← Вернуться

Поручение на обработку персональных данных

Редакция от 13 июня 2026 г.

Настоящее Поручение является частью Оферты Alto AI Platform и регулирует обработку персональных данных Абонентов и иных третьих лиц, которые Клиент передает в Платформу или получает при использовании Платформы.

1. Роли сторон

1.1. В отношении персональных данных Пользователей аккаунта, представителей Клиента, посетителей сайта и плательщиков Исполнитель выступает самостоятельным оператором ПДн.

1.2. В отношении персональных данных Абонентов, контактов, лидов, клиентов Клиента и иных третьих лиц, чьи данные Клиент передает в Платформу или получает при звонках, Клиент является оператором ПДн, если он определяет цели, состав и способы такой обработки.

1.3. Исполнитель обрабатывает такие данные по поручению Клиента в объеме, необходимом для оказания услуг Платформы.

1.4. Если Клиент является физическим лицом и использует Платформу исключительно для личных или семейных нужд, применимость обязанностей оператора ПДн определяется законом. При этом Клиент в любом случае обязан не нарушать права третьих лиц и не передавать в Платформу данные без законного основания.

2. Предмет поручения

2.1. Клиент поручает Исполнителю совершать с ПДн действия, необходимые для:

  • запуска входящих и исходящих звонков;
  • работы AI-агентов;
  • распознавания речи и создания транскриптов;
  • синтеза речи;
  • обработки сценариев, переменных и результатов звонков;
  • аналитики, истории звонков и отчетности;
  • хранения записей, транскриптов и метаданных;
  • технической поддержки, диагностики, безопасности и предотвращения злоупотреблений.

2.2. Исполнитель не вправе использовать ПДн, обрабатываемые по поручению Клиента, в собственных целях, не связанных с исполнением договора, за исключением обезличенной статистики и случаев, прямо разрешенных законом.

3. Категории субъектов

Поручение может охватывать следующие категории субъектов:

  • Абоненты, которым Клиент совершает исходящие звонки;
  • Абоненты, звонящие Клиенту на входящие номера или SIP-адреса;
  • клиенты, лиды, представители контрагентов Клиента;
  • сотрудники и представители Клиента, участвующие в настройке сценариев;
  • иные лица, данные которых Клиент передает в Платформу.

4. Состав ПДн

Платформа может обрабатывать:

  • номер телефона или SIP-идентификатор;
  • имя, обращение, сегмент, город, часовой пояс и иные переменные сценария;
  • аудиозапись разговора;
  • текстовый транскрипт разговора;
  • метаданные звонка: дата, время, длительность, направление, статус, номер, endpoint, кампания, агент;
  • результаты постобработки: резюме, классификация, теги, исход звонка, заполненные поля;
  • технические сведения: IP-адреса, идентификаторы комнат, события, логи, ошибки;
  • иные данные, которые Клиент самостоятельно загрузил, передал через API или включил в сценарий.

Клиент не должен передавать специальные категории ПДн, биометрические ПДн для идентификации, данные несовершеннолетних, платежные данные, медицинские данные, тайны связи третьих лиц и иную чувствительную информацию, если это прямо не согласовано с Исполнителем и не обеспечено правовым основанием.

5. Операции с ПДн

Исполнитель может совершать следующие операции: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение.

6. Обязанности Клиента

Клиент обязан:

  • иметь правовое основание для передачи и обработки ПДн;
  • обеспечить получение согласий, если они требуются;
  • информировать Абонентов о записи разговора и обработке ПДн, если это требуется законом;
  • соблюдать законодательство о рекламе, связи, потребителях и ПДн;
  • не использовать Платформу для незаконных обзвонов и сообщений;
  • отвечать на запросы субъектов ПДн, если Клиент является оператором таких данных;
  • не передавать избыточные или незаконно полученные данные;
  • своевременно удалять данные, которые больше не нужны для целей обработки.

7. Обязанности Исполнителя

Исполнитель обязуется:

  • обрабатывать ПДн только в пределах договора и настоящего Поручения;
  • соблюдать конфиденциальность ПДн;
  • принимать необходимые правовые, организационные и технические меры защиты в соответствии со статьями 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • по запросу Клиента предоставлять документы и информацию, подтверждающие принятие мер по обеспечению безопасности ПДн;
  • ограничивать доступ сотрудников к ПДн по принципу необходимости;
  • обеспечивать учет и контроль доступа;
  • оказывать Клиенту разумное содействие при выполнении запросов субъектов ПДн;
  • уведомлять Клиента об инцидентах безопасности, затрагивающих данные Клиента, не позднее 24 часов с момента выявления;
  • удалить или вернуть ПДн после прекращения договора в порядке и сроки, установленные разделом 10, если иное не требуется законом.

