СОГЛАШЕНИЕ ОБ ОБРАБОТКЕ ДАННЫХ
Версия шаблона: 1.0 Идентификатор: dialektai.org DPA-2026-v1 Дата вступления в силу: [ЗАПОЛНЯЕТСЯ ПРИ ПОДПИСАНИИ]
Настоящее Соглашение об обработке данных («DPA») является неотъемлемой частью договора между:
(1) [ПОЛНОЕ ЮРИДИЧЕСКОЕ НАИМЕНОВАНИЕ КЛИЕНТА], [тип юридического лица], учреждённым по законодательству [юрисдикция], с зарегистрированным адресом [адрес], [регистрационный номер] («Контролёр» или «Заказчик»);
и
(2) Товариществом с ограниченной ответственностью «Dialekt.ai» (ТОО «Dialekt.ai»), юридическим лицом, учреждённым по законодательству Республики Казахстан, БИН 260140001608, с зарегистрированным адресом: Республика Казахстан, г. Астана, район Есиль, ул. Е 652, дом 4, помещение 1, индекс 010000, в лице Директора Жумагалиева Диаса Кайсаровича, действующего на основании Устава («Обработчик» или «dialekt»),
каждый — «Сторона», а вместе — «Стороны».
ПРЕАМБУЛА
(A) Стороны заключили Соглашение о подписке, Заказ-наряд или акцептовали Публичную оферту (совместно — «Основное соглашение»), по которому Обработчик предоставляет программный продукт dialektai.org и сопутствующие услуги («Услуги») Контролёру.
(B) В процессе оказания Услуг Обработчик может обрабатывать персональные данные от имени Контролёра в качестве обработчика (processor) в смысле статьи 4(8) Регламента (ЕС) 2016/679 («GDPR») и эквивалентных понятий по Закону Республики Казахстан № 94-V от 21 мая 2013 года «О персональных данных и их защите» («Закон РК о персональных данных»).
(C) Стороны желают определить условия, на которых Обработчик обрабатывает персональные данные от имени Контролёра, и обеспечить соблюдение применимого законодательства о защите данных.
(D) Стороны признают, что Услуги предоставляются как облачный мультитенантный Сервис: персональные данные, направляемые уполномоченными пользователями Контролёра (включая промпты, сообщения чатов, загруженные файлы, базы знаний и конфигурации ИИ-агентов и ИИ-команд), обрабатываются и хранятся в облачной инфраструктуре Обработчика, а для генерации ответов передаются провайдерам облачных LLM, выступающим Субобработчиками. Роль Обработчика как обработчика персональных данных по настоящему DPA охватывает данные, описанные в Приложении 1.
ИСХОДЯ ИЗ ВЫШЕИЗЛОЖЕННОГО Стороны договорились о нижеследующем:
1. ОПРЕДЕЛЕНИЯ
1.1 В настоящем DPA нижеуказанные термины имеют следующие значения. Термины с заглавной буквы, не определённые здесь, имеют значения, указанные в Основном соглашении или в применимом законодательстве о защите данных.
- «Аффилированное лицо» — любое лицо, которое прямо или косвенно контролирует Сторону, контролируется Стороной или находится под общим контролем со Стороной.
- «Применимое законодательство о защите данных» — все законы о защите данных и неприкосновенности частной жизни, применимые к обработке Персональных данных по настоящему DPA, включая GDPR, UK GDPR, Швейцарский федеральный закон о защите данных, Закон РК о персональных данных и любые обязательные руководящие указания компетентных органов по этим законам.
- «Провайдер облачной LLM» — сторонний облачный сервис большой языковой модели, которому Обработчик передаёт промпты и контекст для генерации ответов ИИ-агентов и ИИ-команд (основной — DeepSeek; также возможны OpenRouter, Anthropic, OpenAI, Google и другие, перечисленные на https://dialektai.org/legal/sub-processors). Провайдеры облачных LLM выступают Субобработчиками.
- «Контролёр» — Заказчик, указанный выше, действующий в качестве «контролёра» в смысле статьи 4(7) GDPR и эквивалентных понятий по другому Применимому законодательству о защите данных.
- «Субъект данных» — идентифицированное или идентифицируемое физическое лицо, к которому относятся Персональные данные.
- «Персональные данные» — любая информация, обрабатываемая Обработчиком от имени Контролёра в связи с Услугами, которая является «персональными данными» в смысле Применимого законодательства о защите данных. Категории Персональных данных, обрабатываемых по настоящему DPA, указаны в Приложении 1.
- «Нарушение безопасности Персональных данных» — нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным, обрабатываемым Обработчиком.
- «Обработчик» — dialekt, действующий в качестве «обработчика» (processor) в смысле статьи 4(8) GDPR и эквивалентных понятий по другому Применимому законодательству о защите данных.
- «Обработка» — любая операция, выполняемая с Персональными данными, включая сбор, хранение, использование, раскрытие, передачу и удаление.
- «Ограниченная передача» — передача Персональных данных из Европейской экономической зоны, Великобритании или Швейцарии в страну, не входящую в перечень стран с признанным адекватным уровнем защиты по соответствующему законодательству.
