Политика конфиденциальности

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, использования, хранения, передачи и защиты персональных данных, обрабатываемых ТОО «MobileSecurity.kz» (БИН 160740014968, далее — «VOXA», «Оператор», «мы») при оказании услуг сервиса VOXA (voxa.kz) и работе сайта voxa.kz.

1.2. Политика разработана в соответствии с Законом Республики Казахстан от 21.05.2013 г. № 94-V «О персональных данных и их защите», Гражданским кодексом РК и иными нормативными правовыми актами Республики Казахстан, применимыми к обработке персональных данных.

1.3. Использование сервиса VOXA и сайта voxa.kz означает безоговорочное согласие Пользователя с настоящей Политикой и условиями обработки его персональных данных. В случае несогласия с условиями Пользователь должен воздержаться от использования Сервиса.

1.4. Политика является неотъемлемой частью Публичной оферты VOXA.

Персональные данные (ПД) — сведения, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Субъект ПД — физическое лицо, к которому относятся персональные данные.

Собственник ПД — лицо, которому в соответствии с законодательством принадлежит право обладания, пользования и распоряжения персональными данными. В отношении данных клиентов и сотрудников Заказчика собственником выступает Заказчик.

Оператор — VOXA, осуществляющий сбор, обработку и защиту персональных данных в целях оказания услуг.

Субпроцессор — третье лицо, привлекаемое Оператором для выполнения отдельных операций обработки персональных данных.

Обработка ПД — действия по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче, обезличиванию, блокированию, удалению и уничтожению персональных данных.

3.1. VOXA обрабатывает следующие категории данных:

3.1.1. Данные Заказчиков (юридических лиц и их представителей):

• наименование организации, БИН, юридический и фактический адрес;
• ФИО контактных лиц, должность, корпоративный email, телефон;
• платёжные реквизиты в объёме, необходимом для выставления счетов;
• учётные данные Личного кабинета (логины, хэши паролей, токены доступа);
• IP-адреса, журналы действий в Личном кабинете.

3.1.2. Данные, передаваемые Заказчиком в Сервис (данные клиентов, сотрудников и иных третьих лиц Заказчика):

• имена, контактные данные клиентов Заказчика (телефон, email, мессенджеры);
• аудиозаписи телефонных разговоров;
• текстовые сообщения из мессенджеров (WhatsApp, Telegram и иных);
• данные из CRM-систем Заказчика (Битрикс24, amoCRM и иных): сделки, карточки клиентов, задачи, комментарии;
• метаданные коммуникаций: дата, время, длительность, направление вызова;
• производные данные: транскрибации, классификации, оценки качества, аналитические отчёты.

3.1.3. Технические данные сайта voxa.kz:

• cookies, IP-адреса, User-Agent, данные веб-аналитики (в том числе Google Analytics, Яндекс.Метрика при их использовании).

3.2. VOXA не осуществляет сбор и обработку специальных категорий персональных данных (данных о здоровье, политических взглядах, религиозных убеждениях и т.п.), за исключением случаев, когда такие данные предоставляются Заказчиком в составе аудиозаписей или сообщений, обрабатываемых в рамках оказания услуг.

4.1. Цели обработки:

• заключение и исполнение договоров с Заказчиками, выставление счетов, формирование закрывающих документов;
• оказание услуг сервиса VOXA: анализ коммуникаций, классификация обращений, транскрибация, формирование аналитических отчётов, интеграция с CRM и мессенджерами;
• техническая поддержка Заказчиков;
• информирование Заказчиков о работе Сервиса, технических работах, изменениях функционала;
• улучшение качества Сервиса, в том числе с использованием обезличенных и агрегированных данных;
• исполнение требований законодательства Республики Казахстан, включая налоговое и бухгалтерское законодательство.

4.2. Правовые основания обработки:

• согласие субъекта ПД или Собственника ПД (Заказчика) в соответствии с пп. 1) п. 1 ст. 7 Закона № 94-V;
• необходимость для исполнения договора, заключённого путём акцепта Публичной оферты;
• исполнение обязанностей, возложенных на Оператора законодательством Республики Казахстан.

4.3. В отношении данных клиентов, сотрудников и иных третьих лиц Заказчика, передаваемых в Сервис, VOXA действует как оператор, привлечённый Собственником ПД (Заказчиком). Получение согласий субъектов ПД на обработку указанных данных обеспечивается Заказчиком.

5.1. Для оказания услуг VOXA привлекает следующих субпроцессоров. Акцептуя Публичную оферту, Заказчик выражает согласие на передачу данных указанным лицам в объёме, необходимом для выполнения соответствующих функций:

5.2. VOXA вправе по своему усмотрению выбирать, комбинировать и заменять AI-провайдеров в зависимости от технологических и экономических соображений, при условии сохранения общего уровня защиты данных.

5.3. Актуальный перечень субпроцессоров размещается на сайте voxa.kz. VOXA уведомляет Заказчиков о существенных изменениях перечня путём размещения обновлённой редакции Политики на сайте.

5.4. Сервисы, используемые самим Заказчиком (Битрикс24, amoCRM, Sipuni, OnlinePBX и иные CRM-системы и провайдеры IP-телефонии), являются инфраструктурой Заказчика, а не субпроцессорами VOXA. VOXA получает технический доступ к указанным сервисам от имени и по поручению Заказчика. Отношения Заказчика с провайдерами указанных сервисов регулируются соответствующими договорами и публичными документами провайдеров.

