СОГЛАШЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ (DPA) NEXAXT WECO
Версия: 1.0 Дата вступления в силу: 11 мая 2026 г. Канонический URL: https://weco.nexaxt.com/pages/dpa.html
ПРЕАМБУЛА
Настоящее Соглашение об обработке персональных данных ("DPA", "Соглашение") заключено между:
Контролёром (Клиентом, Заказчиком): юридическим или физическим лицом, акцептовавшим Публичную оферту WECO,
и
Обработчиком (Лицензиаром, Исполнителем): ТОО «НЕКСА ИКС ТИ» (БИН 230940021527), 050013, г. Алматы, проспект Сейфуллина, здание 617,
в целях регулирования обработки персональных данных Контролёра, передаваемых Обработчику в рамках Сервиса WECO.
ОБЛАСТЬ ПРИМЕНЕНИЯ
DPA применяется только к тем персональным данным, которые Клиент передаёт непосредственно Лицензиару — например: (а) персональные данные, содержащиеся в обращениях в техническую поддержку (имена, email, описания инцидентов с возможным упоминанием физических лиц); (б) данные представителей Клиента, обрабатываемые для billing и коммуникации; (в) метаданные, связанные с использованием поддержки.
DPA не применяется к Контенту Клиента и данным Конечных пользователей публичных SPV-сайтов — эти данные находятся исключительно на инфраструктуре Клиента, и Лицензиар к ним не имеет доступа.
DPA дополняет Публичную оферту, EULA и Политику конфиденциальности.
1. ОПРЕДЕЛЕНИЯ
1.1. Применяются определения 94-V (Закон РК «О персональных данных и их защите») и GDPR (где применим).
1.2. Контролёр = Клиент (равнозначно термину "Оператор" в 94-V).
1.3. Обработчик = Лицензиар.
1.4. Субпроцессор = третье лицо, привлекаемое Обработчиком для обработки части персональных данных в интересах Контролёра.
2. ПРЕДМЕТ И ПРОДОЛЖИТЕЛЬНОСТЬ
2.1. Обработчик обрабатывает персональные данные Контролёра в объёме, необходимом для предоставления Сервиса (поддержки, выпуска лицензий, billing-операций).
2.2. Срок: на время действия Соглашения и до удаления / возврата данных согласно разделу 8.
3. КАТЕГОРИИ СУБЪЕКТОВ И ДАННЫХ
3.1. Категории субъектов: (а) сотрудники / представители Контролёра, имеющие admin-доступ к ПО; (б) лица, упоминаемые Контролёром в support-обращениях; (в) finance/billing-контакты Контролёра.
3.2. Категории персональных данных: (а) идентификационные (ФИО, email, телефон, должность); (б) аутентификационные метаданные (логины — НЕ пароли — пароли хранятся в bcrypt); (в) текстовые сообщения support-тикетов; (г) метаданные действий (timestamps, IP при входе в admin-портал поддержки).
3.3. Специальные категории (расовая принадлежность, политические взгляды, здоровье, биометрия и т. д.) не обрабатываются.
4. ХАРАКТЕР И ЦЕЛЬ ОБРАБОТКИ
4.1. Сбор, запись, хранение, использование, передача субпроцессорам, удаление.
4.2. Цели: (а) предоставление технической поддержки; (б) выпуск, продление, отзыв License JWT; (в) выставление счетов и приём платежей; (г) уведомление о существенных изменениях Сервиса; (д) расследование инцидентов безопасности; (е) выполнение применимых законов.
5. ИНСТРУКЦИИ КОНТРОЛЁРА
5.1. Обработчик обрабатывает персональные данные только по задокументированным инструкциям Контролёра, кроме случаев, когда обработка требуется применимым правом (в этом случае Обработчик уведомляет Контролёра, если такое уведомление не запрещено законом).
5.2. Считаются инструкциями: (а) условия настоящего DPA; (б) условия Публичной оферты, EULA, Политики конфиденциальности; (в) разумные письменные инструкции Контролёра, отправленные на anton.orlov@nexaxt.com.
5.3. Обработчик незамедлительно уведомляет Контролёра, если, по его мнению, инструкция нарушает 94-V или иное применимое законодательство.
6. ОБЯЗАТЕЛЬСТВА ОБРАБОТЧИКА
6.1. Обработчик: (а) обрабатывает данные только по инструкциям Контролёра; (б) обеспечивает обязательство конфиденциальности всех лиц, имеющих доступ к данным (NDA / трудовой договор); (в) применяет технические и организационные меры безопасности (см. раздел 9); (г) привлекает субпроцессоров только в порядке раздела 7; (д) содействует Контролёру в реализации прав субъектов (ст. 24 94-V; Art. 15-22 GDPR); (е) содействует Контролёру в обеспечении безопасности обработки, уведомлении о нарушениях, оценках воздействия (DPIA); (ж) удаляет или возвращает данные по окончании Соглашения (раздел 8); (з) предоставляет Контролёру всю информацию, необходимую для подтверждения соблюдения обязательств, и допускает аудит в порядке раздела 10.
7. СУБПРОЦЕССОРЫ
7.1. Контролёр общим образом разрешает Обработчику привлекать субпроцессоров, перечисленных на странице https://weco.nexaxt.com/pages/subprocessors.html.
7.2. Уведомление о новых субпроцессорах. Обработчик уведомляет Контролёра по email не позднее 30 календарных дней до начала их работы. В уведомлении: название, юрисдикция, цель.
7.3. Право на возражение. В течение 30 дней Контролёр может направить обоснованное возражение на anton.orlov@nexaxt.com.
