Политика конфиденциальности

1.1. Настоящая Политика конфиденциальности (далее — Политика) разработана в соответствии с Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее — Закон о ПДн), Законом РК от 24 ноября 2015 года № 418-V «Об информатизации», а также иными нормативными правовыми актами Республики Казахстан.

1.2. Оператором персональных данных является ИП Business Development, ИИН 951014300313, директор Садыров Исламбек Рустямович (далее — Оператор), осуществляющий сбор и обработку персональных данных в соответствии со ст. 1 п. 5 Закона о ПДн.

1.3. Сервис GoFalah (далее — Сервис) — облачная CRM-платформа, доступная по адресу gofalah.com, предназначенная для управления взаимоотношениями с клиентами, омниканальных коммуникаций, аналитики и автоматизации бизнес-процессов.

1.4. Регистрация и использование Сервиса означает свободное, сознательное и конкретное согласие Пользователя с условиями настоящей Политики (ст. 8 Закона о ПДн). Согласие предоставляется в электронной форме в соответствии со ст. 7 Закона РК «Об информатизации».

В соответствии с принципом соразмерности (ст. 5 п. 3 Закона о ПДн) Оператор собирает только те данные, которые необходимы для достижения заявленных целей обработки:

Обработка осуществляется для конкретных, заранее определённых и законных целей (ст. 5 п. 2 Закона о ПДн):

• Предоставление доступа к функционалу CRM-системы и исполнение договора (оферты)
• Обеспечение омниканальной коммуникации — приём и отправка сообщений через подключённые каналы
• Осуществление телефонных звонков и автоматического обзвона через IP-телефонию
• Массовая и триггерная рассылка сообщений по согласию получателей (ст. 11 Закона РК «О рекламе», ст. 9-1, 41-2 Закона РК «О связи»)
• Автоматизированная коммуникация с клиентами через AI-ассистента (с раскрытием факта использования AI)
• Аналитика эффективности рекламных кампаний (сквозная аналитика)
• AI-скоринг лидов и формирование рекомендаций (справочный характер, не являются обязательными к исполнению)
• Обеспечение безопасности Сервиса, выявление и предотвращение нарушений
• Техническая поддержка и коммуникация с Пользователем

Обработка персональных данных осуществляется на следующих основаниях (ст. 7 Закона о ПДн):

• Согласие субъекта (ст. 7 п. 1) — сознательное, конкретное согласие, предоставляемое в электронной форме при регистрации (ст. 8 Закона о ПДн)
• Исполнение договора (ст. 7 п. 2) — обработка необходима для исполнения публичной оферты на оказание услуг (ст. 395 ГК РК)
• Законный интерес Оператора (ст. 7 п. 5) — обеспечение безопасности, улучшение Сервиса, предотвращение мошенничества

Оператор не передаёт персональные данные третьим лицам без согласия субъекта, за исключением случаев, предусмотренных ст. 9 Закона о ПДн.

Передача осуществляется следующим категориям получателей:

• Поставщики инфраструктуры (обработчики по поручению Оператора, ст. 1 п. 14 Закона о ПДн): Supabase Inc. (база данных), Vercel Inc. (хостинг) — для обеспечения функционирования Сервиса, на основании договоров, обеспечивающих конфиденциальность
• Платформы каналов коммуникации (по запросу Пользователя): Meta Platforms Inc. (WhatsApp, Instagram, Facebook, Threads), Telegram Messenger LLP, Google LLC (Gmail) — только при явном подключении интеграции
• Провайдеры IP-телефонии (по запросу Пользователя): Zadarma B.V., ООО «Сипуни», ПАО «Манго Телеком» — при подключении телефонии
• AI-провайдер: Anthropic PBC (Claude API) — при активации AI-функций, с использованием собственного API-ключа Пользователя (BYOK). Anthropic не использует данные клиентов API для обучения моделей
• Государственные органы РК — по запросу, при наличии законного основания (ст. 9 п. 3 Закона о ПДн)

Оператор не продаёт персональные данные и не передаёт их для маркетинговых целей третьих лиц.

В связи с использованием облачной инфраструктуры персональные данные могут передаваться и храниться на серверах, расположенных за пределами Республики Казахстан (США, ЕС).

