Политика конфиденциальности

1. Общие положения

1.1. ТОО «Steppe Pine Group» (далее — «Оператор») является собственником и оператором баз персональных данных Платформы CastHub.kz в соответствии с Законом РК «О персональных данных и их защите» от 21.05.2013 № 94-V.

1.2. Настоящая Политика описывает: перечень обрабатываемых данных, правовые основания и цели обработки, порядок передачи третьим лицам, сроки хранения, меры защиты и права субъектов данных.

1.3. Регистрируясь на Платформе, Пользователь выражает информированное согласие на обработку персональных данных в объёме настоящей Политики (ст. 8 Закона № 94-V). Обработка данных ограничивается конкретными, заранее определёнными и законными целями (п. 8 ст. 7 Закона № 94-V в ред. Закона РК от 17.11.2025 № 231-VIII).

2. Перечень обрабатываемых персональных данных

2.1. Регистрационные данные

• имя, фамилия, псевдоним; дата рождения, пол, гражданство;
• адрес электронной почты; номер телефона; аккаунт Telegram (username / chat ID);
• хеш пароля (необратимый, bcrypt с уникальной солью); дата и время регистрации;
• роль на Платформе (актёр, партнёр, специалист и т.д.); реферальный код.

2.2. Профессиональные и творческие данные

• специализация, опыт, навыки; фотографии (портфолио); видеоматериалы;
• физические параметры (для Актёров): рост, вес, цвет волос и глаз, размеры;
• сведения об образовании; город / регион проживания.

2.3. Данные верификации

• статус подтверждения телефона, email, личности;
• при верификации по селфи: Оператор производит сопоставление изображений без извлечения биометрических идентификаторов и без формирования биометрического шаблона. Результатом обработки является только бинарный статус верификации (пройдена / не пройдена). Исходные изображения хранятся в зашифрованном виде до 1 года исключительно для целей разрешения споров. Данная процедура не квалифицируется как обработка биометрических данных в полном смысле ст. 9 Закона № 94-V.

2.4. Технические и поведенческие данные

• IP-адрес; User-Agent (тип устройства, браузер, ОС);
• история активности на Платформе (отклики, просмотры, подписки);
• журналы входов и сессий; cookies и схожие технологии (см. раздел 11).

2.5. Данные платёжных операций

• факт, дата, сумма оплаты, тип тарифа, уникальные идентификаторы транзакций;
• Оператор НЕ хранит полные номера карт, CVV/CVC, коды 3-D Secure. Эти данные обрабатываются платёжным агрегатором по стандарту PCI DSS.

2.6. Данные из открытых источников (агрегатор)

В рамках работы ИИ-агрегатора Оператор обрабатывает публично размещённые сведения об устроителях кастингов: наименование / имя, контактные данные (email, телефон, мессенджер), опубликованные ими самостоятельно в открытом доступе. Правовое основание — ст. 6 Закона № 94-V (общедоступные данные). Такие данные используются исключительно для отображения объявлений и не применяются в маркетинговых целях без отдельного согласия субъекта. Устроитель вправе потребовать удаления своих данных, направив запрос на privacy@casthub.kz.

3. Правовые основания обработки

3.1. Оператор обрабатывает персональные данные на следующих основаниях: (а) согласие Пользователя при акцепте настоящей Политики (ст. 7 Закона № 94-V); (б) исполнение договора, заключённого акцептом оферты (пп. 2 п. 2 ст. 9 Закона № 94-V); (в) исполнение обязанностей по законодательству РК (налоговому, бухгалтерскому, антитеррористическому); (г) защита законных интересов Оператора и третьих лиц.

4. Цели обработки персональных данных

4.1. Персональные данные обрабатываются в следующих целях:

• а) регистрация, идентификация и верификация Пользователей;
• б) отображение профиля в базе и предоставление его Партнёрам для кастинга;
• в) алгоритмическое сопоставление профилей с кастингами (Smart Match);
• г) обеспечение работы чатов, откликов, ленты публикаций;
• д) предоставление и совершенствование Платных услуг;
• е) безопасность Платформы, предотвращение мошенничества и злоупотреблений;
• ж) улучшение ИИ-алгоритмов на основе обезличенных данных;
• з) исполнение требований законодательства РК.

4.2. Маркетинговые коммуникации — отдельное согласие

Направление маркетинговых сообщений и рекламных рассылок осуществляется исключительно на основании отдельного явного согласия Пользователя при регистрации или в настройках Аккаунта. Пользователь вправе в любой момент отозвать это согласие через настройки или по запросу на privacy@casthub.kz.

5. Публичность данных

5.1. Публично отображаются: имя / псевдоним, фото, специализация, опыт, город; физические параметры — только если Пользователь их указал; портфолио и видео.

5.2. Контактные данные (email, телефон) не отображаются публично. Партнёры получают к ним доступ только после отклика Актёра на кастинг или при наличии явного согласия Актёра.

6. Передача данных третьим лицам

6.1. Оператор передаёт персональные данные третьим лицам исключительно в объёме, минимально необходимом для достижения целей обработки, при наличии у третьей стороны обязательств по конфиденциальности не ниже установленных настоящей Политикой. Оператор не продаёт персональные данные в коммерческих целях.

6.2. Оператор вправе передавать персональные данные третьим лицам — техническим подрядчикам (хостинг, CDN, резервное копирование), провайдерам SMS и email-уведомлений, платёжным агрегаторам, государственным органам и судам — исключительно в объёме, минимально необходимом для функционирования Платформы и исполнения требований законодательства РК. При существенном изменении состава третьих лиц настоящая Политика обновляется.

