На главную

Поручение на обработку персональных данных (DPA)

Редакция от 17 мая 2026 г. Этот документ дополняет Пользовательское соглашение и Политику обработки персональных данных и применяется автоматически при использовании CloseFlow в B2B-сценарии.

1. Роли сторон: Оператор и Обработчик

При работе с лидами своих клиентов вы (ваша компания, далее - «Клиент») являетесь оператором персональных данных (controller). CloseFlow (ИП Зализкий Кирилл Михайлович, далее - «Обработчик») выступает в роли обработчика по поручению - мы обрабатываем эти ПДн только по вашей инструкции, в рамках предоставления сервиса.

Что является поручением: ваши действия и настройки в продукте (подключение источника лидов, импорт CSV, отправка follow-up через CloseFlow, активация автоматизаций) считаются документированной инструкцией обработчику по смыслу ч. 3 ст. 6 152-ФЗ.

2. Категории данных и субъектов

  • Субъекты ПДн: входящие лиды Клиента (физлица, оставившие заявку на сайте, в рекламной форме или через интегрированный канал).
  • Категории данных: имя, email, телефон, название компании, заметки менеджеров, источник лида, UTM, история взаимодействий, прикреплённые файлы (если есть).
  • Цели обработки: автоматический ответ на лид, follow-up рассылка, напоминания менеджерам, SLA-контроль, аналитика по воронке Клиента.
  • Срок обработки: пока активен workspace Клиента + 30 дней после удаления workspace, в течение которых возможно восстановление по запросу.

3. Подобработчики (subprocessors)

Для оказания сервиса мы используем следующих подобработчиков. Все они работают на территории РФ, кроме одного явно отмеченного:

  • Beget (РФ) - хостинг приложения, PostgreSQL, S3-совместимое хранилище для прикреплённых файлов, исходящий SMTP.
  • T-Bank (РФ) - эквайринг банковских карт. Данные карты Клиента к нам не попадают - обрабатываются на стороне банка по PCI DSS.
  • Let's Encrypt (нерезидент) - выпуск TLS-сертификатов для closeflow.ru. Не получает ПДн лидов, только домен.
  • OpenAI, США (нерезидент) - AI support chat (ассистент «Анна»). Получает только данные конкретного workspace Клиента, к которому привязан текущий чат, и только в момент обращения пользователя. Подробнее - пункт 6 ниже.

При замене или добавлении подобработчика мы публикуем обновлённый список на этой странице не менее чем за 14 дней до начала работы с ним. Клиент вправе расторгнуть подписку без штрафа, если возражает против нового подобработчика.

4. Меры защиты

  • Изоляция данных по workspace_id на уровне базы и API - каждый запрос scoped, покрыто тестами.
  • TLS 1.2+ для всего внешнего трафика, HSTS, шифрование refresh-токенов, bcrypt для паролей.
  • Ежедневные дампы PostgreSQL с хранением 14 дней. Приватный S3-бакет для медиа, доступ только по подписанным URL.
  • Журнал ключевых действий (audit log): авторизация, удаление, изменение тарифа, доступ к админ-зоне.
  • MFA / TOTP для административного доступа на metrics.closeflow.ru.

5. Удаление и экспорт по запросу

Клиент может удалить workspace из настроек профиля. Все ПДн лидов, прикреплённые файлы и таймлайны помечаются на удаление сразу, физически удаляются в течение 30 дней (для возможности восстановления по обращению).

Экспорт лидов в CSV доступен на тарифах Growth и выше. Внеплановый экспорт можно запросить на support@closeflow.ru - мы предоставим выгрузку в течение 7 рабочих дней.

6. AI-поддержка и обработка обращений в чат

Встроенный support-чат («Анна») использует OpenAI (США) как LLM-провайдера. На каждый ваш turn в OpenAI отправляется: текст сообщения, последние 12 turn'ов истории, изображения (если вы их прикрепили), а также результаты function-call'ов, ограниченных вашим workspace (биллинг, список интеграций, счётчики и поиск ваших лидов).

В адрес OpenAI не передаются полные базы лидов, пароли, refresh-токены, банковские реквизиты. По соглашению с OpenAI ваш контент не используется для обучения моделей.

Трансграничная передача в США оформлена согласно ст. 12 152-ФЗ. Если ваш Клиент против использования сторонней LLM - поддержка-чат можно полностью выключить на стороне CloseFlow, заявка обрабатывается через support@closeflow.ru.

7. Уведомление об инцидентах

О любом подтверждённом инциденте информационной безопасности, затрагивающем ПДн лидов Клиента, мы уведомляем Клиента в течение 72 часов с момента обнаружения, по email на адрес владельца workspace. В уведомление включаем: характер инцидента, затронутые категории данных, принятые меры, рекомендации.

8. Регуляторные уведомления (РКН)

Оператор CloseFlow подал/обновляет уведомление об обработке ПДн в Роскомнадзор согласно ст. 22 152-ФЗ и отдельное уведомление о трансграничной передаче для AI-сценария (ст. 12) согласно требованиям, вступившим в силу с 1 марта 2023 г. Клиент, как оператор данных своих лидов, отвечает за собственное уведомление РКН.

9. Запросы субъектов ПДн

Если лид Клиента обращается напрямую в CloseFlow с правами субъекта (узнать, поправить, удалить свои данные), мы перенаправим обращение Клиенту-оператору в течение 3 рабочих дней. Самостоятельно удалять / изменять данные мы не вправе - это компетенция Клиента-оператора.

10. Контакты

Все вопросы по этому DPA - на support@closeflow.ru с темой «DPA». Подписанный экземпляр на бумаге доступен по запросу для юридических лиц.

См. также: политика обработки ПДн · пользовательское соглашение · согласие на обработку ПДн