Соглашение об обработке персональных данных (Data Processing Agreement)

1. Общие положения

1.1. Настоящее Соглашение об обработке персональных данных (далее — «Соглашение», «DPA») регулирует отношения между Обработчиком и Контроллером в связи с обработкой персональных данных при использовании сервиса BoardIQ (далее — «Сервис»).

1.2. Настоящее Соглашение является неотъемлемой частью Пользовательского соглашения, Политики конфиденциальности и иных документов Сервиса и применяется во всех случаях, когда Пользователь использует Сервис как юридическое лицо, индивидуальный предприниматель, представитель бизнеса, заказчик услуг, владелец рекламных кабинетов, CRM, аналитических систем, сайтов, приложений или иных источников данных.

1.3. Настоящее Соглашение разработано с учетом законодательства Республики Казахстан, включая Закон Республики Казахстан «О персональных данных и их защите», а также подзаконные акты, регулирующие сбор, обработку и меры защиты персональных данных. Закон РК прямо закрепляет защиту прав субъекта персональных данных, а подзаконные правила — необходимость согласия либо иного законного основания и обязанность принимать меры защиты.

1.4. Настоящее Соглашение применяется к обработке персональных данных, которые передаются в Сервис, загружаются в Сервис, получаются через подключенные интеграции, передаются по API, webhook, формам, пикселям, CRM, рекламным платформам, аналитическим системам и иным подключенным источникам.

1.5. Использование Сервиса означает полное и безоговорочное принятие условий настоящего Соглашения.

2. Стороны Соглашения

2.1. Обработчик:

2.2. Контроллер — пользователь Сервиса, являющийся юридическим лицом, индивидуальным предпринимателем, представителем бизнеса или иным лицом, определяющим цели, состав, объем и правовые основания обработки персональных данных, передаваемых в Сервис.

3. Термины и толкование

3.1. Персональные данные — сведения, относящиеся к определенному или определяемому физическому лицу.

3.2. Субъект персональных данных — физическое лицо, к которому относятся персональные данные.

3.3. Контроллер — лицо, определяющее цели, содержание, состав, объем и правовые основания обработки персональных данных.

3.4. Обработчик — лицо, которое обрабатывает персональные данные по поручению Контроллера в пределах функционала Сервиса.

3.5. Клиентские данные — любые данные, в том числе персональные данные, которые Контроллер, его сотрудники, представители, подрядчики или иные уполномоченные лица передают в Сервис, синхронизируют с Сервисом либо делают доступными для Сервиса через интеграции.

3.6. Субобработчик — третье лицо, привлекаемое Обработчиком для исполнения отдельных технологических, инфраструктурных, коммуникационных, вычислительных, хостинговых, мониторинговых, логирующих, почтовых, резервных, аналитических и иных функций.

4. Роли сторон при обработке данных

4.1. Контроллер:

• самостоятельно определяет цели обработки персональных данных;
• самостоятельно определяет состав, перечень, категории и объем передаваемых в Сервис данных;
• самостоятельно определяет правовые основания обработки;
• самостоятельно определяет необходимость получения согласий, уведомлений, разрешений и иных оснований, предусмотренных законодательством.

4.2. Обработчик:

• обрабатывает персональные данные исключительно по поручению Контроллера;
• не определяет цели обработки персональных данных Контроллера;
• не определяет, какие персональные данные Контроллер должен собирать;
• не контролирует правомерность первоначального сбора данных Контроллером;
• не заменяет собой Контроллера и не принимает на себя его обязанности перед субъектами персональных данных, если иное прямо не предусмотрено законодательством Республики Казахстан.

4.3. Все действия Контроллера в Сервисе, включая регистрацию, добавление сотрудников, подключение интеграций, загрузку файлов, передачу данных по API, запуск синхронизации, настройку вебхуков, пикселей, форм, CRM и иных модулей, считаются надлежащими инструкциями Контроллера на обработку персональных данных.

