データ処理契約

当事者

このDPAは、管理者（自身のユーザー、従業員、または契約者に関連するデータを処理するためにzlabz.ioを使用するビジネス顧客）と、プロセッサとして行動するzlabz.ioドメインの所有者によって運営されるzlabz.ioの間で締結されます。zlabz.ioに直接サインアップする消費者エンドユーザーに対しては、当社が管理者として行動します。このDPAはその関係には適用されず、当社のプライバシーポリシーが適用されます。

対象事項

処理の対象は、管理者がzlabz.ioサービスを通じてアップロード、作成、またはその他の方法で提出する個人データです（例：段落テキスト、プロジェクトメタデータ、エンドユーザー識別子）。処理は、サービスの提供、セキュリティ、およびサポートに必要な範囲に限定されます。

範囲と目的

期間：管理者がアクティブなサブスクリプションまたはトライアルを持っている間、および削除と法的保持のための合理的な終了後の期間。
性質：zlabz.ioアプリケーション内での管理者データの保存、ホスティング、送信、レンダリング、および取得。
データ主体のカテゴリ：サービスを管理者の代理として操作する管理者のエンドユーザー、従業員、または契約者。
個人データのカテゴリ：アカウント識別子（メール、名前）、エディタに提出されたコンテンツ、使用メタデータ — 当社のプライバシーポリシーおよびサブプロセッサリストに記載されています。

プロセッサの義務

管理者からの文書化された指示に基づいてのみ個人データを処理します（サービスの通常の使用がそのような指示を構成します）。
個人データを処理する権限を持つ者が機密保持に拘束されることを保証します。
適切な技術的および組織的なセキュリティ対策を実施します（次のセクションを参照）。
データ主体の要求に応答する際、適用される場合はDPIAおよび監督当局との事前協議において管理者を支援します。
コンプライアンスを示すために必要な情報を提供し、合理的な監査を許可します（通常、書面による質問票またはベンダーレポートを通じて、サービスの共有インフラの性質を考慮）。

セキュリティ対策

すべてのエンドポイントでの転送中の暗号化（HTTPS / TLS）。
Convexデータベースのデフォルトによる保存時の暗号化。
Clerkによって処理される認証 — パスワードはzlabz.ioによって保存されません。
サーバー側コードの最小特権の原則、ユーザーごとのConvexスコーピング、およびクロステナントデータアクセスパスの不在。
支払いデータは厳密に範囲外に保たれます — カード処理はDodo Paymentsに委任されています（PCI DSSレベル1）。

サブプロセッサ

管理者は、zlabz.io/subprocessorsに記載されているサブプロセッサの使用に一般的な承認を与えます。サブプロセッサの追加または変更については、少なくとも14日前に通知し、その間に管理者は異議を唱えることができます。管理者が合理的に異議を唱えた場合、当事者は解決策を協議します。解決策が見つからない場合、管理者は影響を受けるサービスを終了することができます。

データ主体の権利

エンドユーザーがデータをエクスポート（GDPR第20条）し、アカウントを削除（第17条）できるように、/settingsにセルフサービスエンドポイントを提供しています。管理者が開始した要求については、サービスの技術的能力の範囲内で支援し、当社が直接受け取った要求は遅滞なく管理者に転送します。

違反通知

管理者データに影響を与える個人データの違反が発生した場合、遅滞なく、いかなる場合でも認識から72時間以内に、違反の性質、影響を受けたカテゴリ、可能性のある結果、および取られた是正措置を含めて管理者に通知します。

国際転送

個人データがEEA / UK外に転送される場合、各ベンダーのDPAにデフォルトで含まれる標準契約条項（SCC）に依拠し、必要に応じて補足措置を適用します。適切な保護がない管轄区域へのデータ転送は、有効な転送メカニズムなしには行いません。

終了と削除

メインサービス契約の終了時または書面による要求に応じて、法律で要求される場合を除き（例：税務コンプライアンスのための請求記録）、30日以内にすべての管理者個人データを削除または返却します。管理者は、終了前にいつでも/api/user/exportまたはサポートチームを通じてエクスポートをトリガーできます。

責任

このDPAに基づく責任は、適用されるデータ保護法で許可されていない場合を除き、利用規約に定められた制限および除外の対象となります。ここに記載されているものは、法的に除外できない責任を除外するものではありません。

連絡先

通知、データ主体の要求、違反報告、およびDPA署名の要求は、当社のサポートチャネルを通じて送信できます。2営業日以内に返信します。

当事者

対象事項

範囲と目的

期間：管理者がアクティブなサブスクリプションまたはトライアルを持っている間、および削除と法的保持のための合理的な終了後の期間。
性質：zlabz.ioアプリケーション内での管理者データの保存、ホスティング、送信、レンダリング、および取得。
データ主体のカテゴリ：サービスを管理者の代理として操作する管理者のエンドユーザー、従業員、または契約者。
個人データのカテゴリ：アカウント識別子（メール、名前）、エディタに提出されたコンテンツ、使用メタデータ — 当社のプライバシーポリシーおよびサブプロセッサリストに記載されています。

プロセッサの義務

管理者からの文書化された指示に基づいてのみ個人データを処理します（サービスの通常の使用がそのような指示を構成します）。
個人データを処理する権限を持つ者が機密保持に拘束されることを保証します。
適切な技術的および組織的なセキュリティ対策を実施します（次のセクションを参照）。
データ主体の要求に応答する際、適用される場合はDPIAおよび監督当局との事前協議において管理者を支援します。
コンプライアンスを示すために必要な情報を提供し、合理的な監査を許可します（通常、書面による質問票またはベンダーレポートを通じて、サービスの共有インフラの性質を考慮）。

セキュリティ対策

すべてのエンドポイントでの転送中の暗号化（HTTPS / TLS）。
Convexデータベースのデフォルトによる保存時の暗号化。
Clerkによって処理される認証 — パスワードはzlabz.ioによって保存されません。
サーバー側コードの最小特権の原則、ユーザーごとのConvexスコーピング、およびクロステナントデータアクセスパスの不在。
支払いデータは厳密に範囲外に保たれます — カード処理はDodo Paymentsに委任されています（PCI DSSレベル1）。

サブプロセッサ

データ主体の権利

違反通知

国際転送

終了と削除

責任

連絡先

通知、データ主体の要求、違反報告、およびDPA署名の要求は、当社のサポートチャネルを通じて送信できます。2営業日以内に返信します。

データ処理契約。

当事者

対象事項

範囲と目的

プロセッサの義務

セキュリティ対策

サブプロセッサ

データ主体の権利

違反通知

国際転送

終了と削除

責任

連絡先

署名済みバージョンが必要ですか？

データ処理契約。

当事者

対象事項

範囲と目的

プロセッサの義務

セキュリティ対策

サブプロセッサ

データ主体の権利

違反通知

国際転送

終了と削除

責任

連絡先

署名済みバージョンが必要ですか？