмене данными с такими поставщиками. Персональные данные также могут быть раскрыты государственным органам, если это требуется по закону.

ПРИЛОЖЕНИЕ 2: Меры Безопасности

iSales AI внедряет и поддерживает технические и организационные меры безопасности, предназначенные для защиты Персональных данных от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа. Эти меры призваны обеспечить уровень безопасности, соответствующий риску, с учетом современного уровня техники, затрат на внедрение, а также характера, объема, контекста и целей Обработки, а также риска различной вероятности и серьезности для прав и свобод физических лиц.

Меры безопасности включают, но не ограничиваются, следующими категориями (iSales AI предоставит дополнительную информацию по разумному запросу при условии соблюдения обязательств о конфиденциальности):

Программа и Политики Информационной Безопасности:

  • Поддержание формальной, документально оформленной программы и рамок информационной безопасности.
  • Регулярный пересмотр и обновление политик и процедур безопасности.
  • Назначение ответственного за информационную безопасность.

Контроль Доступа:

  • Меры по предотвращению несанкционированного доступа к системам, Обрабатывающим Персональные данные, включая процедуры идентификации и аутентификации пользователей (например, уникальные идентификаторы, надежные пароли, многофакторная аутентификация, где это уместно).
  • Ролевые элементы управления доступом на основе принципа наименьших привилегий («необходимо знать»).
  • Процедуры управления правами доступа (предоставление, изменение, отзыв).
  • Регистрация доступа к критически важным системам.

Шифрование Данных:

  • Шифрование Персональных данных при передаче (например, с использованием TLS/SSL).
  • Шифрование Персональных данных в состоянии покоя, где это уместно и возможно (например, для баз данных, хранящих Контент Клиента).

Безопасность Персонала:

  • Обязательства по соблюдению конфиденциальности для персонала, уполномоченного на Обработку Персональных данных.
  • Программы повышения осведомленности и обучения персонала в области безопасности.
  • Проверка биографических данных персонала на конфиденциальных должностях, где это разрешено законом.

Физическая и Экологическая Безопасность:

  • Меры контроля для предотвращения несанкционированного физического доступа в помещения и на объекты, где Обрабатываются Персональные данные (например, для центров обработки данных, используемых iSales AI или ее облачными провайдерами).
  • Меры по защите от угроз окружающей среды.

Операционная Безопасность:

  • Программа управления уязвимостями, включая регулярное сканирование и тестирование на проникновение (где это уместно).
  • Процедуры управления исправлениями.
  • Практики безопасного жизненного цикла разработки программного обеспечения.
  • Процедуры управления изменениями.
  • Средства контроля сетевой безопасности (например, брандмауэры, системы обнаружения/предотвращения вторжений).
  • Регистрация и мониторинг систем на предмет событий безопасности.

Управление Сторонними Поставщиками:

  • Процесс должной осмотрительности при выборе и управлении Субобработчиками и другими сторонними поставщиками, имеющими доступ к Персональным данным.
  • Договорные требования к сторонним поставщикам по поддержанию надлежащих мер безопасности.

Непрерывность Бизнеса и Аварийное Восстановление:

  • Процедуры резервного копирования и восстановления данных.
  • Планы обеспечения непрерывности бизнеса и аварийного восстановления для обеспечения доступности Персональных данных и Услуг.

Управление Инцидентами:

  • Процедуры обнаружения, реагирования и управления инцидентами безопасности, включая Утечки данных, как указано в Разделе 7 настоящего ДОД.

Клиент признает, что требования безопасности постоянно меняются и что iSales AI может время от времени обновлять или изменять эти Меры безопасности при условии, что такие обновления и изменения не приводят к существенному снижению общей безопасности Услуг.

ПРИЛОЖЕНИЕ 3: Международные Положения и Условия для Конкретных Юрисдикций

Настоящее Приложение применяется к Обработке Персональных данных, подпадающих под действие законов конкретных юрисдикций.

1. Европейская Экономическая Зона (ЕЭЗ), Соединенное Королевство (СК) и Швейцария

Сфера применения:

Сфера применения: Настоящий Раздел 1 применяется к Обработке Персональных данных, подпадающих под действие GDPR, UK GDPR или швейцарского FADP.

Роли:

Роли: Для Контента Клиента Клиент является Контролером (или Обработчиком, действующим от имени другого Контролера), а iSales AI является Обработчиком. Для Данных Учетной Записи Клиента iSales AI является независимым Контролером.

Международные Передачи Данных:

Рамки Конфиденциальности Данных (DPF):

В той мере, в какой iSales AI передает Персональные данные из ЕЭЗ, СК или Швейцарии в Соединенные Штаты, и iSales AI сертифицирована в соответствии с EU-U.S. DPF, Расширением Великобритании к EU-U.S. DPF и/или Swiss-U.S. DPF (в зависимости от обстоятельств), iSales AI обеспечит, чтобы такие передачи осуществлялись в соответствии с ее сертификацией DPF. iSales AI уведомит Клиента, если ее сертификация DPF будет отозвана, прекращена или иным образом аннулирована.

