Политика конфиденциальности и обработки персональных данных

Редакция от 26 марта 2026 года

1. Общие положения

1.1. Настоящая политика конфиденциальности и обработки персональных данных (далее – Политика конфиденциальности) составлена в соответствии с требованиями закона Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных между Товариществом с ограниченной ответственностью «OND Group», БИН (ИИН): 230840032549, адрес: Казахстан, город Астана, район Нұра, Шоссе Коргалжын, сооружение 19Т, 410/12, почтовый индекс 010000 (далее – Оператор) и Пользователем сайта https://ond.kz/.

1.2. Действующая редакция настоящей Политики конфиденциальности, постоянно доступна для ознакомления, и размещена в сети Интернет по адресу: https://ond.kz/policy/.

1.3. Настоящая Политика конфиденциальности Оператора в отношении обработки персональных данных применяется ко всей информации, которую Оператор может получить о посетителях сайта https://ond.kz.

1.4. Передавая Оператору персональные и иные данные посредством Сайта, Пользователь подтверждает свое согласие на использование указанных данных на условиях, изложенных в настоящей Политике конфиденциальности.

1.5. Если Пользователь не согласен с условиями настоящей Политики конфиденциальности, он обязан прекратить использование Сайта.

1.6. Безусловным акцептом настоящей Политики конфиденциальности является начало использования Сайта Оператора.

1.7. Политика конфиденциальности действует бессрочно до замены ее новой версией.

2. Основные понятия, используемые в Политике

2.1. Сайт — сайт, расположенный в сети Интернет по адресу https://ond.kz. Все исключительные права на Сайт и его отдельные элементы (включая программное обеспечение, дизайн) принадлежат Оператору в полном объеме. Передача исключительных прав Пользователю не является предметом настоящей Политики конфиденциальности.

2.2. Пользователь — лицо, использующее Сайт, в том числе создатель документа (Сторона 1) и подписант документа (Сторона 2).

2.3. Законодательство — действующее законодательство Республики Казахстан.

2.4. Персональные данные — сведения, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном носителе.

2.5. Обработка персональных данных — действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.

2.6. Согласие субъекта — согласие на сбор и обработку персональных данных, предоставляемое Пользователем в электронной форме посредством Сайта.

2.7. Услуга(и) — услуги по электронному документообороту и подписанию документов, предоставляемые Оператором посредством Сайта.

3. Ответственное лицо за организацию обработки персональных данных

3.1. В соответствии со статьёй 25, пунктом 2, подпунктом 10 Закона РК «О персональных данных и их защите», Оператор назначил ответственное лицо за организацию обработки персональных данных:

ФИО: Альперович Адлет Валерьевич

Должность: Директор ТОО «OND Group»

Телефон: +7 777 865 53 75

Электронная почта: info@ond.kz

3.2. По всем вопросам, связанным с обработкой персональных данных, в том числе по вопросам реализации прав субъекта персональных данных, Пользователь может обратиться к ответственному лицу по указанным контактным данным.

4. Права и обязанности Оператора

4.1. Оператор имеет право:

4.1.1. получать от Пользователя достоверную информацию и/или документы, содержащие персональные данные;

4.1.2. в случае отзыва Пользователем согласия на обработку персональных данных, а также, направления обращения с требованием о прекращении обработки персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;

4.1.3. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими нормативными нормами.

4.2. Оператор обязан:

4.2.1. предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

4.2.2. организовывать обработку персональных данных в порядке, установленном действующим законодательством РК;

4.2.3. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

4.2.4. сообщать в уполномоченный орган в сфере защиты персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;

4.2.5. принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

4.2.6. прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;

4.2.7. уведомлять субъекта персональных данных и уполномоченный орган о фактах несанкционированного доступа к персональным данным, а также принимать меры по предотвращению и устранению последствий такого доступа;

4.2.8. исполнять иные обязанности, предусмотренные Законом о персональных данных.

5. Права и обязанности Пользователя

5.1. Пользователь имеет право:

5.1.1. получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных настоящей Политикой конфиденциальности или другими нормативными нормами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

5.1.2. требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

5.1.3. на отзыв согласия на обработку персональных данных в порядке, предусмотренном разделом 9 настоящей Политики конфиденциальности;

5.1.4. обжаловать в уполномоченный орган в сфере защиты персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

5.1.5. на осуществление иных прав, предусмотренных законодательством РК.

5.2. Пользователь обязан:

5.2.1. предоставлять Оператору достоверные данные о себе;

5.2.2. сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

5.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РК.

6. Перечень персональных данных и цели обработки

6.1. Оператор собирает и хранит только те персональные данные, которые необходимы для оказания Услуг и взаимодействия с Пользователем.

