Документ приведён на русском языке. · Құжат орыс тілінде берілген. · This document is provided in Russian.
Политика обработки персональных данных
Настоящая Политика информирует субъектов персональных данных (пользователей PVS Платформа) о составе, целях, способах и сроках обработки их персональных данных, а также об их правах. Действующая редакция размещена по адресу epvs.kz/privacy и в личном кабинете PVS Платформа. Финальная редакция утверждается после проверки юристом.
1. Общие положения
1.1. Политика разработана в соответствии с Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (в действующей редакции), Приказом МЦРИАП РК от 12 июня 2023 года № 179/НҚ «Об утверждении Правил осуществления мер по защите персональных данных» и Правилами сбора, обработки персональных данных (V2000021498).
1.2. Политика определяет порядок обработки персональных данных (далее — «ПДн») и меры по обеспечению их безопасности, осуществляемые ТОО «Pro Virtual» (далее — «Оператор», «Мы»), правообладателем программного продукта PVS Платформа.
1.3. Политика подлежит обязательному размещению в открытом доступе на сайте Оператора, в интерфейсе PVS Платформа (раздел «Документы») и в виде ссылки в оферте-чекбоксе при регистрации.
2. Основные термины
В Политике используются термины по статье 1 Закона: персональные данные — сведения, относящиеся к определённому или определяемому субъекту; субъект ПДн — физическое лицо, к которому относятся данные; оператор — лицо, осуществляющее сбор, обработку и защиту ПДн; обработка — действия по накоплению, хранению, изменению, использованию, обезличиванию, блокированию и уничтожению ПДн; согласие — свободно выраженное волеизъявление субъекта; трансграничная передача — передача ПДн на территорию иностранного государства; обработчик по поручению — лицо, обрабатывающее ПДн от имени Оператора на основании договора.
3. Правовая основа обработки
3.1. Обработка осуществляется на основаниях: согласие субъекта (ст. 7, 8 Закона); исполнение договора оферты на использование PVS Платформа; исполнение обязанностей, возложенных законодательством РК (в частности, хранение первичных документов согласно Закону «О бухгалтерском учёте и финансовой отчётности»).
3.2. Согласие оформляется в электронной форме отметкой чекбокса при регистрации; факт согласия фиксируется с указанием версии текста, даты, времени и технических идентификаторов сессии.
4. Состав обрабатываемых персональных данных
- ПДн пользователя (бухгалтер, руководитель): ФИО, ИИН, email, номер телефона, логин и пароль (пароль — только в виде криптографического хеша).
- Данные организации-клиента: наименование, БИН, адрес, банковские реквизиты, сведения об уполномоченных лицах.
- Финансово-учётные данные: обороты по счетам, взаиморасчёты с контрагентами, содержание первичных документов, данные для налоговой отчётности (Ф.100, Ф.200, Ф.300 и иные).
- Технические данные: IP-адрес, идентификатор браузера, cookie сессии и токены аутентификации, журналы действий.
- ПДн контрагентов клиента, обрабатываемые при загрузке клиентом выписок, актов сверки и реестров — на основании поручения клиента в рамках исполнения договора с ним.
Оператор не обрабатывает специальные категории ПДн (раса, национальность, политические, религиозные убеждения, состояние здоровья, биометрия), за исключением ИИН в составе бухгалтерских данных. Обработка ПДн несовершеннолетних не предусмотрена.
5. Цели обработки
- Автоматизация бухгалтерского учёта (модули платформы).
- Сверка с государственными органами (Комитет государственных доходов и иные).
- Аутентификация и контроль доступа.
- Поддержка и улучшение качества сервиса.
- AI-консультирование (модули «Консультант» и «Распознавание») — на основании отдельного согласия (см. п. 7.2).
- B2B-обмен данными в рамках PVS Network — на основании отдельного согласия (см. п. 7.3).
- Биллинг и расчёт за использование сервиса.
- Соблюдение обязанностей, установленных законодательством РК.
Оператор не использует ПДн в маркетинговых рассылках без отдельного согласия. Сервисные уведомления (изменения тарифов, технические работы, инциденты) маркетинговыми не являются.
6. Сроки хранения
ПДн обрабатываются в течение срока действия договора. После его прекращения отдельные категории хранятся в установленные законодательством сроки:
| Категория | Срок | Основание |
|---|---|---|
| Первичные учётные документы | 5 лет | Закон о бухучёте |
| Аудит-логи действий | 5 лет | Закон о бухучёте; Правила №179/НҚ |
| Платёжные данные | 5 лет | Налоговый кодекс РК |
| Данные о согласиях | 5 лет с момента отзыва | Доказательная база |
По истечении сроков ПДн удаляются или обезличиваются. Обезличенные данные могут храниться без ограничения срока для статистики и улучшения сервиса.
