СОГЛАШЕНИЕ ОБ ОБРАБОТКЕ ДАННЫХ
Версия шаблона: 1.0 Идентификатор: dias.now DPA-2026-v1 Дата вступления в силу: [ЗАПОЛНЯЕТСЯ ПРИ ПОДПИСАНИИ]
Настоящее Соглашение об обработке данных («DPA») является неотъемлемой частью договора между:
(1) [ПОЛНОЕ ЮРИДИЧЕСКОЕ НАИМЕНОВАНИЕ КЛИЕНТА], [тип юридического лица], учреждённым по законодательству [юрисдикция], с зарегистрированным адресом [адрес], [регистрационный номер] («Контролёр» или «Заказчик»);
и
(2) Товариществом с ограниченной ответственностью «Dialekt.ai» (ТОО «Dialekt.ai»), юридическим лицом, учреждённым по законодательству Республики Казахстан, БИН 260140001608, с зарегистрированным адресом: Республика Казахстан, г. Астана, район Есиль, ул. Е 652, дом 4, помещение 1, индекс 010000, в лице Директора Жумагалиева Диаса Кайсаровича, действующего на основании Устава («Обработчик» или «dialekt»),
каждый — «Сторона», а вместе — «Стороны».
ПРЕАМБУЛА
(A) Стороны заключили Соглашение о подписке, Заказ-наряд или акцептовали Публичную оферту (совместно — «Основное соглашение»), по которому Обработчик предоставляет программный продукт dias.now и сопутствующие услуги («Услуги») Контролёру.
(B) В процессе оказания Услуг Обработчик может обрабатывать персональные данные от имени Контролёра в качестве обработчика (processor) в смысле статьи 4(8) Регламента (ЕС) 2016/679 («GDPR») и эквивалентных понятий по Закону Республики Казахстан № 94-V от 21 мая 2013 года «О персональных данных и их защите» («Закон РК о персональных данных»).
(C) Стороны желают определить условия, на которых Обработчик обрабатывает персональные данные от имени Контролёра, и обеспечить соблюдение применимого законодательства о защите данных.
(D) Стороны признают, что архитектура Услуг такова, что большая часть персональных данных, отправляемых уполномоченными пользователями Контролёра, обрабатывается локально на устройстве пользователя или передаётся напрямую с такого устройства сторонним провайдерам облачных LLM, выбранным Контролёром. Роль Обработчика как обработчика персональных данных по настоящему DPA ограничивается данными, описанными в Приложении 1.
ИСХОДЯ ИЗ ВЫШЕИЗЛОЖЕННОГО Стороны договорились о нижеследующем:
1. ОПРЕДЕЛЕНИЯ
1.1 В настоящем DPA нижеуказанные термины имеют следующие значения. Термины с заглавной буквы, не определённые здесь, имеют значения, указанные в Основном соглашении или в применимом законодательстве о защите данных.
- «Аффилированное лицо» — любое лицо, которое прямо или косвенно контролирует Сторону, контролируется Стороной или находится под общим контролем со Стороной.
- «Применимое законодательство о защите данных» — все законы о защите данных и неприкосновенности частной жизни, применимые к обработке Персональных данных по настоящему DPA, включая GDPR, UK GDPR, Швейцарский федеральный закон о защите данных, Закон РК о персональных данных и любые обязательные руководящие указания компетентных органов по этим законам.
- «Провайдер облачной LLM» — сторонний сервис большой языковой модели, который Контролёр или его уполномоченные пользователи могут активировать в Услугах (например, Anthropic, OpenAI, Google, AWS Bedrock, Mistral AI и другие, перечисленные на https://dias.now/legal/cloud-providers).
- «Контролёр» — Заказчик, указанный выше, действующий в качестве «контролёра» в смысле статьи 4(7) GDPR и эквивалентных понятий по другому Применимому законодательству о защите данных.
- «Субъект данных» — идентифицированное или идентифицируемое физическое лицо, к которому относятся Персональные данные.
- «Персональные данные» — любая информация, обрабатываемая Обработчиком от имени Контролёра в связи с Услугами, которая является «персональными данными» в смысле Применимого законодательства о защите данных. Категории Персональных данных, обрабатываемых по настоящему DPA, указаны в Приложении 1.
- «Нарушение безопасности Персональных данных» — нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным, обрабатываемым Обработчиком.
- «Обработчик» — dialekt, действующий в качестве «обработчика» (processor) в смысле статьи 4(8) GDPR и эквивалентных понятий по другому Применимому законодательству о защите данных.
- «Обработка» — любая операция, выполняемая с Персональными данными, включая сбор, хранение, использование, раскрытие, передачу и удаление.
- «Ограниченная передача» — передача Персональных данных из Европейской экономической зоны, Великобритании или Швейцарии в страну, не входящую в перечень стран с признанным адекватным уровнем защиты по соответствующему законодательству.
