Маалыматтарды иштетүү келишими (DPA)

1. Предмет жана мөөнөт

Иштетүүчү DocTracker SaaS application кызматын камсыз кылуу үчүн Маалымат контроллеринин атынан жеке маалыматтарды иштетет.

Иштетүү мөөнөтү: негизги келишимдин колдонуу мөөнөтү ичинде жана тиешелүү сактоо мөөнөтү ичинде.

2. Иштетүүнүн мүнөзү жана максаты

Иштетүү төмөнкүлөрдү камтыйт: сактоо, уюштуруу, структуралоо, издөө, көрүү, өткөрүп берүү, чектөө жана Customer Data маалыматтарын өчүрүү.

Максаты: документтерди башкаруу үчүн workspace платформасын камсыз кылуу.

3. Жеке маалыматтардын түрлөрү

Төмөнкүлөрдү камтышы мүмкүн:

• идентификациялык маалыматтар (аты-жөнү, email)
• Маалымат контроллери же анын кардарлары жүктөгөн документтер
• финансылык же бизнес жазуулар
• метамаалыматтар (мөөнөттөр, статус, activity logs)

Иштетүүчү атайын категориядагы маалыматтарды атайын чогултпайт, бирок алар Маалымат контроллери тарабынан жүктөлгөн болсо иштетилиши мүмкүн.

4. Маалымат субъекттеринин категориялары

• Маалымат контроллеринин кардарлары
• кызматкерлер
• подрядчылар
• маалыматтары жүктөлгөн башка адамдар

5. Иштетүүчүнүн милдеттери

Иштетүүчү төмөнкүлөргө милдеттүү:

• Маалыматтарды Маалымат контроллеринин документтелген көрсөтмөлөрүнүн негизинде гана иштетүү.
• Купуялуулукту камсыз кылуу.
• Тиешелүү техникалык жана уюштуруучулук чараларды киргизүү (Annex I).
• Жеке маалыматтардын коопсуздугу бузулгандыгы жөнүндө билген учурдан тартып негизсиз кечиктирбестен жана 48 сааттан кечиктирбестен Маалымат контроллерине билдирүү.
• Маалымат субъекттеринин сурамдары боюнча Маалымат контроллерине жардам берүү.
• Талап кылынганда DPIA жүргүзүүгө көмөк көрсөтүү.
• Келишим токтотулганда жеке маалыматтарды өчүрүү же кайтаруу.
• Шайкештикти ырастоо үчүн зарыл маалыматтарды берүү.

6. Субиштетүүчүлөр

Маалымат контроллери субиштетүүчүлөрдү тартууга жалпы уруксат берет.

Учурдагы субиштетүүчүлөр төмөнкүлөрдү камтыйт:

• Vercel (EU region - Germany)
• Neon (EU region - Germany)
• Cloudflare, Inc. (EU region)
• Google LLC (United States and/or European Union)
• Resend (USA)
• Stripe (United States and/or European Union)
• Upstash (EU region - Germany)

Иштетүүчү өзгөрүүлөр жөнүндө Маалымат контроллерине маалымдайт.

Иштетүүчү субиштетүүчүлөр үчүн толук жоопкерчиликти сактайт.

7. Эл аралык өткөрүп берүү

Customer Data айрым субиштетүүчүлөр тарабынан ЕЭЗ аймагынан тышкары өткөрүлүшү мүмкүн (мисалы, Resend жана/же Stripe колдонулган учурда).

Иштетүүчү тиешелүү кепилдиктерге, анын ичинде Standard Contractual Clauses колдонууга таянат.

8. Сактоо жана өчүрүү

• Маалыматтар эсеп активдүү болгон учурда сакталат.
• Эсеп өчүрүлгөндөн кийин: soft deletion дароо жүргүзүлөт.
• Негизги маалымат базасынан толук өчүрүү 30 күндүн ичинде жүргүзүлөт.
• Тиешелүү workspace өчүрүлгөндө бардык байланышкан маалыматтар, анын ичинде документтер, метамаалыматтар жана activity logs өчүрүлөт.
• Айрым операциялык журналдар (анын ичинде электрондук почта жеткирүү журналдары) субиштетүүчүлөр тарабынан алардын өз алдынча сактоо саясаттарына ылайык иштетилип жана сакталуусу мүмкүн.

9. Аудит

Маалымат контроллери жылына бир жолу 30 күн мурда эскертүү менен документтердин негизинде аудит жүргүзө алат.

Аудит Иштетүүчүнүн ишин бузбашы жана башка кардарлардын маалыматтарына жетүү мүмкүнчүлүгүн бербеши керек.

Annex I - Коопсуздук чаралары

• Маалымат өткөрүүдө TLS шифрлөөсү
• Сактоодо шифрлөө (маалымат базасы деңгээлинде)
• Ролдук жеткиликтүүлүк контролу (owner/client)
• Workspace логикалык изоляциясы
• Activity logging
• Өчүрүлгөн маалыматтарды күн сайын автоматтык тазалоо
• Кызматкерлердин production dataга жеткиликтүүлүгүнүн жоктугу