4.4. Обработчик не обязан проверять законность, достаточность, корректность и допустимость инструкций Контроллера, за исключением случаев, когда их очевидная противоправность прямо вытекает из содержания таких инструкций.

5. Предмет обработки

5.1. Обработчик осуществляет обработку персональных данных от имени и по поручению Контроллера в объеме, необходимом для функционирования Сервиса.

5.2. Обработка осуществляется для обеспечения следующих функций Сервиса:

• прием, синхронизация, импорт и экспорт данных;
• интеграция с внешними платформами, CRM, аналитическими сервисами и иными системами;
• построение аналитических отчетов, дашбордов, сравнительных таблиц и иных визуализаций;
• сопоставление источников трафика, расходов, лидов, заказов, транзакций, кампаний, заявок, обращений, конверсий и иных событий;
• автоматизация рабочих процессов, связанных с аналитикой, маркетингом, отчетностью и интеграциями;
• хранение, передача, обработка, агрегация, фильтрация, сортировка и визуализация данных;
• предоставление технической поддержки;
• обеспечение безопасности, мониторинга, журналирования, резервного копирования, отказоустойчивости и восстановления.

6. Перечень категорий персональных данных

6.1. В рамках исполнения настоящего Соглашения Обработчик может обрабатывать следующие категории персональных данных, определяемые Контроллером в зависимости от используемого функционала Сервиса.

6.1.1. Идентификационные данные

• фамилия;
• имя;
• отчество;
• сокращенное имя;
• внутренний идентификатор пользователя;
• внешний идентификатор субъекта;
• идентификатор клиента в CRM;
• идентификатор заказа, заявки, сделки, бронирования или обращения;
• идентификаторы рекламных профилей, кабинетов, страниц, аккаунтов, бизнес-менеджеров, пикселей, счетчиков, тегов и аналогичных сущностей.

6.1.2. Контактные данные

• email;
• номер телефона;
• дополнительные контактные номера;
• username или login в системах Контроллера;
• адрес для переписки, если Контроллер передает его в Сервис;
• иные контактные сведения, загруженные Контроллером.

6.1.3. Учетные и авторизационные данные

• адрес электронной почты аккаунта;
• логин;
• пароль в хешированном, зашифрованном или ином защищенном виде;
• токены доступа;
• refresh tokens;
• технические ключи API;
• ключи webhook;
• сведения о сессиях, авторизациях, подтверждении email, смене пароля, доступе пользователей к проектам и рабочим пространствам.

6.1.4. Маркетинговые и рекламные данные

• данные о кампаниях, группах объявлений, объявлениях;
• рекламные идентификаторы;
• данные о показах, кликах, расходах, охватах, конверсиях;
• данные о лидах, заявках, заказах, транзакциях;
• данные о событиях, связанных с воронкой продаж, формами, пикселями, целями и иными метриками;
• сведения о каналах трафика, UTM-метках и аналогичных технических маркетинговых параметрах.

6.1.5. Данные CRM, аналитики и бизнес-процессов

• сведения о клиентах и лидах;
• история заявок и обращений;
• статусы сделок;
• сведения о продажах, заказах, оплатах;
• источники заявок и конверсий;
• данные из систем сквозной аналитики, коллтрекинга, BI, CMS и CRM.

6.1.6. Технические данные

• IP-адрес;
• user agent;
• тип устройства;
• модель устройства;
• операционная система;
• браузер;
• язык интерфейса;
• referrer;
• URL-параметры;
• cookie identifiers;
• local storage identifiers;
• session storage identifiers;
• device identifiers;
• browser identifiers;
• дата и время запроса;
• технические журналы и метаданные.

6.1.7. Коммуникационные данные

• содержание обращений в поддержку;
• переписка;
• вложения;
• скриншоты;
• служебные комментарии;
• иные материалы, добровольно переданные Контроллером или его представителями.

