Политика конфиденциальности
Последнее обновление: 5 мая 2026 г.
Настоящая Политика описывает, как ИП «Shildebek» (БИН 061217501536, г. Шымкент, Казахстан, далее — «Поставщик», «мы») обрабатывает персональные данные пользователей SaaS-сервиса Shildebek CRM, доступного по адресу crm.shildebek.org.
Эта Политика относится к подписчикам и пользователям Сервиса. Политика для посетителей сайта shildebek.org доступна по адресу /privacy-policy/.
1. Кто обрабатывает данные
Контролёр (Data Controller): ИП «Shildebek», БИН 061217501536, г. Шымкент, Республика Казахстан.
Контактное лицо по вопросам обработки данных: inbox@shildebek.org.
2. Какие данные мы обрабатываем
2.1. Данные учётной записи
- E-mail (используется как логин)
- Имя и фамилия
- Телефон (необязательно)
- Хеш пароля (исходный пароль не хранится)
- Название организации, ИИН/БИН (для договоров)
2.2. Технические данные
- IP-адрес последнего входа
- User-Agent (тип браузера и устройства)
- Журнал действий внутри Сервиса (audit log) — кто и когда изменил данные
- Cookie сессии для поддержания авторизации
2.3. Данные подписки, пополнений и платежей
Платежи обрабатывает сторонний платёжный провайдер (далее — «Провайдер»), выступающий официальным продавцом (Merchant of Record) для всех платных операций Shildebek CRM — как ежемесячных подписок, так и разовых пополнений внутреннего баланса. Это означает, что договор на оплату заключается между пользователем и Провайдером, а Провайдер берёт на себя расчёт и удержание налогов, формирование чека и обработку возвратов. Конкретный Провайдер указывается в подтверждающем письме после оплаты и в чеке.
Полные платёжные реквизиты (номер карты, CVV, срок действия) не передаются и не хранятся на серверах Поставщика — они вводятся пользователем непосредственно на странице Провайдера. От Провайдера мы получаем только:
- Идентификатор подписки, разового платежа или транзакции
- Тип операции (подписка / разовое пополнение баланса)
- Статус оплаты, сумму и валюту
- Страну плательщика (для расчёта налогов)
- Маскированный номер карты (последние 4 цифры) и тип карты
- E-mail плательщика, указанный при оформлении у Провайдера
2.4. Данные внутреннего баланса
В рамках работы с функцией пополнения баланса в Сервисе хранятся:
- История пополнений баланса: дата, сумма, идентификатор транзакции Провайдера
- История списаний с баланса в счёт оплаты подписки
- Текущий остаток баланса аккаунта
- История возвратов остатка баланса (если таковые были)
Эти данные используются исключительно для учёта взаиморасчётов с пользователем и для бухгалтерской отчётности. Баланс является внутренней учётной записью внутри Сервиса и не является электронным кошельком: средства на нём не могут быть использованы для расчётов с третьими лицами, переводов другим пользователям или вывода в иные сервисы.
2.5. Данные, которые вы загружаете в Сервис
В рамках работы с Kaspi Magazin API в Сервисе хранятся:
- Заказы Kaspi (номер, состав, статус, суммы)
- Данные ваших покупателей, переданные через Kaspi API (имя, телефон, адрес доставки)
- Отзывы и рейтинги
- Платежи и история статусов
Важно: в отношении этих данных вы являетесь контролёром (Data Controller), а Shildebek CRM — оператором обработки (Data Processor). Вы обязаны иметь законные основания на обработку этих данных в соответствии с применимым законодательством.
3. Цели обработки и правовые основания
| Цель | Основание |
|---|---|
| Предоставление доступа к Сервису | Исполнение договора (Условия использования) |
| Биллинг, налоговая отчётность | Исполнение договора, требование закона |
| Поддержка и коммуникация | Исполнение договора, законный интерес |
| Безопасность и защита от мошенничества | Законный интерес |
| Маркетинговые сообщения | Согласие (отзывается в любой момент) |
4. Кому передаются данные
Мы передаём данные только следующим обработчикам, каждый из которых обязан обеспечивать защиту данных в соответствии с условиями обработки:
- Сторонний платёжный провайдер (Merchant of Record) — обработка платежей, налогов, чеков и возвратов. Конкретный провайдер указывается в подтверждающем письме после оплаты, его юрисдикция и политика конфиденциальности доступны на сайте провайдера.