6.2. Оператор обрабатывает следующие категории персональных данных:

6.2.1. Данные зарегистрированного пользователя (Сторона 1 — создатель документа):

• фамилия, имя и отчество;
• индивидуальный идентификационный номер (ИИН);
• номер телефона (в т.ч. мобильного);
• адрес электронной почты;
• пол, дата рождения;
• адрес регистрации;
• документ, удостоверяющий личность (тип, номер, серия, дата выдачи, кем выдан);
• должность;
• фотография (аватар);
• идентификатор Telegram (при подключении уведомлений).

6.2.2. Данные организации (при регистрации юридического лица):

• наименование организации;
• бизнес-идентификационный номер (БИН);
• банковские реквизиты (расчётный счёт, ИИК, КБе);
• юридический и фактический адреса;
• номер телефона и электронная почта организации;
• ФИО руководителя;
• логотип и печать организации.

6.2.3. Данные подписанта (Сторона 2 — подписант документа):

• фамилия, имя и отчество;
• номер телефона;
• наименование организации и должность (при наличии).

6.2.4. Данные, собираемые автоматически при использовании Сайта:

• IP-адрес;
• информация о браузере (User-Agent);
• тип устройства, операционная система, версия браузера;
• разрешение экрана устройства;
• часовой пояс;
• языковые настройки браузера;
• файлы cookie (подробнее — в разделе 12).

6.2.5. Сетевые и геолокационные данные (определяются на основании IP-адреса):

• наименование интернет-провайдера (ISP) и оператора сети;
• номер автономной системы (ASN);
• признак мобильной сети, прокси или VPN;
• страна, регион, город;
• приблизительные географические координаты.

6.3. Персональные данные обрабатываются в следующих целях:

6.3.1. оказание Услуг Пользователю по электронному документообороту и подписанию документов;

6.3.2. идентификация Пользователя и подтверждение волеизъявления при подписании документов (OTP-верификация по SMS, голосовому звонку или звонку-сбросу);

6.3.3. обеспечение безопасности и предотвращение несанкционированного доступа (device fingerprinting);

6.3.4. направление уведомлений, связанных с процессом подписания документов;

6.3.5. формирование аудит-трейла (журнала действий) для обеспечения юридической значимости электронной подписи;

6.3.6. проведение статистических и иных исследований на основе обезличенных данных.

6.4. Пользователю запрещается указывать на Сайте персональные данные третьих лиц без их согласия, за исключением случаев, когда Пользователь действует от имени этих лиц, имея документальное подтверждение полномочий.

7. Порядок сбора согласия на обработку персональных данных

7.1. В соответствии со статьёй 8 Закона РК «О персональных данных и их защите», Оператор получает согласие субъекта персональных данных на сбор и обработку персональных данных в электронной форме.

7.2. Для Пользователей, осуществляющих подписание документов (Сторона 2), согласие предоставляется на специальной странице до перехода к документу. Согласие включает:

• ознакомление с условиями подписания документов;
• ознакомление с полным текстом согласия на сбор и обработку персональных данных;
• подтверждение согласия путём отметки соответствующих чекбоксов.

7.3. Текст согласия на обработку персональных данных формируется индивидуально для каждого подписанта и содержит: наименование оператора, сведения о субъекте, перечень обрабатываемых персональных данных, цели обработки, срок хранения, перечень третьих лиц и порядок отзыва.

7.4. Факт предоставления согласия фиксируется в журнале согласий с указанием даты, времени, IP-адреса и цифрового отпечатка устройства.

8. Порядок обработки и передача персональных данных третьим лицам

8.1. Оператор обязуется использовать Персональные данные в соответствии с Законом «О персональных данных и их защите» Республики Казахстан и внутренними документами Оператора.

8.2. В отношении персональных данных сохраняется их конфиденциальность, кроме случаев, когда указанные данные являются общедоступными.

8.3. Оператор осуществляет автоматизированную обработку Персональных данных.

8.4. Оператор имеет право передавать Персональные данные без согласия Пользователя следующим лицам:

8.4.1. государственным органам, в том числе органам дознания и следствия, и органам местного самоуправления по их мотивированному запросу;

8.4.2. в иных случаях, прямо предусмотренных действующим законодательством Республики Казахстан.

8.5. В рамках оказания Услуг Оператор может передавать персональные данные третьим лицам для:

• отправки SMS-уведомлений, OTP-кодов и осуществления звонков-сбросов;
• обработки платежей;
• отправки уведомлений через мессенджеры;
• резервного копирования документов.

Передача осуществляется в объёме, необходимом для оказания Услуг. Конкретный перечень получателей персональных данных указывается в тексте согласия на обработку персональных данных, предоставляемого субъекту в соответствии с разделом 7 настоящей Политики.