6.3. Оператор вправе передавать обезличенные агрегированные данные третьим лицам без согласия Пользователя при условии, что такая передача не позволяет идентифицировать конкретного Пользователя.

7. Трансграничная передача данных

7.1. Пользователь подтверждает информированное согласие на трансграничную передачу персональных данных в государства, где расположена инфраструктура третьих лиц из п. 6.2 (Нидерланды, США, государства ЕС) в соответствии со ст. 16 Закона № 94-V.

7.2. Трансграничная передача осуществляется только в государства, обеспечивающие надлежащую защиту персональных данных, или при наличии договорных гарантий.

7.3. Если Пользователь отзывает согласие на трансграничную передачу, использование Платформы становится технически невозможным, поскольку вся инфраструктура размещена частично за пределами РК. В таком случае Пользователь обязан прекратить использование и удалить Учётную запись.

8. Сроки хранения персональных данных

8.1. Оператор хранит персональные данные в следующие сроки: регистрационные данные, профиль и контент — в течение срока существования Аккаунта; данные удалённого Аккаунта — удаляются или обезличиваются в течение 90 дней; данные верификации (селфи, документы) — до 1 года с момента верификации; платёжные данные и бухгалтерские документы — 5 лет (Налоговый кодекс РК); логи платежей — 5 лет; журналы действий администрации — 3 года; резервные копии — до 30 дней (ротация); данные по незавершённым судебным разбирательствам — до завершения и истечения срока исковой давности; сообщения в чатах — сохраняются у собеседника до удаления его Аккаунта.

8.2. По истечении сроков данные уничтожаются или обезличиваются. Обезличенные агрегированные данные могут использоваться бессрочно в аналитических целях.

9. Права Пользователя (субъекта данных)

9.1. В соответствии со ст. 24 Закона № 94-V Пользователь имеет право: получить сведения об обрабатываемых данных; требовать их уточнения или изменения; требовать блокирования или уничтожения при незаконной обработке; отозвать согласие; обжаловать действия Оператора в уполномоченный орган или в суд.

9.2. Большинство прав реализуется самостоятельно через интерфейс Платформы (редактирование профиля, удаление постов, удаление аккаунта). Для прав, недоступных через интерфейс (получение копии данных, полное уничтожение), Пользователь направляет письменный запрос на privacy@casthub.kz, содержащий:

• ФИО и контактные данные;
• описание требования;
• идентификатор на Платформе (номер телефона, email, логин);
• копию документа, удостоверяющего личность (номер документа можно закрыть, оставив ФИО и фотографию).

9.3. Срок рассмотрения запроса — не более 15 (пятнадцати) календарных дней (ст. 25 Закона № 94-V). Оператор вправе отказать в исполнении запроса, если это нарушает права третьих лиц, данные подлежат обязательному хранению по закону, либо заявитель не прошёл идентификацию.

9.4. Для обжалования действий Оператора Пользователь вправе обратиться в уполномоченный орган: Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности РК — https://www.gov.kz/memleket/entities/ksi

10. Защита данных

10.1. Технические меры

• шифрование каналов TLS/HTTPS для всех соединений, включая API и подключения к БД;
• хранение паролей в необратимой форме (bcrypt с уникальной солью для каждого пароля);
• авторизационные токены JWT с серверной проверкой подписи;
• rate limiting для защиты от brute-force и DDoS-атак;
• Content Security Policy (CSP) и защитные HTTP-заголовки против XSS;
• параметризованные запросы к БД (ORM Drizzle) и валидация входных данных (Zod) против SQL-инъекций;
• автоматическое резервное копирование БД каждые 6 часов с ротацией 30 дней;
• изоляция учётных записей БД с минимально необходимыми привилегиями;
• мониторинг известных уязвимостей зависимостей (security advisories).

10.2. Организационные меры

• ограничение доступа к данным по принципу минимально необходимых привилегий (least privilege);
• назначение лица, ответственного за организацию обработки персональных данных;
• журналирование действий администраторов и операций с данными;
• включение обязательств по конфиденциальности в договоры с третьими лицами.

10.3. Уведомление об инциденте

В случае инцидента, повлёкшего несанкционированный доступ к персональным данным, Оператор:

• а) незамедлительно принимает меры по локализации и устранению инцидента;
• б) уведомляет пострадавших Пользователей о факте инцидента и рекомендуемых защитных действиях в разумные сроки;
• в) уведомляет уполномоченный государственный орган в порядке и в сроки, установленные законодательством РК.

11. Cookies и технологии отслеживания

11.1. Платформа использует cookies для обеспечения авторизации, безопасности, аналитики и персонализации. Функционально необходимые cookies устанавливаются автоматически без согласия — без них Платформа технически не работает. Аналитические и маркетинговые cookies устанавливаются только с согласия Пользователя при первом посещении.

11.2. Пользователь вправе в любой момент отозвать согласие на аналитические и маркетинговые cookies через настройки браузера или соответствующий раздел настроек Платформы. Отзыв не затрагивает функционально необходимые cookies и не ухудшает базовую работу сервиса (ст. 8 Закона № 94-V).

11.3. На Платформе не используются кросс-доменные рекламные трекеры третьих лиц, если иное не указано отдельно с получением согласия Пользователя.

12. Изменения в Политике

12.1. Актуальная версия Политики всегда доступна по адресу casthub.kz/politica-konf. Об изменениях, существенно расширяющих объём данных или цели обработки, Оператор уведомляет по email не менее чем за 7 дней до вступления в силу.

12.2. Продолжение использования Платформы после публикации новой редакции означает согласие с ней. При несогласии Пользователь прекращает использование и удаляет Аккаунт.