<!-- Source: hospitality-saas-lawyer draft (production-ready v1), ADR-084 Legal Framework Phase 0. 152-ФЗ ст. 6 ч. 3. --> <!-- Версия: 1.0.1 | Действует с: 2026-06-04 | Требует финальной юр-вычитки сторонним адвокатом. -->

Договор-поручение на обработку персональных данных

(Приложение к Лицензионной оферте MOREAN)

Редакция 1.0.1 · вступает в силу 2026-06-04 · актуальная редакция: morean.ru/legal/dpa

1. Общие положения и термины

1.1. Настоящий Договор-поручение на обработку персональных данных (далее — Поручение, DPA) является неотъемлемым приложением к Лицензионной оферте MOREAN (далее — Оферта) и заключается между:

• Лицензиатом (отелем, иным средством размещения), являющимся Оператором персональных данных (далее — Оператор), и
• Индивидуальным предпринимателем Третьяковым Михаилом Викторовичем (MOREAN), являющимся лицом, осуществляющим обработку персональных данных по поручению Оператора (далее — Обработчик).

1.2. Поручение оформляет отношения сторон в соответствии с частью 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), согласно которой Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта (если иное не предусмотрено законом) на основании договора. Ответственность перед субъектами персональных данных за действия Обработчика несёт Оператор; Обработчик несёт ответственность перед Оператором.

1.3. Поручение считается заключённым с момента акцепта Оферты Оператором (Лицензиатом) и действует в течение срока действия лицензионного договора.

1.4. Термины, не определённые в Поручении, применяются в значении, установленном Офертой и 152-ФЗ.

2. Предмет поручения

2.1. Оператор поручает, а Обработчик принимает на себя обязательство осуществлять обработку персональных данных Гостей Оператора (далее — ПДн) исключительно в целях исполнения Оферты — предоставления Оператору функций Платформы MOREAN (управление бронированиями, размещением, расчётами, контактами гостей, каналами продаж и сопутствующими функциями).

2.2. Обработчик осуществляет обработку ПДн только по поручению и в интересах Оператора, в объёме и для целей, определённых настоящим Поручением и функциональностью Платформы. Обработчик не определяет самостоятельно цели обработки ПДн Гостей и не использует их в собственных целях.

2.3. Оператором ПДн Гостей является Лицензиат (отель). Оператор самостоятельно обеспечивает наличие правовых оснований обработки, в том числе получение согласий Гостей (включая согласие на поручение обработки Обработчику), уведомление субъектов и соблюдение иных обязанностей оператора по 152-ФЗ.

3. Перечень действий и условия обработки

3.1. Перечень действий с ПДн, поручаемых Обработчику: сбор (приём от Оператора и из каналов бронирования), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование (в рамках функций Платформы), передача (предоставление, доступ — в пределах функций Платформы и привлечённых субобработчиков), блокирование, удаление, уничтожение, обезличивание.

3.2. Обработка осуществляется с использованием средств автоматизации.

3.3. Обработчик обрабатывает ПДн в течение срока, необходимого для предоставления функций Платформы Оператору, и прекращает обработку при расторжении договора в порядке раздела 7.

4. Категории субъектов и состав персональных данных

4.1. Категории субъектов: Гости Оператора (физические лица, размещаемые или бронирующие размещение в средстве размещения Оператора), их представители и сопровождающие лица.

4.2. Состав ПДн (в объёме, вносимом Оператором/Гостями в Платформу): фамилия, имя, отчество; дата рождения; пол; гражданство; контактные данные (телефон, адрес электронной почты); реквизиты документа, удостоверяющего личность (при внесении Оператором — серия, номер, иные данные документа для целей размещения и учёта); сведения о бронировании и проживании (даты, номер, состав проживающих, стоимость); иные данные, вносимые Оператором в рамках функций Платформы.

4.3. Состав фактически обрабатываемых ПДн определяется тем, какие данные Оператор вносит в Платформу. Обработчик не запрашивает у Гостей данные сверх вносимых Оператором.

5. Обязанности и права сторон

5.1. Обработчик обязуется:

• обрабатывать ПДн только в целях и объёме, установленных настоящим Поручением, по указаниям Оператора;
• соблюдать конфиденциальность ПДн и обеспечивать их безопасность в соответствии со статьёй 19 152-ФЗ (раздел 6);
• обеспечивать обработку и хранение ПДн с использованием баз данных, расположенных на территории Российской Федерации (локализация, ч. 5 ст. 18 152-ФЗ);
• по запросу Оператора оказывать содействие в реализации прав субъектов ПДн (предоставление, уточнение, блокирование, удаление данных) и в ответах на запросы субъектов и уполномоченных органов;
• незамедлительно (не позднее 24 часов с момента обнаружения) уведомлять Оператора о фактах неправомерного доступа к ПДн (инцидентах) и предпринимать меры по их устранению;
• не привлекать иных лиц к обработке ПДн, кроме предусмотренных разделом 8, без согласования с Оператором;
• по окончании обработки возвратить или уничтожить ПДн в порядке раздела 7.

