Перейти к содержимому
Kanri
На главную

Политика обработки персональных данных

Последнее обновление: 21 мая 2026 г.

1. Общие положения

Политика разработана в соответствии с Законом РК «О персональных данных и их защите» от 21.05.2013 № 94-V и определяет порядок обработки ПД в платформе Kanri.

Оператор: ИП HOSHIN KANRI, регистрационный № KZ01UWQ08558579, Республика Казахстан, г. Алматы. Email: [email protected].

2. Категории субъектов и данных

Заказчики (владельцы / сотрудники клиник):

  • ФИО, email, телефон
  • Должность, роль в системе
  • Платёжные реквизиты (для приёма оплаты подписки)
  • Логи действий в Сервисе (для безопасности и аудита)

Клиенты Заказчиков (вносятся Заказчиком):

  • ФИО, дата рождения, пол, ИИН (при медицинских услугах)
  • Контакты: телефон, email, адрес
  • История посещений, услуг, платежей
  • Медицинские данные (специальная категория ПД): диагнозы, аллергии, хронические заболевания, назначения — обрабатываются только при использовании модуля медицинских карт

Посетители сайта:

  • IP-адрес, cookies (только функциональные)
  • Информация об устройстве (браузер, ОС)

3. Цели обработки

  • Предоставление функционала Сервиса
  • Транзакционные уведомления (подтверждения, чеки, сброс пароля)
  • Маркетинговые рассылки — только с явного согласия
  • Поддержка пользователей
  • Техническая поддержка, диагностика инцидентов и обеспечение работоспособности сервиса через служебный доступ уполномоченного персонала Оператора (см. раздел 6.1)
  • Обучение собственных AI-моделей Оператора (AI-продавец, AI-медкарты, AI-инсайты, AI-Voice) на обезличенных данных Заказчиков и их клиентов с возможностью отказа (opt-out) — см.раздел 6.2
  • Анализ и улучшение сервиса (агрегированная обезличенная статистика)
  • Безопасность и противодействие мошенничеству
  • Соблюдение законодательства РК (налоговый учёт)

4. Передача ПД третьим лицам

Оператор использует следующих подрядчиков. Каждый связан соглашением о неразглашении и обязательством обеспечить уровень защиты не ниже Оператора:

  • Cloudflare R2 — хранение файлов (US, с EU SCC)
  • Resend — транзакционные email (US)
  • Sentry — мониторинг ошибок (US, с DPA)
  • Sipuni — телефония, IVR, записи (KZ)
  • Meta WhatsApp Cloud API — мессенджер (US/EU)
  • Kaspi — платежи (KZ)
  • Railway — хостинг приложения (US, с DPA)

Оператор не передаёт ПД для маркетинговых целейтретьим лицам без отдельного согласия. Передача в гос. органы — только по законному запросу.

5. Сроки хранения

  • ПД Заказчика и его клиентов: срок подписки + 6 месяцев
  • Финансовые данные (платежи, счета): 5 лет (требование налогового законодательства РК)
  • Медицинские данные: в течение действия подписки. Хранение медкарт 25 лет — ответственность Заказчика как медорганизации (приказы МЗ РК). Оператор предоставляет инструменты экспорта
  • Логи безопасности: 90 дней

6. Меры защиты

Технические:

  • Шифрование при передаче (TLS 1.2+)
  • Шифрование at-rest для критичных данных (R2, encrypted DB volumes)
  • Хеширование паролей (bcrypt)
  • 2FA для административных аккаунтов
  • Резервное копирование (ежедневно)
  • Мониторинг безопасности (Sentry + audit log)

Организационные:

  • Ограниченный доступ к ПД среди сотрудников
  • NDA с каждым сотрудником и подрядчиком
  • Журналы аудита всех действий с ПД

Изоляция данных между Заказчиками:

Каждый Заказчик имеет изолированное пространство данных через tenant_id фильтрацию + Row-Level Security policies на уровне PostgreSQL. Заказчики НЕ имеют доступа к данным других Заказчиков.

6.1. Служебный доступ персонала Оператора к данным Заказчиков

Поскольку Kanri — облачный сервис, физическим носителем данных выступает инфраструктура Оператора. Оператор как обработчик ПД по поручению Заказчика (контролёра ПД своих клиентов) имеет техническую возможность доступа к данным, размещённым в Сервисе.