- «Стандартные договорные положения» или «SCC» — Стандартные договорные положения для передачи персональных данных в третьи страны, утверждённые Европейской комиссией Имплементационным решением (ЕС) 2021/914 от 4 июня 2021 года, с изменениями.
- «Субобработчик» — третье лицо, привлечённое Обработчиком для обработки Персональных данных от имени Контролёра.
- «Надзорный орган» — компетентный независимый государственный орган, отвечающий за надзор за применением Применимого законодательства о защите данных.
2. ПРЕДМЕТ И РОЛИ
2.1 Предмет. Настоящее DPA регулирует обработку Обработчиком Персональных данных от имени Контролёра в связи с Услугами.
2.2 Роли Сторон. В отношении Персональных данных, описанных в Приложении 1:
(a) Контролёр является контролёром; и (b) Обработчик является обработчиком, обрабатывающим Персональные данные только по документированным указаниям Контролёра.
2.3 Персональные данные, не входящие в предмет DPA. Стороны признают, что:
(a) Локальная обработка на устройствах пользователей: Персональные данные, обрабатываемые локально Услугами на устройствах уполномоченных пользователей Контролёра (включая промпты, ответы, историю чатов и файлы), не обрабатываются Обработчиком на его инфраструктуре и не входят в предмет настоящего DPA. В отношении таких данных Контролёр (или его уполномоченный пользователь) выступает контролёром и использует Услуги как средство обработки от своего имени. Обработчик не имеет технических средств доступа к таким данным.
(b) Маршрутизация к Провайдерам облачных LLM: Когда Контролёр или его уполномоченные пользователи активируют Провайдера облачной LLM, промпты и ответы передаются напрямую с устройства пользователя в API этого провайдера, не проходят через инфраструктуру Обработчика и обрабатываются Провайдером облачной LLM как независимым контролёром или обработчиком в соответствии с условиями этого провайдера. Обработчик не является обработчиком таких данных, и настоящее DPA не регулирует такую обработку.
(c) Учётные, биллинговые и аутентификационные данные: В отношении данных, таких как имена, адреса электронной почты, биллинговые реквизиты и аутентификационные учётные данные уполномоченных пользователей Контролёра (совместно — «Административные данные»), Обработчик действует как контролёр, как описано в Политике конфиденциальности на https://dias.now/legal/privacy. Настоящее DPA не изменяет обязательств Обработчика как контролёра Административных данных.
2.4 Документированные указания. Указания Контролёра по обработке Персональных данных изложены в настоящем DPA, Основном соглашении, Политике конфиденциальности и любых дополнительных письменных указаниях Контролёра. Обработчик обрабатывает Персональные данные только по документированным указаниям Контролёра, в том числе в отношении международных передач, если иное не требуется законом, которому подчиняется Обработчик; в этом случае Обработчик уведомляет Контролёра об этом юридическом требовании до начала обработки, если только такой закон не запрещает подобное уведомление по важным основаниям общественного интереса.
2.5 Соответствие указаниям. Если Обработчик считает, что какое-либо указание Контролёра нарушает Применимое законодательство о защите данных, Обработчик незамедлительно сообщает об этом Контролёру.
3. ОБЯЗАТЕЛЬСТВА ОБРАБОТЧИКА
3.1 Соблюдение требований. Обработчик соблюдает все обязательства обработчика по Применимому законодательству о защите данных.
3.2 Конфиденциальность. Обработчик обеспечивает, чтобы любое лицо, уполномоченное обрабатывать Персональные данные по настоящему DPA, было связано письменным обязательством о конфиденциальности или было обязано к конфиденциальности по закону.
3.3 Безопасность. Обработчик внедряет соответствующие технические и организационные меры для защиты Персональных данных от несанкционированной или незаконной обработки и от случайной потери, уничтожения, повреждения, изменения или раскрытия. Действующие меры описаны в Приложении 2 (Технические и организационные меры, «ТОМ»).
3.4 Субобработчики. Привлечение Обработчиком Субобработчиков регулируется Разделом 5.
3.5 Содействие Контролёру. Учитывая характер обработки и доступную Обработчику информацию, Обработчик содействует Контролёру с помощью соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательств Контролёра по:
(a) ответам на запросы Субъектов данных, реализующих свои права по статьям 15–22 GDPR или эквивалентным положениям другого Применимого законодательства о защите данных; (b) обеспечению соблюдения обязательств Контролёра по статьям 32–36 GDPR (безопасность, уведомление о нарушениях, оценка воздействия на защиту данных и предварительные консультации) или эквивалентных обязательств по другому Применимому законодательству о защите данных; (c) демонстрации соблюдения Применимого законодательства о защите данных.