- АО «Kaspi.kz» (Казахстан) — Kaspi Magazin API, через который Сервис получает заказы и обновляет статусы по токену, предоставленному пользователем. Политика Kaspi.kz.
- Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Германия) — хостинг-провайдер. Данные хранятся в дата-центре в Falkenstein, Saxony, Германия (ЕС). Политика Hetzner.
- Telegram FZ-LLC — отправка уведомлений в Telegram через Bot API. Передача данных происходит только если пользователь явно подключил Telegram-уведомления в настройках своего аккаунта. Политика Telegram.
- E-mail-провайдер — для транзакционных писем (подтверждение регистрации, уведомления о платежах, восстановление пароля). E-mail обслуживается на собственной инфраструктуре в том же дата-центре Hetzner.
Мы не продаём и не передаём ваши данные третьим лицам в маркетинговых целях. Передача данных государственным органам возможна только при наличии законного основания (запрос, постановление суда).
5. Международная передача данных
Серверы Сервиса (включая базу данных и резервные копии) расположены в дата-центре Hetzner Online GmbH в г. Falkenstein, Saxony, Германия (ЕС). Платежи обрабатываются сторонним платёжным провайдером, инфраструктура которого может располагаться в США, Великобритании и ЕС. Передача данных за пределы Республики Казахстан осуществляется в соответствии со ст. 16 Закона РК «О персональных данных и их защите». Для пользователей из ЕС/ЕЭЗ применяются Standard Contractual Clauses Европейской комиссии (Decision 2021/914) для обеспечения адекватного уровня защиты при передаче данных.
6. Сроки хранения
- Данные учётной записи — пока активна подписка + 30 дней после её прекращения.
- Данные заказов и платежей — 5 лет с момента последней операции (требование налогового законодательства РК).
- История пополнений и списаний с баланса — 5 лет (требование налогового законодательства РК).
- Журнал действий (audit log) — 1 год.
- Cookie сессии — до выхода из аккаунта или истечения срока действия (30 дней).
- Резервные копии — 30 дней.
По истечении срока данные удаляются или анонимизируются.
7. Ваши права
7.1. Общие права
Независимо от вашего гражданства, вы имеете право:
- Получить доступ к своим данным
- Запросить исправление неточных данных
- Запросить удаление учётной записи и связанных данных (за исключением данных, которые мы обязаны хранить по закону)
- Отозвать согласие на маркетинговые сообщения
- Подать жалобу в надзорный орган
7.2. Дополнительные права для пользователей ЕС/ЕЭЗ (GDPR)
- Право на ограничение обработки
- Право на возражение против обработки на основании законного интереса
- Право на переносимость данных (получить данные в машиночитаемом формате)
- Право подать жалобу в национальный орган по защите данных
7.3. Дополнительные права для жителей Калифорнии (CCPA / CPRA)
- Право знать, какие категории данных мы собираем и кому передаём
- Право на удаление данных
- Право на отказ от продажи данных — мы данные не продаём
- Право на недискриминацию при использовании ваших прав
Для реализации любого права отправьте запрос на inbox@shildebek.org с темой «Запрос по персональным данным». Ответ будет направлен в течение 30 дней.
8. Cookies и аналитика
Сервис использует только функциональные cookie, необходимые для работы (сессия авторизации, CSRF-токен). Аналитические или маркетинговые cookie в личном кабинете не используются. На сайте shildebek.org используется Google Analytics 4 — подробности в отдельной политике для сайта.
9. Безопасность
- Все соединения защищены TLS 1.2+ (HTTPS)
- Пароли хранятся в виде хешей (bcrypt)
- Доступ к серверам ограничен по SSH-ключам
- Регулярные обновления безопасности
- Резервные копии шифруются и хранятся отдельно от основных серверов
- Доступ к производственным базам данных имеют только сотрудники, выполняющие техническое обслуживание
10. Дети
Сервис не предназначен для лиц младше 18 лет. Мы не собираем персональные данные несовершеннолетних осознанно. Если вы обнаружили, что несовершеннолетний предоставил нам данные — напишите на inbox@shildebek.org, мы удалим данные.
11. Изменения политики
Существенные изменения публикуются на этой странице с обновлённой датой. О существенных изменениях мы уведомляем по e-mail не менее чем за 30 дней до вступления в силу.
12. Контакты
По вопросам, связанным с обработкой персональных данных:
ИП «Shildebek»
БИН 061217501536
Адрес: г. Шымкент, Республика Казахстан
E-mail: inbox@shildebek.org
Сайт: shildebek.org