- «Стандартные договорные положения» или «SCC» — Стандартные договорные положения для передачи персональных данных в третьи страны, утверждённые Европейской комиссией Имплементационным решением (ЕС) 2021/914 от 4 июня 2021 года, с изменениями.
- «Субобработчик» — третье лицо, привлечённое Обработчиком для обработки Персональных данных от имени Контролёра.
- «Надзорный орган» — компетентный независимый государственный орган, отвечающий за надзор за применением Применимого законодательства о защите данных.
2. ПРЕДМЕТ И РОЛИ
2.1 Предмет. Настоящее DPA регулирует обработку Обработчиком Персональных данных от имени Контролёра в связи с Услугами.
2.2 Роли Сторон. В отношении Персональных данных, описанных в Приложении 1:
(a) Контролёр является контролёром; и (b) Обработчик является обработчиком, обрабатывающим Персональные данные только по документированным указаниям Контролёра.
2.3 Облачная обработка контента Контролёра. Контент, направляемый уполномоченными пользователями Контролёра в Услуги (промпты, сообщения чатов, загруженные файлы, базы знаний и их производные индексы, конфигурации ИИ-агентов и ИИ-команд), обрабатывается и хранится в облачной инфраструктуре Обработчика и входит в предмет настоящего DPA. В отношении таких данных Контролёр выступает контролёром, а Обработчик — обработчиком, действующим по документированным указаниям Контролёра. Обработчик не использует такой контент для обучения собственных или сторонних моделей.
2.3.1 Передача Провайдерам облачных LLM. Для генерации ответов ИИ-агентов и ИИ-команд Обработчик передаёт промпты и необходимый контекст Провайдерам облачных LLM, выступающим Субобработчиками в соответствии с Разделом 5. Такая передача может предполагать международную передачу данных (Раздел 6).
2.3.2 Персональные данные, не входящие в предмет DPA — Административные данные. В отношении данных, таких как имена, адреса электронной почты, биллинговые реквизиты и аутентификационные данные уполномоченных пользователей Контролёра (совместно — «Административные данные»), Обработчик действует как контролёр, как описано в Политике конфиденциальности на https://dialektai.org/legal/privacy. Настоящее DPA не изменяет обязательств Обработчика как контролёра Административных данных.
2.4 Документированные указания. Указания Контролёра по обработке Персональных данных изложены в настоящем DPA, Основном соглашении, Политике конфиденциальности и любых дополнительных письменных указаниях Контролёра. Обработчик обрабатывает Персональные данные только по документированным указаниям Контролёра, в том числе в отношении международных передач, если иное не требуется законом, которому подчиняется Обработчик; в этом случае Обработчик уведомляет Контролёра об этом юридическом требовании до начала обработки, если только такой закон не запрещает подобное уведомление по важным основаниям общественного интереса.
2.5 Соответствие указаниям. Если Обработчик считает, что какое-либо указание Контролёра нарушает Применимое законодательство о защите данных, Обработчик незамедлительно сообщает об этом Контролёру.
3. ОБЯЗАТЕЛЬСТВА ОБРАБОТЧИКА
3.1 Соблюдение требований. Обработчик соблюдает все обязательства обработчика по Применимому законодательству о защите данных.
3.2 Конфиденциальность. Обработчик обеспечивает, чтобы любое лицо, уполномоченное обрабатывать Персональные данные по настоящему DPA, было связано письменным обязательством о конфиденциальности или было обязано к конфиденциальности по закону.
3.3 Безопасность. Обработчик внедряет соответствующие технические и организационные меры для защиты Персональных данных от несанкционированной или незаконной обработки и от случайной потери, уничтожения, повреждения, изменения или раскрытия. Действующие меры описаны в Приложении 2 (Технические и организационные меры, «ТОМ»).
3.4 Субобработчики. Привлечение Обработчиком Субобработчиков регулируется Разделом 5.
3.5 Содействие Контролёру. Учитывая характер обработки и доступную Обработчику информацию, Обработчик содействует Контролёру с помощью соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательств Контролёра по:
(a) ответам на запросы Субъектов данных, реализующих свои права по статьям 15–22 GDPR или эквивалентным положениям другого Применимого законодательства о защите данных; (b) обеспечению соблюдения обязательств Контролёра по статьям 32–36 GDPR (безопасность, уведомление о нарушениях, оценка воздействия на защиту данных и предварительные консультации) или эквивалентных обязательств по другому Применимому законодательству о защите данных; (c) демонстрации соблюдения Применимого законодательства о защите данных.
Обязательства Обработчика по настоящему пункту 3.5 распространяются на Персональные данные, входящие в предмет настоящего DPA (Раздел 2), включая контент Контролёра, обрабатываемый и хранимый в облачной инфраструктуре Обработчика. В отношении дальнейшей обработки данных Провайдерами облачных LLM содействие Обработчика ограничено информацией и средствами, фактически доступными ему как стороне, привлекающей таких Субобработчиков.
