Политика конфиденциальности
Продукт: dialektai.org Оператор персональных данных: Товарищество с ограниченной ответственностью "Dialekt.ai" (ТОО "Dialekt.ai") Дата вступления в силу: 25 апреля 2026 г. Версия: 1.0 Дата последнего обновления: 25 апреля 2026 г.
1. Введение и сфера применения
Настоящая Политика конфиденциальности (далее — «Политика») описывает порядок сбора, обработки, хранения и защиты персональных данных пользователей облачной мультитенантной платформы dialekt для создания и работы ИИ-агентов и ИИ-команд (далее — «Продукт»), веб-приложения и сайта по адресу https://dialektai.org (далее — «Сайт»), мобильного приложения и облачной инфраструктуры dialekt (совместно — «Сервисы»), осуществляемых Товариществом с ограниченной ответственностью «Dialekt.ai» (далее — «dialekt», «мы», «нас»).
Политика применяется к:
- посетителям Сайта, заполнившим форму регистрации;
- пользователям, использующим Продукт через веб-приложение по адресу https://dialektai.org или через мобильное приложение;
- авторизованным пользователям организаций-клиентов (Рабочих пространств), которым предоставлен доступ к Продукту;
- лицам, обратившимся к нам по любому из электронных адресов, указанных в разделе 16.
Политика не применяется к:
- контенту и персональным данным, которые клиент (Рабочее пространство) самостоятельно загружает или направляет в Продукт и в отношении которых dialekt действует как обработчик (processor) по поручению клиента — порядок такой обработки регулируется Соглашением об обработке данных (DPA) (см. раздел 4);
- сторонним сайтам и сервисам, на которые ведут ссылки с Сайта или из Продукта.
Сервисы предназначены для делового и профессионального использования лицами в возрасте 18 лет и старше. Мы не осуществляем целенаправленный сбор персональных данных несовершеннолетних (см. раздел 13).
2. Сведения об операторе
Оператором персональных данных в значении статьи 1 Закона Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее — «Закон о ПДн») и контролёром в значении статьи 4(7) Регламента (ЕС) 2016/679 (далее — «GDPR») является:
| Реквизит | Значение |
|---|---|
| Наименование | Товарищество с ограниченной ответственностью «Dialekt.ai» (ТОО «Dialekt.ai») |
| Бизнес-идентификационный номер (БИН) | 260140001608 |
| Дата государственной регистрации | 6 января 2026 года |
| Регистрирующий орган | Управление регистрации юридических лиц филиала НАО «Государственная корпорация „Правительство для граждан"» по городу Астана |
| Местонахождение (юридический адрес) | Республика Казахстан, г. Астана, район Есиль, улица Е 652, дом 4, н.п. 1, почтовый индекс 010000 |
| Действует на основании | Типового устава |
| Руководитель | Жумагалиев Диас Кайсарулы |
| Общий контактный адрес | [email protected] |
| Адрес для запросов по ПДн | [email protected] |
| Адрес для уведомлений о безопасности | [email protected] |
| Адрес для финансовых вопросов | [email protected] |
В отношении персональных данных, которые клиент (Рабочее пространство) направляет в Продукт для обработки своих ИИ-агентов и ИИ-команд, dialekt действует как обработчик (processor) по поручению клиента-оператора; в отношении учётных данных, данных Рабочего пространства и метаданных аккаунта dialekt действует как оператор (controller). Подробнее см. раздел 4 и Соглашение об обработке данных (DPA).
2.1 Уполномоченное лицо по защите персональных данных
В соответствии со статьёй 27 Закона о ПДн и статьёй 37 GDPR назначено уполномоченное лицо по защите персональных данных (Data Protection Officer, далее — «DPO»):
- ФИО: Жумагалиев Диас Кайсарулы
- Электронный адрес: [email protected]
- Почтовый адрес: указан в разделе 2 выше
2.2 Представитель в Европейском Союзе
В соответствии со статьёй 27 GDPR назначен представитель в Европейском Союзе:
- Представитель: [PRIGHTER GROUP — заполняется после завершения регистрации]
- Адрес: [АДРЕС В ЕС — заполняется]
- Электронный адрес: [АДРЕС ПРЕДСТАВИТЕЛЯ — заполняется]
2.3 Представитель в Соединённом Королевстве
Представитель в Соединённом Королевстве на дату вступления в силу настоящей Политики не назначен. Субъекты ПДн, проживающие в Великобритании, вправе обращаться непосредственно к оператору по адресам [email protected] или [email protected].
