На главную

Юридически

Data Processing Agreement (DPA)

Соглашение об обработке данных. Кто контроллер, кто обработчик, какие гарантии. Подписывается отдельно или приложением к основному договору.

Обновлено 27.05.2026 · AB.AI Technologies LLP · Алматы

1. Стороны соглашения

Контроллер — школа или акимат, который определяет цели обработки данных и принимает решения о том, какие данные собираются.

Обработчик — AB.AI Technologies LLP, который обрабатывает данные строго по поручению Контроллера, согласно настоящему DPA и применимому законодательству РК.

2. Предмет обработки

  • Категории субъектов: ученики, родители, учителя, администрация школы, сотрудники акимата.
  • Категории данных: учётные, образовательные, биометрические (по согласию), технические логи.
  • Длительность: на период действия основного договора.
  • Характер обработки: автоматизированная, для целей учебного процесса и отчётности по Указу 12.05.2026.

3. Объём обработки

Обработчик обрабатывает данные строго в рамках инструкций Контроллера. Без письменного указания не используются для:

  • Обучения AI-моделей.
  • Передачи третьим лицам сверх требований закона.
  • Маркетинга или рекламы.

4. Технические меры

Обработчик внедряет и поддерживает:

  • Шифрование at rest (AES-256) и in transit (TLS 1.3).
  • Контроль доступа на основе ролей, 2FA для администраторов.
  • Регулярные резервные копии (горячие 7 дней, холодные 30 дней).
  • Аудит-журнал всех действий в течение 3 лет.
  • Регулярные penetration tests (минимум раз в год).

5. Субподрядчики

AB.AI вправе привлекать субподрядчиков для обеспечения работы платформы только при условии, что субподрядчик подписал аналогичный DPA. Полный список субподрядчиков предоставляется Контроллеру по запросу. Изменения в списке — с уведомлением Контроллера не менее чем за 30 дней.

6. Трансграничная передача

Не осуществляется. Все серверы AB.AI расположены в Республике Казахстан. AB.AI не осуществляет передачу персональных данных учеников за пределы РК.

7. Инциденты

  • При обнаружении инцидента уведомляем Контроллера в течение 24 часов.
  • Предоставляем все известные на момент уведомления факты: тип, объём, затронутые субъекты, принятые меры.
  • В течение 30 дней — полный post-mortem с рекомендациями.

8. Право аудита

Контроллер вправе раз в год провести аудит соблюдения этого DPA — самостоятельно или через привлечённого независимого аудитора. Расходы на аудит несёт Контроллер. AB.AI обеспечивает разумное содействие.

9. Срок и возврат данных

По завершении основного договора AB.AI:

  • В течение 30 дней предоставляет полный экспорт данных в машиночитаемом формате.
  • В течение 60 дней удаляет все копии данных Контроллера, кроме тех, которые AB.AI обязан хранить по закону РК.
  • Предоставляет письменное подтверждение удаления по запросу.

Вопросы по документу — напишите нам. Получим ответ в течение рабочего дня.