7. Передача персональных данных третьим лицам
7.1. Обработчики по поручению Оператора (на основании договоров):
| Обработчик | Юрисдикция | Цель |
|---|---|---|
| PS Internet Company LLP | Казахстан | Хостинг и резервное копирование (в РК) |
| Anthropic, PBC | США | Обработка запросов модулей «Консультант» и «Распознавание» (Claude API) |
| Voyage AI | США | Поиск по корпусу НПА для модуля «Консультант» |
| Resend, Inc. | США | Отправка исходящих писем (акты сверки, ЭСФ контрагентам) |
| Sentry (Functional Software GmbH) | ЕС (Германия) | Мониторинг ошибок (с фильтрацией ПДн) |
7.2. Трансграничная передача в Anthropic, PBC (США) при использовании модулей «Консультант» / «Распознавание» осуществляется по защищённым каналам только на основании отдельного добровольного согласия субъекта (ст. 16 Закона), оформляемого дополнительным чекбоксом. Если согласие не дано — указанные модули недоступны, остальные модули работают в полном объёме. Согласие может быть отозвано в любой момент через личный кабинет или по адресу support@epvs.kz. Прямые идентификаторы (ФИО, ИИН) минимизируются до передачи.
7.3. B2B-передача в рамках PVS Network осуществляется только на основании отдельного согласия и только тем контрагентам, которых пользователь явно выбирает; контрагент-получатель должен быть зарегистрированным клиентом Оператора. Согласие может быть отозвано в любой момент.
7.4. Передача возможна также по официальному запросу уполномоченных государственных органов в объёме, установленном законодательством РК. Оператор не продаёт ПДн и не передаёт их рекламодателям.
8. Меры защиты персональных данных
Оператор применяет организационные и технические меры в соответствии с Правилами №179/НҚ:
- хранение данных на серверах, расположенных на территории Республики Казахстан;
- шифрование при передаче — TLS 1.3 с строгой транспортной безопасностью (HSTS);
- шифрование резервных копий (GPG AES-256); ключи хранятся отдельно от копий;
- пароли хранятся в виде криптографического хеша; межсервисная аутентификация защищена;
- ролевая модель доступа (RBAC) и изоляция данных каждой организации-клиента на уровне приложения и базы данных (Row-Level Security);
- аудит-логирование значимых действий (вход, изменение данных, экспорт, обращения по правам субъекта);
- регулярное резервное копирование (целевое окно восстановления — около 1 часа);
- мониторинг безопасности и защита от подбора паролей;
- сегментация сети; внешний доступ — только через защищённый обратный прокси с TLS.
Оператор назначил ответственное лицо за обработку ПДн, утвердил внутренние регламенты обработки и доступа, а также порядок реагирования на инциденты. Сотрудники, имеющие доступ к ПДн, ознакомлены с Политикой и приняли обязательства о неразглашении.
9. Права субъекта персональных данных
9.1. В соответствии со статьёй 25 Закона субъект имеет право: на получение информации о составе своих ПДн, целях, способах, сроках обработки и передаче третьим лицам; на изменение и дополнение; на удаление и блокирование (в предусмотренных Законом случаях); на отзыв согласия; на обжалование действий Оператора; на возмещение убытков и компенсацию морального вреда.
9.2. Получение информации о составе ПДн: через личный кабинет (выгрузка своих данных) либо по запросу на support@epvs.kz — ответ в течение 15 рабочих дней.
9.3. Удаление, блокирование, изменение — по запросу на support@epvs.kz (рассмотрение 15 рабочих дней) с учётом обязательных сроков хранения. Документы за период обязательного хранения блокируются и уничтожаются по истечении срока.
9.4. Отзыв согласия — через личный кабинет (раздел «Профиль» → «Согласия») или по адресу support@epvs.kz. С момента отзыва соответствующий вид обработки прекращается в течение одного рабочего дня. Отзыв базового согласия означает отказ от использования PVS Платформа.
9.5. Подача жалобы: ответственному лицу Оператора (dpo@epvs.kz); в Комитет по информационной безопасности МЦРИАП РК (gov.kz/memleket/entities/mdai); в судебном порядке.
10. Реакция на инциденты
В соответствии со статьёй 25-1 Закона Оператор уведомляет уполномоченный орган и затронутых субъектов о нарушениях безопасности ПДн в течение одного рабочего дня с момента обнаружения. Действует внутренний регламент реагирования: расследование, уведомление КИБ МЦРИАП и субъектов, локализация и устранение последствий, пост-инцидентный анализ. Сообщить об инциденте: support@epvs.kz (в теме письма — «ИНЦИДЕНТ ПДн»).
11. Контактная информация
Оператор: ТОО «Pro Virtual» (PVS Платформа)
БИН: 201240013022
Юридический адрес: Республика Казахстан, Атырауская область, г. Атырау,
проспект Исатай, дом 48, офис 149
Email: support@epvs.kz
Ответственное лицо за обработку ПДн (DPO): dpo@epvs.kz
Сайт: epvs.kz
Уполномоченный орган РК: Комитет по информационной безопасности МЦРИАП РК — gov.kz/memleket/entities/mdai.
12. Изменения политики
Оператор вправе вносить изменения в Политику. Существенные изменения доводятся до пользователей не позднее чем за 30 календарных дней — путём размещения новой редакции на epvs.kz/privacy, баннера в личном кабинете и email-уведомления. Несущественные изменения (опечатки, технические уточнения) вступают в силу с даты публикации. Продолжение использования PVS Платформа после вступления изменений в силу рассматривается как согласие с новой редакцией.
© 2026 ТОО «Pro Virtual» (PVS). Редакция v1 (предварительная редакция), опубликована 25.06.2026. Финальная редакция утверждается приказом руководителя после проверки юристом.