Ma'lumotlarni qayta ishlash shartnomasi

01Taraflar va atamalar

Mazkur DPA quyidagi taraflar o'rtasida tuzilgan:

• Nazoratchi (Controller): FenixUz foydalanuvchisi (siz).
• Qayta ishlovchi (Processor): VipAds LLC (Toshkent, O'zbekiston).

"GDPR" — General Data Protection Regulation (EU) 2016/679. "Shaxsiy ma'lumot", "Qayta ishlash", "Sub-protsessor", "Buzilish" atamalari GDPR ta'riflariga mos ravishda ishlatiladi.

02Qayta ishlash mavzusi

Element	Tafsilot
Ma'lumot turi	Push notification tokeni, qurilma diagnostika ma'lumoti, anonim foydalanish statistikasi
Sub'ektlar kategoriyasi	FenixUz mobil ilovasi foydalanuvchilari
Maqsad	Push-bildirishnomalarni yetkazib berish, avariyalarni tuzatish, ilovani yaxshilash
Davomiyligi	Foydalanuvchi ilovani o'chirgunga qadar yoki so'rov asosida
Huquqiy asos	GDPR Art. 6(1)(b) shartnoma ijrosi va Art. 6(1)(f) legitim manfaat

03Sub-protsessorlar

VipAds LLC quyidagi tasdiqlangan sub-protsessorlardan foydalanadi:

Sub-protsessor	Joylashuv	Xizmat	SCC/DPF
Google LLC	USA / EU	Firebase Cloud Messaging, Analytics, Crashlytics	EU-US DPF sertifikati ✓
Apple Inc.	USA	Apple Push Notification Service, App Store	SCC + DPF ✓
Telegram FZ-LLC	UAE / Global	Backend xabar uzatish (mustaqil Nazoratchi)	SCC ✓
Cloudflare Inc.	USA / EU	fenixuz.uz veb-sayti CDN va DDoS himoya	SCC + DPF ✓

04Texnik va tashkiliy choralar

VipAds LLC GDPR Art. 32 ga muvofiq quyidagi choralarni amalga oshiradi:

• Tashish va saqlashda shifrlash (TLS 1.3, AES-256);
• Mahalliy bazaning shifrlash (SQLCipher);
• Eng kam zarurat asosida ma'lumotga kirish (least privilege);
• Xodimlarning maxfiylik kelishuvini imzolashi;
• Mustaqil xavfsizlik auditi (yiliga 1 marta);
• Bug bounty dasturi orqali zaifliklarni topishni rag'batlantirish;
• Avtomatlashtirilgan zaiflikni skanerlash (CI/CD ichida);
• Foydalanish jurnalini yuritish va monitoring;
• Yillik penetration testing.

05Ma'lumot sub'ekti so'rovlari

Ma'lumot sub'ekti GDPR ostida o'z huquqlarini amalga oshirgan paytda (kirish, o'chirish, tuzatish va h.k.), VipAds LLC bunga 30 kun ichida javob beradi va kerak bo'lsa Sub-protsessorlardan ham harakat qilishni so'raydi.

06Buzilish bildirishnomasi

Shaxsiy ma'lumotlar buzilishi (data breach) aniqlangan paytda VipAds LLC quyidagilarni amalga oshiradi:

• 72 soat ichida vakolatli organga xabar berish (GDPR Art. 33);
• Yuqori xavf bo'lsa — ma'lumot sub'ektlariga to'g'ridan-to'g'ri xabar berish (Art. 34);
• Ta'sir baholash hujjati tayyorlash;
• Buzilish jurnalini yuritish.

07Auditor huquqi

Ma'lumot sub'ekti yoki nazorat organi VipAds LLC ning ma'lumotlarni qayta ishlash amaliyotini auditdan o'tkazishni so'rashi mumkin. So'rov 30 kun oldin yozma shaklda yuborilishi kerak. Audit xarajatlari odatda audit ishtirokchisi tomonidan qoplanadi, GDPR buzilishi aniqlangan holatlardan tashqari.

08Xalqaro uzatishlar

EU/EEA dan tashqariga ma'lumot uzatilishi quyidagi mexanizmlar orqali amalga oshiriladi:

• Yevropa Komissiyasining adekvatlik qarorlari (Adequacy Decisions);
• Standart Shartnoma Bandlari (SCC) Module 2 (Controller–Processor);
• EU-US Data Privacy Framework (Google va Apple uchun);
• Qo'shimcha texnik choralar (transit shifri, kalitlarni xizmat ko'rsatuvchidan tashqarida saqlash).

09Tugash va qaytarish

Foydalanuvchi ilovani o'chirib tashlagan paytda:

• Push tokeni 30 kun ichida bekor qilinadi;
• Avariya hisobotlari 90 kun ichida o'chiriladi;
• Anonim analitika ma'lumotlari 14 oydan so'ng anonimlashtiriladi;
• Ma'lumot sub'ekti talab qilsa — ma'lumotlar mashina tomonidan o'qilishi mumkin bo'lgan formatda eksport qilinadi.

10Yangi sub-protsessor qo'shish

Yangi sub-protsessor qo'shilganda yoki o'zgartirilgan paytda biz sizni 30 kun oldin xabardor qilamiz (transparency.html sahifasida). E'tirozingiz bo'lsa, ilovadan foydalanishni to'xtatishingiz mumkin.