Стандартные Договорные Условия (SCC):

В случае, если DPF не применяется или не используется для конкретной передачи, или для передач в другие третьи страны, не считающиеся адекватными, такие передачи Персональных данных из ЕЭЗ, СК или Швейцарии в iSales AI (или ее Субобработчикам) в третью страну будут регулироваться применимыми Стандартными договорными условиями, которые настоящим включаются посредством ссылки и дополняются следующим образом:

EU SCC (Имплементационное решение Комиссии (ЕС) 2021/914):

  • Модуль Один (Контролер Контролеру) будет применяться к передачам Данных Учетной Записи Клиента, где Клиент является Контролером, а iSales AI является Контролером.
  • Модуль Два (Контролер Обработчику) будет применяться к передачам Контента Клиента, где Клиент является Контролером, а iSales AI является Обработчиком.
  • Модуль Три (Обработчик Обработчику) будет применяться к передачам Контента Клиента, где Клиент является Обработчиком (действующим от имени другого Контролера), а iSales AI является Субобработчиком.
  • Пункт 7 (Положение о присоединении): Не будет применяться.
  • Пункт 9 (Использование Субобработчиков): Будет применяться Вариант 2 (Общее письменное разрешение). Срок предварительного уведомления об изменениях Субобработчика будет таким, как указано в Разделе 4.3 настоящего ДОД.
  • Пункт 11 (Возмещение ущерба - Необязательно): Необязательные формулировки не будут применяться.
  • Пункт 13 (Надзор): Надзорный орган определяется в соответствии с GDPR. Для Клиентов, учрежденных в ЕС, это будет надзорный орган государства-члена, в котором учрежден Клиент, или, если он не учрежден в ЕС, орган, определенный Клиентом или определенный GDPR.
  • Пункт 17 (Регулирующее законодательство): Будет применяться Вариант 1. SCC будут регулироваться законодательством Ирландии.
  • Пункт 18(b) (Выбор форума и юрисдикции): Споры будут разрешаться в судах юрисдикции, указанной в Пункте 17.
  • Приложение I.A (Список Сторон):\nЭкспортер данных: Клиент, как определено в Соглашении. Контактные данные, предоставленные Клиентом. Роль: Как указано в соответствующем Модуле выше.\nИмпортер данных: iSales AI. Контакт: `[email protected]`. Роль: Как указано в соответствующем Модуле выше.
  • Приложение I.B (Описание Передачи): Как описано в Приложении 1 настоящего ДОД.
  • Приложение I.C (Компетентный Надзорный Орган): Как определено Пунктом 13.
  • Приложение II (Технические и Организационные Меры): Как описано в Приложении 2 настоящего ДОД.

UK Addendum (Дополнение о международной передаче данных к EU SCC, Версия B1.0):

Для передач, подпадающих под действие UK GDPR, будет применяться UK Addendum, при этом EU SCC (как указано выше) будут составлять «Утвержденные EU SCC». Таблицы 1, 2, 3 и 4 UK Addendum будут заполнены соответствующей информацией из настоящего ДОД и разделов EU SCC. «Экспортер» и «Импортер» будут такими, как определено в Приложении I.A выше.

Швейцарские Передачи:

Для передач, подпадающих под действие швейцарского FADP, EU SCC (как указано выше) будут применяться с необходимыми изменениями для учета швейцарского законодательства (например, ссылки на GDPR толкуются как ссылки на FADP; компетентным надзорным органом является швейцарский FDPIC).

2. Калифорния

Сфера применения:

Сфера применения: Настоящий Раздел 2 применяется к Обработке «Личной информации», как определено в Законе Калифорнии о защите прав потребителей с поправками, внесенными Законом Калифорнии о правах на неприкосновенность частной жизни («CCPA/CPRA»).

Роли:

Роли: Для Контента Клиента, который представляет собой Личную информацию, iSales AI выступает в качестве «Поставщика услуг» для Клиента, который является «Бизнесом». Для Данных Учетной Записи Клиента iSales AI может выступать в качестве Бизнеса.

iSales AI как Поставщик Услуг:

При Обработке Контента Клиента iSales AI обязуется:

  • Не «продавать» и не «делиться» (как эти термины определены в CCPA/CPRA) Контентом Клиента.
  • Не сохранять, не использовать и не раскрывать Контент Клиента для каких-либо целей, кроме конкретной цели выполнения Услуг, как указано в Соглашении и настоящем ДОД, или иным образом, разрешенным CCPA/CPRA для Поставщиков услуг.
  • Не сохранять, не использовать и не раскрывать Контент Клиента за пределами прямых деловых отношений между Клиентом и iSales AI, за исключением случаев, разрешенных CCPA/CPRA.
  • Соблюдать применимые обязательства в соответствии с CCPA/CPRA и оказывать разумную помощь Клиенту, чтобы позволить Клиенту соблюдать свои обязательства по CCPA/CPRA в отношении Контента Клиента.

