1. Стороны

Заказчик: {{COMPANY_NAME}}, ИНН {{INN}}, КПП {{KPP}}, юридический адрес: {{LEGAL_ADDRESS}}, в лице {{SIGNATORY_TITLE}} {{SIGNATORY_NAME}}, действующего на основании Устава (далее — Заказчик).

Исполнитель: физическое лицо / индивидуальный предприниматель, осуществляющий деятельность под торговым наименованием TenderPulse, email: support@pulsetender.ru (далее — Исполнитель).

Вместе Заказчик и Исполнитель именуются «Стороны», а каждый в отдельности — «Сторона».

2. Предмет соглашения

2.1. Настоящий Договор регулирует условия, на которых Исполнитель обрабатывает персональные данные субъектов, в отношении которых Заказчик является оператором персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), в рамках предоставления Заказчику доступа к сервису TenderPulse (https://pulsetender.ru).

2.2. Исполнитель действует в качестве лица, осуществляющего обработку персональных данных по поручению Заказчика (ст. 6 ч. 5 152-ФЗ), в объёме и целях, предусмотренных настоящим Договором.

2.3. Настоящий Договор является неотъемлемым приложением к Публичной оферте TenderPulse, принятой Заказчиком при регистрации.

3. Цели и объём обработки

3.1. Исполнитель обрабатывает персональные данные исключительно в следующих целях:

• AI-анализ тендеров для расчёта маржинальности и рисков;
• персонализация результатов анализа на основании специализации и rate cards Заказчика;
• управление доступом сотрудников Заказчика к функционалу Сервиса;
• отправка уведомлений по электронной почте и в Telegram;
• ведение финансовой документации в связи с оплатой подписки.

3.2. Обработка персональных данных в иных целях без письменного согласия Заказчика не допускается.

4. Категории субъектов и персональных данных

4.1. Субъекты:

• сотрудники Заказчика, имеющие доступ к Сервису (имя, email, номер телефона, должность);
• контрагенты Заказчика в части, используемой для AI-анализа (ИНН, наименование организации — из публичных источников, обработка производится в целях идентификации заказчиков тендеров).

4.2. Категории данных: общедоступные персональные данные (имя, должность, контактные данные, деловые реквизиты). Специальные категории данных (здоровье, биометрия и т.п.) Стороны не обрабатывают.

4.3. Операции обработки: сбор, запись, хранение, уточнение, использование, передача субпроцессорам в объёме раздела 7, удаление.

5. Срок обработки

5.1. Исполнитель обрабатывает персональные данные в период действия подписки Заказчика, а после её прекращения — в течение 30 (тридцати) дней (период grace для урегулирования споров).

5.2. По истечении указанного срока данные удаляются, за исключением:

• финансовых записей — хранятся 6 лет (ст. 23 НК РФ, ст. 29 Федерального закона № 402-ФЗ);
• записей о согласиях — хранятся 3 года (доказательство законности обработки, ст. 9 152-ФЗ);
• журналов аудита — хранятся 3 года.

6. Технические и организационные меры защиты

Исполнитель применяет следующие меры защиты персональных данных:

• шифрование трафика: TLS 1.2/1.3 (сертификат Let's Encrypt);
• хранение паролей: bcrypt-хэш с cost-factor 12 (исходный пароль не хранится);
• шифрование секретов 2FA: AES-256-GCM;
• ограничение частоты запросов (rate limiting) на уровне API;
• защита от SSRF: проверка IP-адресов при разрешении DNS-имён;
• журнал аудита всех административных действий в отношении персональных данных;
• ограничение доступа к базе данных: только через локальную сеть сервера;
• ежедневное резервное копирование базы данных.

Исполнитель не претендует на соответствие стандартам ISO 27001 или SOC 2 на дату подписания настоящего Договора.

7. Субпроцессоры

7.1. Исполнитель привлекает следующих субпроцессоров (третьих лиц, которым поручена обработка данных):

7.2. Исполнитель обеспечивает, чтобы субпроцессоры принимали на себя обязательства по защите данных не ниже обязательств по настоящему Договору.

8. Передача данных за пределы Российской Федерации

8.1. Исполнитель осуществляет трансграничную передачу персональных данных субпроцессорам Anthropic PBC, OpenRouter и Tavily (США) исключительно в целях AI-анализа тендеров и веб-поиска.

8.2. Передача осуществляется на основании согласия субъектов ПД, полученного Заказчиком и подтверждённого при регистрации в Сервисе. Заказчик обязуется обеспечить наличие такого согласия у всех субъектов, данные которых передаются в Сервис.

8.3. Все иные данные хранятся на серверах RuVDS (Москва, Россия).

9. Обязательства Исполнителя

Исполнитель обязуется:

• обрабатывать персональные данные исключительно в целях и в объёме, указанных в настоящем Договоре;
• уведомить Заказчика об инциденте безопасности, затрагивающем персональные данные Заказчика, в течение 72 часов с момента обнаружения инцидента на адрес электронной почты, указанный Заказчиком при регистрации;
• оказывать разумное содействие Заказчику при реализации прав субъектов персональных данных (запросы на доступ, исправление, удаление) в части, относящейся к системам Исполнителя;
• по окончании срока обработки (п. 5.1) удалить данные Заказчика в порядке, предусмотренном п. 5.2;
• по запросу Заказчика предоставить годовой отчёт об организационных и технических мерах защиты данных (п. 11).

10. Изменение перечня субпроцессоров

10.1. Исполнитель уведомляет Заказчика об изменении перечня субпроцессоров (добавление нового или замена существующего) не менее чем за 30 дней путём направления email на адрес, указанный при регистрации, либо через публикацию обновлённой версии настоящего шаблона DPA на https://pulsetender.ru/dpa-template.

10.2. Если изменение существенно затрагивает интересы Заказчика, последний вправе в течение 14 дней с момента уведомления потребовать расторжения подписки с возвратом пропорциональной части оплаты за неиспользованный период.

11. Права аудита

11.1. Заказчик вправе не чаще одного раза в год запросить у Исполнителя письменный отчёт о мерах защиты персональных данных.

11.2. Исполнитель предоставляет отчёт в течение 30 рабочих дней с момента получения запроса.

11.3. Проведение аудита непосредственно на серверной инфраструктуре Исполнителя возможно только при наличии письменного согласия Исполнителя и за счёт Заказчика.

12. Ответственность

12.1. Стороны несут ответственность за нарушение настоящего Договора в соответствии с законодательством Российской Федерации.

12.2. Ответственность Исполнителя за нарушения, допущенные субпроцессорами (раздел 7), ограничена разумными усилиями по выбору надёжных субпроцессоров и заключению с ними соответствующих соглашений.

12.3. Ни одна из Сторон не несёт ответственности за косвенные убытки (упущенная выгода, репутационный ущерб), если иное прямо не предусмотрено законом.

13. Заключительные положения

13.1. Настоящий Договор вступает в силу с момента его подписания обеими Сторонами.

13.2. Договор составлен в двух экземплярах, имеющих равную юридическую силу, по одному для каждой из Сторон.

13.3. К отношениям Сторон, не урегулированным настоящим Договором, применяется законодательство Российской Федерации, в том числе 152-ФЗ.

13.4. Актуальная версия настоящего шаблона размещена на https://pulsetender.ru/dpa-template. Исполнитель вправе обновить шаблон; в отношении уже подписанных экземпляров применяется версия, действовавшая на дату подписания.