Соглашение об обработке персональных данных по поручению (DPA)

Действует с: 2026-03-25

Платформа: Routio (routio.ru)

Статус: публичный шаблон. Для B2B-клиентов применяется в редакции, согласованной сторонами, включая приложения.

Настоящее Соглашение об обработке персональных данных по поручению (далее — DPA) регулирует отношения между B2B-клиентом (далее — Оператор или Клиент) и ИП Литвиненко Романом Игоревичем (далее — Обработчик или Routio) при использовании сервисов Routio в коммерческих целях.

← Вернуться в юридический раздел

Когда вам нужен этот документ

DPA актуален, если вы используете Routio от лица компании и загружаете материалы, которые могут содержать персональные данные третьих лиц — например, фотографии объектов с людьми, клиентские материалы или данные, собранные в рамках деятельности вашей организации.

Для большинства задач с фотографиями объектов недвижимости, мебели и интерьеров без изображений людей дополнительное оформление DPA не требуется — достаточно стандартной Публичной оферты.

По вопросам DPA: privacy@routio.ru

1. Стороны и роли

1.1. Клиент (Оператор) — юридическое лицо или ИП, использующее сервис Routio в коммерческих целях и самостоятельно определяющее цели и содержание обработки персональных данных субъектов (например, своих клиентов или сотрудников).

1.2. Routio (Обработчик):

ИП Литвиненко Роман Игоревич

ОГРНИП: 319385000009433 · ИНН: 381016802900

Адрес: Россия, Иркутская область, г. Иркутск, ул. Мира 55/1

Контакт по DPA: privacy@routio.ru

1.3. В рамках DPA Routio обрабатывает данные исключительно по поручению Клиента и только в целях предоставления функциональности сервиса.

2. Предмет и поручение

2.1. Клиент поручает, а Routio принимает обязанность обрабатывать данные, содержащиеся в переданных материалах, исключительно для предоставления услуги AI-обработки медиаконтента и связанных функций — поддержки, безопасности, антифрода.

2.2. Обработка включает: получение, запись, хранение (если применяется), использование, передачу субобработчикам, обезличивание, удаление — в пределах, необходимых для оказания услуги.

2.3. Клиент подтверждает, что:

имеет законные основания для обработки и передачи данных Routio;
уведомил субъектов и получил необходимые согласия там, где это требуется законом.

3. Категории субъектов и данных

3.1. Субъекты данных

Клиенты/заказчики Клиента, сотрудники и представители Клиента, иные лица, данные которых могут содержаться в переданных материалах.

3.2. Категории данных

Изображения и фотографии объектов (могут содержать изображения людей).
Текстовые описания, вложения, метаданные запросов.
Технические данные об операции: время, статус, метрики, события безопасности.

3.3. Специальные категории и биометрические данные

Специальные категории ПДн и биометрические данные не являются целевой категорией обработки в рамках сервиса. Если Клиент передаёт такие данные, он несёт ответственность за наличие необходимых правовых оснований и обязан заблаговременно уведомить Routio.

4. Инструкции Клиента и ограничения

4.1. Routio обрабатывает данные только:

по инструкциям Клиента, выраженным через функциональность сервиса и условия договора;
в рамках настоящего DPA и применимого законодательства.

4.2. Routio не вправе использовать данные Клиента для целей, не связанных с оказанием услуг, за исключением:

исполнения требований закона;
обеспечения безопасности сервиса и предотвращения злоупотреблений в минимально необходимом объёме.

5. Конфиденциальность и доступ

5.1. Routio обеспечивает конфиденциальность данных и предоставляет доступ к ним только лицам, которым он необходим для выполнения задач (принцип need-to-know).

5.2. Все лица, допущенные к обработке, обязаны соблюдать конфиденциальность.

6. Меры безопасности

6.1. Routio реализует организационные и технические меры защиты, соразмерные рискам:

разграничение прав доступа;
журналирование и мониторинг событий безопасности;
резервное копирование и восстановление данных;
защищённые каналы передачи (HTTPS/TLS);
процедуры реагирования на инциденты.

6.2. Уровень защищённости ИСПДн — УЗ-3 в соответствии с Постановлением Правительства РФ № 1119.

6.3. Конкретные параметры мер безопасности могут быть предоставлены Клиенту по запросу в рамках раздела 12 настоящего DPA.

7. Субобработчики

7.1. Routio вправе привлекать субобработчиков при условии:

передачи данных в минимально необходимом объёме;
обеспечения ими эквивалентных обязательств по конфиденциальности и безопасности.

