Соглашение об обработке данных

Последнее обновление: 15 мая 2026 г.

Настоящее DPA включается путём ссылки в Условия обслуживания для бизнеса и вступает в силу в момент принятия Клиентом Условий обслуживания для бизнеса или с момента первого использования Сервиса после указанной выше даты — в зависимости от того, что наступит раньше. Клиент, которому требуется экземпляр настоящего DPA с встречной подписью на фирменном бланке компании, может запросить его, написав на адрес privacy@easyweek.io. EasyWeek проставит встречную подпись без изменений по существу настоящего шаблона.

1. Определения

Термины с заглавной буквы, не определённые в настоящем DPA, имеют значение, указанное в Условиях обслуживания для бизнеса или в Законе о персональных данных. В частности:

• «Закон о персональных данных» — Закон Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года № 94-V (с изменениями и дополнениями).
• «Контролёр», «Обработчик», «Субъект данных», «Персональные данные», «Нарушение безопасности персональных данных», «Обработка», «Субобработчик», «Надзорный орган» — в значении, определённом в ст. 1 Закона о персональных данных.
• «Персональные данные Клиента» — Персональные данные, которые Клиент или его уполномоченные пользователи передают через Сервис или генерируют посредством него и которые обрабатываются EasyWeek от имени Клиента.
• «Стандартные договорные положения» — Стандартные договорные положения о передаче персональных данных в третьи страны, принятые Имплементационным решением Комиссии (ЕС) 2021/914 от 4 июня 2021 года, применяемые в части трансграничной обработки персональных данных субъектов из ЕЭЗ.

2. Роли

Клиент является Контролером Персональных данных Клиента. EasyWeek является Обработчиком и обрабатывает Персональные данные Клиента исключительно на основании задокументированных инструкций Клиента и в соответствии с настоящим ДПД, Условиями обслуживания для бизнеса и применимым законодательством.

Стороны признают, что EasyWeek является Контролером в отношении ограниченных категорий персональных данных, которые EasyWeek обрабатывает в собственных целях — например, учётные данные авторизованных пользователей, платёжные данные и телеметрия использования Сервиса. Такая обработка регулируется Политикой конфиденциальности для бизнеса, а не настоящим ДПД.

3. Предмет, срок действия, цель

Предмет, характер, цель, срок действия, категории персональных данных и категории субъектов данных описаны в Приложении I.

Настоящее ДПД действует в течение всего времени, пока EasyWeek обрабатывает персональные данные Клиента от имени Клиента, и сохраняет силу после прекращения действия Бизнес-условий обслуживания на срок, необходимый для соблюдения требований Раздела 13.

4. Инструкции Клиента

Сам Сервис, конфигурация, применённая Клиентом через пользовательский интерфейс и API Сервиса, Условия коммерческого использования и настоящее DPA составляют полные и окончательные задокументированные инструкции Клиента, выданные EasyWeek в отношении обработки Персональных данных Клиента. Любые дополнительные или иные инструкции требуют письменного согласования и могут повлечь дополнительные расходы.

EasyWeek уведомит Клиента без неоправданной задержки, если, по её мнению, какая-либо инструкция нарушает Закон РК «О персональных данных и их защите» или иное применимое положение законодательства Республики Казахстан в области защиты персональных данных, и вправе приостановить исполнение оспариваемой инструкции до получения письменного подтверждения от Клиента.

5. Конфиденциальность

EasyWeek обеспечивает, чтобы персонал, уполномоченный обрабатывать Персональные данные Клиента, принял на себя обязательства по соблюдению конфиденциальности (либо был связан соответствующей установленной законом обязанностью соблюдать конфиденциальность), а также соблюдал средства контроля доступа и принцип минимально необходимых привилегий. Доступ к Персональным данным Клиента предоставляется исключительно тому персоналу, которому он необходим для эксплуатации или улучшения Сервиса.

6. Безопасность (ТОМ)

EasyWeek применяет надлежащие технические и организационные меры для обеспечения уровня безопасности, соответствующего существующим рискам, как указано в Приложении II. EasyWeek вправе обновлять свои ТОМ с течением времени при условии, что уровень защиты не снижается.

7. Суб-обработчики

Настоящим Клиент предоставляет EasyWeek общее письменное разрешение на привлечение Суб-обработчиков. Перечень утверждённых Суб-обработчиков по состоянию на дату настоящего DPA приведён в Приложении III и поддерживается в актуальном состоянии по адресу /business/subprocessors.

