Dohoda o zpracování dat.

Tato DPA je uzavřena mezi Správcem (firemní zákazník, který používá zlabz.io ke zpracování dat týkajících se jejich vlastních uživatelů, zaměstnanců nebo dodavatelů) a zlabz.io, provozovaným vlastníkem domény zlabz.io, jednajícím jako Zpracovatel. Pro koncové uživatele, kteří se přímo zaregistrují na zlabz.io, jednáme jako Správce — tato DPA se na tento vztah nevztahuje; platí naše Zásady ochrany osobních údajů.

Předmětem zpracování jsou osobní údaje, které Správce nahrává, vytváří nebo jinak předkládá prostřednictvím služby zlabz.io (např. text odstavce, metadata projektu, identifikátory koncových uživatelů). Zpracování je omezeno na to, co je nezbytné k poskytování, zabezpečení a podpoře služby.

• Doba trvání: po dobu, kdy má Správce aktivní předplatné nebo zkušební verzi, plus přiměřená doba po ukončení pro smazání a právní uchování.
• Povaha: ukládání, hosting, přenos, renderování a načítání dat Správce v rámci aplikace zlabz.io.
• Kategorie subjektů údajů: koncoví uživatelé, zaměstnanci nebo dodavatelé Správce, kteří se službou interagují jménem Správce.
• Kategorie osobních údajů: identifikátory účtu (e-mail, jméno), obsah předložený editoru, metadata používání — jak je uvedeno v našich Zásadách ochrany osobních údajů a seznamu subprocesorů.

• Zpracovávat osobní údaje pouze na základě dokumentovaných pokynů od Správce (běžné používání služby představuje takové pokyny).
• Zajistit, aby osoby oprávněné ke zpracování osobních údajů byly vázány mlčenlivostí.
• Implementovat vhodná technická a organizační bezpečnostní opatření (viz následující sekce).
• Asistovat Správci při reagování na žádosti subjektů údajů a, kde je to relevantní, při DPIA a předchozích konzultacích s dozorovými orgány.
• Poskytnout informace nezbytné k prokázání souladu a umožnit přiměřené audity (obvykle prostřednictvím písemných dotazníků nebo zpráv dodavatelů, vzhledem k povaze sdílené infrastruktury služby).

• Šifrování během přenosu (HTTPS / TLS) na všech koncových bodech.
• Šifrování v klidu prostřednictvím výchozích nastavení databáze Convex.
• Autentizace je zajišťována Clerk — hesla nejsou nikdy ukládána zlabz.io.
• Princip nejmenšího oprávnění na serverovém kódu, per-user scoping Convex a žádné přístupové cesty k datům mezi nájemci.
• Platební údaje jsou přísně mimo rozsah — zpracování karet je delegováno na Dodo Payments (PCI DSS Level 1).

Správce dává obecné povolení k používání subprocesorů uvedených na zlabz.io/subprocessors. O jakémkoli přidání nebo změně subprocesoru dáme vědět alespoň 14 dní předem, během nichž může Správce vznést námitku. Pokud Správce rozumně vznesenou námitku, strany projednají nápravu; pokud žádná nebude nalezena, Správce může ukončit dotčenou službu.

Poskytujeme koncové body samoobsluhy v /settings, aby koncoví uživatelé mohli exportovat svá data (článek 20 GDPR) a mazat své účty (článek 17). U žádostí iniciovaných Správcem pomůžeme v rámci technických možností služby a jakoukoli žádost, kterou obdržíme přímo, předáme Správci bez zbytečného odkladu.

V případě narušení osobních údajů ovlivňující data Správce, oznámíme Správci bez zbytečného odkladu a v každém případě do 72 hodin od zjištění, s povahou narušení, dotčenými kategoriemi, pravděpodobnými důsledky a přijatými nápravnými opatřeními.

Pokud jsou osobní údaje přenášeny mimo EHP / UK, spoléháme se na standardní smluvní doložky (SCCs) zahrnuté ve výchozím nastavení v DPA každého dodavatele (viz /subprocessors) a aplikujeme doplňková opatření, kde je to vyžadováno. Nebudeme přenášet data do jurisdikce bez adekvátní ochrany bez platného mechanismu přenosu.

Po ukončení hlavní smlouvy o službě nebo na písemnou žádost, smažeme nebo vrátíme všechny osobní údaje Správce do 30 dnů, kromě případů, kdy je uchování vyžadováno zákonem (např. fakturační záznamy pro daňovou shodu). Správce může kdykoli před ukončením spustit export prostřednictvím /api/user/export nebo našeho týmu podpory pro větší datové sady.

Odpovědnost podle této DPA podléhá omezením a vyloučením stanoveným v Podmínkách služby, kromě případů, kdy takové omezení není povoleno platným zákonem o ochraně údajů. Nic zde nevylučuje odpovědnost, kterou nelze zákonně vyloučit.

Oznámení, žádosti subjektů údajů, zprávy o narušení a žádosti o podpis DPA lze zaslat prostřednictvím našeho kanálu podpory. Odpovíme do dvou pracovních dnů.