3.6 Записи обработки. Обработчик ведёт запись всех категорий деятельности по обработке, осуществляемой от имени Контролёра, в соответствии со статьёй 30(2) GDPR.
3.7 Аудиты. Обработчик предоставляет Контролёру всю информацию, необходимую для подтверждения соблюдения обязательств по настоящему DPA, и допускает аудиты, в том числе инспекции, проводимые Контролёром или другим аудитором, уполномоченным Контролёром, с учётом условий Раздела 8.
3.8 Уведомление о Нарушении безопасности Персональных данных. Обработчик уведомляет Контролёра без неоправданной задержки и в любом случае в течение 48 часов после обнаружения Нарушения безопасности Персональных данных, затрагивающего Персональные данные, обрабатываемые по настоящему DPA. Уведомление включает информацию, указанную в статье 33(3) GDPR, насколько она доступна, в том числе:
(a) характер Нарушения безопасности Персональных данных, включая, по возможности, категории и приблизительное число затронутых Субъектов данных и записей Персональных данных; (b) вероятные последствия Нарушения безопасности Персональных данных; (c) меры, принятые или предлагаемые к принятию для устранения Нарушения безопасности Персональных данных, включая меры по смягчению возможных негативных последствий.
Если предоставить всю информацию одновременно невозможно, она может быть предоставлена поэтапно без неоправданной задержки. Уведомление о Нарушении безопасности Персональных данных не является признанием Обработчиком вины или ответственности.
4. ОБЯЗАТЕЛЬСТВА КОНТРОЛЁРА
4.1 Законное основание. Контролёр заявляет и гарантирует, что у него есть все необходимые права, согласия и законные основания по Применимому законодательству о защите данных для обработки Персональных данных, указанной в настоящем DPA, в том числе для раскрытия Обработчику и Субобработчикам.
4.2 Уведомления и согласия Субъектов данных. Контролёр несёт ответственность за предоставление необходимых уведомлений Субъектам данных и получение необходимых согласий от них в связи с обработкой Персональных данных по настоящему DPA.
4.3 Уполномоченные пользователи. Контролёр несёт ответственность за то, чтобы его уполномоченные пользователи использовали Услуги в соответствии с Основным соглашением, настоящим DPA и Применимым законодательством о защите данных, в том числе в отношении любой активации Провайдера облачной LLM.
4.4 Использование Провайдеров облачных LLM. Контролёр признаёт, что для работы ИИ-агентов и ИИ-команд Обработчик передаёт промпты и контекст Провайдерам облачных LLM как Субобработчикам (Раздел 5). Контролёр несёт ответственность за:
(a) обеспечение законного основания для обработки и раскрытия Персональных данных, направляемых в Услуги, в том числе для их передачи Провайдерам облачных LLM; (b) предоставление уполномоченным пользователям и иным субъектам данных необходимых уведомлений о такой обработке; (c) оценку допустимости использования Услуг (включая основного провайдера DeepSeek, обрабатывающего данные в КНР) с учётом обязательств Контролёра в регулируемых отраслях.
4.5 Чувствительные Персональные данные. Контролёр не передаёт Обработчику или Провайдерам облачных LLM специальные категории персональных данных в смысле статьи 9 GDPR (или эквивалент по другому Применимому законодательству о защите данных), данные о судимостях или данные, касающиеся детей, если только Контролёр не получил явного согласия или не имеет иного законного основания для обработки и заранее письменно не уведомил Обработчика. Уведомление по настоящему пункту 4.5 предоставляется только для информации; оно само по себе не уполномочивает Обработчика применять усиленные гарантии сверх описанных в Приложении 2.
5. СУБОБРАБОТЧИКИ
5.1 Общее разрешение. Контролёр предоставляет Обработчику общее разрешение на привлечение Субобработчиков для обработки Персональных данных, при условии соблюдения положений настоящего Раздела 5.
5.2 Текущие Субобработчики. Список текущих Субобработчиков указан в Приложении 3 и также опубликован на https://dialektai.org/legal/sub-processors.
5.3 Обязательства Субобработчиков. Обработчик возлагает на каждого Субобработчика письменным договором обязательства по защите данных не менее защитные, чем те, которые возложены на Обработчика по настоящему DPA. Обработчик остаётся ответственным перед Контролёром за выполнение обязательств каждого Субобработчика.
5.4 Уведомление об изменениях. Обработчик уведомляет Контролёра о любом намеченном добавлении или замене Субобработчиков не менее чем за 30 дней, отправляя уведомление на адрес электронной почты, указанный Контролёром для этой цели, либо публикуя изменение на https://dialektai.org/legal/sub-processors и уведомляя клиентов, подписанных на ленту изменений.
5.5 Право возражения. Контролёр может возражать против нового Субобработчика по обоснованным причинам, связанным с защитой данных, направив письменное уведомление в течение 30 дней с момента уведомления по пункту 5.4. Стороны добросовестно обсудят возражение. Если возражение не может быть разумно разрешено в течение 30 дней, Контролёр может, в качестве своего единственного и исключительного средства защиты, расторгнуть Основное соглашение (или затронутую часть Услуг) без штрафа путём письменного уведомления; Обработчик возвращает любые предоплаченные суммы за неиспользованный остаток текущего срока затронутых Услуг.