Цели служебного доступа:

  • Техническая поддержка по обращению Заказчика
  • Расследование инцидентов безопасности, сбоев, потенциальных злоупотреблений
  • Отладка, тестирование, проверка корректности функций платформы
  • Миграции, обновления схемы БД, плановое сопровождение
  • Резервное копирование и восстановление
  • Исполнение требований законодательства РК и законных запросов гос. органов

Принципы и ограничения:

  • Минимально необходимый объём: сотрудник получает доступ только к тем записям, которые необходимы для конкретной задачи
  • Авторизация: доступ предоставляется только сотрудникам Оператора, прошедшим 2FA-аутентификацию и подписавшим соглашение о неразглашении (NDA)
  • Аудит: все действия персонала Оператора с данными Заказчика записываются в журнал аудита (audit log). Срок хранения журнала — не менее 90 дней
  • Запрет коммерческого использования: Оператор не использует данные Заказчика и его клиентов для собственных коммерческих или маркетинговых целей, не продаёт и не передаёт их за пределы перечня подрядчиков, указанного в разделе 4
  • Машинное обучение: данные Заказчика и его клиентов не используются Оператором или провайдерами AI-функций для обучения моделей (DPA с провайдерами AI запрещает обучение на пользовательских данных)
  • Запрос журнала аудита: Заказчик может запросить выписку по действиям персонала Оператора с его данными за выбранный период через [email protected]

Правовое основание служебного доступа: исполнение договора с Заказчиком (пп. 1 п. 1 ст. 9 Закона РК о ПД) и законные интересы Оператора по поддержанию работоспособности сервиса. Согласие на такой доступ даётся Заказчиком в момент акцепта Публичной оферты (раздел 7.1).

Заказчик обязан проинформировать своих клиентов (субъектов ПД) о том, что их данные обрабатываются с использованием облачной платформы Kanri, и получить от них согласие на такую обработку в соответствии с законодательством РК. Шаблон согласия может быть запрошен через [email protected].

6.2. Использование данных для обучения собственных AI-моделей Оператора

Оператор обучает собственные AI-модели платформы Kanri (AI-продавец Айя, AI-медкарты, AI-инсайты, AI-Voice) на обезличенных данных Заказчиков и их клиентов. Цель — улучшение качества AI-функций для всех пользователей платформы.

Категории данных, используемые для обучения:

  • Тексты переписок в чатах (WhatsApp, Telegram) — для модели AI-продавца
  • Аудиозаписи приёмов и их расшифровки — для модели AI-медкарт (только при использовании Заказчиком этого модуля)
  • Статистика визитов, оплат, услуг, расписания — для моделей рекомендаций и предсказания оттока
  • Записи звонков и расшифровки — для модели AI-Voice (только при использовании модуля Sipuni)

Процедура обезличивания (применяется ВСЕГДА перед обучением):

  1. Удаление прямых идентификаторов. Из данных удаляются ФИО, телефоны, email, ИИН, адреса, номера документов, IP-адреса.
  2. Хэширование с криптографической солью. Если связи между записями нужны для качества модели — идентификаторы заменяются на SHA-256 хэши с солью, известной только Оператору. Соль хранится отдельно от данных, в зашифрованном виде.
  3. Удаление имён в свободном тексте. Через NER-модель (named entity recognition) находятся и маскируются имена в произвольных текстах диалогов и медкарт.
  4. Двойное обезличивание медданных. Для медкарт обезличиваются и пациенты, и врачи (только обобщённая роль «врач», «массажист», «стоматолог»).
  5. Удаление редких комбинаций. Записи, которые из-за уникальности параметров могут косвенно идентифицировать человека (например, очень редкий диагноз в маленьком городе), удаляются из обучающего датасета.
  6. Аудит обезличивания. Каждый обучающий датасет проверяется автоматическим скриптом на наличие PII (телефоны, email, ИИН-паттерны) перед началом обучения.