EasyWeek уведомит Клиента не менее чем за тридцать (30) дней до планируемого добавления или замены Суб-обработчиков посредством центра уведомлений в приложении, а также, при наличии соответствующей подписки Клиента, по электронной почте. Клиент вправе возразить, указав обоснованные и задокументированные основания в области защиты персональных данных, в течение тридцати (30) дней с момента получения уведомления. Если стороны не смогут урегулировать разногласия, Клиент вправе расторгнуть Бизнес-условия использования сервиса в части, касающейся той части Сервиса, которая требует использования оспариваемого Суб-обработчика, с возвратом пропорциональной части предоплаченных сборов за оставшийся срок.

EasyWeek возлагает на каждого Суб-обработчика обязательства в области защиты персональных данных на основании письменного договора, предусматривающего не меньший уровень защиты, чем установленный настоящим DPA. EasyWeek несёт полную ответственность перед Клиентом за исполнение обязательств своими Суб-обработчиками.

Локализация данных в соответствии с законодательством Республики Казахстан. EasyWeek осведомлён о требованиях законодательства Республики Казахстан в отношении локализации отдельных категорий персональных данных граждан Казахстана, предусмотренных Законом РК «О персональных данных и их защите». Клиенты, осуществляющие деятельность на территории Республики Казахстан, обязаны самостоятельно проверить применимость к ним требований о хранении данных на территории Казахстана с учётом характера обрабатываемых ими персональных данных. Если Клиенту необходимо размещение данных на серверах, расположенных в Республике Казахстан, просим обратиться к EasyWeek по адресу privacy@easyweek.io для обсуждения доступных технических решений.

8. Международная передача данных

Персональные данные Клиента обрабатываются преимущественно в Европейской экономической зоне. В случае передачи Персональных данных Клиента в страну за пределами ЕЭЗ, в отношении которой отсутствует решение Европейской комиссии об адекватности, применяются Стандартные договорные положения (СДП) со следующими параметрами:

• Модуль второй (от контролёра к обработчику) включается путём отсылки для передач от Клиента (или его контролёра в ЕЭЗ) к EasyWeek в случаях, когда EasyWeek обрабатывает Персональные данные Клиента в третьей стране.
• Модуль третий (от обработчика к обработчику) включается путём отсылки для последующих передач от EasyWeek Подобработчикам в третьей стране.
• Пункт 7 (Присоединительная оговорка) включён.
• Пункт 9(a) — применяется Вариант 2 (общее письменное разрешение, уведомление за 30 дней).
• Пункт 11(a) — независимый орган по разрешению споров не выбран.
• Пункт 17 — применимым правом является право Германии.
• Пункт 18 — компетентными судами являются суды Дюссельдорфа, Германия.
• Приложение I к СДП заполняется путём отсылки к Приложению I настоящего ДОД.
• Приложение II к СДП заполняется путём отсылки к Приложению II настоящего ДОД.
• Приложение III к СДП заполняется путём отсылки к Приложению III настоящего ДОД.

Оценка воздействия передачи, содержащая выводы EasyWeek об оценке законодательства страны назначения, а также о любых дополнительных технических, договорных или организационных мерах, предоставляется по запросу по адресу privacy@easyweek.io.

Для передач в Великобританию применяется Дополнение к международной передаче данных Великобритании к СДП (выпущено Управлением комиссара по информации и вступило в силу 21 марта 2022 года). Для передач в Швейцарию СДП применяются с заменами, предусмотренными Федеральным уполномоченным по защите данных и информации Швейцарии (FDPIC).

9. Запросы субъектов данных

Сервис предоставляет функции самообслуживания, позволяющие Клиенту исполнять Запросы субъектов данных на доступ, исправление, удаление, ограничение обработки, переносимость и возражение против обработки. В случае если субъект данных обращается непосредственно в EasyWeek, EasyWeek без неоправданной задержки перенаправляет запрос Клиенту и не отвечает субъекту данных иначе как для подтверждения получения запроса и его передачи Клиенту.

EasyWeek оказывает Клиенту содействие — с учётом характера обработки — посредством надлежащих технических и организационных мер в исполнении обязательства Клиента по ответу на Запросы субъектов данных в соответствии со статьями 7–9 Закона РК «О персональных данных и их защите».

10. Нарушение безопасности персональных данных

EasyWeek уведомит Клиента без неоправданной задержки и в любом случае в течение семидесяти двух (72) часов с момента обнаружения Нарушения безопасности персональных данных, затрагивающего Персональные данные Клиента. Уведомление будет включать как минимум информацию, необходимую в соответствии со ст. 22 Закона РК «О персональных данных и их защите», в той мере, в какой она известна: характер Нарушения, категории и приблизительное количество затронутых Субъектов данных и записей, вероятные последствия, а также принятые или планируемые меры.