6.1.8. Платежные и расчетные данные

• данные о тарифе;
• история платежей;
• статус подписки;
• данные плательщика;
• маскированные данные платежного инструмента;
• идентификатор платежа или транзакции, если он передан в Сервис.

6.1.9. Иные данные

• любые иные категории персональных данных, которые Контроллер самостоятельно передал в Сервис, сделал доступными для Сервиса либо инициировал их получение через интеграции и API.

6.2. Обработчик не определяет исчерпывающий состав передаваемых Контроллером данных и не обязан проверять, какие именно категории данных Контроллер передает в Сервис.

6.3. Контроллер самостоятельно несет ответственность за то, чтобы состав передаваемых в Сервис данных был законным, необходимым, соразмерным заявленным целям и соответствовал применимому праву.

7. Цели обработки персональных данных

7.1. Обработчик обрабатывает персональные данные исключительно в следующих целях:

• предоставление доступа к Сервису;
• техническая эксплуатация Сервиса;
• выполнение инструкций Контроллера;
• построение аналитики и отчетности;
• интеграция со сторонними платформами;
• импорт, экспорт, преобразование и сопоставление данных;
• маршрутизация данных между системами;
• диагностика и устранение ошибок;
• обеспечение безопасности и предотвращение злоупотреблений;
• резервное копирование, журналирование и восстановление;
• сопровождение, развитие и поддержание стабильности Сервиса;
• выполнение обязательств Обработчика по Пользовательскому соглашению и связанным документам.

7.2. Обработчик не использует клиентские персональные данные для продажи третьим лицам.

7.3. Обработчик вправе использовать обезличенные, агрегированные и статистические данные, если такие данные не позволяют прямо или косвенно идентифицировать конкретного субъекта персональных данных.

8. Правовые основания и гарантии Контроллера

8.1. Контроллер подтверждает и гарантирует, что имеет надлежащие правовые основания для передачи персональных данных в Сервис, включая, в зависимости от применимого законодательства:

• согласие субъекта персональных данных;
• договор с субъектом;
• законный интерес;
• исполнение обязательств;
• иные предусмотренные законом основания.

8.2. Контроллер подтверждает и гарантирует, что:

• до передачи персональных данных в Сервис надлежащим образом уведомил субъектов персональных данных о сборе, обработке, хранении, использовании и передаче их данных;
• получил все необходимые согласия, если они требуются;
• обладает правом поручить обработку Обработчику;
• исполняет обязанности собственника и/или оператора персональных данных в объеме, установленном законодательством Республики Казахстан.

8.3. Закон РК и подзаконные правила напрямую связывают сбор и обработку персональных данных с согласием субъекта либо иным законным основанием, а также с обязанностью соблюдать меры защиты. Это базовая ответственность именно контролирующей стороны, определяющей цели и состав обработки.

8.4. Обработчик:

• не собирает согласия за Контроллера;
• не уведомляет субъектов персональных данных от имени Контроллера;
• не определяет правомерность источников данных Контроллера;
• не несет ответственности за отсутствие у Контроллера согласий, уведомлений, разрешений, правовых оснований или иных необходимых юридических предпосылок.

9. Инструкции Контроллера и пределы обработки

9.1. Обработка персональных данных осуществляется на основании:

• действий Контроллера в интерфейсе Сервиса;
• настроек аккаунта;
• подключенных интеграций;
• API-запросов;
• webhook;
• импортируемых файлов;
• служебных запросов в поддержку;
• иных действий, прямо инициированных Контроллером или его представителями.

9.2. Обработчик не обязан отдельно подтверждать каждую инструкцию Контроллера, если такая инструкция прямо или косвенно выражена через использование Сервиса.

9.3. Обработчик вправе не исполнять инструкцию Контроллера, если:

• ее исполнение очевидно нарушает законодательство Республики Казахстан;
• она создает непропорциональный риск для безопасности Сервиса;
• она технически невозможна;
• она выходит за пределы функционала Сервиса.