Обязательства Обработчика по настоящему пункту 3.5 ограничены Персональными данными, входящими в предмет настоящего DPA (Раздел 2). Обработчик не в состоянии содействовать в отношении Персональных данных, обрабатываемых локально на устройствах пользователей или маршрутизируемых напрямую к Провайдерам облачных LLM, поскольку не имеет технических средств доступа к таким данным.
3.6 Записи обработки. Обработчик ведёт запись всех категорий деятельности по обработке, осуществляемой от имени Контролёра, в соответствии со статьёй 30(2) GDPR.
3.7 Аудиты. Обработчик предоставляет Контролёру всю информацию, необходимую для подтверждения соблюдения обязательств по настоящему DPA, и допускает аудиты, в том числе инспекции, проводимые Контролёром или другим аудитором, уполномоченным Контролёром, с учётом условий Раздела 8.
3.8 Уведомление о Нарушении безопасности Персональных данных. Обработчик уведомляет Контролёра без неоправданной задержки и в любом случае в течение 48 часов после обнаружения Нарушения безопасности Персональных данных, затрагивающего Персональные данные, обрабатываемые по настоящему DPA. Уведомление включает информацию, указанную в статье 33(3) GDPR, насколько она доступна, в том числе:
(a) характер Нарушения безопасности Персональных данных, включая, по возможности, категории и приблизительное число затронутых Субъектов данных и записей Персональных данных; (b) вероятные последствия Нарушения безопасности Персональных данных; (c) меры, принятые или предлагаемые к принятию для устранения Нарушения безопасности Персональных данных, включая меры по смягчению возможных негативных последствий.
Если предоставить всю информацию одновременно невозможно, она может быть предоставлена поэтапно без неоправданной задержки. Уведомление о Нарушении безопасности Персональных данных не является признанием Обработчиком вины или ответственности.
4. ОБЯЗАТЕЛЬСТВА КОНТРОЛЁРА
4.1 Законное основание. Контролёр заявляет и гарантирует, что у него есть все необходимые права, согласия и законные основания по Применимому законодательству о защите данных для обработки Персональных данных, указанной в настоящем DPA, в том числе для раскрытия Обработчику и Субобработчикам.
4.2 Уведомления и согласия Субъектов данных. Контролёр несёт ответственность за предоставление необходимых уведомлений Субъектам данных и получение необходимых согласий от них в связи с обработкой Персональных данных по настоящему DPA.
4.3 Уполномоченные пользователи. Контролёр несёт ответственность за то, чтобы его уполномоченные пользователи использовали Услуги в соответствии с Основным соглашением, настоящим DPA и Применимым законодательством о защите данных, в том числе в отношении любой активации Провайдера облачной LLM.
4.4 Использование Провайдеров облачных LLM. Контролёр признаёт, что активация любого Провайдера облачной LLM осуществляется по единоличному усмотрению и риску Контролёра (или его уполномоченных пользователей) и что Контролёр несёт исключительную ответственность за:
(a) принятие условий и политики конфиденциальности каждого Провайдера облачной LLM;
(b) обеспечение законного основания для раскрытия Персональных данных каждому Провайдеру облачной LLM;
(c) внедрение любых необходимых гарантий международной передачи Персональных данных к Провайдерам облачных LLM;
(d) когда Контролёр работает в регулируемой отрасли, активацию regulated_mode для отключения Провайдеров облачных LLM, если это требуется отраслевым регулированием.
4.5 Чувствительные Персональные данные. Контролёр не передаёт Обработчику или Провайдерам облачных LLM специальные категории персональных данных в смысле статьи 9 GDPR (или эквивалент по другому Применимому законодательству о защите данных), данные о судимостях или данные, касающиеся детей, если только Контролёр не получил явного согласия или не имеет иного законного основания для обработки и заранее письменно не уведомил Обработчика. Уведомление по настоящему пункту 4.5 предоставляется только для информации; оно само по себе не уполномочивает Обработчика применять усиленные гарантии сверх описанных в Приложении 2.
5. СУБОБРАБОТЧИКИ
5.1 Общее разрешение. Контролёр предоставляет Обработчику общее разрешение на привлечение Субобработчиков для обработки Персональных данных, при условии соблюдения положений настоящего Раздела 5.
5.2 Текущие Субобработчики. Список текущих Субобработчиков указан в Приложении 3 и также опубликован на https://dias.now/legal/sub-processors.
5.3 Обязательства Субобработчиков. Обработчик возлагает на каждого Субобработчика письменным договором обязательства по защите данных не менее защитные, чем те, которые возложены на Обработчика по настоящему DPA. Обработчик остаётся ответственным перед Контролёром за выполнение обязательств каждого Субобработчика.
