Политика конфиденциальности

Настоящая Политика конфиденциальности (далее — Политика) определяет порядок обработки и защиты персональных данных пользователей сервиса AC Inova Group, размещённого по адресу https://www.acinova.kz, оператором которого является Индивидуальный Предприниматель SREDA (ИИН: 770301402266, далее — Оператор).

Используя сервис, регистрируясь или передавая Оператору любые персональные данные, вы выражаете согласие с условиями настоящей Политики и Закона РК «О персональных данных и их защите».

• Персональные данные (ПДн) — сведения, относящиеся к определённому или определяемому на их основании субъекту ПДн, зафиксированные на электронном, бумажном или ином материальном носителе.
• Субъект ПДн — физическое лицо, к которому относятся персональные данные.
• Оператор — Индивидуальный Предприниматель, осуществляющий сбор, обработку и защиту ПДн (ИП SREDA, ИИН 770301402266).
• Обработка ПДн — любое действие или совокупность действий с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление.
• Согласие — добровольное волеизъявление субъекта ПДн или его законного представителя о разрешении обработки своих ПДн.

Оператор обрабатывает следующие категории ПДн:

• Идентификационные данные: фамилия, имя, отчество, ИИН (для физических лиц) или БИН (для юридических лиц-контрагентов).
• Контактные данные: адрес электронной почты, номер мобильного телефона, адрес доставки.
• Данные учётной записи: логин (email), хэш пароля (пароль в открытом виде не хранится), временные метки регистрации и входов.
• Данные о заказах: состав, стоимость, статус, даты, загруженные макеты, спецификации печати.
• Платёжные данные: сумма, статус и реквизиты платежа, передаваемые платёжному провайдеру (Kaspi Pay). Реквизиты банковских карт Оператором не хранятся.
• Технические данные: IP-адрес, User-Agent браузера, файлы cookies, журналы действий в сервисе.

• Регистрация пользователя и предоставление доступа к личному кабинету.
• Приём, обработка и исполнение заказов на полиграфическую продукцию.
• Заключение, исполнение и расторжение договоров оказания услуг.
• Приём платежей и формирование фискальных чеков ОФД (онлайн касса) согласно Налоговому кодексу РК.
• Информирование о статусе заказа, маркетинговые рассылки (только при отдельном согласии).
• Аналитика поведения пользователей для улучшения качества сервиса.
• Исполнение требований законодательства РК (бухгалтерская и налоговая отчётность, обеспечение информационной безопасности).

Обработка ПДн осуществляется на следующих правовых основаниях:

• Согласие субъекта ПДн (ст. 7-8 Закона РК «О ПДн и их защите»), полученное при регистрации через чекбокс «Я ознакомлен с Политикой конфиденциальности».
• Исполнение договора, стороной которого является субъект ПДн (договор оказания услуг полиграфии — публичная оферта).
• Требования законодательства РК (Налоговый кодекс, Закон о бухгалтерском учёте и финансовой отчётности).

ПДн обрабатываются в течение всего срока действия учётной записи пользователя и далее в течение 5 (пяти) лет после её удаления — для исполнения обязательств по налоговому и бухгалтерскому законодательству РК (ст. 48 Налогового кодекса РК — срок хранения первичных документов).

Платёжные данные (только реквизиты транзакций, не данные карт) хранятся в течение 5 (пяти) лет с момента совершения операции.

По истечении срока хранения ПДн подлежат уничтожению или обезличиванию.

Оператор может передавать ПДн следующим категориям получателей в объёме, необходимом для исполнения договора:

• Платёжные провайдеры: АО «Kaspi Bank» (Kaspi Pay) — для проведения платежей и зачисления средств на расчётный счёт Оператора.
• Курьерские службы: привлекаемые Оператором сторонние перевозчики — для доставки заказов.
• Хостинг-провайдеры: Railway Inc. (США), Cloudflare Inc. (США) — для размещения сервиса и хранения файлов макетов. Передача может включать трансграничный обмен ПДн с государствами, обеспечивающими адекватный уровень защиты ПДн.
• Anthropic PBC (США) — обработка диалогов с ИИ-ассистентом Айной (Claude API). Передаваемые данные ограничены текстом диалога и не содержат пароли/платёжные реквизиты.
• Государственные органы РК: при наличии законного запроса (КГД МФ, КНБ, прокуратура, суд).