3. Определения
- «Персональные данные» — сведения, относящиеся к определённому или определяемому субъекту персональных данных.
- «Обработка» — действия, направленные на накопление, хранение, изменение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.
- «Субъект ПДн» — физическое лицо, к которому относятся персональные данные.
- «Третье лицо, осуществляющее обработку по поручению оператора» (sub-processor) — третья сторона, привлечённая нами для обработки персональных данных от нашего имени.
- «Трансграничная передача» — передача персональных данных на территорию иностранных государств.
- «Облачный LLM-провайдер» — сторонний облачный сервис большой языковой модели (например, DeepSeek, OpenRouter, Anthropic, OpenAI, Google), которому Продукт передаёт запросы (промпты) пользователя для генерации ответов ИИ-агентов и ИИ-команд (см. раздел 7).
- «Рабочее пространство» — выделенный арендатор (tenant) клиента в облаке dialekt, в рамках которого создаются и работают ИИ-агенты и ИИ-команды клиента.
- «Самостоятельное размещение (Self-host)» — планируемая (пока недоступная) редакция Продукта, размещаемая на инфраструктуре самого клиента; положения о хранении данных на инфраструктуре клиента относятся исключительно к этой будущей редакции, а не к облачному Сервису по умолчанию.
4. Категории обрабатываемых персональных данных
4.1 Регистрационные данные
| Поле | Тип | Обязательное | Источник |
|---|---|---|---|
| Адрес электронной почты | Идентификатор | Да | Предоставляется пользователем |
| Полное имя (ФИО) | Идентификатор | Да | Предоставляется пользователем |
| Страна проживания | Демографические | Да | Предоставляется пользователем (ISO 3166-1) |
| Цели использования Продукта | Свободный текст | Да | Предоставляется пользователем |
| Источник перехода (UTM-метки) | Маркетинговые метаданные | Нет | Захватывается автоматически из URL |
| IP-адрес | Технические | Да | Захватывается автоматически (антифрод) |
| User-agent браузера | Технические | Да | Захватывается автоматически (антифрод) |
4.2 Платёжные данные (для лицензированных клиентов)
| Поле | Тип | Обязательное | Источник |
|---|---|---|---|
| Наименование плательщика | Идентификатор | Да | Предоставляется клиентом |
| БИН / ИИН / иной налоговый идентификатор | Налоговый идентификатор | Да для юр. лиц РК | Предоставляется клиентом |
| Банковские реквизиты | Финансовые | Да для платежей SEPA/SWIFT | Предоставляется клиентом |
| История инвойсов | Финансово-операционная | Да | Формируется нами |
4.3 Контент, обрабатываемый и хранимый в облаке dialekt
dialekt — это облачный Сервис. Следующие категории данных обрабатываются и хранятся в облачной инфраструктуре dialekt (управляемые базы данных и объектное хранилище) в целях предоставления функций создания и работы ИИ-агентов и ИИ-команд:
- запросы пользователя к ИИ-агентам и большим языковым моделям (промпты);
- сообщения и история переписки (чатов) с ИИ-агентами и ИИ-командами;
- загруженные пользователем файлы и документы;
- базы знаний, включая производные индексы (векторные и графовые) для поиска и извлечения;
- конфигурации ИИ-агентов и ИИ-команд (инструкции, настройки, подключённые инструменты).
В отношении этих данных, направляемых клиентом (Рабочим пространством), dialekt действует как обработчик (processor) по документированному поручению клиента, выступающего оператором. Порядок такой обработки детально регулируется Соглашением об обработке данных (DPA). dialekt не использует контент клиента для обучения собственных или сторонних моделей.
Доступ к этим данным защищён мерами, описанными в разделе 9 (шифрование при передаче и хранении, ролевой контроль доступа, журналы аудита). Положения о хранении данных на инфраструктуре самого клиента относятся исключительно к будущей редакции Self-host (см. раздел 3) и не применяются к облачному Сервису по умолчанию.