10. Субобработчики

10.1. Контроллер заранее соглашается с тем, что Обработчик вправе привлекать субобработчиков без получения отдельного согласия на каждого такого субобработчика.

10.2. К субобработчикам могут относиться:

• облачные и хостинг-провайдеры;
• провайдеры баз данных;
• провайдеры файлового хранения;
• CDN и сетевые провайдеры;
• email и SMTP-провайдеры;
• провайдеры транзакционных уведомлений;
• системы логирования и мониторинга;
• системы антибот-, антиспам- и anti-abuse защиты;
• инструменты журналирования, аналитики и диагностики;
• иные инфраструктурные и технологические подрядчики.

10.3. Обработчик вправе по своему усмотрению:

• добавлять новых субобработчиков;
• заменять существующих;
• прекращать использование отдельных субобработчиков;
• изменять архитектуру Сервиса и распределение инфраструктурных функций.

10.4. Привлечение субобработчиков не изменяет распределение ролей между Контроллером и Обработчиком.

11. Интеграции со сторонними платформами

11.1. Сервис может использовать интеграции с Meta, Facebook, Instagram, Google, YouTube, TikTok, Яндекс, CRM, CMS, системами сквозной аналитики, коллтрекинга, платежными системами и иными платформами.

11.2. При использовании интеграций Обработчик может обрабатывать персональные данные и иные клиентские данные в объеме, предоставленном Контроллером через OAuth, API-ключи, webhook, импорт, экспорт или иные механизмы.

11.3. Обработчик не несет ответственности за:

• политику обработки данных сторонних платформ;
• изменение API, лимитов, scopes, правил доступа и технических требований таких платформ;
• блокировки, ограничения, отключение или отзыв доступа к аккаунтам Контроллера;
• неполноту, искажение, утрату, недоступность или задержку данных на стороне таких платформ;
• любые действия Контроллера в интерфейсах сторонних платформ.

12. Конфиденциальность и доступ к данным

12.1. Обработчик обязуется обеспечивать конфиденциальность персональных данных, к которым он получает доступ в рамках исполнения настоящего Соглашения.

12.2. Доступ к персональным данным предоставляется только тем сотрудникам, подрядчикам и представителям Обработчика, которым такой доступ объективно необходим для:

• технической поддержки;
• обеспечения функционирования Сервиса;
• реагирования на инциденты;
• устранения ошибок;
• сопровождения инфраструктуры;
• резервного копирования, мониторинга и безопасности.

12.3. Обработчик вправе раскрывать данные:

• по требованию закона;
• по запросу суда или уполномоченного органа;
• при защите своих прав и законных интересов;
• в пределах, необходимых для работы субобработчиков;
• в иных случаях, прямо предусмотренных Пользовательским соглашением, Политикой конфиденциальности или законодательством Республики Казахстан.

13. Меры защиты персональных данных

13.1. Обработчик принимает разумные организационные и технические меры по защите персональных данных от незаконного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, утраты и иных неправомерных действий.

13.2. Такие меры могут включать:

• разграничение прав доступа;
• аутентификацию и авторизацию;
• шифрование или иные меры защиты при передаче и хранении, где применимо;
• журналирование действий и событий безопасности;
• резервное копирование;
• защиту от несанкционированного доступа;
• антибот- и anti-abuse механизмы;
• внутренние процедуры реагирования на инциденты;
• контроль действий подрядчиков и поставщиков инфраструктуры.

13.3. Законодательство РК и специальные правила 2023 года требуют от собственников, операторов и третьих лиц применения мер защиты персональных данных.

13.4. При этом Контроллер признает и соглашается, что абсолютная безопасность не может быть гарантирована ни одной информационной системой.

