Accordo sul Trattamento dei Dati.

Questo DPA è stipulato tra il Titolare (il cliente aziendale che utilizza zlabz.io per trattare dati relativi ai propri utenti, dipendenti o collaboratori) e zlabz.io, gestito dal proprietario del dominio zlabz.io, che agisce come Responsabile. Per gli utenti finali consumatori che si iscrivono direttamente su zlabz.io, agiamo come Titolare — questo DPA non si applica a tale rapporto; si applica la nostra Informativa sulla Privacy.

L'oggetto del trattamento sono i dati personali che il Titolare carica, crea o altrimenti invia attraverso il servizio zlabz.io (ad es. testo del paragrafo, metadati del progetto, identificatori degli utenti finali). Il trattamento è limitato a ciò che è necessario per fornire, proteggere e supportare il servizio.

• Durata: per tutto il tempo in cui il Titolare ha un abbonamento attivo o una prova, più un periodo ragionevole post-cessazione per la cancellazione e la conservazione legale.
• Natura: archiviazione, hosting, trasmissione, rendering e recupero dei dati del Titolare all'interno dell'applicazione zlabz.io.
• Categorie di soggetti dei dati: gli utenti finali, dipendenti o collaboratori del Titolare che interagiscono con il servizio per conto del Titolare.
• Categorie di dati personali: identificatori di account (email, nome), contenuti inviati all'editor, metadati di utilizzo — come documentato nella nostra Informativa sulla Privacy e nell'elenco dei sub-processori.

• Trattare i dati personali solo su istruzioni documentate del Titolare (l'uso normale del servizio costituisce tali istruzioni).
• Assicurare che le persone autorizzate a trattare i dati personali siano vincolate dalla riservatezza.
• Implementare misure di sicurezza tecniche e organizzative appropriate (vedi sezione successiva).
• Assistere il Titolare nel rispondere alle richieste dei soggetti dei dati e, ove applicabile, alle DPIA e alla consultazione preventiva con le autorità di controllo.
• Mettere a disposizione le informazioni necessarie per dimostrare la conformità e consentire audit ragionevoli (tipicamente tramite questionari scritti o rapporti dei fornitori, data la natura dell'infrastruttura condivisa del servizio).

• Crittografia in transito (HTTPS / TLS) su tutti gli endpoint.
• Crittografia a riposo tramite impostazioni predefinite del database Convex.
• Autenticazione gestita da Clerk — le password non sono mai memorizzate da zlabz.io.
• Principio del minimo privilegio sul codice lato server, scoping per utente Convex, e nessun percorso di accesso ai dati cross-tenant.
• Dati di pagamento rigorosamente fuori ambito — la gestione delle carte è delegata a Dodo Payments (PCI DSS Livello 1).

Il Titolare concede un'autorizzazione generale per l'uso dei sub-processori elencati su zlabz.io/subprocessors. Daremo almeno 14 giorni di preavviso per qualsiasi aggiunta o modifica di un sub-processore, durante i quali il Titolare può opporsi. Se il Titolare si oppone ragionevolmente, le parti discuteranno una soluzione; se non ne viene trovata alcuna, il Titolare può terminare il servizio interessato.

Forniamo endpoint self-service in /settings affinché gli utenti finali possano esportare i loro dati (GDPR Articolo 20) e cancellare i loro account (Articolo 17). Per le richieste avviate dal Titolare, assisteremo entro le capacità tecniche del servizio e inoltreremo qualsiasi richiesta ricevuta direttamente da noi al Titolare senza indebito ritardo.

In caso di violazione dei dati personali che riguardi i dati del Titolare, notificheremo il Titolare senza indebito ritardo e in ogni caso entro 72 ore dalla presa di coscienza, con la natura della violazione, le categorie colpite, le probabili conseguenze e le misure correttive adottate.

Quando i dati personali sono trasferiti al di fuori dello SEE / UK, ci affidiamo alle Clausole Contrattuali Standard (SCC) incluse di default in ogni DPA del fornitore (vedi /subprocessors) e applichiamo misure supplementari ove richiesto. Non trasferiremo dati in una giurisdizione priva di protezione adeguata senza un meccanismo di trasferimento valido.

Alla cessazione dell'accordo principale del servizio o su richiesta scritta, cancelleremo o restituiremo tutti i dati personali del Titolare entro 30 giorni, salvo dove la conservazione sia richiesta dalla legge (ad es. registri di fatturazione per conformità fiscale). Il Titolare può avviare un'esportazione in qualsiasi momento prima della cessazione tramite /api/user/export o il nostro team di supporto per dataset più grandi.

La responsabilità ai sensi di questo DPA è soggetta alle limitazioni ed esclusioni stabilite nei Termini di Servizio, salvo dove tale limitazione non sia consentita dalla legge sulla protezione dei dati applicabile. Nulla qui esclude la responsabilità che non può essere legalmente esclusa.

Avvisi, richieste dei soggetti dei dati, rapporti di violazione e richieste di firma del DPA possono essere inviati tramite il nostro canale di supporto. Rispondiamo entro due giorni lavorativi.