Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок сбора, обработки, хранения, передачи и защиты персональных данных пользователей сервиса OpenFace (далее — «Сервис»).

1.2. Политика разработана в соответствии с Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее — «Закон о ПД»).

1.3. Давая согласие на обработку персональных данных при регистрации в Сервисе, Пользователь подтверждает, что ознакомлен с настоящей Политикой и принимает её условия.

Оператор персональных данных:
ТОО «OpenFace»
БИН: [указать БИН]
Юридический адрес: [указать адрес]
Email: support@openface.kz
Ответственный за обработку ПД: [указать ФИО и должность]

2. Какие данные мы собираем

В рамках использования Сервиса мы собираем следующие категории персональных данных:

2.1. Основные данные

Номер мобильного телефона — для регистрации, авторизации (SMS OTP) и уведомлений о сделках
IP-адрес — фиксируется при каждом входе и каждом согласии
User-Agent (данные браузера/устройства) — фиксируется при каждом входе и каждом согласии

2.2. Данные для верификации личности

ИИН (Индивидуальный идентификационный номер) — получаем через систему eGov (цифровое удостоверение, доступное в Kaspi.kz, Halyk Bank, Freedom Bank, BCC (БанкЦентрКредит), eGov Mobile) с согласия Пользователя; хранится в зашифрованном виде (AES-256-CBC)
ФИО (фамилия, имя, отчество) — получаем через систему eGov; хранится в зашифрованном виде (AES-256-CBC)
Фотография из документа — получаем через систему eGov; хранится в формате Base64 в защищённой базе данных

2.3. Биометрические данные (особая категория)

Особая категория персональных данных (ст. 1 п. 5-1 Закона о ПД)

Фотография лица (liveness) — получаемая в ходе проверки живости через Verigram
Результат сопоставления лиц (face match score) — числовой показатель совпадения лица

Обработка биометрических данных осуществляется исключительно с отдельного явного согласия Пользователя и только для целей верификации личности. Подробнее — в документе Согласие на обработку биометрических данных.

2.4. Данные о сделках

Описание объекта сделки — текстовое описание, тип сделки, цена, дополнительные условия
Сгенерированные ИИ поля — дополнительные поля и рекомендации, созданные ИИ-анализом
Статус сделки — создана, приглашение отправлено, принята, отклонена, завершена
Результаты верификации — статус прохождения, оценка face match

2.5. Загруженные файлы

Фотографии и видео — прикреплённые к сделке материалы (форматы: JPG, PNG, MP4; максимальный размер: 10 МБ)

2.6. Сообщения чата

Текстовые сообщения — переписка между сторонами сделки в рамках функции чата

2.7. Технические данные

Данные сессий — токен авторизации, время входа, время истечения
Данные о согласиях — тип согласия, версия документа, дата, IP, User-Agent
Транзакции баланса — суммы, типы операций, даты

3. Цели обработки персональных данных

Мы обрабатываем ваши персональные данные для следующих целей:

Цель	Данные	Основание
Регистрация и авторизация	Телефон, OTP-код	Исполнение договора (оферты)
Верификация личности	ИИН, ФИО, фото документа, биометрия	Согласие субъекта
Обеспечение безопасности сделок	Данные верификации, liveness, face match	Согласие субъекта, исполнение договора
ИИ-анализ сделки	Описание сделки (обезличенное)	Исполнение договора
SMS-уведомления	Номер телефона	Исполнение договора
Чат между сторонами	Текстовые сообщения	Исполнение договора
Хранение загруженных файлов	Фото, видео	Исполнение договора
Обеспечение безопасности	IP, User-Agent, сессии	Законный интерес оператора
Выполнение требований законодательства	Все данные	Требование закона

4. Как мы защищаем ваши данные

4.1. Шифрование данных

ИИН и ФИО хранятся в зашифрованном виде — алгоритм AES-256-CBC с уникальным ключом
Фотографии хранятся в формате Base64 в защищённой базе данных с ограниченным доступом
Токены сделок подписываются с использованием HMAC-SHA256
Все соединения защищены протоколом HTTPS (TLS 1.2+)

4.2. Организационные меры

Доступ к персональным данным имеют только уполномоченные сотрудники
Все действия с данными логируются (audit trail)
Применяется ограничение частоты запросов (rate limiting) для защиты от перебора
Регулярное обновление программного обеспечения и систем безопасности