6.1. В связи с использованием AI-провайдеров и инфраструктурных сервисов, размещённых за пределами Республики Казахстан, часть обрабатываемых данных передаётся на территорию США, стран Европейского союза, Китая и иных юрисдикций, обеспечивающих защиту прав субъектов ПД.

6.2. Трансграничная передача осуществляется на основании согласия Собственника ПД (Заказчика), выраженного путём акцепта Публичной оферты, и производится в объёме, необходимом для оказания услуг.

6.3. VOXA выбирает AI-провайдеров и инфраструктурных партнёров, обеспечивающих адекватный уровень защиты данных, и включает соответствующие положения в договоры с ними.

7.1. VOXA принимает необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа, изменения, уничтожения, распространения, а также от иных неправомерных действий.

7.2. Технические меры:

• шифрование каналов передачи данных (TLS 1.2 и выше);
• ролевая модель доступа: каждый сотрудник получает доступ только к тем данным, которые необходимы для выполнения его обязанностей;
• двухфакторная аутентификация для доступа сотрудников VOXA к системам, обрабатывающим персональные данные;
• логирование действий пользователей и администраторов, аудит-журналы;
• регулярное резервное копирование данных;
• межсетевое экранирование и защита от вредоносного программного обеспечения;
• хранение части персональных данных граждан Республики Казахстан на серверах, размещённых на территории Республики Казахстан.

7.3. Организационные меры:

• назначение лица, ответственного за организацию обработки персональных данных;
• обязательное подписание соглашений о конфиденциальности (NDA) с сотрудниками VOXA, имеющими доступ к данным;
• инструктаж сотрудников по вопросам защиты персональных данных;
• внутренние регламенты работы с персональными данными;
• процедура реагирования на инциденты информационной безопасности.

7.4. В случае выявления инцидента, повлёкшего или создавшего угрозу несанкционированного доступа, изменения или утраты персональных данных, VOXA в разумный срок, но не позднее 72 (семидесяти двух) часов с момента обнаружения, уведомляет об этом Заказчика, а в случаях, предусмотренных законом, — уполномоченный государственный орган.

8.1. Персональные данные обрабатываются в течение срока, необходимого для достижения целей обработки, а также в течение сроков, установленных законодательством Республики Казахстан (в том числе налоговым и бухгалтерским).

8.2. Данные Заказчика, передаваемые в Сервис (аудиозаписи, сообщения, контакты и иные), хранятся в течение срока действия подписки Заказчика и 30 (тридцати) календарных дней после его прекращения, если иное не согласовано Сторонами или не требуется законодательством.

8.3. По письменному запросу Заказчика VOXA осуществляет досрочное безвозвратное уничтожение данных Заказчика в течение 10 (десяти) рабочих дней с момента получения запроса, за исключением данных, подлежащих обязательному хранению в силу закона.

8.4. Уничтожение данных подтверждается внутренним актом VOXA; по запросу Заказчика копия акта предоставляется Заказчику.

9.1. Субъект персональных данных имеет право:

• получить информацию о наличии у Оператора персональных данных, относящихся к нему, а также ознакомиться с ними;
• требовать изменения или дополнения персональных данных, содержащих неполные, недостоверные или устаревшие сведения;
• требовать блокирования или уничтожения своих персональных данных, если данные обрабатываются незаконно;
• отозвать согласие на обработку персональных данных;
• обжаловать в судебном порядке действия или бездействие Оператора.

9.2. Запросы субъектов ПД, касающиеся данных, переданных в Сервис Заказчиком, направляются напрямую Заказчику как Собственнику ПД. VOXA оказывает Заказчику содействие в исполнении таких запросов в рамках своих технических возможностей.

9.3. Запросы по данным самого Заказчика и его представителей направляются VOXA по контактам, указанным в разделе «Контакты» настоящей Политики. Срок ответа — 30 (тридцать) календарных дней с момента получения запроса.

10.1. Сайт voxa.kz использует файлы cookies и аналогичные технологии для обеспечения работы сайта, аутентификации Пользователей, анализа трафика и улучшения пользовательского опыта.

10.2. Пользователь вправе отключить cookies в настройках своего браузера. Отключение cookies может повлиять на работу отдельных функций сайта.

10.3. Для анализа посещаемости сайта могут использоваться сервисы веб-аналитики (Google Analytics, Яндекс.Метрика и иные). Указанные сервисы собирают обезличенные статистические данные в соответствии с их политиками конфиденциальности.

11.1. VOXA вправе вносить изменения в настоящую Политику. Актуальная редакция размещается на сайте voxa.kz с указанием даты последней редакции.

11.2. Существенные изменения, затрагивающие объём прав и обязанностей субъектов ПД и Заказчиков, вступают в силу через 10 (десять) календарных дней с момента размещения новой редакции, если иное не предусмотрено самой редакцией.

11.3. Продолжение использования Сервиса после вступления в силу изменений означает согласие с новой редакцией Политики.

По всем вопросам, связанным с обработкой персональных данных, в том числе для реализации прав, предусмотренных разделом «Права субъектов ПД», Пользователи могут обращаться:

Надзорный орган по защите персональных данных в Республике Казахстан — Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.