Перейти к содержимому

Юридическая информация

Data Processing Agreement

Последнее обновление: 18 мая 2026 г.

1. Стороны и предмет

Настоящее Соглашение об обработке данных (Data Processing Agreement, далее «DPA») является дополнением к договору об использовании платформы Hotel Service Cloud. Оно регулирует отношения между Клиентом (Контролёром данных, data controller) и Оператором (Обработчиком данных, data processor) в части обработки персональных данных в соответствии с GDPR art. 28 и 152-ФЗ.

2. Категории данных и субъектов

2.1. Категории субъектов:

  • Сотрудники Клиента, использующие платформу.
  • Гости отелей Клиента.
  • Подрядчики Клиента, подключённые к платформе.

2.2. Категории данных:

  • Идентификационные: ФИО, email, телефон, должность.
  • Аутентификационные: учётные записи, хэши паролей, токены.
  • Поведенческие: журналы действий, метрики использования.
  • Контентные: заявки, сообщения, файлы, фото.

3. Цели обработки

Обработка осуществляется исключительно для предоставления функциональности платформы и в рамках инструкций Контролёра. Обработчик не вправе использовать данные для собственных целей.

4. Обязательства Обработчика

Обработчик обязуется:

4.1. Обрабатывать данные только на основании задокументированных инструкций Контролёра.

4.2. Применять технические и организационные меры безопасности, соответствующие уровню риска (GDPR art. 32).

4.3. Обеспечивать конфиденциальность данных сотрудниками и субподрядчиками.

4.4. Привлекать субподрядчиков (sub-processors) только с предварительного согласия Контролёра. Текущий список субподрядчиков доступен по запросу.

4.5. Содействовать Контролёру в исполнении его обязанностей, в том числе при ответах на запросы субъектов и при уведомлении надзорных органов.

4.6. Уведомлять Контролёра об инцидентах безопасности персональных данных без неоправданной задержки, не позднее 48 часов с момента обнаружения.

4.7. По окончании договора удалить или вернуть все персональные данные по выбору Контролёра, за исключением случаев, когда хранение требуется законом.

5. Права Контролёра

Контролёр вправе:

5.1. Проводить аудит соблюдения настоящего DPA не чаще одного раза в календарный год при условии предварительного уведомления не позднее чем за 30 календарных дней.

5.2. Запрашивать копии отчётов независимых аудитов (SOC 2, ISO 27001 — при наличии).

5.3. Давать инструкции по корректировке, блокированию или удалению данных конкретных субъектов.

6. Субподрядчики (Sub-processors)

6.1. Обработчик использует следующих субподрядчиков:

  • Поставщики облачной инфраструктуры (хостинг, базы данных, объектное хранилище) — на территории РФ и ЕС.
  • Поставщики мониторинга и аналитики — с обезличиванием данных.

6.2. Полный актуальный список субподрядчиков предоставляется по запросу на dpo@lovarthotels.com.

6.3. О планируемой смене субподрядчиков Обработчик уведомляет Контролёра не позднее чем за 30 календарных дней до изменения.

7. Трансграничная передача

Передача данных за пределы РФ осуществляется только в страны, обеспечивающие адекватный уровень защиты, либо при наличии стандартных договорных условий (SCC) Европейской комиссии и/или иных мер, предусмотренных Главой V GDPR и ст. 12 152-ФЗ.

8. Меры безопасности

  • Шифрование при передаче (TLS 1.2+) и при хранении.
  • Контроль доступа на основе ролей с многофакторной аутентификацией для административных функций.
  • Сегментация сред (разработка / staging / production) и изоляция данных между тенантами.
  • Регулярное резервное копирование с шифрованием и тестированием восстановления.
  • Аудит действий и хранение журналов в течение установленного срока.

9. Срок действия

Настоящее DPA действует с момента подписания основного договора и до окончания обработки персональных данных Обработчиком. Положения о конфиденциальности и безопасности действуют бессрочно.

10. Подписание

Для подписания DPA с печатью и подписями уполномоченных лиц обратитесь на legal@lovarthotels.com. По запросу предоставим версию документа в формате PDF на двух языках (RU/EN).