Adatfeldolgozási Megállapodás.

Ez a DPA az Adatkezelő (az üzleti ügyfél, aki a zlabz.io-t használja saját felhasználóival, alkalmazottaival vagy alvállalkozóival kapcsolatos adatok feldolgozására) és a zlabz.io között jön létre, amelyet a zlabz.io domain tulajdonosa üzemeltet, mint Adatfeldolgozó. Azoknál a fogyasztói végfelhasználóknál, akik közvetlenül a zlabz.io-ra regisztrálnak, mi vagyunk az Adatkezelő — ez a DPA nem vonatkozik erre a kapcsolatra; az Adatvédelmi Szabályzatunk vonatkozik rá.

A feldolgozás tárgya az a személyes adat, amelyet az Adatkezelő feltölt, létrehoz vagy más módon benyújt a zlabz.io szolgáltatáson keresztül (pl. bekezdés szöveg, projekt metaadatok, végfelhasználói azonosítók). A feldolgozás korlátozott arra, ami szükséges a szolgáltatás nyújtásához, biztosításához és támogatásához.

• Időtartam: amíg az Adatkezelőnek aktív előfizetése vagy próbaverziója van, plusz egy ésszerű időszak a megszüntetés után a törléshez és jogi megőrzéshez.
• Jellege: az Adatkezelő adatait a zlabz.io alkalmazáson belül tárolják, hosztolják, továbbítják, renderelik és visszakeresik.
• Adatalanyok kategóriái: az Adatkezelő végfelhasználói, alkalmazottai vagy alvállalkozói, akik a szolgáltatással kapcsolatba lépnek az Adatkezelő nevében.
• Személyes adatok kategóriái: fiókazonosítók (email, név), a szerkesztőbe benyújtott tartalom, használati metaadatok — ahogy az Adatvédelmi Szabályzatunkban és az alfeldolgozói listánkban dokumentálva van.

• Személyes adatokat csak az Adatkezelő dokumentált utasításai alapján dolgozzon fel (a szolgáltatás normál használata ilyen utasításoknak minősül).
• Biztosítsa, hogy a személyes adatok feldolgozására jogosult személyek titoktartásra kötelezettek legyenek.
• Alkalmazzon megfelelő technikai és szervezeti biztonsági intézkedéseket (lásd a következő szakaszt).
• Segítse az Adatkezelőt az adatalanyi kérések megválaszolásában, és ahol alkalmazható, az adatvédelmi hatásvizsgálatokban és a felügyeleti hatóságokkal való előzetes konzultációban.
• Tegye elérhetővé a megfelelés bizonyításához szükséges információkat, és engedélyezze az ésszerű auditokat (általában írásos kérdőívek vagy szállítói jelentések útján, tekintettel a szolgáltatás megosztott infrastruktúrájára).

• Titkosítás átvitel közben (HTTPS / TLS) minden végponton.
• Titkosítás nyugalmi állapotban a Convex adatbázis alapértelmezései szerint.
• Azonosítást a Clerk kezeli — a jelszavakat soha nem tárolja a zlabz.io.
• A legkisebb jogosultság elve a szerveroldali kódban, felhasználónkénti Convex hatókör, és nincs keresztbérlői adat-hozzáférési út.
• A fizetési adatok szigorúan a hatókörön kívül maradnak — a kártyakezelést a Dodo Payments végzi (PCI DSS 1. szint).

Az Adatkezelő általános engedélyt ad az alfeldolgozók használatára, amelyek listája elérhető a zlabz.io/subprocessors oldalon. Legalább 14 nappal előre értesítjük bármilyen alfeldolgozó hozzáadásáról vagy változásáról, amely idő alatt az Adatkezelő kifogást emelhet. Ha az Adatkezelő ésszerűen kifogást emel, a felek megvitatják a megoldást; ha nem találnak, az Adatkezelő megszüntetheti az érintett szolgáltatást.

Önkiszolgáló végpontokat biztosítunk a /settings alatt, hogy a végfelhasználók exportálhassák adataikat (GDPR 20. cikk) és törölhessék fiókjaikat (17. cikk). Az Adatkezelő által kezdeményezett kérések esetén a szolgáltatás technikai képességein belül segítünk, és minden közvetlenül hozzánk érkező kérelmet késedelem nélkül továbbítunk az Adatkezelőnek.

Ha az Adatkezelő adatait érintő személyes adatvédelmi incidens történik, késedelem nélkül, de mindenképpen 72 órán belül értesítjük az Adatkezelőt, miután tudomást szereztünk róla, a jogsértés jellegéről, az érintett kategóriákról, a valószínű következményekről és a megtett helyreállító intézkedésekről.

Amikor személyes adatokat az EGT / Egyesült Királyság területén kívülre továbbítunk, az alapértelmezés szerint minden szállító DPA-jában szereplő Standard Szerződési Klauzulákra (SCC-k) támaszkodunk, és szükség esetén kiegészítő intézkedéseket alkalmazunk. Nem továbbítunk adatokat olyan joghatóságba, amely nem biztosít megfelelő védelmet érvényes átviteli mechanizmus nélkül.

A fő szolgáltatási megállapodás megszüntetésekor vagy írásos kérésre az Adatkezelő minden személyes adatát töröljük vagy visszaküldjük 30 napon belül, kivéve, ha a megőrzést jogszabály írja elő (pl. számlázási nyilvántartások adózási megfelelés céljából). Az Adatkezelő bármikor indíthat exportálást a megszüntetés előtt a /api/user/export útján vagy a támogatási csapatunkon keresztül nagyobb adatkészletek esetén.

A jelen DPA szerinti felelősség a Szolgáltatási Feltételekben meghatározott korlátozások és kizárások hatálya alá tartozik, kivéve, ha az ilyen korlátozás nem engedélyezett az alkalmazandó adatvédelmi jogszabályok szerint. Semmi sem zárja ki a jogszerűen nem kizárható felelősséget.

Értesítéseket, adatalanyi kérelmeket, incidens jelentéseket és DPA aláírási kérelmeket a támogatási csatornánkon keresztül lehet küldeni. Két munkanapon belül válaszolunk.