Гарантии Оператора:

  • Обучающие датасеты не передаются третьим лицам, не публикуются, не используются для обучения моделей других компаний
  • Обученные модели работают только в составе платформы Kanri и не продаются как отдельный продукт
  • Оператор не предпринимает попыток re-identification и не передаёт ключи обезличивания третьим лицам
  • Применяются технические меры защиты от утечки обучающих данных через модель (фильтрация выходов, тестирование на membership inference)
  • Срок хранения обучающих датасетов — не более 24 месяцев, затем ротация или удаление
  • Журнал «датасет → модель → версия» хранится не менее 36 месяцев

Право Заказчика на отказ (opt-out):

Заказчик в любой момент может отказаться от участия его данных (и данных его клиентов) в обучении моделей Оператора. Способы:

  • Заявка на [email protected]
  • Тумблер в Настройках → Конфиденциальность (по мере появления функции в UI)

После получения отказа Оператор:

  • В течение 14 рабочих дней исключает данные Заказчика из всех новых обучающих датасетов
  • При следующем плановом обновлении модели (но не позднее 6 месяцев) ротирует существующие обучающие датасеты, удаляя данные Заказчика
  • Из уже обученных и развёрнутых моделей данные технически удалить невозможно (модель — это веса, не база); благодаря обязательному обезличиванию идентифицирующие признаки в модели отсутствуют

Отказ от участия в обучении не влияет на стоимость подписки и функциональность сервиса для Заказчика. AI-функции платформы продолжают работать у всех Заказчиков.

Правовое основание:

После корректного обезличивания данные перестают являться персональными по смыслу ст. 1 Закона РК «О персональных данных и их защите» и могут обрабатываться без дополнительного согласия. Тем не менее Оператор добровольно сохраняет режим повышенной защиты, описанный выше, и предоставляет право opt-out как меру добросовестности и доверия. Дополнительное правовое основание — законные интересы Оператора по улучшению сервиса (пп. 2 п. 1 ст. 9 Закона РК о ПД) и акцепт Публичной офертыЗаказчиком (раздел 7.2).

Ответственность Заказчика:

Заказчик как медицинская/сервисная организация обязан включить в своё уведомление/согласие на обработку ПД пациентов (клиентов) указание о том, что обезличенные данные могут использоваться оператором облачной платформы для улучшения сервиса. Шаблон уведомления предоставляется Оператором по запросу.

7. Права субъектов ПД и Заказчиков

В соответствии с Законом РК о ПД субъект имеет право:

  • Получить информацию о наличии своих ПД (запрос на [email protected], ответ в 15 дней)
  • Уточнить или скорректировать ПД через личный кабинет / email
  • Запросить блокировку или удаление при нарушениях
  • Отозвать согласие на маркетинговую рассылку (через ссылку «Отписаться»)
  • Получить копию своих ПД в формате CSV/JSON в течение 5 рабочих дней
  • Обжаловать действия Оператора в уполномоченный орган РК или в суд

Дополнительные права Заказчика (юр. лица или ИП):

  • Отказаться от участия его данных и данных его клиентов в обучении собственных AI-моделей Оператора — см.раздел 6.2
  • Запросить выписку из журнала аудита по служебному доступу персонала Оператора к его данным — см. раздел 6.1
  • Запросить шаблон уведомления / согласия для своих клиентов (с учётом облачной обработки и обучения AI) на [email protected]

8. Cookies

  • Функциональные cookies — для работы (сессии, аутентификация, настройки UI)
  • Аналитические cookies — только с явного согласия через banner
  • Рекламные cookies НЕ используются

9. Уведомление об инцидентах

При обнаружении инцидента, затрагивающего ПД, Оператор:

  • Немедленно принимает меры по локализации и устранению
  • Уведомляет пострадавших субъектов в течение 72 часов
  • При необходимости — уведомляет уполномоченный орган РК

10. Изменения политики

Оператор вправе изменять политику, публикуя новую редакцию на kanri.kz/legal/privacy. О существенных изменениях уведомляет зарегистрированных пользователей за 14 дней.

11. Контакты

Запросы по обработке персональных данных направляются в адрес уполномоченного представителя Оператора:

  • ИП HOSHIN KANRI
  • Email: [email protected]
  • Юрисдикция: Республика Казахстан, г. Алматы
  • Срок ответа: 15 календарных дней (Закон РК «О ПД» ст.7)
Создать аккаунт — 14 дней бесплатно