Трансграничная передача осуществляется в соответствии со ст. 16-1 и ст. 16-2 Закона о ПДн:

• В страны, ратифицировавшие Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108)
• На основании согласия субъекта, предоставленного при регистрации
• С обеспечением договорных мер защиты данных с получателями

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных (ст. 18 Закона о ПДн, ст. 36-37 Закона «Об информатизации»):

• Шифрование при передаче (TLS 1.3) и при хранении (AES-256)
• Разграничение доступа на уровне строк базы данных (Row Level Security) — изоляция данных между проектами
• Хранение секретов (API-ключи, токены, пароли) в зашифрованном хранилище (Vault)
• Журнал аудита всех действий пользователей
• Регулярное резервное копирование с ротацией
• Ограничение доступа сотрудников Оператора к персональным данным по принципу минимальных привилегий

Персональные данные хранятся не дольше, чем это необходимо для достижения целей обработки (ст. 5 п. 5 Закона о ПДн):

• Данные CRM (контакты, сделки, переписка) — в течение срока действия подписки и 90 календарных дней после её окончания
• Записи телефонных разговоров — 12 месяцев с момента записи
• Журнал аудита — 12 месяцев
• Cookies и технические логи — 90 дней

По истечении указанных сроков данные уничтожаются безвозвратно.

В соответствии со ст. 14-16 Закона о ПДн субъект имеет право:

• Знать о наличии у Оператора его персональных данных и ознакомиться с ними (ст. 14)
• Требовать изменения и дополнения данных (ст. 15)
• Требовать блокирования или уничтожения данных, обработанных незаконно или не являющихся необходимыми (ст. 16)
• Отозвать согласие на обработку персональных данных (ст. 8 п. 2)
• Не подвергаться решению, основанному исключительно на автоматизированной обработке (ст. 7 п. 5)
• Обжаловать действия Оператора в уполномоченный орган или суд (ст. 22)

Срок исполнения запроса — 3 (три) рабочих дня с момента получения обращения (ст. 25 Закона о ПДн).

Обращения направлять по адресу: privacy@gofalah.com

Сервис использует файлы cookie для:

• Аутентификации и поддержания сессии (необходимые cookie)
• Сохранения настроек интерфейса (тема, язык)
• Аналитики использования Сервиса

Пользователь может отключить cookie в настройках браузера. Отключение необходимых cookie может ограничить функционал Сервиса.

При подключении интеграций с Meta Platforms Inc. (WhatsApp Business API, Instagram Messaging API, Facebook Messenger Platform, Threads API, Marketing API) Оператор получает доступ к данным в объёме, определённом Пользователем при прохождении OAuth-авторизации.

Доступ может включать:

• Отправку и получение сообщений в WhatsApp, Instagram Direct, Facebook Messenger, Threads
• Информацию о Facebook Pages и Instagram Business аккаунтах
• Агрегированные метрики рекламных кампаний (без персональных данных конечных пользователей)
• Данные лид-форм (Lead Ads) — с согласия заполнивших форму

Данные из Meta используются исключительно для предоставления функционала CRM. Пользователь может отозвать доступ в настройках интеграций Сервиса или через настройки безопасности Facebook/Instagram.

Пользователь может запросить удаление всех персональных данных:

• Через интерфейс Сервиса: Настройки → Удаление аккаунта
• По электронной почте: privacy@gofalah.com

Данные уничтожаются в течение 3 рабочих дней с момента получения запроса (ст. 25 Закона о ПДн). Резервные копии очищаются в течение 30 календарных дней.

Подробная инструкция: gofalah.com/data-deletion

Оператор вправе вносить изменения в настоящую Политику. О существенных изменениях Пользователь уведомляется по электронной почте или через интерфейс Сервиса не менее чем за 10 рабочих дней до вступления в силу.

Продолжение использования Сервиса после вступления изменений в силу означает согласие с обновлённой Политикой.

• Оператор: ИП Business Development, ИИН 951014300313
• Директор: Садыров Исламбек Рустямович
• Ответственный за обработку персональных данных (DPO): privacy@gofalah.com
• Техническая поддержка: support@gofalah.com
• Сайт: gofalah.com

Настоящая Политика регулируется и толкуется в соответствии с законодательством Республики Казахстан. Уполномоченным органом по защите персональных данных является Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.