6. МЕЖДУНАРОДНЫЕ ПЕРЕДАЧИ
6.1 Ограниченные передачи из ЕЭЗ, Великобритании и Швейцарии. Когда обработка Обработчиком Персональных данных от имени Контролёра предполагает Ограниченную передачу (в том числе передачи Обработчику в Казахстан и Субобработчикам в третьи страны), Стороны соглашаются, что:
(a) SCC (в Модуле Два: Контролёр-Обработчику; Модуле Три: Обработчик-Обработчику, где применимо) включаются в настоящее DPA по ссылке и применяются к таким Ограниченным передачам; (b) Контролёр является «экспортёром данных», а Обработчик — «импортёром данных»; (c) применяется Положение 7 (положение о присоединении) SCC; (d) Положение 9(a) SCC устанавливается в Опцию 2: Общее письменное разрешение, со сроком предварительного уведомления 30 дней (соответствует пункту 5.4 настоящего DPA); (e) Положение 11(a) SCC: дополнительная формулировка о возмещении в независимом органе разрешения споров не выбрана; (f) Положение 17 SCC: применимым правом SCC является право Ирландии; (g) Положение 18(b) SCC: место юрисдикции — суды Ирландии; (h) Приложения I, II и III SCC считаются включающими содержание Приложения 1, Приложения 2 и Приложения 3 настоящего DPA соответственно с такими корректировками, какие необходимы для соответствия SCC.
6.2 Передачи из Великобритании. Для Ограниченных передач из Великобритании Международное дополнение о передаче данных к стандартным договорным положениям Еврокомиссии, выпущенное Управлением Информационного комиссара Великобритании (версия B1.0), действующее на 21 марта 2022 года («Дополнение Великобритании»), включается в настоящее DPA по ссылке. Ссылки в Дополнении Великобритании на «Таблицы» заполняются следующим образом:
- Таблица 1: Стороны и подпись: как указано в настоящем DPA;
- Таблица 2: Выбранные SCC и модули: как указано в пункте 6.1 настоящего DPA;
- Таблица 3: Приложения: как указано в настоящем DPA;
- Таблица 4: Любая Сторона может расторгнуть Дополнение Великобритании, как указано в Разделе 19 Дополнения Великобритании.
6.3 Передачи из Швейцарии. Для Ограниченных передач из Швейцарии SCC применяются со следующими изменениями: (i) ссылки на GDPR являются также ссылками на Швейцарский федеральный закон о защите данных; (ii) компетентным надзорным органом является Швейцарский федеральный комиссар по защите данных и информации; (iii) ссылки на «Государство-член» в SCC не препятствуют Субъектам данных в Швейцарии реализовывать права в месте их обычного проживания.
6.4 Передачи из Казахстана. Когда Персональные данные, регулируемые Законом РК о персональных данных, передаются за пределы Республики Казахстан в связи с настоящим DPA, Контролёр заявляет, что получил согласия, требуемые статьями 7–8 Закона РК о персональных данных, от соответствующих Субъектов данных, либо что применяется иное законное основание для такой передачи.
6.5 Оценка воздействия передачи. Обработчик провёл Оценку воздействия передачи в отношении передачи Персональных данных своим субобработчикам и предоставит сводку такой оценки Контролёру по письменному запросу на [email protected]. Контролёр проводит собственную Оценку воздействия передачи в случае необходимости в отношении раскрытия Персональных данных Обработчику.
7. ВОЗВРАТ ИЛИ УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 При прекращении. При прекращении Основного соглашения или в любое более раннее время по письменному запросу Контролёра Обработчик, по выбору Контролёра:
(a) удалит все Персональные данные, обрабатываемые от имени Контролёра; или (b) вернёт все такие Персональные данные Контролёру и удалит существующие копии,
если только хранение таких Персональных данных не требуется Применимым законодательством о защите данных или иным применимым законом.
7.2 По умолчанию. При отсутствии указания Контролёра в течение 30 дней с момента прекращения Основного соглашения Обработчик удаляет Персональные данные в соответствии с графиком хранения в Политике конфиденциальности.
7.3 Резервные копии. Персональные данные, находящиеся в зашифрованных снимках резервных копий, исключённых из активной обработки, удаляются в обычном порядке ротации резервных копий, максимум в течение 7 дней после удаления из активных систем.
7.4 Подтверждение. По письменному запросу Обработчик письменно подтверждает удаление Персональных данных по настоящему Разделу 7.
7.5 Будущая редакция Self-host. Если Контролёр использует будущую редакцию Self-host (самостоятельное размещение), размещённую на собственной инфраструктуре Контролёра, Персональные данные, хранящиеся в такой инсталляции, находятся под исключительным контролем Контролёра, и Контролёр несёт ответственность за их хранение и удаление. Настоящий пункт не применяется к облачному Сервису по умолчанию, где возврат и удаление данных регулируются пунктами 7.1–7.4.
