اتفاقية معالجة البيانات.

تم إبرام هذه الاتفاقية بين المتحكم (العميل التجاري الذي يستخدم zlabz.io لمعالجة البيانات المتعلقة بمستخدميه أو موظفيه أو متعاقديه) وzlabz.io، الذي يديره مالك نطاق zlabz.io، ويعمل كالمعالج. بالنسبة للمستخدمين النهائيين المستهلكين الذين يسجلون مباشرة على zlabz.io، نعمل كالمتحكم — لا تنطبق هذه الاتفاقية على تلك العلاقة؛ سياسة الخصوصية الخاصة بنا تنطبق.

موضوع المعالجة هو البيانات الشخصية التي يرفعها المتحكم أو ينشئها أو يقدمها بأي شكل آخر عبر خدمة zlabz.io (مثل نص الفقرة، بيانات المشروع، معرفات المستخدم النهائي). تقتصر المعالجة على ما هو ضروري لتقديم الخدمة وتأمينها ودعمها.

• المدة: طالما أن المتحكم لديه اشتراك نشط أو تجربة، بالإضافة إلى فترة معقولة بعد الإنهاء للحذف والاحتفاظ القانوني.
• الطبيعة: التخزين، الاستضافة، النقل، العرض، واسترجاع بيانات المتحكم داخل تطبيق zlabz.io.
• فئات موضوعات البيانات: المستخدمون النهائيون للمتخكم، الموظفون، أو المتعاقدون الذين يتفاعلون مع الخدمة نيابة عن المتحكم.
• فئات البيانات الشخصية: معرفات الحساب (البريد الإلكتروني، الاسم)، المحتوى المقدم للمحرر، بيانات الاستخدام — كما هو موثق في سياسة الخصوصية وقائمة المعالجات الفرعية.

• معالجة البيانات الشخصية فقط بناءً على تعليمات موثقة من المتحكم (الاستخدام العادي للخدمة يشكل مثل هذه التعليمات).
• ضمان أن الأشخاص المصرح لهم بمعالجة البيانات الشخصية ملتزمون بالسرية.
• تنفيذ تدابير أمنية تقنية وتنظيمية مناسبة (انظر القسم التالي).
• مساعدة المتحكم في الرد على طلبات موضوعات البيانات، وعند الاقتضاء، تقييمات تأثير حماية البيانات (DPIAs) والتشاور المسبق مع السلطات الإشرافية.
• إتاحة المعلومات اللازمة لإثبات الامتثال والسماح بإجراء تدقيقات معقولة (عادةً عبر استبيانات مكتوبة أو تقارير البائعين، نظرًا لطبيعة البنية التحتية المشتركة للخدمة).

• التشفير أثناء النقل (HTTPS / TLS) على جميع النقاط النهائية.
• التشفير أثناء السكون عبر الإعدادات الافتراضية لقاعدة بيانات Convex.
• المصادقة تُدار بواسطة Clerk — لا يتم تخزين كلمات المرور بواسطة zlabz.io.
• مبدأ الأقل امتيازًا في كود الخادم، تحديد النطاق لكل مستخدم في Convex، وعدم وجود مسارات وصول للبيانات عبر المستأجرين.
• بيانات الدفع تُبقى خارج النطاق بشكل صارم — يتم تفويض معالجة البطاقات إلى Dodo Payments (PCI DSS المستوى 1).

يمنح المتحكم تفويضًا عامًا لاستخدام المعالجات الفرعية المدرجة في zlabz.io/subprocessors. سنقدم إشعارًا لمدة 14 يومًا على الأقل لأي إضافة أو تغيير في المعالج الفرعي، وخلال هذه الفترة يمكن للمتحكم الاعتراض. إذا اعترض المتحكم بشكل معقول، ستناقش الأطراف حلاً؛ إذا لم يتم العثور على حل، يمكن للمتحكم إنهاء الخدمة المتأثرة.

نوفر نقاط خدمة ذاتية في /settings حتى يتمكن المستخدمون النهائيون من تصدير بياناتهم (المادة 20 من اللائحة العامة لحماية البيانات) وحذف حساباتهم (المادة 17). بالنسبة للطلبات التي يبدأها المتحكم، سنساعد ضمن القدرات التقنية للخدمة، وسنقوم بإحالة أي طلب نتلقاه مباشرة إلى المتحكم دون تأخير غير مبرر.

في حالة حدوث خرق للبيانات الشخصية يؤثر على بيانات المتحكم، سنقوم بإخطار المتحكم دون تأخير غير مبرر وفي أي حال خلال 72 ساعة من العلم، مع طبيعة الخرق، الفئات المتأثرة، العواقب المحتملة، والتدابير العلاجية المتخذة.

عندما يتم نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية / المملكة المتحدة، نعتمد على البنود التعاقدية القياسية (SCCs) المضمنة افتراضيًا في اتفاقية معالجة البيانات لكل بائع (انظر /subprocessors) ونطبق تدابير تكميلية عند الحاجة. لن نقوم بنقل البيانات إلى ولاية قضائية تفتقر إلى الحماية الكافية دون آلية نقل صالحة.

عند إنهاء اتفاقية الخدمة الرئيسية أو بناءً على طلب كتابي، سنقوم بحذف أو إعادة جميع البيانات الشخصية للمتكلم خلال 30 يومًا، باستثناء الحالات التي يتطلب فيها القانون الاحتفاظ بها (مثل سجلات الفواتير للامتثال الضريبي). يمكن للمتكلم بدء تصدير في أي وقت قبل الإنهاء عبر /api/user/export أو فريق الدعم لدينا للمجموعات البيانات الأكبر.

تخضع المسؤولية بموجب هذه الاتفاقية للقيود والاستثناءات المنصوص عليها في شروط الخدمة، باستثناء الحالات التي لا يُسمح فيها بمثل هذا التقييد بموجب قانون حماية البيانات المعمول به. لا يوجد هنا ما يستثني المسؤولية التي لا يمكن استبعادها قانونيًا.

يمكن إرسال الإشعارات، وطلبات موضوعات البيانات، وتقارير الخرق، وطلبات توقيع الاتفاقية عبر قناة الدعم الخاصة بنا. سنرد خلال يومي عمل.