5.4 Уведомление об изменениях. Обработчик уведомляет Контролёра о любом намеченном добавлении или замене Субобработчиков не менее чем за 30 дней, отправляя уведомление на адрес электронной почты, указанный Контролёром для этой цели, либо публикуя изменение на https://dias.now/legal/sub-processors и уведомляя клиентов, подписанных на ленту изменений.
5.5 Право возражения. Контролёр может возражать против нового Субобработчика по обоснованным причинам, связанным с защитой данных, направив письменное уведомление в течение 30 дней с момента уведомления по пункту 5.4. Стороны добросовестно обсудят возражение. Если возражение не может быть разумно разрешено в течение 30 дней, Контролёр может, в качестве своего единственного и исключительного средства защиты, расторгнуть Основное соглашение (или затронутую часть Услуг) без штрафа путём письменного уведомления; Обработчик возвращает любые предоплаченные суммы за неиспользованный остаток текущего срока затронутых Услуг.
6. МЕЖДУНАРОДНЫЕ ПЕРЕДАЧИ
6.1 Ограниченные передачи из ЕЭЗ, Великобритании и Швейцарии. Когда обработка Обработчиком Персональных данных от имени Контролёра предполагает Ограниченную передачу (в том числе передачи Обработчику в Казахстан и Субобработчикам в третьи страны), Стороны соглашаются, что:
(a) SCC (в Модуле Два: Контролёр-Обработчику; Модуле Три: Обработчик-Обработчику, где применимо) включаются в настоящее DPA по ссылке и применяются к таким Ограниченным передачам; (b) Контролёр является «экспортёром данных», а Обработчик — «импортёром данных»; (c) применяется Положение 7 (положение о присоединении) SCC; (d) Положение 9(a) SCC устанавливается в Опцию 2: Общее письменное разрешение, со сроком предварительного уведомления 30 дней (соответствует пункту 5.4 настоящего DPA); (e) Положение 11(a) SCC: дополнительная формулировка о возмещении в независимом органе разрешения споров не выбрана; (f) Положение 17 SCC: применимым правом SCC является право Ирландии; (g) Положение 18(b) SCC: место юрисдикции — суды Ирландии; (h) Приложения I, II и III SCC считаются включающими содержание Приложения 1, Приложения 2 и Приложения 3 настоящего DPA соответственно с такими корректировками, какие необходимы для соответствия SCC.
6.2 Передачи из Великобритании. Для Ограниченных передач из Великобритании Международное дополнение о передаче данных к стандартным договорным положениям Еврокомиссии, выпущенное Управлением Информационного комиссара Великобритании (версия B1.0), действующее на 21 марта 2022 года («Дополнение Великобритании»), включается в настоящее DPA по ссылке. Ссылки в Дополнении Великобритании на «Таблицы» заполняются следующим образом:
- Таблица 1: Стороны и подпись: как указано в настоящем DPA;
- Таблица 2: Выбранные SCC и модули: как указано в пункте 6.1 настоящего DPA;
- Таблица 3: Приложения: как указано в настоящем DPA;
- Таблица 4: Любая Сторона может расторгнуть Дополнение Великобритании, как указано в Разделе 19 Дополнения Великобритании.
6.3 Передачи из Швейцарии. Для Ограниченных передач из Швейцарии SCC применяются со следующими изменениями: (i) ссылки на GDPR являются также ссылками на Швейцарский федеральный закон о защите данных; (ii) компетентным надзорным органом является Швейцарский федеральный комиссар по защите данных и информации; (iii) ссылки на «Государство-член» в SCC не препятствуют Субъектам данных в Швейцарии реализовывать права в месте их обычного проживания.
6.4 Передачи из Казахстана. Когда Персональные данные, регулируемые Законом РК о персональных данных, передаются за пределы Республики Казахстан в связи с настоящим DPA, Контролёр заявляет, что получил согласия, требуемые статьями 7–8 Закона РК о персональных данных, от соответствующих Субъектов данных, либо что применяется иное законное основание для такой передачи.
6.5 Оценка воздействия передачи. Обработчик провёл Оценку воздействия передачи в отношении передачи Персональных данных своим субобработчикам и предоставит сводку такой оценки Контролёру по письменному запросу на [email protected]. Контролёр проводит собственную Оценку воздействия передачи в случае необходимости в отношении раскрытия Персональных данных Обработчику.
7. ВОЗВРАТ ИЛИ УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 При прекращении. При прекращении Основного соглашения или в любое более раннее время по письменному запросу Контролёра Обработчик, по выбору Контролёра:
(a) удалит все Персональные данные, обрабатываемые от имени Контролёра; или (b) вернёт все такие Персональные данные Контролёру и удалит существующие копии,
если только хранение таких Персональных данных не требуется Применимым законодательством о защите данных или иным применимым законом.
7.2 По умолчанию. При отсутствии указания Контролёра в течение 30 дней с момента прекращения Основного соглашения Обработчик удаляет Персональные данные в соответствии с графиком хранения в Политике конфиденциальности.