8. АУДИТЫ
8.1 Право на аудит. При условии соблюдения положений настоящего Раздела 8 Контролёр может проводить аудит соблюдения Обработчиком настоящего DPA не более одного раза в календарный год.
8.2 Условия. Любой аудит по настоящему DPA подчиняется следующему:
(a) Контролёр направляет Обработчику предварительное письменное уведомление о любом аудите не менее чем за 30 дней, за исключением случаев после Нарушения безопасности Персональных данных, затрагивающего Контролёра, в которых срок уведомления может быть короче; (b) аудиты проводятся в обычные рабочие часы и таким образом, чтобы не нарушать неоправданно работу Обработчика; (c) аудитор Контролёра подписывает обязательство о конфиденциальности, приемлемое для Обработчика; (d) аудитор Контролёра не должен быть конкурентом Обработчика; (e) объём аудита ограничивается вопросами, касающимися конкретно Контролёра и Персональных данных, обрабатываемых по настоящему DPA, и не распространяется на данные других клиентов или общую оценку инфраструктуры; (f) расходы на аудит несёт Контролёр, за исключением случаев, когда аудит выявляет существенное нарушение настоящего DPA, в которых Обработчик возмещает разумные расходы Контролёра.
8.3 Аудиторские отчёты как альтернатива. Обработчик может выполнить свои обязательства по аудиту, предоставив Контролёру сводные отчёты о независимых сторонних аудитах или сертификациях (таких как SOC 2, ISO 27001 или эквивалент), если такие отчёты охватывают соблюдение Обработчиком обязательств, относящихся к настоящему DPA. Такие отчёты являются Конфиденциальной информацией Обработчика.
9. ОТВЕТСТВЕННОСТЬ
9.1 Лимит ответственности. Совокупная ответственность каждой Стороны, возникающая из настоящего DPA или в связи с ним, подчиняется ограничению ответственности, установленному в Основном соглашении.
9.2 Распределение регуляторных штрафов. Когда регуляторный штраф налагается на Стороны совместно по Применимому законодательству о защите данных, каждая Сторона несёт штраф пропорционально своей ответственности за нарушение, как определено Надзорным органом или судом надлежащей юрисдикции.
9.3 Изъятия. Ничто в настоящем Разделе 9 не ограничивает ответственность, которая не может быть ограничена по Применимому законодательству о защите данных или иному обязательному закону.
10. СРОК И ПРЕКРАЩЕНИЕ
10.1 Срок. Настоящее DPA вступает в силу с даты его подписания обеими Сторонами (или, если настоящее DPA включено в Основное соглашение, — с даты вступления в силу Основного соглашения) и остаётся в силе в течение всего периода обработки Обработчиком Персональных данных от имени Контролёра.
10.2 Прекращение. Настоящее DPA прекращается автоматически при прекращении Основного соглашения с сохранением обязательств, которые по своей природе должны сохраняться (включая Разделы 7, 9, 10.2 и 11).
10.3 Последствия прекращения. При прекращении настоящего DPA Обработчик возвращает или удаляет Персональные данные в соответствии с Разделом 7.
11. ОБЩИЕ ПОЛОЖЕНИЯ
11.1 Очерёдность действия. В случае конфликта между настоящим DPA и Основным соглашением настоящее DPA имеет преимущественную силу в части конфликта в отношении обработки Персональных данных. В случае конфликта между настоящим DPA и SCC (когда SCC применяются согласно пункту 6.1) преимущественную силу имеют SCC.
11.2 Делимость. Если какое-либо положение настоящего DPA признано недействительным или неисполнимым, такое положение будет изменено в минимально необходимой степени для его применимости либо, если это невозможно, исключено. Остальные положения сохраняют полную силу.
11.3 Изменения. Настоящее DPA может быть изменено только письменным документом, подписанным обеими Сторонами, за исключением того, что Обработчик может время от времени обновлять Приложение 2 (ТОМ) и Приложение 3 (Субобработчики) в соответствии с пунктом 5.4 настоящего DPA без необходимости повторного подписания.
11.4 Уведомления. Уведомления по настоящему DPA направляются в письменной форме:
(a) Обработчику: [email protected] и почтой на зарегистрированный адрес, указанный в начале настоящего DPA; (b) Контролёру: на адрес электронной почты и почтовый адрес, указанные в Приложении 1, или иной адрес, уведомлённый Контролёром.
11.5 Уступка. Ни одна Сторона не может уступить настоящее DPA без предварительного письменного согласия другой Стороны, за исключением того, что любая Сторона может уступить настоящее DPA Аффилированному лицу или в связи со слиянием, поглощением или продажей всех или существенной части активов с уведомлением другой Стороны.
11.6 Экземпляры. Настоящее DPA может быть подписано в нескольких экземплярах, в том числе электронной подписью, каждый из которых считается оригиналом, а все вместе — одним и тем же документом.