7.4. Последствие возражения. Обработчик и Контролёр добросовестно обсуждают альтернативы. Если согласие не достигнуто: (а) Обработчик вправе всё равно привлечь субпроцессора, в этом случае Контролёр вправе расторгнуть Соглашение с возвратом неиспользованной pro rata части вознаграждения; (б) либо Обработчик отказывается от привлечения данного субпроцессора.
7.5. Обработчик заключает с каждым субпроцессором договор, налагающий на него обязательства, эквивалентные обязательствам Обработчика по настоящему DPA.
7.6. Обработчик несёт ответственность перед Контролёром за действия / бездействие субпроцессоров.
8. ВОЗВРАТ И УДАЛЕНИЕ
8.1. По окончании Соглашения Обработчик в течение 30 календарных дней по выбору Контролёра: (а) возвращает все персональные данные Контролёру в структурированном машиночитаемом формате; ИЛИ (б) удаляет / уничтожает / анонимизирует все персональные данные.
8.2. Исключение: данные, обязательные к хранению по применимому праву (бухгалтерские документы, AML KYC, click-wrap log) — сохраняются на минимально необходимый срок и удаляются по истечении.
8.3. По запросу Контролёра Обработчик предоставляет письменное подтверждение удаления.
9. БЕЗОПАСНОСТЬ ОБРАБОТКИ
9.1. Технические меры:
(а) AES-256-GCM шифрование чувствительных полей (SSH-ключи, API-токены) at-rest в Postgres, ключ — MASTER_SECRET с версионированием через MASTER_KEY_VERSION;
(б) bcrypt для паролей admin-пользователей;
(в) TLS 1.2+ на всех каналах in-transit;
(г) 127.0.0.1:3001 only bind для host-api (никогда 0.0.0.0);
(д) HS256-токены для PDF-стриминга, single-use, 60s TTL;
(е) Append-only audit log;
(ж) Регулярные backup с шифрованием.
9.2. Организационные меры: (а) RBAC — least privilege; (б) MFA для admin-доступа; (в) NDA со всеми сотрудниками и контрагентами; (г) обязательное обучение по защите данных; (д) Incident response procedure; (е) Принцип чёткой границы между Контролёром и Обработчиком (см. раздел 8 Политики конфиденциальности).
9.3. Уведомление о нарушении:
(а) Обработчик уведомляет Контролёра о ставшем известным нарушении конфиденциальности, целостности или доступности персональных данных не позднее 24 часов с момента обнаружения;
(б) Уведомление содержит: - описание характера нарушения; - категории и приблизительное число затронутых субъектов и записей; - вероятные последствия; - принятые / предполагаемые меры; - контактное лицо;
(в) Обработчик содействует Контролёру в выполнении его обязанности по уведомлению уполномоченного органа РК и затронутых субъектов.
10. АУДИТ
10.1. Контролёр имеет право проводить аудит соблюдения Обработчиком настоящего DPA.
10.2. Условия аудита: (а) письменное уведомление за 30 дней; (б) не чаще 1 раза в год (за исключением случаев известного нарушения / расследования регулятора); (в) проведение в рабочие часы с минимальным нарушением операций Обработчика; (г) обязательная NDA между аудитором и Обработчиком; (д) Контролёр несёт расходы по аудиту, за исключением случаев, когда аудит выявил существенное нарушение Обработчиком — тогда расходы переносятся на Обработчика.
10.3. Альтернативно, Обработчик предоставляет существующие отчёты независимых аудиторов (если будут получены SOC 2 / ISO 27001 в будущем) — это считается удовлетворительным аудитом.
11. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА
11.1. Передача персональных данных за пределы РК — только при наличии: (а) адекватного уровня защиты в целевой юрисдикции (94-V ст. 16); ИЛИ (б) согласия субъекта (ст. 16 п. 2 пп. 2)); ИЛИ (в) Стандартных договорных оговорок (SCC) Module 2 (controller-to-processor), сравнимых по содержанию с европейскими SCC от 4 июня 2021 года.
11.2. Перечень текущих субпроцессоров с указанием юрисдикции — в Subprocessors List.
12. ПРАВА СУБЪЕКТОВ
12.1. Если субъект обращается напрямую к Обработчику с реализацией прав, Обработчик незамедлительно перенаправляет такой запрос Контролёру и оказывает разумное содействие в его обработке.
12.2. Обработчик не отвечает на запрос субъекта без письменной инструкции Контролёра, кроме случаев, когда применимое право прямо требует ответа.
13. ОТВЕТСТВЕННОСТЬ
13.1. Ответственность по настоящему DPA подчиняется лимитам, установленным Публичной офертой (раздел 12).
13.2. Каждая сторона отвечает за нарушение своих обязательств напрямую перед затронутыми субъектами в той мере, в какой это предусмотрено применимым правом.
14. КОЛЛИЗИЯ С ОФЕРТОЙ
14.1. В случае расхождения между настоящим DPA и Публичной офертой / EULA, DPA имеет приоритет в отношении вопросов обработки персональных данных, переданных Контролёром Обработчику.
15. ВСТУПЛЕНИЕ В СИЛУ
15.1. DPA вступает в силу одновременно с акцептом Публичной оферты Клиентом.
15.2. Считается включённым в Документы Соглашения по умолчанию для всех Клиентов, передающих Обработчику персональные данные.
ПРИЛОЖЕНИЕ 1 — ОПИСАНИЕ ОБРАБОТКИ
(а) Категории субъектов: см. раздел 3.1. (б) Категории данных: см. раздел 3.2. (в) Цели: см. раздел 4.2. (г) Срок: см. раздел 2.2. (д) Получатели: субпроцессоры по списку.
ПРИЛОЖЕНИЕ 2 — ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ
См. раздел 9.
Конец DPA v1.0 от 11 мая 2026 г.