7.3 Резервные копии. Персональные данные, находящиеся в зашифрованных снимках резервных копий, исключённых из активной обработки, удаляются в обычном порядке ротации резервных копий, максимум в течение 7 дней после удаления из активных систем.
7.4 Подтверждение. По письменному запросу Обработчик письменно подтверждает удаление Персональных данных по настоящему Разделу 7.
7.5 Локально хранящиеся данные. Настоящий Раздел 7 не применяется к Персональным данным, хранящимся локально на устройствах уполномоченных пользователей Контролёра. Такие данные находятся под исключительным контролем Контролёра, и Контролёр несёт ответственность за их хранение и удаление.
8. АУДИТЫ
8.1 Право на аудит. При условии соблюдения положений настоящего Раздела 8 Контролёр может проводить аудит соблюдения Обработчиком настоящего DPA не более одного раза в календарный год.
8.2 Условия. Любой аудит по настоящему DPA подчиняется следующему:
(a) Контролёр направляет Обработчику предварительное письменное уведомление о любом аудите не менее чем за 30 дней, за исключением случаев после Нарушения безопасности Персональных данных, затрагивающего Контролёра, в которых срок уведомления может быть короче; (b) аудиты проводятся в обычные рабочие часы и таким образом, чтобы не нарушать неоправданно работу Обработчика; (c) аудитор Контролёра подписывает обязательство о конфиденциальности, приемлемое для Обработчика; (d) аудитор Контролёра не должен быть конкурентом Обработчика; (e) объём аудита ограничивается вопросами, касающимися конкретно Контролёра и Персональных данных, обрабатываемых по настоящему DPA, и не распространяется на данные других клиентов или общую оценку инфраструктуры; (f) расходы на аудит несёт Контролёр, за исключением случаев, когда аудит выявляет существенное нарушение настоящего DPA, в которых Обработчик возмещает разумные расходы Контролёра.
8.3 Аудиторские отчёты как альтернатива. Обработчик может выполнить свои обязательства по аудиту, предоставив Контролёру сводные отчёты о независимых сторонних аудитах или сертификациях (таких как SOC 2, ISO 27001 или эквивалент), если такие отчёты охватывают соблюдение Обработчиком обязательств, относящихся к настоящему DPA. Такие отчёты являются Конфиденциальной информацией Обработчика.
9. ОТВЕТСТВЕННОСТЬ
9.1 Лимит ответственности. Совокупная ответственность каждой Стороны, возникающая из настоящего DPA или в связи с ним, подчиняется ограничению ответственности, установленному в Основном соглашении.
9.2 Распределение регуляторных штрафов. Когда регуляторный штраф налагается на Стороны совместно по Применимому законодательству о защите данных, каждая Сторона несёт штраф пропорционально своей ответственности за нарушение, как определено Надзорным органом или судом надлежащей юрисдикции.
9.3 Изъятия. Ничто в настоящем Разделе 9 не ограничивает ответственность, которая не может быть ограничена по Применимому законодательству о защите данных или иному обязательному закону.
10. СРОК И ПРЕКРАЩЕНИЕ
10.1 Срок. Настоящее DPA вступает в силу с даты его подписания обеими Сторонами (или, если настоящее DPA включено в Основное соглашение, — с даты вступления в силу Основного соглашения) и остаётся в силе в течение всего периода обработки Обработчиком Персональных данных от имени Контролёра.
10.2 Прекращение. Настоящее DPA прекращается автоматически при прекращении Основного соглашения с сохранением обязательств, которые по своей природе должны сохраняться (включая Разделы 7, 9, 10.2 и 11).
10.3 Последствия прекращения. При прекращении настоящего DPA Обработчик возвращает или удаляет Персональные данные в соответствии с Разделом 7.
11. ОБЩИЕ ПОЛОЖЕНИЯ
11.1 Очерёдность действия. В случае конфликта между настоящим DPA и Основным соглашением настоящее DPA имеет преимущественную силу в части конфликта в отношении обработки Персональных данных. В случае конфликта между настоящим DPA и SCC (когда SCC применяются согласно пункту 6.1) преимущественную силу имеют SCC.
11.2 Делимость. Если какое-либо положение настоящего DPA признано недействительным или неисполнимым, такое положение будет изменено в минимально необходимой степени для его применимости либо, если это невозможно, исключено. Остальные положения сохраняют полную силу.
11.3 Изменения. Настоящее DPA может быть изменено только письменным документом, подписанным обеими Сторонами, за исключением того, что Обработчик может время от времени обновлять Приложение 2 (ТОМ) и Приложение 3 (Субобработчики) в соответствии с пунктом 5.4 настоящего DPA без необходимости повторного подписания.