5.2. Оператор обязуется:

• обеспечить наличие правовых оснований обработки ПДн Гостей, включая получение согласий субъектов (в том числе на поручение обработки Обработчику), и нести ответственность перед субъектами;
• вносить в Платформу только достоверные данные и только тот их состав, который необходим для целей обработки;
• предоставлять Обработчику указания по обработке в письменной форме (в том числе через Личный кабинет/электронную почту);
• самостоятельно реализовывать обязанности оператора по 152-ФЗ (уведомление Роскомнадзора о начале обработки, ведение учёта, ответы субъектам и т. п.).

5.3. Обработчик вправе требовать от Оператора предоставления сведений, необходимых для надлежащего исполнения Поручения и подтверждения наличия правовых оснований обработки.

6. Конфиденциальность и обеспечение безопасности

6.1. Обработчик обеспечивает конфиденциальность ПДн и не раскрывает их третьим лицам, кроме случаев, предусмотренных Поручением или законом.

6.2. Обработчик принимает правовые, организационные и технические меры защиты ПДн в соответствии со статьёй 19 152-ФЗ, в том числе:

• определение угроз безопасности и применение мер, соответствующих требуемому уровню защищённости;
• разграничение и учёт доступа к ПДн (доступ предоставляется только уполномоченным лицам по принципу минимальной достаточности);
• шифрование каналов передачи данных (TLS);
• резервное копирование и обеспечение восстановления данных;
• ведение журналов доступа и действий (аудит-лог);
• обезличивание/маскирование ПДн в системных журналах (ПДн Гостей не записываются в логи в открытом виде);
• изоляцию данных разных Операторов (мультитенантная изоляция) средствами Платформы;
• назначение лица, ответственного за организацию обработки ПДн у Обработчика.

6.3. Лица, имеющие доступ к ПДн у Обработчика, обязаны соблюдать конфиденциальность и предупреждены об ответственности за её нарушение.

7. Возврат и уничтожение персональных данных

7.1. При расторжении лицензионного договора (прекращении Поручения) Обработчик в течение 30 (тридцати) календарных дней обеспечивает Оператору возможность выгрузки ПДн из Платформы, после чего уничтожает ПДн Гостей со своих ресурсов (включая резервные копии — в сроки ротации резервного копирования), за исключением случаев, когда хранение требуется законодательством.

7.2. По письменному требованию Оператора Обработчик уничтожает ПДн ранее срока, указанного в п. 7.1, либо возвращает их Оператору в машиночитаемом формате.

7.3. По требованию Оператора Обработчик предоставляет уведомление (акт) об уничтожении ПДн.

7.4. При реализации Гостем права на удаление (через Оператора) Обработчик по поручению Оператора удаляет/обезличивает соответствующие ПДн, включая обезличивание сведений о составе проживающих и иных связанных данных.

8. Привлечение третьих лиц (субобработчиков)

8.1. Оператор предоставляет Обработчику общее согласие на привлечение к обработке ПДн следующих лиц, обеспечивающих функционирование Платформы:

• ООО «Селектел» (Selectel) — хостинг и хранение данных на серверах на территории Российской Федерации.

8.2. При привлечении новых субобработчиков, имеющих доступ к ПДн Гостей, Обработчик обеспечивает возложение на них обязательств по конфиденциальности и безопасности не ниже предусмотренных настоящим Поручением и информирует Оператора (через morean.ru/legal/ и/или Личный кабинет), предоставляя возможность мотивированных возражений.

8.3. Обработчик отвечает перед Оператором за действия привлечённых им лиц как за свои собственные, в пределах ограничения ответственности, установленного разделом 9.

9. Ответственность сторон

9.1. Стороны несут ответственность за неисполнение обязательств по Поручению в соответствии с законодательством РФ и Офертой.

9.2. Совокупная ответственность Обработчика перед Оператором по Поручению ограничена пределом, установленным разделом 10 Оферты — суммой фиксированной части лицензионного вознаграждения за один (последний) расчётный месяц (статья 400 ГК РФ). Упущенная выгода возмещению не подлежит.

9.3. Ответственность перед субъектами ПДн за организацию обработки несёт Оператор (отель) как оператор персональных данных; Обработчик отвечает перед Оператором в порядке регресса в пределах ограничения п. 9.2.

9.4. Оператор отвечает за правомерность поручения обработки, наличие согласий субъектов и достоверность переданных данных.

10. Заключительные положения

10.1. Поручение действует в течение срока действия лицензионного договора и в части обязательств по уничтожению/возврату данных — до их полного исполнения.

10.2. В части, не урегулированной Поручением, применяются положения Оферты и законодательства РФ.

10.3. Реквизиты Обработчика: ИП Третьяков Михаил Викторович, ИНН 910103924125, ОГРНИП 322911200093820, office@morean.ru. Реквизиты Оператора: сведения, указанные Лицензиатом при регистрации в Платформе.