N
NGRent

DPA — Соглашение об обработке данных

Договор поручения
Редакция от 2026-04-27
Шаблон
Настоящее Соглашение об обработке данных (далее — «DPA») заключается между [РЕКВИЗИТЫ ИСПОЛНИТЕЛЯ — заполнить после регистрации ИП/ООО] (далее — «Обработчик», «NG RENT») и Управляющей компанией, заключившей Публичную оферту (далее — «Контролёр», «УК»), и регулирует условия обработки персональных данных, передаваемых Контролёром Обработчику в рамках использования платформы NG RENT. DPA является неотъемлемой частью Договора SaaS.

1. Определения

  • Контролёр (Controller) — Управляющая компания, определяющая цели и средства обработки ПД своих клиентов, арендаторов и сотрудников.
  • Обработчик (Processor) — NG RENT, обрабатывающий ПД по поручению Контролёра в рамках предоставления SaaS-услуг (ст. 6 ч. 3 152-ФЗ).
  • Персональные данные (ПД) — любая информация в значении ст. 3 152-ФЗ, передаваемая Контролёром в Платформу.
  • Субъект ПД — физическое лицо, чьи данные обрабатываются (клиент, арендатор, сотрудник Контролёра).
  • Субпроцессор — третье лицо, привлекаемое Обработчиком для отдельных операций обработки.
  • Инцидент безопасности — несанкционированный доступ, утечка, утрата или раскрытие ПД.

2. Предмет обработки

2.1. Обработчик обрабатывает ПД, передаваемые Контролёром через Платформу, исключительно с целью оказания SaaS-услуг и в объёме, определяемом функциональностью Платформы.
2.2. Категории субъектов ПД:
  • сотрудники Контролёра (admin, manager) — учётные данные, контакты;
  • клиенты и арендаторы — ФИО, контакты, паспортные данные (при загрузке Контролёром), реквизиты;
  • посетители каталога — заявки на просмотр (имя, телефон, email).
2.3. Категории ПД:
  • идентификационные данные (ФИО, ИНН, адрес);
  • контактные данные (email, телефон);
  • финансовые данные (реквизиты, история платежей);
  • документы (договоры, акты, счета — загруженные Контролёром);
  • данные доступа (карты СКУД, журнал входов).

3. Обязательства Обработчика

Обработчик обязуется:
  • обрабатывать ПД исключительно по документированным указаниям Контролёра, выраженным в виде настроек Платформы и условий Договора;
  • обеспечить конфиденциальность ПД, в т.ч. возложить обязательства о неразглашении на сотрудников, имеющих доступ к данным;
  • применять принцип минимально необходимых привилегий (least privilege) при предоставлении доступа;
  • не использовать ПД в собственных целях, за исключением обезличенной агрегированной аналитики продукта;
  • содействовать Контролёру в исполнении запросов субъектов ПД (доступ, исправление, удаление);
  • незамедлительно уведомлять Контролёра о любых требованиях государственных органов в отношении переданных ПД, за исключением случаев, когда такое уведомление запрещено законом.

4. Технические и организационные меры безопасности

Обработчик применяет следующие меры в соответствии с требованиями ст. 19 152-ФЗ, Постановления Правительства РФ № 1119 и приказа ФСТЭК № 21:
  • шифрование канала передачи данных (TLS 1.2+);
  • мультиарендная изоляция данных через Row-Level Security в PostgreSQL и tenant-фильтрацию на уровне ORM;
  • аутентификация с использованием JWT-токенов и опционального второго фактора (TOTP);
  • хранение паролей с использованием bcrypt (cost factor 12);
  • антивирусная проверка загружаемых файлов (ClamAV);
  • ролевая модель доступа (RBAC): super_admin, admin, manager, tenant;
  • журналирование всех значимых действий (аудит-лог) с хранением 12 месяцев;
  • ежедневное резервное копирование PostgreSQL и MinIO в 03:00 UTC, off-site копия на S3 (Selectel);
  • телеметрия ошибок через Sentry с подавлением полей PII в trace и breadcrumbs;
  • ограничение частоты запросов (rate limiting 100 req/60 s per user);
  • обязательная двухфакторная аутентификация для административных учётных записей Обработчика.