5. Передача данных третьим лицам

Мы не продаём персональные данные Пользователей. Передача данных третьим лицам осуществляется только в следующих случаях:

5.1. Партнёры по верификации

Партнёр	Передаваемые данные	Цель	Юрисдикция
Система eGov (через Kaspi.kz, Halyk Bank, Freedom Bank, BCC, eGov Mobile)	Код цифрового удостоверения, номер телефона	Получение ИИН, ФИО, фото документа	Республика Казахстан
Verigram	Номер телефона, фото лица, фото документа	Проверка живости (liveness), сопоставление лиц (face match)	Республика Казахстан

5.2. Другие Пользователи

В рамках сделки другой стороне раскрываются: ФИО, фотография, номер телефона — для обеспечения взаимной идентификации и безопасности.

5.3. По требованию закона

Мы можем предоставить данные по запросу уполномоченных государственных органов РК в случаях и порядке, предусмотренных законодательством.

6. Трансграничная передача данных

Трансграничная передача

В процессе оказания услуг некоторые данные передаются на серверы за пределами Республики Казахстан в соответствии со ст. 16 Закона о ПД.

Получатель	Страна	Передаваемые данные	Цель
OpenAI, Inc.	США	Описание объекта сделки, тип сделки (обезличенные, без ИИН/ФИО/телефона)	ИИ-анализ: генерация рекомендаций, полей договора, PDF
SMSC.ru (ООО «СМС Центр»)	Россия	Номер телефона, текст SMS-сообщения	Отправка OTP-кодов и уведомлений о сделках

Меры защиты при трансграничной передаче:

Данные, передаваемые в OpenAI, являются обезличенными — не содержат ИИН, ФИО, номера телефона или иных идентифицирующих данных
Передача осуществляется по защищённым каналам связи (HTTPS/TLS)
Компания осуществляет трансграничную передачу на основании согласия субъекта ПД (п. 5 ст. 16 Закона о ПД)

7. ИИ-функционал и обработка данных

7.1. Сервис использует технологии искусственного интеллекта (модель OpenAI GPT) для анализа описания сделки и формирования рекомендаций.

7.2. Какие данные передаются:

Тип сделки (услуга, продажа, аренда)
Текстовое описание объекта сделки

7.3. Какие данные НЕ передаются в ИИ:

ИИН, ФИО, номер телефона, IP-адрес
Фотографии, биометрические данные
Данные верификации, сообщения чата

Отказ от ответственности: Результаты ИИ-анализа носят информационно-справочный характер, не являются юридической консультацией и не проходят проверку юристом. Пользователь самостоятельно принимает решение об использовании рекомендаций ИИ.

8. Загруженные файлы и медиа

8.1. Пользователь может прикреплять к сделке фотографии и видеоматериалы.

8.2. Допустимые форматы: JPEG, PNG (изображения), MP4 (видео). Максимальный размер файла: 10 МБ.

8.3. Загруженные файлы:

Хранятся на серверах Компании в Республике Казахстан;
Доступны обеим сторонам сделки;
Не передаются третьим лицам (за исключением случаев, предусмотренных законом);
Удаляются по запросу Пользователя или в случае удаления аккаунта.

8.4. Пользователь несёт полную ответственность за содержание загруженных файлов. Запрещается загружать материалы, нарушающие законодательство РК или права третьих лиц.

9. Чат между сторонами сделки

9.1. Сервис предоставляет функцию обмена текстовыми сообщениями между сторонами в рамках конкретной сделки.

9.2. Сообщения чата:

Хранятся в базе данных Сервиса;
Доступны только участникам конкретной сделки;
Не модерируются Компанией в автоматическом или ручном режиме;
Могут быть предоставлены по запросу уполномоченных государственных органов.

9.3. Компания не несёт ответственности за содержание сообщений, отправленных Пользователями. Пользователи обязаны соблюдать нормы делового общения и законодательство РК.