4.4 Передача запросов облачным LLM-провайдерам
Для генерации ответов ИИ-агентов и ИИ-команд Продукт передаёт запросы (промпты) и необходимый контекст облачным LLM-провайдерам, выступающим в качестве третьих лиц, осуществляющих обработку по нашему поручению (sub-processors). Основным провайдером является DeepSeek; могут использоваться также OpenRouter, Anthropic, OpenAI, Google и иные провайдеры (см. раздел 7). Такая передача может осуществляться в иностранные юрисдикции (см. раздел 8 — трансграничная передача).
4.5 Журналы облачной инфраструктуры
- журналы HTTP-доступа (путь, код ответа, временная метка, IP, user-agent);
- журналы ошибок приложения;
- события аутентификации (вход по magic-link, выход, неудачные попытки).
4.6 Коммуникации
При обращении к нам по электронной почте мы обрабатываем содержание сообщения, электронный адрес и приложенные файлы.
4.7 Cookie и трекинг на Сайте
На Сайте используются исключительно строго необходимые cookie. Мы не используем сторонние сервисы аналитики, рекламные cookie или техники цифрового отпечатка.
5. Цели обработки и правовые основания
| Цель обработки | Основание по GDPR (ст. 6) | Основание по Закону о ПДн |
|---|---|---|
| Создание и поддержание учётной записи и Рабочего пространства | Исполнение договора (ст. 6(1)(b)) | Согласие и исполнение договора (ст. 7) |
| Аутентификация по magic-link и предоставление доступа к Продукту | Исполнение договора (ст. 6(1)(b)) | Согласие и исполнение договора |
| Облачная обработка и хранение запросов, чатов, файлов и баз знаний для работы ИИ-агентов и ИИ-команд | Исполнение договора (ст. 6(1)(b)); обработка по поручению оператора-клиента (ст. 28) | Исполнение договора; обработка по поручению (ст. 6(1) Закона о ПДн) |
| Передача запросов облачным LLM-провайдерам для генерации ответов | Исполнение договора (ст. 6(1)(b)) | Согласие на трансграничную передачу (ст. 8) и исполнение договора |
| Операционные письма (вход по ссылке, уведомления безопасности) | Исполнение договора / законный интерес (ст. 6(1)(b), 6(1)(f)) | Согласие и исполнение договора |
| Маркетинговые рассылки | Согласие (ст. 6(1)(a)), отдельный opt-in | Отдельное явное согласие (ст. 8) |
| Антифрод (IP, user-agent) | Законный интерес (ст. 6(1)(f)) | Законный интерес оператора |
| Выставление и хранение счетов, налоговый учёт | Исполнение требований закона (ст. 6(1)(c)) | Налоговый кодекс РК |
| Квалификация лидов (проверка поля «цели использования») | Законный интерес (ст. 6(1)(f)) | Согласие (ст. 7) |
| Ответы на запросы субъектов ПДн | Исполнение требований закона (ст. 6(1)(c)) | Исполнение требований закона (ст. 24–27) |
| Расследование инцидентов безопасности | Законный интерес / закон | Исполнение требований закона (ст. 25) |
5.1 Маркетинговые коммуникации и согласие
Маркетинговые рассылки направляются только субъектам, предоставившим отдельное, явное, добровольное, непредзаполненное согласие. Каждое письмо содержит ссылку для отказа от рассылки в один клик.
5.2 Автоматизированное принятие решений
Мы не осуществляем автоматизированного принятия решений, влекущего правовые последствия для субъектов ПДн, в значении статьи 22 GDPR.