11.4 Уведомления. Уведомления по настоящему DPA направляются в письменной форме:
(a) Обработчику: [email protected] и почтой на зарегистрированный адрес, указанный в начале настоящего DPA; (b) Контролёру: на адрес электронной почты и почтовый адрес, указанные в Приложении 1, или иной адрес, уведомлённый Контролёром.
11.5 Уступка. Ни одна Сторона не может уступить настоящее DPA без предварительного письменного согласия другой Стороны, за исключением того, что любая Сторона может уступить настоящее DPA Аффилированному лицу или в связи со слиянием, поглощением или продажей всех или существенной части активов с уведомлением другой Стороны.
11.6 Экземпляры. Настоящее DPA может быть подписано в нескольких экземплярах, в том числе электронной подписью, каждый из которых считается оригиналом, а все вместе — одним и тем же документом.
11.7 Применимое право. Настоящее DPA регулируется правом, указанным в Основном соглашении, за исключением того, что в отношении обязательств по SCC применимое право указано в пункте 6.1.
ПОДПИСИ
От имени и по поручению Контролёра:
| Подпись | _____ |
| Имя | [ФИО подписанта Контролёра] |
| Должность | [Должность подписанта Контролёра] |
| Дата | [Дата] |
От имени и по поручению Обработчика:
| Подпись | _____ |
| Имя | Жумагалиев Диас Кайсарович |
| Должность | Директор |
| Дата | [Дата] |
ПРИЛОЖЕНИЕ 1 — ДЕТАЛИ ОБРАБОТКИ
Настоящее Приложение содержит детали обработки Персональных данных Обработчиком от имени Контролёра, как требуется статьёй 28(3) GDPR.
A. Список Сторон
Экспортёр данных (Контролёр):
| Поле | Значение |
|---|---|
| Наименование | [ПОЛНОЕ ЮРИДИЧЕСКОЕ НАИМЕНОВАНИЕ КЛИЕНТА] |
| Адрес | [Адрес] |
| Контактное лицо | [Имя, должность] |
| [Email] | |
| Деятельность, относящаяся к передаваемым данным | Использование Услуг dias.now во внутренних деловых целях |
| Роль | Контролёр |
Импортёр данных (Обработчик):
| Поле | Значение |
|---|---|
| Наименование | ТОО «Dialekt.ai» |
| Адрес | Республика Казахстан, г. Астана, район Есиль, ул. Е 652, дом 4, помещение 1, индекс 010000 |
| Контактное лицо | Жумагалиев Диас Кайсарович, Директор |
| [email protected] | |
| Деятельность, относящаяся к передаваемым данным | Предоставление программного продукта dias.now, лицензирование и услуги поддержки |
| Роль | Обработчик |
B. Описание передачи
Категории Субъектов данных, чьи Персональные данные обрабатываются:
- Уполномоченные пользователи Контролёра (сотрудники, подрядчики, агенты);
- Администраторы учётной записи Контролёра;
- Иные физические лица, чьи Персональные данные Контролёр выбирает направить в Услуги для целей коммуникаций по транзакциям или поддержке.
Категории обрабатываемых Персональных данных:
- Идентификационные данные (имя, адрес электронной почты, должность в организации Контролёра);
- Аутентификационные данные (хэши паролей, MFA-токены);
- Данные учётной записи и лицензии (назначенные Места, временные метки активации, последний вход);
- Содержание коммуникаций (когда уполномоченные пользователи обращаются в поддержку dialekt);
- Технические метаданные (IP-адреса, user-agent, журналы доступа).
Специальные категории Персональных данных: отсутствуют, если Контролёр отдельно не уведомил Обработчика письменно согласно пункту 4.5 DPA.
Частота передачи: непрерывно (в течение срока действия Основного соглашения).
Характер обработки: хранение, извлечение, передача, удаление и иные операции, необходимые для предоставления Услуг.
Цели обработки:
- создание и поддержание учётной записи арендатора Контролёра в dialekt-cloud;
- выпуск и валидация лицензионных ключей;
- предоставление технической поддержки уполномоченным пользователям;
- выставление счетов и биллинг;
- мониторинг безопасности и реагирование на инциденты.
Срок хранения Персональных данных:
- В течение срока действия Основного соглашения плюс сроки, указанные в графике хранения Политики конфиденциальности.
Для передач (Суб-)обработчикам: см. Приложение 3.
C. Компетентный Надзорный орган
Для передач, регулируемых SCC: надзорный орган Государства-члена, в котором учреждён Контролёр, или, если Контролёр не учреждён в ЕЭЗ, — надзорный орган [Ирландии / Государства-члена, в котором учреждён представитель ЕС].
Для передач, регулируемых Законом РК о персональных данных: Комитет по защите персональных данных Республики Казахстан.