Все третьи лица обязаны соблюдать конфиденциальность и обеспечивать безопасность переданных им ПДн.

Оператор принимает следующие технические и организационные меры для защиты ПДн от неправомерного доступа, изменения, раскрытия или уничтожения:

• Шифрование данных при передаче по сети (HTTPS/TLS 1.3).
• Шифрование at-rest для файлов в облачном хранилище (AES-256).
• Хэширование паролей по алгоритму Argon2id (восстановить оригинальный пароль невозможно).
• Разграничение доступа сотрудников по принципу минимальных привилегий (RBAC).
• Аудит-журнал критических операций (регистрация, вход, изменение пароля, операции с заказами, согласие на обработку ПДн).
• Регулярное резервное копирование с шифрованием.
• Мониторинг подозрительной активности и lockout-механизмы (блокировка после серии неудачных входов).

В соответствии со ст. 24 Закона РК субъект ПДн имеет право:

• Знать о наличии у Оператора своих ПДн и получать сведения об их обработке.
• Требовать изменения и дополнения своих ПДн при наличии оснований.
• Требовать блокирования или уничтожения своих ПДн в случае их неполноты, устаревания, недостоверности, незаконного получения или ненужности для целей обработки.
• Отзывать ранее данное согласие на обработку ПДн.
• Обжаловать действия (бездействие) Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
• Защищать свои права и законные интересы, в том числе требовать возмещения морального вреда.

Сервис использует cookies и схожие технологии (localStorage, sessionStorage) для:

• Поддержания сессии авторизованного пользователя (access / refresh JWT-токены).
• Сохранения корзины и шаблонов заказов (только локально в браузере).
• Анализа поведения пользователей через внутреннюю аналитику (анонимизированные события).

Подробнее о категориях cookies и управлении ими см. Согласие на использование cookies.

Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения на сайте, если иное не предусмотрено новой редакцией.

При существенных изменениях, затрагивающих права субъектов ПДн, Оператор уведомляет пользователей по электронной почте за 30 (тридцать) дней до вступления изменений в силу.

К настоящей Политике применяется законодательство Республики Казахстан. Все споры подлежат рассмотрению в специализированном межрайонном экономическом суде г. Алматы по месту нахождения Оператора.

Полное наименование: Индивидуальный Предприниматель SREDA
ИИН: 770301402266
Адрес регистрации: Республика Казахстан, г. Алматы, ул. Навои, дом 326, кв/офис 24
Сайт: https://www.acinova.kz
Email для запросов по ПДн: contact@acinova.kz
Телефон: +7 747 328 77 44
Ответственный за обработку ПДн (DPO): Владелец ИП SREDA

Для реализации своих прав (доступ, изменение, отзыв согласия, удаление) субъект ПДн направляет письменный запрос Оператору по адресу contact@acinova.kz с приложением копии документа, удостоверяющего личность. Оператор обязан рассмотреть запрос и предоставить мотивированный ответ в течение 3 (трёх) рабочих дней с даты получения.

В случае отказа в удовлетворении требований субъект ПДн вправе обратиться в Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности РК (уполномоченный орган по защите прав субъектов ПДн).

Актуальный список сторонних обработчиков ПДн с указанием юрисдикции:

• Railway Inc. (США) — хостинг приложения и базы данных.
• Cloudflare Inc. (США) — CDN, защита от DDoS, хранение файлов (R2).
• Anthropic PBC (США) — AI-ассистент (Claude API), обработка диалогов с пользователем.
• АО «Kaspi Bank» (Казахстан) — проведение платежей.
• Functional Software, Inc. (Sentry) (США) — сбор технических ошибок без ПДн.

Полный реестр доступен по запросу через contact@acinova.kz. Сокращённая версия: