1. Ақпаратты кім және не үшін жинайды
Дербес деректер операторы:
«KLIMOV & Co» жауапкершілігі шектеулі серіктестігі
БСН: 260440020318
Мекенжайы: Қазақстан Республикасы, Алматы қ., Житомир көшесі 10/2
Email: danil@klimov.company · Тел.: +7 705 993 83 83
Техникалық әзірлеуші және субпроцессор:
GPO OÜ (Эстония), тіркеу нөмірі 14897399
Мекенжайы: Peterburi tee 38/9, Tallinn 11415, Эстония
Email: gpowork@gmail.com
Өнім: «Tuc-Tuc» мессенджері — ашық орталықсыздандырылған Matrix хаттамасында құрылған хабарлама алмасуға, аудио- және бейнеқоңырауларға арналған клиент-серверлік қосымша.
2. Біз қандай деректерді өңдейміз
2.1. Сіз бізге өзіңіз ұсынатын деректер
| Санат | Қашан жиналады | Не үшін |
|---|---|---|
| Пайдаланушы аты (MXID) | тіркелу кезінде | жүйеде сәйкестендіру |
| Көрсетілетін аты және аватар (қосымша) | профильді баптау кезінде | чаттарда көрсету |
| Хабарламалардың мазмұны | жіберу кезінде | алушыға жеткізу, тарих |
| Медиа файлдар | чатта жіберу кезінде | жеткізу, уақытша сақтау |
| Қоңыраулар кезіндегі дауыс пен бейне | қоңыраулар кезінде | қатысушылар арасында беру |
2.2. Автоматты түрде жиналатын деректер
| Санат | Дереккөз | Сақтау |
|---|---|---|
| IP-мекенжай | серверге қосылу кезінде | логтар, 30 күн ротациясы |
| Push токендер (APNs, FCM, Web Push) | құрылғыны тіркеу кезінде | аккаунттан шыққанға дейін |
| Сеанс метадеректері | қосылу кезінде | белсенді сеанс + 24 сағат |
| Қателер туралы оқиғалар (Sentry) | ақаулар кезінде | 30 күн, мазмұнсыз |
| Анонимді аналитика (PostHog) | функцияларды пайдалану кезінде | 90 күн, сәйкестендірусіз |
2.3. Біз жинамайтын деректер
- Телефон кітапшасындағы контактілер тізімі
- Геолокация (егер Сіз оны нақты рұқсат етпесеңіз)
- Браузер тарихы
- Биометриялық деректер
3. Өңдеудің құқықтық негіздері
Дербес деректерді өңдеу мыналарға сәйкес жүзеге асырылады:
- Қазақстан Республикасының 2013 жылғы 21 мамырдағы № 94-V «Дербес деректер және оларды қорғау туралы» Заңы;
- Еуропалық Одақтың General Data Protection Regulation (GDPR) регламенті, GPO OÜ субпроцессорының қызметіне қолданылады.
Өңдеу негіздері:
- Дербес деректер субъектісінің келісімі (ҚР № 94-V Заңының 8-бабы) — аккаунтты тіркеу кезінде.
- Шарт — мессенджер қызметтерін көрсету үшін (9-бап, 2-тармақ).
- Оператордың заңды мүдделері — қауіпсіздікті қамтамасыз ету, алаяқтық пен теріс пайдаланушылыққа қарсы әрекет.
4. Деректер қайда және қанша уақыт сақталады
| Деректер | Сақтау орны | Мерзімі |
|---|---|---|
| Хабарламалар, медиа, профиль | Hetzner Cloud (Германия, NBG1) | аккаунт жойылғанға дейін |
| Серверлік логтар | сол сервер | 30 күн (ротация) |
| Сақтық көшірмелер | Hetzner (Германия) | 30 күн daily + 12 ай monthly |
| Sentry (қателер) | sentry.io (EU region) | 30 күн |
| PostHog (аналитика) | EU Cloud (Frankfurt) | 90 күн |
Серверлік инфрақұрылым Еуропалық Одақ аумағында (Германия) орналасқан, бұл GDPR талаптарына сәйкестікті қамтамасыз етеді. Push-хабарламалар жағдайларынан басқа (§5 қараңыз), деректер ЕО-дан тыс жерге берілмейді.
