데이터 처리 계약

당사자

이 DPA는 컨트롤러(자신의 사용자, 직원 또는 계약자와 관련된 데이터를 처리하기 위해 zlabz.io를 사용하는 비즈니스 고객)와 zlabz.io 도메인의 소유자가 운영하는 zlabz.io 간에 체결되며, 프로세서로서 활동합니다. zlabz.io에 직접 가입한 소비자 최종 사용자에 대해서는 우리가 컨트롤러로 활동하며, 이 DPA는 해당 관계에 적용되지 않습니다. 당사의 개인정보 보호정책이 적용됩니다.

주제

처리의 주제는 컨트롤러가 zlabz.io 서비스를 통해 업로드, 생성 또는 제출하는 개인 데이터(예: 단락 텍스트, 프로젝트 메타데이터, 최종 사용자 식별자)입니다. 처리는 서비스 제공, 보안 및 지원에 필요한 범위로 제한됩니다.

범위 및 목적

기간: 컨트롤러가 활성 구독 또는 체험판을 보유하는 동안, 그리고 삭제 및 법적 보유를 위한 합리적인 종료 후 기간 동안.
성격: zlabz.io 애플리케이션 내에서 컨트롤러 데이터의 저장, 호스팅, 전송, 렌더링 및 검색.
데이터 주체의 범주: 서비스와 상호 작용하는 컨트롤러의 최종 사용자, 직원 또는 계약자.
개인 데이터의 범주: 계정 식별자(이메일, 이름), 편집기에 제출된 콘텐츠, 사용 메타데이터 — 당사의 개인정보 보호정책 및 하위 처리자 목록에 문서화됨.

프로세서 의무

컨트롤러의 문서화된 지침에 따라 개인 데이터를 처리합니다(서비스의 정상적인 사용이 이러한 지침을 구성합니다).
개인 데이터 처리 권한을 가진 사람들은 기밀 유지에 구속됩니다.
적절한 기술적 및 조직적 보안 조치를 구현합니다(다음 섹션 참조).
데이터 주체 요청에 응답하고, 적용 가능한 경우 DPIA 및 감독 당국과의 사전 협의에 있어 컨트롤러를 지원합니다.
준수를 입증하는 데 필요한 정보를 제공하고 합리적인 감사(일반적으로 서비스의 공유 인프라 특성상 서면 설문지 또는 공급업체 보고서를 통해)를 허용합니다.

보안 조치

모든 엔드포인트에서 전송 중 암호화(HTTPS / TLS).
Convex 데이터베이스 기본값을 통한 저장 시 암호화.
Clerk에 의해 처리되는 인증 — zlabz.io는 비밀번호를 저장하지 않습니다.
서버 측 코드에서 최소 권한 원칙, 사용자별 Convex 범위 지정, 테넌트 간 데이터 액세스 경로 없음.
결제 데이터는 범위에서 엄격히 제외 — 카드 처리는 Dodo Payments에 위임됨(PCI DSS 레벨 1).

하위 처리자

컨트롤러는 zlabz.io/subprocessors에 나열된 하위 처리자의 사용에 대해 일반적인 승인을 제공합니다. 하위 처리자의 추가 또는 변경에 대해 최소 14일 전에 통지하며, 이 기간 동안 컨트롤러는 이의를 제기할 수 있습니다. 컨트롤러가 합리적으로 이의를 제기할 경우, 당사자는 해결책을 논의할 것이며, 해결책이 발견되지 않으면 컨트롤러는 영향을 받는 서비스를 종료할 수 있습니다.

데이터 주체 권리

/settings에 셀프 서비스 엔드포인트를 제공하여 최종 사용자가 자신의 데이터를 내보내고(GDPR 제20조) 계정을 삭제(제17조)할 수 있습니다. 컨트롤러가 시작한 요청에 대해서는 서비스의 기술적 역량 내에서 지원하며, 당사가 직접 받은 요청은 지체 없이 컨트롤러에게 전달합니다.

침해 통지

컨트롤러 데이터에 영향을 미치는 개인 데이터 침해가 발생한 경우, 침해의 성격, 영향을 받은 범주, 예상 결과 및 취해진 시정 조치를 포함하여 인지한 후 72시간 이내에 컨트롤러에게 지체 없이 통지합니다.

국제 전송

개인 데이터가 EEA/UK 외부로 전송되는 경우, 각 공급업체의 DPA에 기본적으로 포함된 표준 계약 조항(SCC)에 의존하며, 필요한 경우 보충 조치를 적용합니다. 적절한 보호가 부족한 관할 구역으로 데이터를 전송하지 않습니다.

종료 및 삭제

주요 서비스 계약 종료 시 또는 서면 요청 시, 법률에 의해 보유가 요구되는 경우(예: 세금 준수를 위한 청구 기록)를 제외하고 30일 이내에 모든 컨트롤러 개인 데이터를 삭제하거나 반환합니다. 컨트롤러는 종료 전에 /api/user/export 또는 대규모 데이터 세트의 경우 지원팀을 통해 언제든지 내보내기를 트리거할 수 있습니다.

책임

이 DPA에 따른 책임은 적용 가능한 데이터 보호법에 의해 제한이 허용되지 않는 경우를 제외하고 서비스 약관에 명시된 제한 및 제외의 적용을 받습니다. 여기에는 법적으로 제외할 수 없는 책임이 포함되지 않습니다.

연락처

공지, 데이터 주체 요청, 침해 보고 및 DPA 서명 요청은 지원 채널을 통해 보낼 수 있습니다. 우리는 영업일 기준 이틀 이내에 응답합니다.

당사자

주제

범위 및 목적

기간: 컨트롤러가 활성 구독 또는 체험판을 보유하는 동안, 그리고 삭제 및 법적 보유를 위한 합리적인 종료 후 기간 동안.
성격: zlabz.io 애플리케이션 내에서 컨트롤러 데이터의 저장, 호스팅, 전송, 렌더링 및 검색.
데이터 주체의 범주: 서비스와 상호 작용하는 컨트롤러의 최종 사용자, 직원 또는 계약자.
개인 데이터의 범주: 계정 식별자(이메일, 이름), 편집기에 제출된 콘텐츠, 사용 메타데이터 — 당사의 개인정보 보호정책 및 하위 처리자 목록에 문서화됨.

프로세서 의무

컨트롤러의 문서화된 지침에 따라 개인 데이터를 처리합니다(서비스의 정상적인 사용이 이러한 지침을 구성합니다).
개인 데이터 처리 권한을 가진 사람들은 기밀 유지에 구속됩니다.
적절한 기술적 및 조직적 보안 조치를 구현합니다(다음 섹션 참조).
데이터 주체 요청에 응답하고, 적용 가능한 경우 DPIA 및 감독 당국과의 사전 협의에 있어 컨트롤러를 지원합니다.
준수를 입증하는 데 필요한 정보를 제공하고 합리적인 감사(일반적으로 서비스의 공유 인프라 특성상 서면 설문지 또는 공급업체 보고서를 통해)를 허용합니다.

보안 조치

모든 엔드포인트에서 전송 중 암호화(HTTPS / TLS).
Convex 데이터베이스 기본값을 통한 저장 시 암호화.
Clerk에 의해 처리되는 인증 — zlabz.io는 비밀번호를 저장하지 않습니다.
서버 측 코드에서 최소 권한 원칙, 사용자별 Convex 범위 지정, 테넌트 간 데이터 액세스 경로 없음.
결제 데이터는 범위에서 엄격히 제외 — 카드 처리는 Dodo Payments에 위임됨(PCI DSS 레벨 1).

하위 처리자

데이터 주체 권리

침해 통지

국제 전송

종료 및 삭제

책임

연락처

공지, 데이터 주체 요청, 침해 보고 및 DPA 서명 요청은 지원 채널을 통해 보낼 수 있습니다. 우리는 영업일 기준 이틀 이내에 응답합니다.

데이터 처리 계약.

당사자

주제

범위 및 목적

프로세서 의무

보안 조치

하위 처리자

데이터 주체 권리

침해 통지

국제 전송

종료 및 삭제

책임

연락처

서명된 버전이 필요하신가요?

데이터 처리 계약.

당사자

주제

범위 및 목적

프로세서 의무

보안 조치

하위 처리자

데이터 주체 권리

침해 통지

국제 전송

종료 및 삭제

책임

연락처

서명된 버전이 필요하신가요?