EasyWeek предпримет разумные шаги для локализации и устранения Нарушения, а также для предоставления Клиенту информации, необходимой для исполнения Клиентом собственных обязательств по уведомлению Министерства цифрового развития, инноваций и аэрокосмической промышленности РК (https://www.gov.kz/memleket/entities/mdai) и затронутых Субъектов данных.

11. Оценка воздействия на защиту данных и предварительная консультация

EasyWeek предоставит Клиенту разумное содействие в проведении любой оценки воздействия на защиту данных или предварительной консультации, которые Клиент обязан осуществить в соответствии с применимыми положениями Закона РК «О персональных данных и их защите», в той мере, в какой такое содействие обоснованно необходимо и соответствующая информация имеется у EasyWeek.

12. Аудит

EasyWeek предоставит Клиенту всю информацию, необходимую для подтверждения соответствия настоящему ДОД, в том числе:

• Актуальные копии наиболее значимых сертификатов и отчётов об аудите (в частности, ISO 27001 при наличии, отчёты SOC 2 типа II соответствующих Субпроцессоров).
• Письменные ответы на разумный опросник по вопросам информационной безопасности — один раз в двенадцатимесячный период, бесплатно.

Если указанная информация окажется недостаточной и Клиент обязан по требованию своего Надзорного органа провести очный аудит, Клиент вправе самостоятельно провести такой аудит или поручить его независимому аудитору за счёт Клиента, при соблюдении следующих условий: письменное уведомление направляется не менее чем за шестьдесят (60) дней; аудит проводится в рабочее время; не чаще одного раза в двенадцатимесячный период (за исключением случаев, когда произошла утечка Персональных данных); в рамках разумных обязательств о конфиденциальности; без нарушения деятельности EasyWeek или безопасности других клиентов. Предмет аудита ограничен проверкой соответствия EasyWeek требованиям настоящего ДОД.

13. Возврат и удаление

В течение тридцати (30) дней с момента прекращения действия Условий обслуживания для бизнеса Клиент вправе экспортировать Персональные данные Клиента с помощью инструментов самостоятельного экспорта, предоставляемых Сервисом. По истечении данного тридцатидневного льготного периода EasyWeek удалит или обезличит Персональные данные Клиента в разумные сроки, но в любом случае не позднее чем через девяносто (90) дней, за исключением случаев, когда EasyWeek обязан законодательством Республики Казахстан или иными применимыми нормами права сохранить часть или все такие данные (в этом случае сохраняемые данные по-прежнему подпадают под обязательства по конфиденциальности и безопасности, предусмотренные настоящим ДОД).

Резервные копии, содержащие Персональные данные Клиента, перезаписываются на скользящей основе в течение стандартного срока хранения резервных копий и остаются предметом регулирования настоящего ДОД вплоть до его истечения.

14. Ответственность и прочие положения

Ответственность каждой из сторон в рамках настоящего Соглашения об обработке данных или в связи с ним регулируется ограничениями и исключениями ответственности, установленными в Условиях использования для бизнеса.

Настоящее Соглашение об обработке данных является частью Условий использования для бизнеса. В случае любого противоречия между настоящим Соглашением об обработке данных и Условиями использования для бизнеса в части обработки персональных данных Клиента преимущественную силу имеет настоящее Соглашение об обработке данных. В случае любого противоречия между настоящим Соглашением об обработке данных и Стандартными договорными условиями преимущественную силу имеют Стандартные договорные условия.

Настоящее Соглашение об обработке данных регулируется законодательством Федеративной Республики Германия. Суды города Дюссельдорф, Германия, обладают исключительной юрисдикцией, без ущерба для обязательных мер защиты субъектов данных по месту их обычного проживания.

Приложение I – Описание обработки

Предмет Обработка, необходимая для предоставления Клиенту Бизнес-сервиса EasyWeek.

Срок На протяжении срока действия Бизнес-условий использования и любого предусмотренного периода хранения после расторжения, необходимого для исполнения Раздела 13.

Характер и цель обработки Хостинг, хранение, извлечение, организация, изменение, передача, удаление, анонимизация, статистический анализ и иные операции по обработке, необходимые для предоставления услуг онлайн-записи, управления взаимоотношениями с клиентами, финансового учёта и выставления счетов, автоматизации маркетинга, создания веб-сайтов, напоминаний и уведомлений, размещения в маркетплейсе, функций с применением искусственного интеллекта и вспомогательных функций.