6. Сроки хранения
| Категория данных | Срок хранения | Действие по истечении |
|---|---|---|
| Активная учётная запись и Рабочее пространство | На срок действия договора с клиентом | Удаление в течение 30 дней после запроса |
| Контент клиента в облаке (чаты, промпты, файлы, базы знаний, конфигурации агентов) | На срок действия Рабочего пространства; удаляется по указанию клиента-оператора | Удаление из активных систем в течение 30 дней (см. п. 6.1 и DPA) |
| Trial-учётка, не перешедшая в платный план | 12 месяцев с даты последней активности | Обезличивание или удаление |
| Инвойсы и платёжные документы | 5 лет с даты выставления | Архивное хранение (Налоговый кодекс РК) |
| Журналы доставки email | 30 дней | Удаление |
| Журналы HTTP-доступа | 90 дней | Ротация и удаление |
| IP-адреса при регистрации | 30 дней | Удаление |
| Внутренний журнал админских действий | 3 года | Архивное хранение |
| Записи о маркетинговом согласии | На срок согласия + 3 года после отзыва | Удаление |
| Записи о запросах прав субъектов ПДн | 3 года с даты ответа | Удаление |
6.1 Удаление и резервные копии
При получении подтверждённого запроса на удаление персональные данные удаляются из активных производственных систем в течение 30 дней. Остаточные копии в зашифрованных резервных снимках удаляются в рамках 7-дневного цикла ротации.
7. Третьи лица, осуществляющие обработку по нашему поручению
7.1 Инфраструктурные обработчики
| Обработчик | Юрисдикция | Категории данных | DPA |
|---|---|---|---|
| Поставщик облачного хостинга и баз данных | [уточняется — регион хостинга] | Размещение управляемых баз данных и приложения; весь обрабатываемый контент | — |
| Поставщик объектного хранилища | [уточняется — регион хостинга] | Хранение загруженных файлов и документов | — |
| Cloudflare, Inc. | США + глобальная edge-сеть | DNS, защита трафика, IP-адреса | https://www.cloudflare.com/cloudflare-customer-dpa/ |
| Zoho Corporation Pvt. Ltd. | США | Email: транзакционные письма (magic-link, инвойсы), адреса получателей, содержимое | https://www.zoho.com/dpa.html |
7.2 Облачные LLM-провайдеры (sub-processors)
Для генерации ответов ИИ-агентов и ИИ-команд dialekt передаёт запросы (промпты) и необходимый контекст облачным LLM-провайдерам, которые выступают в качестве третьих лиц, осуществляющих обработку по нашему поручению (sub-processors). Основным провайдером является DeepSeek. Состав провайдеров может изменяться; актуальный список публикуется на https://dialektai.org/legal/sub-processors.
| Провайдер | Роль | Юрисдикция по умолчанию | Политика конфиденциальности |
|---|---|---|---|
| DeepSeek | Основной LLM-провайдер | КНР | https://www.deepseek.com/privacy |
| OpenRouter | Маршрутизация LLM-запросов | США | https://openrouter.ai/privacy |
| Anthropic | LLM-провайдер | США | https://www.anthropic.com/legal/privacy |
| OpenAI | LLM-провайдер | США | https://openai.com/policies/privacy-policy |
| Google (Gemini, Vertex AI) | LLM-провайдер | США | https://policies.google.com/privacy |
7.3 Будущие обработчики
Мы уведомляем клиентов не менее чем за 30 дней до привлечения нового обработчика, как описано в DPA.
8. Трансграничная передача персональных данных
8.1 Передача из Республики Казахстан
В рамках облачного Сервиса персональные данные субъектов ПДн в РК передаются за пределы Республики Казахстан:
- запросы (промпты) и контекст диалогов передаются облачным LLM-провайдерам (раздел 7.2), включая DeepSeek (КНР) и провайдеров в США, для генерации ответов ИИ-агентов и ИИ-команд;
- учётные данные и email передаются Zoho и Cloudflare (США);
- контент клиента может храниться у поставщиков облачного хостинга и объектного хранилища (регион уточняется).
США и КНР не входят в перечень государств с адекватным уровнем защиты по Закону о ПДн № 94-V. В связи с этим мы получаем отдельное явное согласие субъекта ПДн на трансграничную передачу в порядке статей 7–8 Закона о ПДн (см. тексты согласий). Без такого согласия предоставление Сервиса невозможно.
8.2 Передача из Европейской экономической зоны
Передача из ЕЭЗ в Казахстан (юрисдикция оператора) и в иные третьи страны (включая США и КНР через LLM-провайдеров) осуществляется на основании Стандартных договорных условий (SCC, Имплементационное решение ЕС 2021/914), дополненных мерами Оценки воздействия передачи. Передача в США может также осуществляться на основании EU-U.S. Data Privacy Framework для сертифицированных получателей.