11.7 Применимое право. Настоящее DPA регулируется правом, указанным в Основном соглашении, за исключением того, что в отношении обязательств по SCC применимое право указано в пункте 6.1.
ПОДПИСИ
От имени и по поручению Контролёра:
| Подпись | _____ |
| Имя | [ФИО подписанта Контролёра] |
| Должность | [Должность подписанта Контролёра] |
| Дата | [Дата] |
От имени и по поручению Обработчика:
| Подпись | _____ |
| Имя | Жумагалиев Диас Кайсарович |
| Должность | Директор |
| Дата | [Дата] |
ПРИЛОЖЕНИЕ 1 — ДЕТАЛИ ОБРАБОТКИ
Настоящее Приложение содержит детали обработки Персональных данных Обработчиком от имени Контролёра, как требуется статьёй 28(3) GDPR.
A. Список Сторон
Экспортёр данных (Контролёр):
| Поле | Значение |
|---|---|
| Наименование | [ПОЛНОЕ ЮРИДИЧЕСКОЕ НАИМЕНОВАНИЕ КЛИЕНТА] |
| Адрес | [Адрес] |
| Контактное лицо | [Имя, должность] |
| [Email] | |
| Деятельность, относящаяся к передаваемым данным | Использование Услуг dialektai.org во внутренних деловых целях |
| Роль | Контролёр |
Импортёр данных (Обработчик):
| Поле | Значение |
|---|---|
| Наименование | ТОО «Dialekt.ai» |
| Адрес | Республика Казахстан, г. Астана, район Есиль, ул. Е 652, дом 4, помещение 1, индекс 010000 |
| Контактное лицо | Жумагалиев Диас Кайсарович, Директор |
| [email protected] | |
| Деятельность, относящаяся к передаваемым данным | Предоставление программного продукта dialektai.org, лицензирование и услуги поддержки |
| Роль | Обработчик |
B. Описание передачи
Категории Субъектов данных, чьи Персональные данные обрабатываются:
- Уполномоченные пользователи Контролёра (сотрудники, подрядчики, агенты);
- Администраторы учётной записи Контролёра;
- Иные физические лица, чьи Персональные данные Контролёр выбирает направить в Услуги для целей коммуникаций по транзакциям или поддержке.
Категории обрабатываемых Персональных данных:
- Идентификационные данные (имя, адрес электронной почты, должность в организации Контролёра);
- Аутентификационные данные (токены magic-link, токены сессий);
- Данные учётной записи и Рабочего пространства (назначенные места/роли, временные метки, последний вход);
- Контент, направляемый в Услуги: промпты и сообщения чатов с ИИ-агентами и ИИ-командами; загруженные файлы и документы; базы знаний и их производные индексы; конфигурации ИИ-агентов и ИИ-команд — а также любые персональные данные, которые такой контент может содержать;
- Промпты и контекст, передаваемые Провайдерам облачных LLM для генерации ответов;
- Содержание коммуникаций (когда уполномоченные пользователи обращаются в поддержку dialekt);
- Технические метаданные (IP-адреса, user-agent, журналы доступа).
Специальные категории Персональных данных: отсутствуют, если Контролёр отдельно не уведомил Обработчика письменно согласно пункту 4.5 DPA.
Частота передачи: непрерывно (в течение срока действия Основного соглашения).
Характер обработки: хранение, извлечение, передача, удаление и иные операции, необходимые для предоставления Услуг.
Цели обработки:
- создание и поддержание Рабочего пространства (арендатора) Контролёра в облаке dialekt;
- облачная обработка и хранение контента Контролёра для создания и работы ИИ-агентов и ИИ-команд (чаты, файлы, базы знаний, конфигурации);
- передача промптов и контекста Провайдерам облачных LLM для генерации ответов;
- аутентификация пользователей и предоставление доступа;
- предоставление технической поддержки уполномоченным пользователям;
- выставление счетов и биллинг;
- мониторинг безопасности и реагирование на инциденты.
Срок хранения Персональных данных:
- В течение срока действия Основного соглашения плюс сроки, указанные в графике хранения Политики конфиденциальности.
Для передач (Суб-)обработчикам: см. Приложение 3.
C. Компетентный Надзорный орган
Для передач, регулируемых SCC: надзорный орган Государства-члена, в котором учреждён Контролёр, или, если Контролёр не учреждён в ЕЭЗ, — надзорный орган [Ирландии / Государства-члена, в котором учреждён представитель ЕС].
Для передач, регулируемых Законом РК о персональных данных: Комитет по защите персональных данных Республики Казахстан.
ПРИЛОЖЕНИЕ 2 — ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ (ТОМ)
Обработчик внедряет и поддерживает следующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, в соответствии со статьёй 32 GDPR.
