01
पक्ष
यह DPA नियंत्रक (व्यवसाय ग्राहक जो zlabz.io का उपयोग अपने उपयोगकर्ताओं, कर्मचारियों, या ठेकेदारों से संबंधित डेटा को प्रोसेस करने के लिए करता है) और zlabz.io के बीच में किया गया है, जो zlabz.io डोमेन के मालिक द्वारा संचालित है, प्रोसेसर के रूप में कार्य करता है। उपभोक्ता अंतिम उपयोगकर्ताओं के लिए जो सीधे zlabz.io पर साइन अप करते हैं, हम नियंत्रक के रूप में कार्य करते हैं — यह DPA उस संबंध पर लागू नहीं होता; हमारी गोपनीयता नीति लागू होती है।
02
विषय वस्तु
प्रोसेसिंग का विषय वह व्यक्तिगत डेटा है जिसे नियंत्रक zlabz.io सेवा के माध्यम से अपलोड, बनाता, या अन्यथा प्रस्तुत करता है (जैसे पैराग्राफ टेक्स्ट, प्रोजेक्ट मेटाडेटा, अंतिम उपयोगकर्ता पहचानकर्ता)। प्रोसेसिंग सेवा को प्रदान करने, सुरक्षित करने, और समर्थन करने के लिए आवश्यक तक सीमित है।
03
दायरा और उद्देश्य
- अवधि: जब तक नियंत्रक की सक्रिय सदस्यता या परीक्षण है, साथ ही समाप्ति के बाद हटाने और कानूनी प्रतिधारण के लिए एक उचित अवधि।
- प्रकृति: zlabz.io एप्लिकेशन के भीतर नियंत्रक डेटा का भंडारण, होस्टिंग, ट्रांसमिशन, रेंडरिंग, और पुनः प्राप्ति।
- डेटा विषयों की श्रेणियाँ: नियंत्रक के अंतिम उपयोगकर्ता, कर्मचारी, या ठेकेदार जो नियंत्रक की ओर से सेवा के साथ बातचीत करते हैं।
- व्यक्तिगत डेटा की श्रेणियाँ: खाता पहचानकर्ता (ईमेल, नाम), संपादक को प्रस्तुत सामग्री, उपयोग मेटाडेटा — जैसा कि हमारी गोपनीयता नीति और उपप्रोसेसर सूची में प्रलेखित है।
04
प्रोसेसर दायित्व
- नियंत्रक से प्रलेखित निर्देशों पर ही व्यक्तिगत डेटा प्रोसेस करें (सेवा का सामान्य उपयोग ऐसे निर्देशों का गठन करता है)।
- व्यक्तिगत डेटा प्रोसेस करने के लिए अधिकृत व्यक्तियों को गोपनीयता से बंधित करें।
- उपयुक्त तकनीकी और संगठनात्मक सुरक्षा उपाय लागू करें (अगले अनुभाग में देखें)।
- डेटा-विषय अनुरोधों का जवाब देने में नियंत्रक की सहायता करें और, जहां लागू हो, DPIAs और पर्यवेक्षी अधिकारियों के साथ पूर्व परामर्श।
- अनुपालन का प्रदर्शन करने के लिए आवश्यक जानकारी उपलब्ध कराएं और उचित ऑडिट की अनुमति दें (आमतौर पर लिखित प्रश्नावली या विक्रेता रिपोर्ट के माध्यम से, सेवा की साझा-इन्फ्रास्ट्रक्चर प्रकृति को देखते हुए)।
05
सुरक्षा उपाय
- सभी एंडपॉइंट्स पर ट्रांजिट में एन्क्रिप्शन (HTTPS / TLS)।
- कॉन्वेक्स डेटाबेस डिफॉल्ट्स के माध्यम से रेस्ट में एन्क्रिप्शन।
- क्लर्क द्वारा प्रमाणीकरण संभाला जाता है — पासवर्ड कभी भी zlabz.io द्वारा संग्रहीत नहीं किए जाते।
- सर्वर-साइड कोड पर न्यूनतम विशेषाधिकार का सिद्धांत, प्रति-उपयोगकर्ता कॉन्वेक्स स्कोपिंग, और कोई क्रॉस-टेनेंट डेटा एक्सेस पथ नहीं।