8.3 Информирование о высокорисковых юрисдикциях
Передача запросов основному провайдеру DeepSeek осуществляется в КНР. Клиенты, для которых это критично (регулируемые отрасли — банки, медицина, госсектор), должны учитывать это при использовании Сервиса и обращаться к нам для обсуждения доступных конфигураций обработки.
9. Обеспечение безопасности
9.1 Технические меры
- Шифрование при передаче: TLS 1.2+ (HTTPS) для всего трафика к облаку dialekt. Email — STARTTLS или implicit TLS.
- Шифрование при хранении: управляемые базы данных и объектное хранилище размещены на зашифрованных файловых системах; контент клиента (чаты, файлы, базы знаний) защищён шифрованием при хранении.
- Изоляция арендаторов: данные каждого Рабочего пространства логически изолированы; доступ ограничен рамками арендатора.
- Контроль доступа: ролевой контроль доступа (RBAC) для эндпоинтов; аутентификация пользователей по magic-link, JWT для сессий.
- MFA: обязательна для всех административных учётных записей с доступом к данным клиентов.
- Журнал аудита: административные действия фиксируются в неизменяемом журнале, хранящемся 3 года.
- Резервное копирование: ежедневные зашифрованные снимки с 7-дневной ротацией.
9.2 Организационные меры
- доступ к данным — только для персонала, которому это необходимо;
- весь персонал связан обязательствами о конфиденциальности;
- обработчики привлекаются только на основании письменных соглашений об обработке.
9.3 Уведомление о нарушении безопасности
- уведомление надзорного органа — без неоправданной задержки, но не позднее 72 часов (статья 33 GDPR);
- уведомление субъектов ПДн — при высоком риске для их прав и свобод (статья 34 GDPR);
- уведомление Комитета по защите персональных данных РК.
10. Раскрытие персональных данных третьим лицам
Мы не продаём персональные данные. Раскрытие осуществляется только обработчикам (раздел 7), по требованию закона, для защиты прав или при передаче бизнеса.
11. Ваши права
11.1 Права по GDPR (ЕЭЗ, Великобритания, Швейцария)
- Право на доступ (ст. 15)
- Право на исправление (ст. 16)
- Право на удаление (ст. 17)
- Право на ограничение обработки (ст. 18)
- Право на переносимость данных (ст. 20)
- Право на возражение (ст. 21)
- Право отозвать согласие (ст. 7(3))
- Право не подвергаться автоматизированному принятию решений (ст. 22)
- Право подать жалобу в надзорный орган страны проживания
11.2 Права по Закону о ПДн (Республика Казахстан)
- Право на получение информации об обработке (ст. 24)
- Право на изменение (ст. 25)
- Право на блокирование (ст. 26)
- Право на уничтожение (ст. 27)
- Право отозвать согласие
- Право обратиться с жалобой в Комитет по защите персональных данных РК
11.3 Порядок реализации прав
Обращайтесь по адресу [email protected] или [email protected]. Срок ответа — 30 календарных дней (может быть продлён до 60 в сложных случаях).
12. Cookie
| Cookie | Поставщик | Назначение | Срок | Тип |
|---|---|---|---|---|
__cf_bm | Cloudflare | Защита от ботов | 30 минут | Строго необходимые |
cf_clearance | Cloudflare | Подтверждение проверки | 30 мин – 1 год | Строго необходимые |
13. Несовершеннолетние
Сервисы предназначены для лиц от 18 лет. Если несовершеннолетний предоставил данные, обратитесь по адресу [email protected] — данные будут удалены без неоправданной задержки.
14. Изменения настоящей Политики
О существенных изменениях мы уведомляем по электронной почте не менее чем за 30 дней. Архивные версии доступны по запросу через [email protected].
15. Применимое право
Настоящая Политика регулируется правом Республики Казахстан и GDPR. При разном уровне защиты применяется режим, более благоприятный для субъекта ПДн.
16. Контактная информация
- Запросы прав, жалобы, отзыв согласия: [email protected]
- DPO: [email protected]
- Инциденты безопасности: [email protected]
- Финансовые вопросы: [email protected]
- Общие вопросы: [email protected]
ТОО «Dialekt.ai», Республика Казахстан, г. Астана, район Есиль, ул. Е 652, дом 4, н.п. 1, индекс 010000
Конец Политики конфиденциальности, версия 1.0