Соглашение об обработке персональных данных
(сбор, обработка, хранение и передача данных в сторонние системы для целей коммуникации, рассылок, автообзвона и AI)
Дата публикации: 13 апреля 2026 г.
1. Стороны и основания
1.1. Настоящее Соглашение заключается между Оператором персональных данных (Заказчик — пользователь сервиса GoFalah, владелец Проекта в CRM) и Обработчиком (Исполнитель — оператор сервиса GoFalah) в соответствии со ст. 1 п. 14 Закона Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее — Закон о ПДн).
1.2. Обработчик осуществляет обработку персональных данных исключительно по поручению и в интересах Оператора, в рамках предоставления функционала Сервиса.
1.3. Оператор гарантирует, что им получены необходимые согласия субъектов персональных данных на обработку в объёме и целях, определённых настоящим Соглашением (ст. 7, ст. 8 Закона о ПДн).
2. Категории данных и субъектов
| Категория субъектов | Состав данных | Основание |
|---|---|---|
| Пользователи Сервиса (сотрудники Оператора) | ФИО, email, телефон, должность, IP-адрес, журнал действий | Исполнение договора (ст. 7 п. 2) |
| Клиенты Оператора (контакты CRM) | ФИО, телефон, email, должность, компания, история коммуникаций, сделки | Согласие субъекта, полученное Оператором (ст. 7 п. 1) |
| Получатели рассылок | Телефон и/или email, имя, содержание отправленных сообщений | Согласие на рекламную рассылку (ст. 11 Закона «О рекламе») |
| Абоненты телефонных звонков | Номер телефона, записи разговоров, длительность, статус звонка | Уведомление и согласие (ст. 42 Закона «О связи») |
3. Цели обработки
Обработчик обрабатывает данные исключительно для следующих целей, определённых Оператором:
| Цель | Действия с данными | Нормативное основание |
|---|---|---|
| Ведение базы клиентов | Сбор, хранение, систематизация, изменение | Ст. 7 п. 1, 2 Закона о ПДн |
| Отправка сообщений через мессенджеры | Передача в Meta (WhatsApp, Instagram, Messenger, Threads), Telegram | Ст. 11 Закона «О рекламе», ст. 9-1, 41-2 Закона «О связи» |
| Отправка и получение email | Передача в Google (Gmail API), SMTP-серверы | Ст. 11 Закона «О рекламе» |
| Телефонные звонки и автообзвон | Передача в Zadarma/Sipuni/Mango Office, хранение записей | Ст. 42 Закона «О связи», ст. 11 Закона «О рекламе» |
| AI-коммуникация (чат-бот, обзвон) | Передача текста в Anthropic Claude API для генерации ответов | Ст. 7 п. 5 Закона о ПДн (автоматизированная обработка) |
| AI-аналитика (скоринг, рекомендации) | Передача обезличенных данных сделок в Anthropic Claude API | Ст. 7 п. 5 Закона о ПДн |
| Аналитика рекламных кампаний | Получение агрегированных метрик из Meta Marketing API | Ст. 7 п. 5 Закона о ПДн (законный интерес) |
4. Передача данных в сторонние системы
4.1. Данные передаются в сторонние системы только при явном подключении интеграции Оператором через настройки Сервиса. Без подключения данные не покидают инфраструктуру Сервиса.
4.2. Перечень сторонних систем и объём передаваемых данных:
| Система | Юрисдикция | Передаваемые данные | Основание передачи |
|---|---|---|---|
| Meta Platforms Inc. (WhatsApp) | США, ЕС | Номер телефона, содержание сообщений, медиафайлы | Согласие субъекта + ст. 16-2 Закона о ПДн |
| Meta Platforms Inc. (Instagram, Messenger, Threads) | США, ЕС | ID пользователя, содержание сообщений | Согласие субъекта + ст. 16-2 Закона о ПДн |
| Meta Platforms Inc. (Marketing API) | США, ЕС | Агрегированные метрики (без ПДн) | Законный интерес Оператора |
| Telegram Messenger LLP | ОАЭ, Великобритания | ID чата, содержание сообщений, медиафайлы | Согласие субъекта + ст. 16-2 Закона о ПДн |
| Google LLC (Gmail API) | США | Email-адрес, содержание писем, вложения | Согласие субъекта + ст. 16-2 Закона о ПДн |
| Zadarma B.V. | Нидерланды | Номер телефона, записи звонков | Согласие субъекта + уведомление о записи |
| ООО «Сипуни» | Россия | Номер телефона, записи звонков | Согласие субъекта + уведомление о записи |
| ПАО «Манго Телеком» | Россия | Номер телефона, записи звонков | Согласие субъекта + уведомление о записи |
| Anthropic PBC (Claude API) | США | Обезличенные данные сделок, текст запросов | Законный интерес + BYOK-модель (ключ Оператора) |
| Supabase Inc. | США | Все данные CRM (зашифрованы) | Договор с Обработчиком (ст. 1 п. 14 Закона о ПДн) |
| Vercel Inc. | США | Технические данные (логи запросов) | Договор с Обработчиком |
4.3. Трансграничная передача данных осуществляется в соответствии со ст. 16-1, 16-2 Закона о ПДн на основании согласия субъекта и/или договорных мер защиты.