1. Псевдонимизация и шифрование Персональных данных
| Мера | Описание |
|---|---|
| Шифрование при передаче | Все коммуникации с Услугами защищены TLS 1.2 или выше (HTTPS). Передача email использует STARTTLS или явный TLS на стандартных портах. |
| Шифрование в покое | Производственные управляемые базы данных и объектное хранилище размещены на зашифрованных файловых системах. Контент Контролёра (чаты, промпты, файлы, базы знаний, конфигурации агентов) защищён шифрованием при хранении. Секреты и ключи доступа хранятся в защищённом хранилище секретов. |
| Управление ключами | Ключи шифрования управляются в соответствии с лучшими отраслевыми практиками. Производственные ключи недоступны для разработчиков. |
2. Конфиденциальность, целостность, доступность и устойчивость систем обработки
| Мера | Описание |
|---|---|
| Контроль доступа | Контроль доступа на основе ролей (RBAC) применяется ко всем административным конечным точкам. Аутентификация требуется для всех операций на стороне облака. |
| Многофакторная аутентификация | Обязательна для всех административных учётных записей с доступом к Персональным данным клиентов. |
| Аудит-логирование | Все административные действия с арендаторами клиентов записываются в неизменяемый аудит-лог с хранением 3 года. |
| Сетевая безопасность | Производственная инфраструктура защищена брандмауэром веб-приложений (Cloudflare). Защита от DDoS включена. |
| Управление уязвимостями | Производственные системы обновляются в соответствии с рекомендациями производителей. Критические патчи безопасности применяются в течение 7 дней с момента выпуска. |
| Безопасность конечных устройств | Устройства персонала, имеющие доступ к производственным системам, подлежат базовым требованиям безопасности (полнодисковое шифрование, блокировка экрана, обновления ОС). |
3. Восстановление доступности и доступа после инцидента
| Мера | Описание |
|---|---|
| Резервные копии | Ежедневные зашифрованные снимки производственной БД PostgreSQL. |
| Срок хранения резервных копий | Скользящее окно 7 дней. |
| Тестирование восстановления | Восстановление из резервных копий тестируется не реже одного раза в квартал. |
| Аварийное восстановление | Документированная процедура аварийного восстановления поддерживается и пересматривается не реже одного раза в год. |
4. Регулярное тестирование, оценка и анализ
| Мера | Описание |
|---|---|
| Пересмотр процессов | Процедуры информационной безопасности пересматриваются не реже одного раза в год. |
| Ревью кода | Все изменения производственного кода проходят peer-review до развёртывания. |
| Тесты на проникновение | Внешние тесты на проникновение проводятся до общедоступного выпуска новых мажорных версий Услуг и не реже одного раза в год после, когда стадия развития Обработчика это оправдывает. |
| Логирование и мониторинг | События, важные для безопасности, логируются. Аномалии анализируются вручную. |
5. Идентификация и авторизация пользователей
| Мера | Описание |
|---|---|
| Уникальные учётные данные | Каждый уполномоченный пользователь идентифицируется уникальной учётной записью. Общие учётные записи запрещены. |
| Аутентификация | Применяется беспарольная аутентификация по одноразовым ссылкам (magic-link), направляемым на подтверждённый email. Пароли пользователей не используются и не хранятся. Социальный вход (Google/Apple и т.п.) не используется. |
| Управление сессиями | Сессии истекают после определённого периода неактивности. |
6. Минимизация, точность и ограничение хранения данных
| Мера | Описание |
|---|---|
| Минимизация данных | Собираются только данные, необходимые для Услуг, в соответствии с Политикой конфиденциальности. |
| Точность | Уполномоченные пользователи могут исправить данные своей учётной записи через пользовательский интерфейс или связавшись с [email protected]. |
| Ограничение хранения | Персональные данные хранятся только в течение сроков, указанных в графике хранения Политики конфиденциальности. |
7. Меры в отношении персонала
| Мера | Описание |
|---|---|
| Обязательства о конфиденциальности | Весь персонал, имеющий доступ к Персональным данным, связан письменными обязательствами о конфиденциальности. |
| Обучение | Персоналу предоставляется обучение по защите данных и информационной безопасности при найме и в надлежащие интервалы. |
| Проверки прошлого | Проверки прошлого проводятся для персонала с привилегированным доступом, где это допустимо применимым законом. |
8. Управление Субобработчиками
| Мера | Описание |
|---|---|
| Отбор | Субобработчики выбираются с учётом их обязательств по безопасности и защите данных. |
| Договорные обязательства | Каждый Субобработчик связан письменным договором, налагающим обязательства по защите данных не менее защитные, чем в настоящем DPA. |
| Мониторинг | Обработчик периодически анализирует положение Субобработчиков по безопасности и соблюдению требований. |
9. Управление инцидентами
| Мера | Описание |
|---|---|
| Реагирование на инциденты | Документированная процедура реагирования на инциденты поддерживается и охватывает идентификацию, локализацию, устранение, восстановление и извлечение уроков. |
| Уведомление о нарушениях | Обработчик уведомляет Контролёра о любом Нарушении безопасности Персональных данных в соответствии с пунктом 3.8 DPA. |
| Канал отчётности | Сообщения о безопасности можно направлять на [email protected]. |
10. Архитектурные меры, специфичные для dialekt
| Мера | Описание |
|---|---|
| Изоляция арендаторов (мультитенантность) | Данные каждого Рабочего пространства логически изолированы; доступ к контенту ограничен рамками соответствующего арендатора на уровне приложения и базы данных. |
| Управляемая передача Провайдерам облачных LLM | Промпты и контекст передаются Провайдерам облачных LLM как Субобработчикам по защищённым каналам исключительно для генерации ответов ИИ-агентов и ИИ-команд. |
| Запрет обучения на контенте Контролёра | Обработчик не использует контент Контролёра для обучения собственных или сторонних моделей. |
| Будущая редакция Self-host | Планируемая редакция самостоятельного размещения позволит Контролёру размещать Услуги на собственной инфраструктуре; до её общедоступного выпуска применяется облачный Сервис по умолчанию. |
Настоящее Приложение 2 может быть обновлено Обработчиком время от времени для отражения улучшений технических и организационных мер Обработчика. Обновления, которые существенно снижают уровень защиты, требуют предварительного письменного согласия Контролёра.