- भुगतान डेटा को सख्ती से दायरे से बाहर रखा गया है — कार्ड हैंडलिंग डोडो पेमेंट्स (PCI DSS लेवल 1) को सौंपा गया है।
06
उपप्रोसेसर
नियंत्रक zlabz.io/subprocessors पर सूचीबद्ध उपप्रोसेसर के उपयोग के लिए सामान्य प्राधिकरण देता है। हम किसी भी उपप्रोसेसर के जोड़ या परिवर्तन के कम से कम 14 दिन पहले नोटिस देंगे, जिसके दौरान नियंत्रक आपत्ति कर सकता है। यदि नियंत्रक उचित रूप से आपत्ति करता है, तो पक्ष समाधान पर चर्चा करेंगे; यदि कोई नहीं मिलता है, तो नियंत्रक प्रभावित सेवा को समाप्त कर सकता है।
07
डेटा-विषय अधिकार
हम /settings में स्व-सेवा एंडपॉइंट्स प्रदान करते हैं ताकि अंतिम उपयोगकर्ता अपने डेटा को निर्यात कर सकें (GDPR अनुच्छेद 20) और अपने खातों को हटा सकें (अनुच्छेद 17)। नियंत्रक-प्रारंभित अनुरोधों के लिए, हम सेवा की तकनीकी क्षमताओं के भीतर सहायता करेंगे, और हमारे द्वारा सीधे प्राप्त किसी भी अनुरोध को बिना अनुचित देरी के नियंत्रक को अग्रेषित करेंगे।
08
उल्लंघन अधिसूचना
नियंत्रक डेटा को प्रभावित करने वाले व्यक्तिगत डेटा उल्लंघन की स्थिति में, हम बिना अनुचित देरी के और किसी भी स्थिति में 72 घंटे के भीतर नियंत्रक को सूचित करेंगे, उल्लंघन की प्रकृति, प्रभावित श्रेणियाँ, संभावित परिणाम, और उठाए गए सुधारात्मक उपायों के साथ।
09
अंतरराष्ट्रीय स्थानांतरण
जहां व्यक्तिगत डेटा EEA / UK के बाहर स्थानांतरित किया जाता है, हम प्रत्येक विक्रेता के DPA में डिफ़ॉल्ट रूप से शामिल मानक अनुबंध खंडों (SCCs) पर भरोसा करते हैं और जहां आवश्यक हो वहां पूरक उपाय लागू करते हैं। हम बिना पर्याप्त सुरक्षा के किसी अधिकार क्षेत्र में डेटा स्थानांतरित नहीं करेंगे जब तक कि कोई वैध स्थानांतरण तंत्र न हो।
10
समाप्ति और हटाना
मुख्य सेवा समझौते की समाप्ति पर या लिखित अनुरोध पर, हम 30 दिनों के भीतर सभी नियंत्रक व्यक्तिगत डेटा को हटा देंगे या वापस कर देंगे, सिवाय इसके कि जहां कानून द्वारा प्रतिधारण की आवश्यकता हो (जैसे कर अनुपालन के लिए बिलिंग रिकॉर्ड)। नियंत्रक समाप्ति से पहले किसी भी समय /api/user/export या हमारे समर्थन टीम के माध्यम से बड़े डेटा सेट के लिए निर्यात को ट्रिगर कर सकता है।
11
देयता
इस DPA के तहत देयता सेवा की शर्तों में निर्धारित सीमाओं और बहिष्करणों के अधीन है, सिवाय इसके कि जहां ऐसा सीमांकन लागू डेटा-संरक्षण कानून द्वारा अनुमति नहीं है। यहां कुछ भी ऐसी देयता को बाहर नहीं करता जिसे कानूनी रूप से बाहर नहीं किया जा सकता।
12
संपर्क
सूचनाएं, डेटा-विषय अनुरोध, उल्लंघन रिपोर्ट, और DPA हस्ताक्षर अनुरोध हमारे समर्थन चैनल के माध्यम से भेजे जा सकते हैं। हम दो व्यावसायिक दिनों के भीतर जवाब देते हैं।