Категории субъектов данных

• Конечные клиенты и потенциальные клиенты Клиента
• Сотрудники, фрилансеры, подрядчики и иные авторизованные пользователи Клиента
• Посетители страниц онлайн-записи Клиента и встроенных виджетов
• Отправители и получатели сообщений, передаваемых через Сервис

Категории персональных данных

• Идентификационные данные (имя, фото, пол)
• Контактные данные (адрес электронной почты, телефон, адрес)
• Учётные данные авторизованных пользователей Клиента
• История записей и приёмов
• Заметки, файлы, фотографии, документы, загруженные Клиентом
• Данные программы лояльности, остатки на подарочных картах, клиентские сегменты
• Содержание коммуникаций (SMS, WhatsApp, тело письма электронной почты, тело push-уведомления, внутриприложенческий чат)
• Финансовые данные (записи счетов-фактур, статус оплаты, последние 4 цифры платёжных карт — полные данные карт обрабатываются непосредственно Stripe и не хранятся EasyWeek)
• Технические данные (IP-адрес, идентификатор устройства, браузер, язык, временны́е метки)
• Если Клиент принимает решение об их фиксации: заметки, касающиеся здоровья (в контексте beauty, велнес, медицинских или стоматологических услуг). Клиент несёт ответственность за наличие надлежащего законного основания в соответствии с требованиями Закона РК «О персональных данных и их защите» перед фиксацией таких данных.

Периодичность передачи Непрерывная.

Хранение Персональные данные Клиента хранятся в течение срока, указанного Клиентом, а также в соответствии с дополнительными положениями Раздела 13.

Приложение II – Технические и организационные меры

EasyWeek применяет как минимум следующие меры, которые могут обновляться по мере необходимости при условии, что уровень защиты не снижается:

• Псевдонимизация и шифрование — TLS 1.3 для данных при передаче по публичным сетям; AES-256 для данных в состоянии хранения (хранилище базы данных, объектное хранилище, резервные копии); ключи шифрования на уровне арендатора для чувствительных полей там, где применимо.
• Конфиденциальность — управление доступом на основе ролей с минимально необходимыми привилегиями, обязательная многофакторная аутентификация для всех административных доступов, автоматическое завершение сессии, контроль доступа на основе IP-адресов для производственных систем, письменные обязательства о конфиденциальности для всего персонала.
• Целостность — управление изменениями, проверка кода, автоматическое сканирование зависимостей, подписанные артефакты развёртывания, проверка целостности резервных копий.
• Доступность и устойчивость — производственный хостинг в центрах обработки данных Hetzner в Германии с резервированием электропитания и сети, оркестрация Kubernetes с автоматическим восстановлением, ежедневное резервное копирование с межзональной репликацией, задокументированный план аварийного восстановления с ежегодными учениями в формате настольных упражнений, страница статуса на status.easyweek.io.
• Восстановление — срок хранения резервных копий, достаточный для восстановления сервиса после физического или технического инцидента; ежеквартальные тесты восстановления.
• Тестирование и оценка — ежегодное тестирование производственной среды на проникновение сторонней организацией, непрерывное статическое и динамическое тестирование безопасности приложений в CI/CD, процесс управления уязвимостями с определёнными SLA по устранению.
• Сегрегация сетей — производственная, тестовая и разрабатываемая среды логически и физически разделены; административный доступ только через бастионные хосты.
• Журналирование и мониторинг — централизованные журналы аудита для событий аутентификации, авторизации, изменений конфигурации и экспорта данных, хранящиеся не менее одного года; мониторинг событий информационной безопасности с оповещением об аномалиях.
• Безопасная разработка — SDLC с моделированием угроз, экспертной проверкой, сканированием секретов, соблюдением лицензионных требований и стандартами кодирования в соответствии с OWASP.
• Управление поставщиками — письменные договоры со всеми Подпроцессорами, устанавливающие эквивалентные обязательства; периодические проверки.
• Безопасность персонала — проверка биографических данных там, где это допустимо по закону; обучение в области информационной безопасности и защиты данных при приёме на работу и ежегодно после.
• Управление инцидентами — круглосуточное дежурство 24/7; задокументированный план реагирования на инциденты; уведомление об утечке данных в течение 72 часов в соответствии с Разделом 10.
• Физическая безопасность — физический доступ к объектам обработки данных контролируется Подпроцессором, эксплуатирующим объект (Hetzner, Google Cloud), в рамках мер контроля, сертифицированных по ISO 27001 / SOC 2.

Приложение III – Утверждённые субподрядчики по обработке данных

Актуальный перечень субподрядчиков по обработке данных EasyWeek опубликован и поддерживается по адресу /business/subprocessors. Перечень, размещённый по указанному URL, настоящим включается по ссылке в настоящее ДОД и Приложение III.