8.6. Трансграничная передача персональных данных осуществляется в соответствии со статьёй 16 Закона РК «О персональных данных и их защите». В случаях, когда серверы третьих лиц расположены за пределами Республики Казахстан, передача данных осуществляется при наличии согласия субъекта персональных данных, предоставленного в порядке, описанном в разделе 7 настоящей Политики.

9. Отзыв согласия на обработку персональных данных

9.1. Пользователь имеет право отозвать ранее предоставленное согласие на обработку персональных данных в соответствии со статьёй 8, пунктом 5 Закона РК «О персональных данных и их защите».

9.2. Отзыв согласия осуществляется через специальную страницу на Сайте, ссылка на которую направляется подписанту после завершения подписания документа. Для подтверждения отзыва требуется ввод OTP-кода, отправленного на номер телефона подписанта.

9.3. При отзыве согласия Оператор уничтожает следующие персональные данные подписанта:

• ФИО;
• номер телефона;
• ИИН;
• данные цифрового отпечатка устройства (IP-адрес, User-Agent, разрешение экрана).

9.4. При отзыве согласия Оператор сохраняет в обезличенном виде:

• подписанный документ (PDF) — как доказательство совершённой сделки;
• факт предоставления и отзыва согласия (дата, время) — для целей аудита;
• хеш-сумму документа — для обеспечения целостности.

9.5. Отзыв согласия не влияет на законность обработки персональных данных, осуществлённой до момента отзыва.

10. Сроки хранения персональных данных

10.1. Персональные данные подписантов хранятся до достижения целей обработки либо до прекращения правовых отношений между сторонами документа, если иное не предусмотрено законодательством РК.

10.2. Персональные данные зарегистрированных пользователей (Сторона 1) хранятся в течение всего срока действия учётной записи и до достижения целей обработки после её удаления.

10.3. По достижении целей обработки персональные данные подлежат уничтожению в соответствии со статьями 12 и 18 Закона РК «О персональных данных и их защите».

10.4. Обезличенные данные (статистика, агрегированные показатели) могут храниться без ограничения срока.

11. Защита персональных данных

11.1. Оператор осуществляет надлежащую защиту Персональных данных в соответствии с Законодательством и принимает необходимые и достаточные организационные и технические меры для защиты Персональных данных.

11.2. Применяемые меры защиты включают:

• шифрование данных при передаче (SSL/TLS);
• шифрование чувствительных данных при хранении;
• разграничение прав доступа к персональным данным;
• журналирование доступа к персональным данным;
• защита от несанкционированного доступа (CAPTCHA, OTP-верификация);
• регулярное резервное копирование.

12. Файлы cookie

12.1. Сайт использует файлы cookie для обеспечения работоспособности сервиса. Используемые типы cookie:

• Сессионные cookie (sessionid) — для поддержания авторизованной сессии пользователя. Удаляются после закрытия браузера или истечения сессии;
• Cookie безопасности (csrftoken) — для защиты от межсайтовой подделки запросов (CSRF). Срок действия: 1 год;
• Языковые cookie — для сохранения языковых предпочтений пользователя (русский, казахский).

12.2. Оператор не использует cookie для отслеживания пользователей в рекламных целях.

12.3. Пользователь может отключить использование cookie в настройках браузера, однако это может ограничить функциональность Сайта.

13. Иные положения

13.1. К настоящей Политике конфиденциальности и отношениям между Пользователем и Оператором, возникающим в связи с применением Политики конфиденциальности, подлежит применению право Республики Казахстан.

13.2. Все возможные споры, вытекающие из настоящего Соглашения, подлежат разрешению в соответствии с действующим законодательством по месту регистрации Оператора.

Перед обращением в суд Пользователь должен соблюсти обязательный досудебный порядок и направить Оператору соответствующую претензию в письменном виде. Срок ответа на претензию составляет 30 (тридцать) рабочих дней.

13.3. Если по тем или иным причинам одно или несколько положений Политики конфиденциальности будут признаны недействительными или не имеющими юридической силы, это не оказывает влияния на действительность или применимость остальных положений Политики конфиденциальности.

13.4. Оператор имеет право в любой момент изменять Политику конфиденциальности (полностью или в части) в одностороннем порядке без предварительного согласования с Пользователем. Все изменения вступают в силу с момента ее размещения на Сайте.

13.5. Пользователь обязуется самостоятельно следить за изменениями Политики конфиденциальности путем ознакомления с актуальной редакцией.

13.6. Все предложения или вопросы по настоящей Политике конфиденциальности следует направлять ответственному лицу по контактным данным, указанным в разделе 3 настоящей Политики, или по электронной почте info@ond.kz.