14. Кэширование, журналы, резервные копии и технические копии

14.1. Контроллер прямо соглашается, что в рамках функционирования Сервиса отдельные персональные данные могут временно или периодически храниться:

• в кэше;
• в логах;
• в очередях обработки;
• в служебных таблицах;
• во временных технических хранилищах;
• в резервных копиях;
• в системах мониторинга, трассировки и журналирования;
• в иных элементах инфраструктуры, необходимых для работы Сервиса.

14.2. В таких технических подсистемах могут временно содержаться, в том числе:

• фамилия, имя, отчество;
• email;
• номер телефона;
• идентификаторы пользователей;
• токены и технические метаданные;
• сведения об операциях, событиях, обращениях, синхронизациях и интеграциях;
• иные данные, которые были переданы в Сервис Контроллером.

14.3. Контроллер соглашается, что:

• технические копии данных могут не обновляться мгновенно;
• удаление данных в интерфейсе не означает их немедленное исчезновение из всех технических подсистем;
• отдельные данные могут сохраняться после удаления или изменения в рамках штатного жизненного цикла резервного копирования, синхронизации, журналирования, диагностики, восстановления и очистки инфраструктуры.

14.4. Такое хранение не считается нарушением настоящего Соглашения, если оно объективно связано с функционированием, безопасностью, стабильностью, отказоустойчивостью и обслуживанием Сервиса.

15. Инциденты безопасности

15.1. При выявлении инцидента информационной безопасности Обработчик вправе самостоятельно определить перечень необходимых мер реагирования.

15.2. При необходимости Обработчик может уведомить Контроллера об инциденте в разумный срок, если сочтет, что такой инцидент затрагивает персональные данные Контроллера и такое уведомление целесообразно с точки зрения характера инцидента и роли Обработчика.

15.3. Обработчик не обязан:

• уведомлять субъектов персональных данных напрямую;
• подавать уведомления в государственные органы вместо Контроллера;
• вести коммуникацию с третьими лицами по инциденту вместо Контроллера;
• нести расходы Контроллера по юридическому сопровождению, уведомлениям, внутренним расследованиям или внешним консультациям, если иное прямо не вытекает из обязательных норм закона.

16. Сроки обработки и хранения данных

16.1. Персональные данные обрабатываются в течение срока использования Сервиса Контроллером и/или до достижения целей обработки, если иной срок не вытекает из характера данных, архитектуры Сервиса, обязательств по закону или разумной необходимости защиты прав Обработчика.

16.2. Отдельные данные могут храниться дольше:

• в целях резервного копирования;
• в целях защиты от мошенничества;
• в целях расследования инцидентов;
• в целях аудита и журналирования;
• в целях восстановления данных;
• в целях подтверждения факта оказания услуг;
• в целях защиты прав и законных интересов Обработчика.

17. Удаление и возврат данных

17.1. По запросу Контроллера Обработчик вправе удалить данные, доступные для удаления в рамках архитектуры и функционала Сервиса.

17.2. Контроллер соглашается, что:

• удаление данных не всегда возможно немедленно;
• удаление может требовать идентификации Контроллера;
• удаление может быть ограничено обязательствами по закону;
• удаление может быть отложено до завершения штатного цикла резервного копирования, кэширования, очистки очередей, логов и иных технических подсистем.

17.3. Обработчик не обязан возвращать данные в каком-либо специальном формате, если иное не предусмотрено функционалом Сервиса или отдельным соглашением сторон.

18. Международная передача данных

18.1. Контроллер соглашается, что в связи с использованием облачной инфраструктуры, интеграций, субобработчиков и иных технологических решений персональные данные могут обрабатываться за пределами Республики Казахстан.

18.2. Такая передача допускается в той мере, в какой она необходима для функционирования Сервиса, исполнения инструкций Контроллера и эксплуатации технической инфраструктуры.

18.3. Контроллер принимает на себя обязанность убедиться, что у него имеются надлежащие правовые основания для такой передачи, если такие основания требуются применимым к нему правом.