5. Деректерді үшінші тұлғаларға беру
| Алушы | Не беріледі | Мақсаты |
|---|---|---|
| Hetzner Online GmbH (Германия) | сервер және сақтау орны | инфрақұрылымды хостинг |
| Apple Inc. (АҚШ) — APNs | құрылғы токені + «жаңа хабарлама» оқиғасы (мәтінсіз) | iOS push-хабарламалары |
| Google LLC (АҚШ) — FCM | сол сияқты | Android push-хабарламалары |
| Sentry / PostHog | техникалық телеметрия | жұмысқа қабілеттілікті бақылау |
| DNS-провайдер (PS.KZ) | тек DNS-сұраулар | домендік атауларды шешу |
Біз Сіздің деректеріңізді маркетинг немесе жарнама мақсатында үшінші тұлғаларға сатпаймыз және бермейміз.
Уәкілетті мемлекеттік органдардың талабы бойынша деректерді ашу тек Қазақстан Республикасының және серверлік инфрақұрылым орналасқан елдің (Германия) заңнамасында белгіленген тәртіппен ғана жүзеге асырылады.
6. Шифрлау
Қосымшаның MVP-нұсқасында:
- Тасымалдау шифрлауы: клиент пен сервер арасындағы, сондай-ақ серверлер арасындағы барлық трафик үшін TLS 1.2/1.3.
- Ұштан-ұшқа шифрлау (E2E): MVP-нұсқасында белсендірілмеген. Оператор техникалық тұрғыдан сервер жағында хабарламалардың мазмұнына қол жеткізу мүмкіндігіне ие. Matrix хаттамасы нативті қолдайтын E2E-шифрлау өнімнің кейінгі нұсқаларында қосылады.
7. Сіздің құқықтарыңыз
ҚР № 94-V Заңының 24–26-баптарына сәйкес Сіздің құқығыңыз бар:
- Бізде Сіздің деректеріңіздің бар-жоғы және оларды өңдеу туралы ақпарат алуға.
- Өз дербес деректеріңізді өзгертуге немесе толықтыруға.
- Өңдеуге берілген келісімді кері қайтаруға.
- Деректерді жоюды талап етуге — Қосымшада «Аккаунтты жою» функциясы қолжетімді (Аккаунтты жою қараңыз).
- Өңдеудің заңсыздығына күмәндануға негіз болған кезде оны бұғаттауға.
- Оператордың әрекеттерін ҚР дербес деректерді қорғау жөніндегі уәкілетті органға немесе сотқа шағымдануға.
Құқықтарды жүзеге асыру: danil@klimov.company мекенжайына «Дербес деректер бойынша сұрау» тақырыбымен сұрау жіберіңіз. Жауап — 15 жұмыс күні ішінде.
8. Аккаунтты жою
Apple App Store, Google Play талаптарына және ҚР № 94-V Заңының 24-бабына сәйкес:
- Аккаунтты Қосымшаның өзінен жоюға болады: Баптаулар → Аккаунт → Аккаунтты жою.
- Жою расталғаннан кейін: хабарламалар мен медиа тарихы дереу жоюға белгіленеді; серверлерден және сақтық көшірмелерден физикалық жою — 90 күн ішінде; push токендер лезде кері қайтарылады.
Қадамдық нұсқаулық: delete.tuc-tuc.asia.
9. Балалар
Қосымша 16 жасқа толмаған тұлғаларға арналмаған. Біз олардың деректерін саналы түрде жинамаймыз. Кәмелетке толмаған тұлғаның заңды өкілінің келісімінсіз тіркелгені туралы ақпарат алынған жағдайда аккаунт жойылады.
10. Саясаттың өзгерістері
Елеулі өзгерістер (өңдеу мақсаттарын кеңейту, жаңа деректер алушылар, сақтау мерзімдерін өзгерту) күшіне енгенге дейін кемінде 30 күн бұрын Қосымшада және https://privacy.tuc-tuc.asia/ мекенжайында жарияланады.
11. Құпиялық мәселелері бойынша байланыс
| Оператор Email-і | danil@klimov.company |
|---|---|
| DPO Email-і (тех. мәселелер) | gpowork@gmail.com |
| Пошталық мекенжай | Алматы қ., Житомир көшесі 10/2, Қазақстан Республикасы |
| ҚР уәкілетті органы | ҚР ЦДИАӨМ Ақпараттық қауіпсіздік комитеті |