01
طرفین
این توافقنامه بین کنترلکننده (مشتری تجاری که از zlabz.io برای پردازش دادههای مربوط به کاربران، کارمندان، یا پیمانکاران خود استفاده میکند) و zlabz.io، که توسط مالک دامنه zlabz.io به عنوان پردازشگر عمل میکند، منعقد میشود. برای کاربران نهایی مصرفکننده که مستقیماً در zlabz.io ثبتنام میکنند، ما به عنوان کنترلکننده عمل میکنیم — این توافقنامه به آن رابطه اعمال نمیشود؛ سیاست حفظ حریم خصوصی ما اعمال میشود.
02
موضوع
موضوع پردازش دادههای شخصی است که کنترلکننده از طریق سرویس zlabz.io بارگذاری، ایجاد یا به هر نحو دیگری ارسال میکند (مثلاً متن پاراگراف، متادیتای پروژه، شناسههای کاربران نهایی). پردازش محدود به آنچه برای ارائه، ایمنسازی و پشتیبانی از سرویس ضروری است، میباشد.
03
دامنه و هدف
- مدت زمان: تا زمانی که کنترلکننده اشتراک فعال یا آزمایشی دارد، به علاوه یک دوره معقول پس از خاتمه برای حذف و نگهداری قانونی.
- ماهیت: ذخیرهسازی، میزبانی، انتقال، رندر و بازیابی دادههای کنترلکننده درون برنامه zlabz.io.
- دستههای موضوعات داده: کاربران نهایی، کارمندان یا پیمانکاران کنترلکننده که به نمایندگی از کنترلکننده با سرویس تعامل دارند.
- دستههای دادههای شخصی: شناسههای حساب (ایمیل، نام)، محتوای ارسال شده به ویرایشگر، متادیتای استفاده — همانطور که در سیاست حفظ حریم خصوصی و لیست زیرپردازشگرها مستند شده است.
04
تعهدات پردازشگر
- پردازش دادههای شخصی تنها بر اساس دستورالعملهای مستند از کنترلکننده (استفاده عادی از سرویس به منزله چنین دستورالعملهایی است).
- اطمینان از اینکه افرادی که مجاز به پردازش دادههای شخصی هستند، به محرمانگی متعهد هستند.
- اجرای تدابیر امنیتی فنی و سازمانی مناسب (به بخش بعدی مراجعه کنید).
- کمک به کنترلکننده در پاسخ به درخواستهای موضوع داده و، در صورت لزوم، DPIAها و مشاوره قبلی با مقامات نظارتی.
- ارائه اطلاعات لازم برای نشان دادن انطباق و اجازه برای بازرسیهای معقول (معمولاً از طریق پرسشنامههای کتبی یا گزارشهای فروشنده، با توجه به ماهیت زیرساخت مشترک سرویس).
05
تدابیر امنیتی
- رمزگذاری در حال انتقال (HTTPS / TLS) در تمام نقاط انتهایی.
- رمزگذاری در حالت استراحت از طریق تنظیمات پیشفرض پایگاه داده Convex.
- احراز هویت توسط Clerk انجام میشود — رمزهای عبور هرگز توسط zlabz.io ذخیره نمیشوند.
- اصل کمترین امتیاز در کد سمت سرور، دامنهبندی Convex برای هر کاربر، و عدم وجود مسیرهای دسترسی به دادههای بین مستاجری.
- دادههای پرداخت به شدت خارج از دامنه نگه داشته میشوند — مدیریت کارت به Dodo Payments (PCI DSS سطح 1) واگذار شده است.
06
زیرپردازشگرها
کنترلکننده مجوز عمومی برای استفاده از زیرپردازشگرهای فهرست شده در zlabz.io/subprocessors میدهد. ما حداقل ۱۴ روز قبل از هر افزودن یا تغییر زیرپردازشگر اطلاع خواهیم داد، در طول این مدت کنترلکننده میتواند اعتراض کند. اگر کنترلکننده به طور معقولی اعتراض کند، طرفین در مورد راهحل بحث خواهند کرد؛ اگر هیچکدام یافت نشد، کنترلکننده میتواند سرویس تحت تأثیر را خاتمه دهد.
07
حقوق موضوع داده
ما نقاط انتهایی خودخدمتی در /settings ارائه میدهیم تا کاربران نهایی بتوانند دادههای خود را صادر کنند (ماده ۲۰ GDPR) و حسابهای خود را حذف کنند (ماده ۱۷). برای درخواستهای آغاز شده توسط کنترلکننده، ما در محدوده تواناییهای فنی سرویس کمک خواهیم کرد و هر درخواستی که مستقیماً توسط ما دریافت شود را بدون تأخیر غیرموجه به کنترلکننده ارسال خواهیم کرد.
08
اطلاعرسانی نقض
در صورت نقض دادههای شخصی که بر دادههای کنترلکننده تأثیر میگذارد، ما بدون تأخیر غیرموجه و در هر صورت ظرف ۷۲ ساعت از آگاهی، با ماهیت نقض، دستههای تحت تأثیر، پیامدهای احتمالی و تدابیر اصلاحی اتخاذ شده، به کنترلکننده اطلاع خواهیم داد.
09
انتقالات بینالمللی
در مواردی که دادههای شخصی خارج از EEA / UK منتقل میشوند، ما به بندهای قراردادی استاندارد (SCCs) که به طور پیشفرض در توافقنامه پردازش دادههای هر فروشنده گنجانده شدهاند، تکیه میکنیم و تدابیر تکمیلی را در صورت نیاز اعمال میکنیم. ما دادهها را به حوزه قضایی که فاقد حفاظت کافی است بدون مکانیزم انتقال معتبر منتقل نخواهیم کرد.
10
خاتمه و حذف
در صورت خاتمه توافقنامه اصلی سرویس یا درخواست کتبی، ما تمام دادههای شخصی کنترلکننده را ظرف ۳۰ روز حذف یا بازگردانیم، مگر در مواردی که نگهداری توسط قانون لازم باشد (مثلاً سوابق صورتحساب برای رعایت مالیاتی). کنترلکننده میتواند در هر زمان قبل از خاتمه از طریق /api/user/export یا تیم پشتیبانی ما برای مجموعه دادههای بزرگتر، یک صادرات را آغاز کند.
11
مسئولیت
مسئولیت تحت این توافقنامه تابع محدودیتها و استثناهای تعیین شده در شرایط خدمات است، مگر در مواردی که چنین محدودیتی توسط قانون حفاظت از دادههای قابل اجرا مجاز نباشد. هیچ چیز در اینجا مسئولیتی را که نمیتوان به طور قانونی مستثنی کرد، مستثنی نمیکند.
12
تماس
اطلاعیهها، درخواستهای موضوع داده، گزارشهای نقض، و درخواستهای امضای توافقنامه پردازش دادهها میتوانند از طریق کانال پشتیبانی ما ارسال شوند. ما ظرف دو روز کاری پاسخ خواهیم داد.