5. Субпроцессоры

5.1. Контролёр предоставляет общее разрешение на привлечение субпроцессоров, указанных в таблице ниже. Обработчик заключает с каждым субпроцессором договор, обеспечивающий уровень защиты ПД, не ниже установленного настоящим DPA.
СубпроцессорНазначениеРегион
ООО «Аэза Групп»Хостинг production-инфраструктурыРФ, Санкт-Петербург
Cloudflare, Inc.DNS, CDN, защита от DDoS (без хранения ПД)Глобально (anycast)
ООО «Селектел»S3-совместимое off-site резервное копированиеРФ
ООО НКО «ЮMoney» (ЮKassa)Обработка платежей и подписокРФ
Functional Software, Inc. (Sentry)Телеметрия ошибок (без PII в trace)EU/US
ООО «ЯНДЕКС»Геокодирование адресов (Yandex Maps)РФ
ООО «ЯНДЕКС» (Yandex 360)Корпоративная электронная почтаРФ
Telegram FZ-LLCДоставка уведомлений через Telegram-ботAE/Глобально
Crisp IM SASВстроенный чат службы поддержкиEU
5.2. О планируемом привлечении нового субпроцессора Обработчик уведомляет Контролёра по электронной почте не менее чем за 30 (тридцать) календарных дней. Контролёр вправе в течение указанного срока заявить мотивированное возражение, направив его на postmaster@ngrent.ru.
5.3. В случае возражения Стороны добросовестно ищут альтернативное решение. При невозможности достичь согласия Контролёр вправе расторгнуть Договор без штрафных санкций.

6. Уведомление об инцидентах безопасности

6.1. При обнаружении инцидента безопасности, затрагивающего ПД Контролёра, Обработчик уведомляет Контролёра без необоснованной задержки, но не позднее 24 (двадцати четырёх) часов с момента обнаружения, по электронной почте Контролёра, указанной при регистрации.
6.2. Уведомление содержит:
  • описание характера инцидента и затронутых категорий ПД;
  • предполагаемое количество затронутых субъектов;
  • принятые и предлагаемые меры по устранению последствий;
  • контактное лицо Обработчика для дальнейшей коммуникации.
6.3. Обработчик содействует Контролёру в выполнении обязанности по уведомлению Роскомнадзора и субъектов ПД, предусмотренной ст. 21 ч. 3.1 152-ФЗ.

7. Возврат и удаление данных

7.1. После расторжения Договора Контролёру предоставляется 30 (тридцать) календарных дней для самостоятельного экспорта ПД через инструменты Платформы.
7.2. По письменному запросу Контролёра Обработчик предоставляет полный экспорт данных в машиночитаемом формате (JSON) в течение 14 рабочих дней.
7.3. По истечении периода retention Обработчик удаляет ПД из production-баз и резервных копий в плановом порядке ротации бэкапов. Финансовые и бухгалтерские документы удерживаются 5 лет в соответствии с требованиями НК РФ — это обязательное удержание не считается нарушением настоящего DPA.

8. Аудит и проверки

8.1. Контролёр вправе не чаще одного раза в 12 месяцев запросить отчёт о соблюдении мер защиты ПД (compliance report), включающий описание применяемых технических и организационных мер. Отчёт предоставляется в течение 30 календарных дней с даты запроса.
8.2. В случае обоснованных сомнений в соблюдении настоящего DPA Контролёр вправе провести аудит силами независимого аудитора, согласованного с Обработчиком. Расходы на проведение аудита несёт инициирующая Сторона, если иное не установлено по результатам аудита.
8.3. Обработчик содействует проверкам Роскомнадзора и иных уполномоченных органов, предоставляя запрашиваемые сведения в установленные сроки.

9. Срок действия и заключительные положения

9.1. DPA вступает в силу с момента акцепта Контролёром Публичной оферты и действует в течение всего срока действия Договора SaaS.
9.2. Обязательства Обработчика по конфиденциальности и защите ПД сохраняются в течение всего периода обработки и не менее 3 (трёх) лет после прекращения Договора.
9.3. К отношениям Сторон применяется материальное право Российской Федерации. Споры разрешаются в Арбитражном суде по месту нахождения Обработчика.
9.4. По всем вопросам, связанным с настоящим DPA, обращаться по адресу: postmaster@ngrent.ru.
См. также: Публичная оферта, Согласие 152-ФЗ, Политика конфиденциальности.
Дата редакции:
Публичная оферта
Согласие 152-ФЗ
DPA
Политика конфиденциальности
Пользовательское соглашение
© 2026 NG RENT. Все права защищены.
🍪
Мы используем cookieСайт использует файлы cookie для работы авторизации, сохранения настроек и обезличенной аналитики. Продолжая использовать сервис, вы соглашаетесь с Политикой конфиденциальности и согласием на обработку персональных данных.
Подробнее