5. Обязательства при рассылках и автообзвоне
5.1. Оператор обязуется при осуществлении рассылок через Сервис:
- Иметь документально подтверждённое согласие каждого получателя на получение сообщений (ст. 11 Закона РК «О рекламе» от 19.12.2003 № 508-II)
- Включать в каждое сообщение механизм отказа (opt-out) в соответствии со ст. 41-2 Закона РК «О связи»
- Немедленно прекращать отправку сообщений по требованию получателя
- Обеспечивать идентификацию отправителя в каждом сообщении
- Не осуществлять рассылку рекламы без пометки «реклама» (ст. 6 Закона «О рекламе»)
5.2. При автообзвоне Оператор дополнительно обязуется:
- Осуществлять звонки только с 9:00 до 21:00 по местному времени абонента
- Обеспечивать голосовое уведомление о записи разговора (ст. 42 Закона «О связи»)
- Предоставлять возможность немедленного отказа от звонков (стоп-лист)
- При использовании AI-обзвона — уведомлять абонента о том, что разговор ведётся автоматизированной системой
6. Обязательства при использовании AI
6.1. При передаче данных в AI-систему (Anthropic Claude API):
- Данные обезличиваются где технически возможно (удаление прямых идентификаторов)
- Передача осуществляется по защищённому каналу (TLS 1.3)
- Anthropic не использует данные клиентов API для обучения моделей (API Terms of Service)
- API-ключ принадлежит Оператору (BYOK) и зашифрован в Vault
6.2. Субъект данных имеет право не подвергаться решению, основанному исключительно на автоматизированной обработке (ст. 7 п. 5 Закона о ПДн). Оператор обязан обеспечить возможность обращения к живому оператору.
7. Меры безопасности
Обработчик обеспечивает следующие технические и организационные меры (ст. 18, 19 Закона о ПДн, ст. 36-37 Закона «Об информатизации»):
| Мера | Реализация |
|---|---|
| Шифрование при передаче | TLS 1.3 для всех соединений |
| Шифрование при хранении | AES-256 (база данных, бэкапы) |
| Защита секретов | Supabase Vault (зашифрованное хранилище для API-ключей, токенов, паролей) |
| Изоляция данных | Row Level Security — данные каждого проекта изолированы на уровне БД |
| Аутентификация | Supabase Auth с хешированием паролей (bcrypt) |
| Журнал аудита | Все действия пользователей фиксируются с указанием времени, пользователя и изменений |
| Резервное копирование | Ежедневное, ротация 30 дней |
| Контроль доступа | RBAC (роли: owner, admin, rop, manager, viewer) с гранулярными правами |
| Подписи вебхуков | HMAC-SHA256 для верификации входящих и исходящих вебхуков |
8. Сроки хранения и уничтожение
8.1. Данные хранятся не дольше достижения целей обработки (ст. 5 п. 5 Закона о ПДн):
| Категория данных | Срок хранения | Способ уничтожения |
|---|---|---|
| CRM-данные | Срок подписки + 90 дней | Безвозвратное удаление из БД |
| Переписка | Срок подписки + 90 дней | Безвозвратное удаление из БД |
| Записи звонков | 12 месяцев | Удаление файлов + запись в БД |
| Метрики рекламы | Срок подписки + 90 дней | Безвозвратное удаление из БД |
| Аудит-лог | 12 месяцев | Автоматическая ротация |
| Бэкапы | 30 дней после удаления основных данных | Ротация бэкапов |
8.2. По запросу субъекта данных уничтожение осуществляется в течение 3 (трёх) рабочих дней (ст. 25 Закона о ПДн).
9. Права субъекта данных
В соответствии со ст. 14-16, 22 Закона о ПДн субъект имеет право:
- Знать о факте обработки данных и ознакомиться с ними (ст. 14)
- Требовать изменения или дополнения (ст. 15)
- Требовать блокирования или уничтожения (ст. 16)
- Отозвать согласие на обработку (ст. 8 п. 2)
- Отказаться от рассылок и автообзвона
- Не подвергаться решению на основе автоматизированной обработки (ст. 7 п. 5)
- Обжаловать действия в уполномоченный орган или суд (ст. 22)
Запросы субъектов данных направляются Оператору (владельцу CRM-проекта). Обработчик содействует Оператору в исполнении запросов.
10. Уведомление об инцидентах
10.1. Обработчик уведомляет Оператора о любом инциденте безопасности, связанном с персональными данными, в течение 72 часов с момента обнаружения.
10.2. Уведомление содержит: описание инцидента, категории затронутых данных, принятые меры, рекомендации для Оператора.
11. Срок действия
Настоящее Соглашение действует в течение срока использования Сервиса Оператором. Обязательства по конфиденциальности сохраняются бессрочно. При прекращении использования Сервиса данные уничтожаются в порядке, определённом разделом 8.
12. Контакты
- Ответственный за защиту данных: privacy@gofalah.com
- Техподдержка: support@gofalah.com
- Сайт: gofalah.com