Поручение на обработку персональных данных (DPA)
Редакция от 17 мая 2026 г. Этот документ дополняет Пользовательское соглашение и Политику обработки персональных данных и применяется автоматически при использовании CloseFlow в B2B-сценарии.
1. Роли сторон: Оператор и Обработчик
При работе с лидами своих клиентов вы (ваша компания, далее - «Клиент») являетесь оператором персональных данных (controller). CloseFlow (ИП Зализкий Кирилл Михайлович, далее - «Обработчик») выступает в роли обработчика по поручению - мы обрабатываем эти ПДн только по вашей инструкции, в рамках предоставления сервиса.
Что является поручением: ваши действия и настройки в продукте (подключение источника лидов, импорт CSV, отправка follow-up через CloseFlow, активация автоматизаций) считаются документированной инструкцией обработчику по смыслу ч. 3 ст. 6 152-ФЗ.
2. Категории данных и субъектов
- Субъекты ПДн: входящие лиды Клиента (физлица, оставившие заявку на сайте, в рекламной форме или через интегрированный канал).
- Категории данных: имя, email, телефон, название компании, заметки менеджеров, источник лида, UTM, история взаимодействий, прикреплённые файлы (если есть).
- Цели обработки: автоматический ответ на лид, follow-up рассылка, напоминания менеджерам, SLA-контроль, аналитика по воронке Клиента.
- Срок обработки: пока активен workspace Клиента + 30 дней после удаления workspace, в течение которых возможно восстановление по запросу.
3. Подобработчики (subprocessors)
Для оказания сервиса мы используем следующих подобработчиков. Все они работают на территории РФ, кроме одного явно отмеченного:
- Beget (РФ) - хостинг приложения, PostgreSQL, S3-совместимое хранилище для прикреплённых файлов, исходящий SMTP.
- T-Bank (РФ) - эквайринг банковских карт. Данные карты Клиента к нам не попадают - обрабатываются на стороне банка по PCI DSS.
- Let's Encrypt (нерезидент) - выпуск TLS-сертификатов для closeflow.ru. Не получает ПДн лидов, только домен.
- OpenAI, США (нерезидент) - AI support chat (ассистент «Анна»). Получает только данные конкретного workspace Клиента, к которому привязан текущий чат, и только в момент обращения пользователя. Подробнее - пункт 6 ниже.
При замене или добавлении подобработчика мы публикуем обновлённый список на этой странице не менее чем за 14 дней до начала работы с ним. Клиент вправе расторгнуть подписку без штрафа, если возражает против нового подобработчика.
4. Меры защиты
- Изоляция данных по workspace_id на уровне базы и API - каждый запрос scoped, покрыто тестами.
- TLS 1.2+ для всего внешнего трафика, HSTS, шифрование refresh-токенов, bcrypt для паролей.
- Ежедневные дампы PostgreSQL с хранением 14 дней. Приватный S3-бакет для медиа, доступ только по подписанным URL.
- Журнал ключевых действий (audit log): авторизация, удаление, изменение тарифа, доступ к админ-зоне.
- MFA / TOTP для административного доступа на metrics.closeflow.ru.
5. Удаление и экспорт по запросу
Клиент может удалить workspace из настроек профиля. Все ПДн лидов, прикреплённые файлы и таймлайны помечаются на удаление сразу, физически удаляются в течение 30 дней (для возможности восстановления по обращению).
Экспорт лидов в CSV доступен на тарифах Growth и выше. Внеплановый экспорт можно запросить на support@closeflow.ru - мы предоставим выгрузку в течение 7 рабочих дней.
6. AI-поддержка и обработка обращений в чат
Встроенный support-чат («Анна») использует OpenAI (США) как LLM-провайдера. На каждый ваш turn в OpenAI отправляется: текст сообщения, последние 12 turn'ов истории, изображения (если вы их прикрепили), а также результаты function-call'ов, ограниченных вашим workspace (биллинг, список интеграций, счётчики и поиск ваших лидов).
В адрес OpenAI не передаются полные базы лидов, пароли, refresh-токены, банковские реквизиты. По соглашению с OpenAI ваш контент не используется для обучения моделей.
Трансграничная передача в США оформлена согласно ст. 12 152-ФЗ. Если ваш Клиент против использования сторонней LLM - поддержка-чат можно полностью выключить на стороне CloseFlow, заявка обрабатывается через support@closeflow.ru.
7. Уведомление об инцидентах
8. Регуляторные уведомления (РКН)
9. Запросы субъектов ПДн
10. Контакты
Все вопросы по этому DPA - на support@closeflow.ru с темой «DPA». Подписанный экземпляр на бумаге доступен по запросу для юридических лиц.
См. также: политика обработки ПДн · пользовательское соглашение · согласие на обработку ПДн