10. Срок хранения персональных данных

Категория данных	Срок хранения
Основные данные (телефон, сессии)	В течение срока использования Сервиса + 3 года после удаления аккаунта
Данные верификации (ИИН, ФИО, фото)	До отзыва согласия или удаления аккаунта
Биометрические данные	На время активных сделок; удаляются по запросу после завершения всех сделок
Данные о сделках	5 лет с момента завершения сделки (в соответствии с гражданским законодательством РК)
Сообщения чата	В течение срока хранения соответствующей сделки
Загруженные файлы	В течение срока хранения соответствующей сделки или до удаления Пользователем
Данные о согласиях	Бессрочно (для подтверждения факта согласия)
Транзакции баланса	5 лет (бухгалтерское законодательство РК)

11. Файлы cookie

11.1. Сервис использует следующие файлы cookie:

Cookie	Назначение	Срок	Тип
`auth_token`	Авторизация пользователя (поддержание сессии)	30 дней	Необходимый

11.2. Сервис не использует аналитические, рекламные или отслеживающие cookie-файлы.

11.3. Cookie auth_token является необходимым для работы Сервиса. Отключение данного cookie в настройках браузера приведёт к невозможности авторизации.

12. Ваши права

В соответствии со статьями 15, 18 Закона о ПД вы имеете следующие права:

                    Право на информацию — получить информацию о том, какие ваши данные обрабатываются, каким образом и кому передаются (ст. 15 Закона о ПД)
Право на доступ — запросить копию ваших персональных данных
Право на исправление — потребовать исправления неточных или неполных данных
Право на удаление — потребовать удаления ваших персональных данных (кроме случаев, когда хранение обязательно по закону)
Право на отзыв согласия — отозвать согласие на обработку ПД в любое время (ст. 8 Закона о ПД)
Право на ограничение обработки — потребовать ограничения обработки данных
Право на возражение — возразить против обработки данных в определённых случаях

                

Как реализовать свои права:

В Сервисе: «Профиль» → «Мои согласия» — для управления согласиями
По email: support@openface.kz
По телефону: +7 (XXX) XXX-XX-XX

Мы обязуемся рассмотреть ваш запрос в течение 15 рабочих дней с момента получения.

Последствия отзыва согласия:

Отзыв согласия на обработку ПД — приведёт к удалению аккаунта и всех данных в течение 30 дней. Активные сделки будут отменены.
Отзыв согласия на биометрию — вы не сможете создавать новые сделки и проходить верификацию. Активные сделки останутся доступны до завершения.

13. Возрастные ограничения

13.1. Сервис предназначен исключительно для лиц, достигших 18-летнего возраста.

13.2. Мы не собираем персональные данные несовершеннолетних лиц намеренно. Если нам станет известно, что мы обработали данные лица младше 18 лет, мы незамедлительно удалим такие данные и заблокируем аккаунт.

13.3. Если вам стало известно, что несовершеннолетнее лицо использует Сервис, просим сообщить нам по email: support@openface.kz.

14. Уведомление об утечке данных

14.1. В случае утечки или несанкционированного доступа к персональным данным Компания обязуется:

В течение 3 рабочих дней уведомить уполномоченный орган по защите персональных данных (МЦРИАП РК);
В течение 5 рабочих дней уведомить затронутых Пользователей посредством SMS или уведомления в Сервисе;
Принять незамедлительные меры по устранению последствий утечки;
Провести внутреннее расследование и зафиксировать результаты.

14.2. Уведомление Пользователей будет содержать: характер инцидента, перечень затронутых данных, предпринятые меры и рекомендации по минимизации рисков.

15. Уполномоченный орган

15.1. Если вы считаете, что ваши права в области персональных данных нарушены, вы вправе обратиться в уполномоченный государственный орган:

Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (МЦРИАП РК)

Адрес: 010000, г. Астана, пр. Мангилик Ел, 55/5
Телефон: +7 (7172) 74-99-22
Веб-сайт: gov.kz/memleket/entities/mdai
Электронное обращение: через портал eGov (egov.kz)

16. Изменения в Политике

16.1. Мы вправе обновлять настоящую Политику. О существенных изменениях мы уведомим Пользователей:

Через уведомление в Сервисе;
По SMS на зарегистрированный номер телефона.

16.2. Продолжая использовать Сервис после вступления изменений в силу, вы соглашаетесь с новой версией Политики.

16.3. Все предыдущие версии Политики доступны по запросу на email: support@openface.kz.

17. Контакты

ТОО «OpenFace»
Email: support@openface.kz
Телефон: +7 (XXX) XXX-XX-XX
Юридический адрес: [указать адрес]
Время работы: Пн-Пт, 9:00-18:00 (GMT+6)

Ответственный за обработку ПД: [указать ФИО]
Email: privacy@openface.kz