19. Аудит, проверки и доступ к инфраструктуре

19.1. Контроллер не вправе:

• требовать доступ к внутренней инфраструктуре Обработчика;
• проводить собственные проверки систем Обработчика;
• требовать раскрытия архитектуры, конфигурации, исходного кода, внутренних логов, схем хранения данных, сетевой топологии и иной чувствительной технической информации;
• инициировать аудит Обработчика своими силами или силами третьих лиц без отдельного письменного согласования.

19.2. Обработчик вправе по своему усмотрению предоставлять общую информацию о применяемых мерах защиты, если сочтет это разумным и безопасным.

20. Ограничение ответственности Обработчика

20.1. Обработчик не несет ответственности за:

• законность сбора персональных данных Контроллером;
• отсутствие у Контроллера согласий субъектов персональных данных;
• отсутствие у Контроллера уведомлений субъектов персональных данных;
• незаконную передачу данных Контроллером в Сервис;
• действия или бездействие Контроллера, его сотрудников, подрядчиков, представителей и аффилированных лиц;
• действия третьих платформ, интеграций, субобработчиков, провайдеров связи и инфраструктурных поставщиков, если такие действия находятся вне разумного контроля Обработчика;
• невозможность мгновенного удаления данных из кэша, логов, резервных копий и иных технических подсистем;
• косвенные убытки, упущенную выгоду, репутационные потери, потерю клиентов, потерю контрактов, потерю бизнеса и иные подобные последствия.

20.2. Совокупная ответственность Обработчика по любым требованиям, связанным с настоящим Соглашением, ограничивается суммой, фактически уплаченной Контроллером за последние 3 (три) месяца использования Сервиса, предшествующие возникновению соответствующего требования.

20.3. Такое ограничение ответственности основано на принципе свободы договора, закрепленном в ГК РК, и является существенным условием использования Сервиса.

21. Возмещение убытков Контроллером

21.1. Контроллер обязуется возместить Обработчику, его аффилированным лицам, сотрудникам, представителям и подрядчикам любые убытки, расходы, издержки, требования, претензии, санкции, штрафы и судебные расходы, возникшие вследствие:

• незаконного сбора персональных данных Контроллером;
• отсутствия у Контроллера согласий субъектов персональных данных;
• отсутствия уведомления субъектов персональных данных;
• незаконной передачи данных в Сервис;
• нарушения Контроллером законодательства о персональных данных;
• нарушения Контроллером условий настоящего Соглашения;
• предъявления субъектами персональных данных, государственными органами, контрагентами Контроллера или иными третьими лицами претензий, вытекающих из неправомерных действий или бездействия Контроллера.

21.2. Обязательство по возмещению убытков действует независимо от прекращения использования Сервиса.

22. Конфиденциальность

22.1. Обработчик обязуется не раскрывать персональные данные и иную конфиденциальную информацию Контроллера, за исключением случаев, когда такое раскрытие:

• необходимо для работы Сервиса;
• требуется по закону;
• необходимо для защиты прав и законных интересов Обработчика;
• осуществляется субобработчику в объеме, необходимом для выполнения его функций.

23. Срок действия Соглашения

23.1. Настоящее Соглашение вступает в силу с момента начала использования Сервиса Контроллером и действует в течение всего срока использования Сервиса.

23.2. Положения о конфиденциальности, ограничении ответственности, возмещении убытков, хранении технических копий и разрешении споров продолжают действовать и после прекращения использования Сервиса в той мере, в какой это необходимо для защиты прав и законных интересов Обработчика.

24. Применимое право и споры

24.1. К настоящему Соглашению применяется право Республики Казахстан.

24.2. Все вопросы, прямо не урегулированные настоящим Соглашением, подлежат разрешению в соответствии с законодательством Республики Казахстан.

24.3. Споры подлежат разрешению путем переговоров, а при недостижении соглашения — в соответствии с применимым процессуальным и материальным правом Республики Казахстан.

25. Реквизиты Обработчика

Последнее обновление: 6 апреля 2026 г.