8. Привлекаемые лица

8.1. Клиент разрешает Исполнителю привлекать третьих лиц для обработки ПДн в целях оказания услуг, включая поставщиков облачной инфраструктуры, хранилища, платежей, email, мониторинга, STT, TTS, LLM и связи.

8.2. Исполнитель заключает с такими лицами договоры или включает условия, обязывающие их соблюдать конфиденциальность, безопасность и применимые требования к обработке ПДн.

8.3. Актуальный перечень категорий привлекаемых лиц раскрывается в Политике ПДн и может быть предоставлен по запросу Клиента.

9. Трансграничная передача

9.1. Запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение ПДн граждан Российской Федерации осуществляются Исполнителем с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 Закона № 152-ФЗ).

9.2. Если для работы отдельных функций требуется передача ПДн за пределы РФ провайдеру STT, TTS, LLM, мониторинга или иному поставщику, такая передача осуществляется при наличии правового основания и необходимых уведомлений.

9.3. Клиент обязуется не включать в сценарии и запросы данные, трансграничная передача которых запрещена или ограничена, если Исполнитель письменно не подтвердил возможность такой обработки.

10. Сроки хранения

10.1. Сроки хранения определяются Политикой ПДн, настройками Платформы и договором. На дату настоящей редакции записи разговоров хранятся не более 6 месяцев, если более короткий срок не установлен настройками Клиента или требованиями закона. Исполнитель вправе удалить записи ранее в целях безопасности или защиты прав субъектов ПДн, уведомив Клиента.

10.2. Клиент может удалить записи, транскрипты и контактные данные через интерфейс Платформы, если такая функция доступна, или через запрос в поддержку.

10.3. Резервные копии могут сохраняться до истечения цикла резервного хранения, после чего удаляются или перезаписываются.

10.4. После прекращения договора Клиенту доступно окно выгрузки записей, транскриптов и иных данных в течение 30 календарных дней, если законом не требуется иное. По истечении окна выгрузки Исполнитель удаляет ПДн, обрабатываемые по поручению Клиента, в течение 60 календарных дней, за исключением данных, сохранение которых требуется законом. Резервные копии, содержащие такие ПДн, удаляются или перезаписываются не позднее 90 календарных дней после удаления основных данных.

11. Запросы субъектов ПДн

11.1. Если субъект ПДн обращается к Исполнителю по данным, обрабатываемым по поручению Клиента, Исполнитель вправе перенаправить запрос Клиенту или запросить у Клиента инструкции.

11.2. Клиент обязан предоставить Исполнителю инструкции, необходимые для исполнения запроса, в течение 7 рабочих дней с момента перенаправления запроса, если Исполнитель не может выполнить его самостоятельно.

11.3. Если инструкции не получены в срок, указанный в п. 11.2, Исполнитель вправе самостоятельно заблокировать или удалить ПДн обратившегося субъекта, когда это необходимо для соблюдения требований закона, уведомив Клиента.

12. Инциденты

12.1. При выявлении инцидента, затрагивающего ПДн, обрабатываемые по поручению Клиента, Исполнитель уведомляет Клиента не позднее 24 часов с момента выявления.

12.2. Первичное уведомление содержит известные Исполнителю сведения: характер инцидента, предполагаемые причины, категории затронутых данных и субъектов, предполагаемый вред, принятые меры и контакт для взаимодействия. Не позднее 72 часов с момента выявления Исполнитель дополнительно сообщает Клиенту результаты внутреннего расследования и сведения о лицах, действия которых стали причиной инцидента, если они установлены.

12.3. Клиент самостоятельно исполняет обязанности оператора ПДн перед субъектами и Роскомнадзором, если такие обязанности лежат на Клиенте, включая уведомление Роскомнадзора в порядке ч. 3.1 ст. 21 Закона № 152-ФЗ. Состав и сроки уведомлений по настоящему разделу определены так, чтобы Клиент мог исполнить эти обязанности. Исполнитель оказывает разумное содействие.

← Вернуться