Агрегированные/Обезличенные Данные: Несмотря на вышеизложенное, iSales AI может обезличивать или агрегировать Контент Клиента в рамках выполнения Услуг и использовать такие обезличенные или агрегированные данные для своих собственных деловых целей, включая улучшение обслуживания и аналитику, при условии, что такие данные не идентифицируют и не могут быть разумно использованы для идентификации какого-либо физического лица или Клиента.

3. Бразилия

Сфера применения:

Сфера применения: Настоящий Раздел 3 применяется к Обработке Персональных данных, подпадающих под действие LGPD.

Роли:

Роли: Для Контента Клиента Клиент является Контролером (Controlador) (или Обработчиком, действующим от имени другого Контролера), а iSales AI является Обработчиком (Operador). Для Данных Учетной Записи Клиента iSales AI является независимым Контролером.

Международные Передачи Данных:

Международные Передачи Данных: В той мере, в какой Контент Клиента, подпадающий под действие LGPD, передается в юрисдикцию за пределами Бразилии, не признанную ANPD как обеспечивающую адекватный уровень защиты, такие передачи будут осуществляться в соответствии с действительным механизмом передачи в соответствии с LGPD, который может включать бразильские SCC (при наличии и применимости) или другие механизмы, разрешенные ANPD. iSales AI обязуется обеспечить, чтобы Персональные данные передавались только в страны, которые обеспечивают степень защиты данных, совместимую с LGPD, или юридическим лицам, которые по контракту обязуются принять аналогичную степень защиты.

4. Россия

Сфера применения:

Сфера применения: Настоящий Раздел 4 применяется к Обработке Персональных данных граждан России, подпадающих под действие Федерального закона РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года (с изменениями) («Российский закон о защите данных»).

Роли:

Роли: Для Контента Клиента, включающего Персональные данные граждан России, Клиент является «Оператором», а iSales AI является «Лицом, осуществляющим обработку персональных данных по поручению оператора» в соответствии с Российским законом о защите данных. Для Данных Учетной Записи Клиента, включающих Персональные данные граждан России, iSales AI выступает в качестве независимого Оператора.

Локализация Данных:

Клиент признает и соглашается, что он несет единоличную ответственность за соблюдение требований по локализации данных в соответствии со статьей 18.5 Российского закона о защите данных. Это требует, чтобы первоначальный сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение Персональных данных граждан России осуществлялись с использованием баз данных, расположенных на территории Российской Федерации.

В той мере, в какой Клиент использует Услуги для Обработки Персональных данных граждан России, Клиент гарантирует, что он выполнил это основное требование по локализации перед передачей любых таких Персональных данных iSales AI для дальнейшей Обработки или для Обработки iSales AI за пределами Российской Федерации.

iSales AI не несет ответственности за обеспечение соблюдения Клиентом основного требования по локализации данных. Если iSales AI предлагает варианты Обработки Контента Клиента в центрах обработки данных, расположенных на территории Российской Федерации, условия для такого варианта будут указаны отдельно.

Согласие и Инструкции: Клиент заявляет и гарантирует, что он получил все необходимые действительные согласия от российских Субъектов данных в соответствии с Российским законом о защите данных на Обработку их Персональных данных Клиентом, iSales AI (действующим от имени Клиента) и любыми Субобработчиками, в том числе на любые трансграничные передачи Персональных данных за пределы Российской Федерации. Такие согласия должны соответствовать особым требованиям к форме и содержанию, установленным Российским законом о защите данных. Все инструкции Клиента iSales AI относительно Обработки Персональных данных граждан России должны быть законными в соответствии с Российским законом о защите данных.

Трансграничные Передачи: Если Контент Клиента, содержащий Персональные данные граждан России, должен Обрабатываться iSales AI или ее Субобработчиками за пределами Российской Федерации (после первоначальной локализации Клиентом в России), Клиент несет ответственность за обеспечение того, чтобы такая трансграничная передача соответствовала статье 12 Российского закона о защите данных. Это включает обеспечение того, чтобы страна-получатель обеспечивала адекватный уровень защиты прав субъектов данных, или чтобы были соблюдены особые условия для передачи в неадекватные страны (например, особое письменное согласие субъекта данных, исполнение договора с субъектом данных). iSales AI будет оказывать разумное содействие Клиенту в оценке адекватности защиты в странах-получателях, где iSales AI или ее Субобработчики Обрабатывают такие данные, по разумному запросу Клиента и за счет Клиента.

Ответственность Клиента: Клиент остается единолично ответственным за все свои обязательства в качестве Оператора в соответствии с Российским законом о защите данных, включая, помимо прочего, предоставление уведомлений Субъектам данных, обработку запросов Субъектов данных, обеспечение точности Персональных данных и реализацию необходимых мер безопасности для данных, обрабатываемых в его собственных системах.

Контактная Информация

По вопросам или опасениям относительно настоящего ДОД или практики обработки данных, пожалуйста, свяжитесь с нами по адресу [email protected].

Настоящее ДОД вступает в силу с даты заключения Клиентом Соглашения.