7.2. Текущие субобработчики:

Субобработчик	Назначение	Расположение	Примечание
Timeweb	Хостинг основной инфраструктуры	РФ	Основной контур хранения данных
ЮKassa	Платёжная инфраструктура	РФ	ПДн клиентов не получает от Routio
Внешние AI-провайдеры	Выполнение AI-обработки	Вне РФ	Только обезличенный контент (см. п. 7.3)

7.3. AI-провайдеры: при передаче запроса внешнему AI-провайдеру Routio выполняет обезличивание — прямые идентификаторы (Telegram user_id, email, данные Клиента) из запроса удаляются. Провайдер получает только технический контент без связки с ПДн.

7.4. По запросу Клиента Routio предоставит актуальный перечень субобработчиков.

8. Локализация и трансграничная передача

8.1. Персональные данные граждан РФ первично записываются, систематизируются и хранятся в базах данных на территории РФ (сервер Timeweb) — ст. 18 ч. 5 152-ФЗ.

8.2. Трансграничная передача ПДн, если она возникает, осуществляется в порядке, установленном ст. 12 152-ФЗ. Routio стремится исключить передачу персональных данных за пределы РФ путём обезличивания до отправки внешним провайдерам.

9. Сроки хранения и удаление данных

9.1. Routio не хранит фотографии и результаты обработки на постоянной основе — подробнее в Политике конфиденциальности. Технические журналы и метаданные могут сохраняться в пределах, необходимых для безопасности и исполнения юридических обязанностей.

9.2. По прекращении договора с Клиентом Routio:

прекращает обработку по поручению Клиента;
удаляет данные Клиента, находящиеся под управлением Routio, в срок до 30 календарных дней, если более длительный срок не требуется законом или расследованием инцидента.

9.3. Если немедленное удаление технически невозможно (например, резервные копии), Routio обеспечивает изоляцию данных и их удаление при следующем цикле ротации резервных копий.

10. Запросы субъектов данных

10.1. Клиент является основным адресатом запросов субъектов — на доступ, удаление, исправление данных и т.п.

10.2. Если Routio получает такой запрос напрямую, Routio перенаправляет его Клиенту (если это допустимо) или отвечает в пределах своей роли обработчика и закона.

10.3. Routio оказывает Клиенту разумное содействие в обработке запросов субъектов в технически возможных пределах.

11. Инциденты безопасности

11.1. Инцидент безопасности — событие, которое привело или может привести к незаконному доступу, уничтожению, изменению, блокированию или распространению данных.

11.2. Routio уведомляет Клиента об инциденте, затрагивающем его данные, в течение 72 часов с момента подтверждения факта, с указанием:

характера инцидента;
предполагаемого объёма затронутых данных;
принятых мер и рекомендаций Клиенту.

11.3. Routio вправе не раскрывать сведения, способные навредить безопасности сервиса или расследованию, но предоставит информацию, достаточную для исполнения Клиентом своих обязанностей перед субъектами и регулятором.

12. Аудит и подтверждения

12.1. По обоснованному письменному запросу Клиента Routio может предоставить:

описание применяемых мер безопасности;
актуальный перечень субобработчиков;
подтверждение локализации данных.

12.2. Очные аудиты инфраструктуры проводятся только по отдельному соглашению при соблюдении требований конфиденциальности и безопасности.

13. Ответственность сторон

13.1. Ответственность Клиента: Клиент несёт ответственность за законность сбора и передачи данных Routio, уведомление субъектов и получение необходимых согласий.

13.2. Ответственность Routio: Routio несёт ответственность в пределах, установленных настоящим DPA, Публичной офертой и применимым законодательством.

14. Срок действия и приоритет

14.1. DPA действует на срок использования Клиентом сервисов Routio и/или на срок основного договора между сторонами.

14.2. При противоречии между DPA и иными документами Routio — в части обработки ПДн по поручению приоритет имеет DPA, если иное не требуется законом.

15. Изменения DPA

Routio вправе обновлять настоящий шаблон DPA, публикуя новую редакцию по адресу pay.routio.ru/legal/data-processing-agreement. Для действующих индивидуально согласованных DPA изменения вступают в силу в порядке, предусмотренном конкретным соглашением.

16. Связанные документы

ИП Литвиненко Роман Игоревич

ОГРНИП 319385000009433 · ИНН 381016802900

Россия, Иркутская область, г. Иркутск, ул. Мира 55/1

По вопросам DPA: privacy@routio.ru