ПРИЛОЖЕНИЕ 2 — ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ (ТОМ)
Обработчик внедряет и поддерживает следующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, в соответствии со статьёй 32 GDPR.
1. Псевдонимизация и шифрование Персональных данных
| Мера | Описание |
|---|---|
| Шифрование при передаче | Все коммуникации с Услугами защищены TLS 1.2 или выше (HTTPS). Передача email использует STARTTLS или явный TLS на стандартных портах. |
| Шифрование в покое | Производственная база данных PostgreSQL размещена на зашифрованных файловых системах. Ключи API для Провайдеров облачных LLM хранятся в системной защищённой связке ключей ОС на устройстве пользователя. |
| Управление ключами | Ключи шифрования управляются в соответствии с лучшими отраслевыми практиками. Производственные ключи недоступны для разработчиков. |
2. Конфиденциальность, целостность, доступность и устойчивость систем обработки
| Мера | Описание |
|---|---|
| Контроль доступа | Контроль доступа на основе ролей (RBAC) применяется ко всем административным конечным точкам. Аутентификация требуется для всех операций на стороне облака. |
| Многофакторная аутентификация | Обязательна для всех административных учётных записей с доступом к Персональным данным клиентов. |
| Аудит-логирование | Все административные действия с арендаторами клиентов записываются в неизменяемый аудит-лог с хранением 3 года. |
| Сетевая безопасность | Производственная инфраструктура защищена брандмауэром веб-приложений (Cloudflare). Защита от DDoS включена. |
| Управление уязвимостями | Производственные системы обновляются в соответствии с рекомендациями производителей. Критические патчи безопасности применяются в течение 7 дней с момента выпуска. |
| Безопасность конечных устройств | Устройства персонала, имеющие доступ к производственным системам, подлежат базовым требованиям безопасности (полнодисковое шифрование, блокировка экрана, обновления ОС). |
3. Восстановление доступности и доступа после инцидента
| Мера | Описание |
|---|---|
| Резервные копии | Ежедневные зашифрованные снимки производственной БД PostgreSQL. |
| Срок хранения резервных копий | Скользящее окно 7 дней. |
| Тестирование восстановления | Восстановление из резервных копий тестируется не реже одного раза в квартал. |
| Аварийное восстановление | Документированная процедура аварийного восстановления поддерживается и пересматривается не реже одного раза в год. |
4. Регулярное тестирование, оценка и анализ
| Мера | Описание |
|---|---|
| Пересмотр процессов | Процедуры информационной безопасности пересматриваются не реже одного раза в год. |
| Ревью кода | Все изменения производственного кода проходят peer-review до развёртывания. |
| Тесты на проникновение | Внешние тесты на проникновение проводятся до общедоступного выпуска новых мажорных версий Услуг и не реже одного раза в год после, когда стадия развития Обработчика это оправдывает. |
| Логирование и мониторинг | События, важные для безопасности, логируются. Аномалии анализируются вручную. |
5. Идентификация и авторизация пользователей
| Мера | Описание |
|---|---|
| Уникальные учётные данные | Каждый уполномоченный пользователь идентифицируется уникальной учётной записью. Общие учётные записи запрещены. |
| Парольная политика | Применяются строгие требования к паролям; пароли хранятся хэшированными современным алгоритмом (Argon2 или bcrypt). |
| Управление сессиями | Сессии истекают после определённого периода неактивности. |
6. Минимизация, точность и ограничение хранения данных
| Мера | Описание |
|---|---|
| Минимизация данных | Собираются только данные, необходимые для Услуг, в соответствии с Политикой конфиденциальности. |
| Точность | Уполномоченные пользователи могут исправить данные своей учётной записи через пользовательский интерфейс или связавшись с [email protected]. |
| Ограничение хранения | Персональные данные хранятся только в течение сроков, указанных в графике хранения Политики конфиденциальности. |
7. Меры в отношении персонала
| Мера | Описание |
|---|---|
| Обязательства о конфиденциальности | Весь персонал, имеющий доступ к Персональным данным, связан письменными обязательствами о конфиденциальности. |
| Обучение | Персоналу предоставляется обучение по защите данных и информационной безопасности при найме и в надлежащие интервалы. |
| Проверки прошлого | Проверки прошлого проводятся для персонала с привилегированным доступом, где это допустимо применимым законом. |
8. Управление Субобработчиками
| Мера | Описание |
|---|---|
| Отбор | Субобработчики выбираются с учётом их обязательств по безопасности и защите данных. |
| Договорные обязательства | Каждый Субобработчик связан письменным договором, налагающим обязательства по защите данных не менее защитные, чем в настоящем DPA. |
