Perjanjian Pemrosesan Data.

DPA ini dibuat antara Pengendali (pelanggan bisnis yang menggunakan zlabz.io untuk memproses data terkait pengguna, karyawan, atau kontraktor mereka sendiri) dan zlabz.io, dioperasikan oleh pemilik domain zlabz.io, bertindak sebagai Pemroses. Untuk pengguna akhir konsumen yang mendaftar langsung di zlabz.io, kami bertindak sebagai Pengendali — DPA ini tidak berlaku untuk hubungan tersebut; Kebijakan Privasi kami berlaku.

Subjek pemrosesan adalah data pribadi yang diunggah, dibuat, atau dikirimkan oleh Pengendali melalui layanan zlabz.io (misalnya teks paragraf, metadata proyek, pengenal pengguna akhir). Pemrosesan dibatasi pada apa yang diperlukan untuk menyampaikan, mengamankan, dan mendukung layanan.

• Durasi: selama Pengendali memiliki langganan aktif atau uji coba, ditambah periode pasca-penghentian yang wajar untuk penghapusan dan penyimpanan hukum.
• Sifat: penyimpanan, hosting, transmisi, rendering, dan pengambilan data Pengendali dalam aplikasi zlabz.io.
• Kategori subjek data: pengguna akhir, karyawan, atau kontraktor Pengendali yang berinteraksi dengan layanan atas nama Pengendali.
• Kategori data pribadi: pengenal akun (email, nama), konten yang dikirimkan ke editor, metadata penggunaan — seperti yang didokumentasikan dalam Kebijakan Privasi dan daftar subprosesor kami.

• Memproses data pribadi hanya berdasarkan instruksi terdokumentasi dari Pengendali (penggunaan normal layanan merupakan instruksi tersebut).
• Memastikan orang yang diberi wewenang untuk memproses data pribadi terikat oleh kerahasiaan.
• Menerapkan langkah-langkah keamanan teknis dan organisasi yang sesuai (lihat bagian berikutnya).
• Membantu Pengendali dalam menanggapi permintaan subjek data dan, jika berlaku, DPIA dan konsultasi awal dengan otoritas pengawas.
• Menyediakan informasi yang diperlukan untuk menunjukkan kepatuhan dan memungkinkan audit yang wajar (biasanya melalui kuesioner tertulis atau laporan vendor, mengingat sifat infrastruktur bersama layanan).

• Enkripsi dalam transit (HTTPS / TLS) di semua titik akhir.
• Enkripsi saat istirahat melalui default database Convex.
• Otentikasi ditangani oleh Clerk — kata sandi tidak pernah disimpan oleh zlabz.io.
• Prinsip hak istimewa paling sedikit pada kode sisi server, penentuan ruang lingkup per pengguna Convex, dan tidak ada jalur akses data lintas penyewa.
• Data pembayaran dijaga ketat di luar ruang lingkup — penanganan kartu didelegasikan ke Dodo Payments (PCI DSS Level 1).

Pengendali memberikan otorisasi umum untuk penggunaan subprosesor yang tercantum di zlabz.io/subprocessors. Kami akan memberikan pemberitahuan setidaknya 14 hari tentang penambahan atau perubahan subprosesor, selama waktu itu Pengendali dapat mengajukan keberatan. Jika Pengendali secara wajar mengajukan keberatan, para pihak akan membahas solusi; jika tidak ditemukan, Pengendali dapat menghentikan layanan yang terkena dampak.

Kami menyediakan titik akhir layanan mandiri di /settings sehingga pengguna akhir dapat mengekspor data mereka (GDPR Pasal 20) dan menghapus akun mereka (Pasal 17). Untuk permintaan yang dimulai oleh Pengendali, kami akan membantu dalam batas kemampuan teknis layanan, dan meneruskan permintaan yang diterima langsung oleh kami ke Pengendali tanpa penundaan yang tidak semestinya.

Dalam hal terjadi pelanggaran data pribadi yang mempengaruhi data Pengendali, kami akan memberi tahu Pengendali tanpa penundaan yang tidak semestinya dan dalam hal apa pun dalam waktu 72 jam setelah menyadarinya, dengan sifat pelanggaran, kategori yang terkena dampak, kemungkinan konsekuensi, dan tindakan perbaikan yang diambil.

Di mana data pribadi ditransfer di luar EEA / UK, kami mengandalkan Klausul Kontraktual Standar (SCC) yang disertakan secara default dalam DPA setiap vendor (lihat /subprocessors) dan menerapkan langkah-langkah tambahan jika diperlukan. Kami tidak akan mentransfer data ke yurisdiksi yang tidak memiliki perlindungan yang memadai tanpa mekanisme transfer yang valid.

Setelah penghentian perjanjian layanan utama atau atas permintaan tertulis, kami akan menghapus atau mengembalikan semua data pribadi Pengendali dalam waktu 30 hari, kecuali jika penyimpanan diperlukan oleh hukum (misalnya catatan penagihan untuk kepatuhan pajak). Pengendali dapat memicu ekspor kapan saja sebelum penghentian melalui /api/user/export atau tim dukungan kami untuk set data yang lebih besar.

Tanggung jawab di bawah DPA ini tunduk pada batasan dan pengecualian yang ditetapkan dalam Ketentuan Layanan, kecuali jika batasan tersebut tidak diizinkan oleh undang-undang perlindungan data yang berlaku. Tidak ada yang di sini mengecualikan tanggung jawab yang tidak dapat dikecualikan secara hukum.

Pemberitahuan, permintaan subjek data, laporan pelanggaran, dan permintaan tanda tangan DPA dapat dikirim melalui saluran dukungan kami. Kami merespons dalam dua hari kerja.