ПРИЛОЖЕНИЕ 3 — УТВЕРЖДЁННЫЕ СУБОБРАБОТЧИКИ
Обработчик привлекает следующих Субобработчиков для обработки Персональных данных от имени Контролёра. Текущий авторитетный список опубликован на https://dialektai.org/legal/sub-processors.
| Субобработчик | Юридическое лицо | Адрес | Страна | Услуга | Категории Персональных данных |
|---|---|---|---|---|---|
| Поставщик облачного хостинга и баз данных | [ЗАПОЛНЯЕТСЯ — юр. лицо] | [адрес] | [регион хостинга — уточняется] | Размещение управляемых баз данных и приложения | Весь обрабатываемый контент Контролёра, учётные данные, метаданные |
| Поставщик объектного хранилища | [ЗАПОЛНЯЕТСЯ — юр. лицо] | [адрес] | [регион хостинга — уточняется] | Хранение загруженных файлов и документов | Загруженные файлы и документы Контролёра |
| DeepSeek | [ЗАПОЛНЯЕТСЯ — юр. лицо] | [адрес] | КНР | Основной провайдер LLM: генерация ответов ИИ-агентов и ИИ-команд | Промпты, контекст диалогов (может содержать персональные данные) |
| OpenRouter / Anthropic / OpenAI / Google | [ЗАПОЛНЯЕТСЯ по применимости] | [адрес] | США | Провайдеры/маршрутизация LLM: генерация ответов | Промпты, контекст диалогов (может содержать персональные данные) |
| Cloudflare, Inc. | Cloudflare, Inc. | 101 Townsend Street, San Francisco, CA 94107 | США | DNS, маршрутизация трафика, защита от DDoS | IP-адреса, метаданные запросов |
| Zoho Corporation Pvt. Ltd. | Zoho Corporation | 4141 Hacienda Drive, Pleasanton, CA 94588 | США | Электронные коммуникации (транзакционные: magic-link, инвойсы) | Адреса электронной почты, имена, содержание коммуникаций |
Провайдеры облачных LLM являются Субобработчиками Обработчика. Для генерации ответов ИИ-агентов и ИИ-команд Обработчик передаёт им промпты и контекст по поручению Контролёра. Основной провайдер — DeepSeek (обработка в КНР); могут привлекаться OpenRouter, Anthropic, OpenAI, Google и иные провайдеры. Актуальный авторитетный список Субобработчиков опубликован на https://dialektai.org/legal/sub-processors. Привлечение новых Субобработчиков осуществляется в порядке Раздела 5 настоящего DPA.
ПРИЛОЖЕНИЕ 4 — ДОПОЛНЕНИЯ ПО ЮРИСДИКЦИЯМ
A. Положения, специфичные для Казахстана
Если Контролёр учреждён в Республике Казахстан или обрабатывает Персональные данные, регулируемые Законом РК о персональных данных:
A.1 Обработчик зарегистрирован как оператор персональных данных в Комитете по защите персональных данных Республики Казахстан; указание Контролёра обработать Персональные данные не передаёт статус оператора Обработчику.
A.2 Когда Контролёр передаёт Персональные данные, регулируемые Законом РК о персональных данных, Обработчику или его Субобработчикам, расположенным за пределами Казахстана, Контролёр заявляет и гарантирует, что получил согласия, требуемые статьями 7–8 Закона РК о персональных данных, от соответствующих Субъектов данных, либо что применяется иное законное основание для такой передачи.
A.3 Обработчик содействует Контролёру по разумному запросу в ответах на запросы или действия Комитета по защите персональных данных Республики Казахстан, затрагивающие Персональные данные, обрабатываемые по настоящему DPA.
B. Положения, специфичные для Великобритании
Когда Персональные данные, регулируемые UK GDPR, обрабатываются по настоящему DPA, применяется Дополнение Великобритании, упомянутое в пункте 6.2 DPA.
C. Положения, специфичные для Швейцарии
Когда Персональные данные, регулируемые Швейцарским федеральным законом о защите данных, обрабатываются по настоящему DPA, применяются изменения, изложенные в пункте 6.3 DPA.
Конец шаблона DPA v1.0