| Мониторинг | Обработчик периодически анализирует положение Субобработчиков по безопасности и соблюдению требований. |
9. Управление инцидентами
| Мера | Описание |
|---|---|
| Реагирование на инциденты | Документированная процедура реагирования на инциденты поддерживается и охватывает идентификацию, локализацию, устранение, восстановление и извлечение уроков. |
| Уведомление о нарушениях | Обработчик уведомляет Контролёра о любом Нарушении безопасности Персональных данных в соответствии с пунктом 3.8 DPA. |
| Канал отчётности | Сообщения о безопасности можно направлять на [email protected]. |
10. Архитектурные меры, специфичные для dias.now
| Мера | Описание |
|---|---|
| Local-first обработка | Услуги спроектированы так, что большая часть пользовательского контента обрабатывается локально на устройстве пользователя, минимизируя объём Персональных данных, передаваемых в инфраструктуру Обработчика. |
| Прямая маршрутизация к Провайдерам облачных LLM | Когда Провайдеры облачных LLM активированы, промпты передаются напрямую с устройства пользователя в API провайдера, обходя инфраструктуру Обработчика. |
| Регулируемый режим | Настройка regulated_mode отключает всех Провайдеров облачных LLM на уровне приложения для пользователей в регулируемых отраслях. |
| Жёсткие блокировки высокорискованных провайдеров | DeepSeek и Z.AI безусловно заблокированы на уровне кода при активном regulated_mode. |
Настоящее Приложение 2 может быть обновлено Обработчиком время от времени для отражения улучшений технических и организационных мер Обработчика. Обновления, которые существенно снижают уровень защиты, требуют предварительного письменного согласия Контролёра.
ПРИЛОЖЕНИЕ 3 — УТВЕРЖДЁННЫЕ СУБОБРАБОТЧИКИ
Обработчик привлекает следующих Субобработчиков для обработки Персональных данных от имени Контролёра. Текущий авторитетный список опубликован на https://dias.now/legal/sub-processors.
| Субобработчик | Юридическое лицо | Адрес | Страна | Услуга | Категории Персональных данных |
|---|---|---|---|---|---|
| Cloudflare, Inc. | Cloudflare, Inc. | 101 Townsend Street, San Francisco, CA 94107 | США | DNS, маршрутизация трафика, защита от DDoS | IP-адреса, метаданные запросов |
| GitHub, Inc. | GitHub, Inc. (дочерняя компания Microsoft Corporation) | 88 Colin P Kelly Jr Street, San Francisco, CA 94107 | США | Размещение и распространение бинарных релизов Продукта | IP-адреса, метаданные скачивания |
| Zoho Corporation Pvt. Ltd. | Zoho Corporation | 4141 Hacienda Drive, Pleasanton, CA 94588 | США | Электронные коммуникации (транзакционные и операционные) | Адреса электронной почты, имена, содержание коммуникаций |
Провайдеры облачных LLM НЕ являются Субобработчиками Обработчика. Когда Контролёр активирует Провайдера облачной LLM, этот провайдер действует как независимый контролёр или обработчик Персональных данных, переданных ему уполномоченными пользователями Контролёра, на условиях самого провайдера. Обработчик не является стороной такого отношения по обработке и не привлекает Провайдеров облачных LLM в качестве Субобработчиков. Текущий список поддерживаемых Провайдеров облачных LLM (для информационных целей) опубликован на https://dias.now/legal/cloud-providers.
ПРИЛОЖЕНИЕ 4 — ДОПОЛНЕНИЯ ПО ЮРИСДИКЦИЯМ
A. Положения, специфичные для Казахстана
Если Контролёр учреждён в Республике Казахстан или обрабатывает Персональные данные, регулируемые Законом РК о персональных данных:
A.1 Обработчик зарегистрирован как оператор персональных данных в Комитете по защите персональных данных Республики Казахстан; указание Контролёра обработать Персональные данные не передаёт статус оператора Обработчику.
A.2 Когда Контролёр передаёт Персональные данные, регулируемые Законом РК о персональных данных, Обработчику или его Субобработчикам, расположенным за пределами Казахстана, Контролёр заявляет и гарантирует, что получил согласия, требуемые статьями 7–8 Закона РК о персональных данных, от соответствующих Субъектов данных, либо что применяется иное законное основание для такой передачи.
A.3 Обработчик содействует Контролёру по разумному запросу в ответах на запросы или действия Комитета по защите персональных данных Республики Казахстан, затрагивающие Персональные данные, обрабатываемые по настоящему DPA.
B. Положения, специфичные для Великобритании
Когда Персональные данные, регулируемые UK GDPR, обрабатываются по настоящему DPA, применяется Дополнение Великобритании, упомянутое в пункте 6.2 DPA.
C. Положения, специфичные для Швейцарии
Когда Персональные данные, регулируемые Швейцарским федеральным законом о защите данных, обрабатываются по настоящему DPA, применяются изменения, изложенные в пункте 6.3 DPA.
Конец шаблона DPA v1.0