ВЕРСИЯ 2026-05-24

Data Processing Agreement (DPA)

Соглашение об обработке персональных данных между клиентом pfboost («Контролёр») и сервисом pfboost («Обработчик») в смысле статьи 6 Федерального закона № 152-ФЗ «О персональных данных».

Документ применяется, когда клиент через pfboost обрабатывает персональные данные посетителей собственного сайта — например, через интеграцию с Яндекс Метрикой, импорт данных из Вебмастера, A/B-тесты в Varioqub, или функционал Behavior Boost. Если клиент использует только чистый трекер позиций для собственных кейвордов (без данных посетителей) — DPA не обязателен.

1. Стороны

  • Контролёр — клиент pfboost, владелец сайтов и определяющий цели обработки.
  • Обработчик — pfboost, выполняющий обработку по поручению Контролёра.

2. Предмет

Обработчик обрабатывает данные посетителей сайтов Контролёра исключительно в объёме и для целей, указанных Контролёром при использовании конкретных функций:

  • прокидывание данных Яндекс Вебмастера/Метрики для отображения в дашборде;
  • агрегация поведенческих метрик (CTR, dwell, отказы) для отчётов;
  • организация A/B-экспериментов через Varioqub.

3. Категории данных и субъектов

  • Субъекты: посетители сайтов Контролёра.
  • Категории данных: обезличенные/псевдо-обезличенные технические данные браузера, события (клики, прокрутки), параметры запросов поиска.
  • Обработчик не запрашивает у Контролёра прямо идентифицирующие данные (Ф.И.О., паспорт, платёжные реквизиты посетителей).

4. Обязательства Обработчика

  • Обрабатывать данные только по поручению Контролёра.
  • Обеспечить конфиденциальность сотрудников, имеющих доступ к данным.
  • Применять технические и организационные меры безопасности (TLS, шифрование токенов, контроль доступа, аудит-логи).
  • Уведомлять Контролёра об инцидентах безопасности в течение 72 часов с момента обнаружения.
  • По окончании оказания услуг — удалить или вернуть данные Контролёру в течение 30 дней.
  • Содействовать Контролёру в исполнении запросов субъектов ПДн (доступ, удаление, перенос).

5. Обязательства Контролёра

  • Иметь правовое основание для обработки данных посетителей собственного сайта.
  • Опубликовать на своём сайте уведомление о cookies и согласие на обработку ПДн в соответствии с 152-ФЗ.
  • Не передавать Обработчику данные, для обработки которых не получено согласие.
  • Не передавать чувствительные категории ПДн (биометрия, состояние здоровья, политические взгляды).

6. Суб-обработчики

Обработчик вправе привлекать суб-обработчиков, обеспечивающих не менее строгий уровень защиты. Текущий список:

  • Хостинг-провайдер серверов (Россия);
  • Яндекс (при использовании Search API / Webmaster / Метрика / Varioqub) — с соблюдением правил Яндекса;
  • Провайдер платежей (ЮКасса) — для биллинга.

При изменении списка суб-обработчиков Контролёр уведомляется в течение 14 дней и вправе расторгнуть DPA если новый суб-обработчик не соответствует его требованиям.

7. Trans-border передача

По умолчанию данные хранятся на серверах в Российской Федерации. Передача за пределы РФ не осуществляется без отдельного согласия Контролёра.

8. Аудит

Контролёр вправе один раз в год запросить отчёт о мерах безопасности и логах обработки своих данных. Отчёт предоставляется в течение 30 дней.

9. Срок действия

DPA вступает в силу с момента акцепта в личном кабинете и действует на весь срок использования платных функций, для которых он применим. После прекращения отношений — обязательства о конфиденциальности и безопасном удалении данных продолжают действовать.

10. Подпись

Электронный акцепт через личный кабинет, с фиксацией IP, времени и хеша версии документа, является достаточной формой согласия и приравнивается к подписи сторон.