Perjanjian Pemprosesan Data.

DPA ini dimeterai antara Pengawal (pelanggan perniagaan yang menggunakan zlabz.io untuk memproses data berkaitan pengguna, pekerja, atau kontraktor mereka sendiri) dan zlabz.io, yang dikendalikan oleh pemilik domain zlabz.io, bertindak sebagai Pemproses. Bagi pengguna akhir yang mendaftar terus di zlabz.io, kami bertindak sebagai Pengawal — DPA ini tidak terpakai untuk hubungan tersebut; Polisi Privasi kami terpakai.

Subjek pemprosesan adalah data peribadi yang dimuat naik, dicipta, atau dihantar oleh Pengawal melalui perkhidmatan zlabz.io (contohnya teks perenggan, metadata projek, pengecam pengguna akhir). Pemprosesan adalah terhad kepada apa yang diperlukan untuk menyampaikan, menjamin, dan menyokong perkhidmatan.

• Tempoh: selama Pengawal mempunyai langganan atau percubaan aktif, ditambah tempoh selepas penamatan yang munasabah untuk penghapusan dan pengekalan undang-undang.
• Sifat: penyimpanan, hosting, penghantaran, rendering, dan pengambilan data Pengawal dalam aplikasi zlabz.io.
• Kategori subjek data: pengguna akhir, pekerja, atau kontraktor Pengawal yang berinteraksi dengan perkhidmatan bagi pihak Pengawal.
• Kategori data peribadi: pengecam akaun (e-mel, nama), kandungan yang dihantar ke editor, metadata penggunaan — seperti yang didokumentasikan dalam Polisi Privasi dan senarai subpemproses kami.

• Memproses data peribadi hanya berdasarkan arahan yang didokumentasikan dari Pengawal (penggunaan normal perkhidmatan merupakan arahan tersebut).
• Memastikan orang yang diberi kuasa untuk memproses data peribadi terikat dengan kerahsiaan.
• Melaksanakan langkah-langkah keselamatan teknikal dan organisasi yang sesuai (lihat bahagian seterusnya).
• Membantu Pengawal dalam menjawab permintaan subjek data dan, jika berkenaan, DPIA dan perundingan awal dengan pihak berkuasa pengawas.
• Menyediakan maklumat yang diperlukan untuk menunjukkan pematuhan dan membenarkan audit yang munasabah (biasanya melalui soal selidik bertulis atau laporan vendor, memandangkan sifat infrastruktur bersama perkhidmatan).

• Penyulitan dalam transit (HTTPS / TLS) pada semua titik akhir.
• Penyulitan semasa rehat melalui tetapan lalai pangkalan data Convex.
• Pengesahan dikendalikan oleh Clerk — kata laluan tidak pernah disimpan oleh zlabz.io.
• Prinsip keistimewaan paling sedikit pada kod sisi pelayan, skop Convex per pengguna, dan tiada laluan akses data rentas penyewa.
• Data pembayaran disimpan di luar skop — pengendalian kad diserahkan kepada Dodo Payments (PCI DSS Tahap 1).

Pengawal memberikan kebenaran umum untuk penggunaan subpemproses yang disenaraikan di zlabz.io/subprocessors. Kami akan memberikan notis sekurang-kurangnya 14 hari tentang sebarang penambahan atau perubahan subpemproses, di mana Pengawal boleh membantah. Jika Pengawal membantah dengan munasabah, pihak-pihak akan membincangkan penyelesaian; jika tiada yang ditemui, Pengawal boleh menamatkan perkhidmatan yang terjejas.

Kami menyediakan titik akhir layan diri di /settings supaya pengguna akhir boleh mengeksport data mereka (GDPR Artikel 20) dan memadam akaun mereka (Artikel 17). Untuk permintaan yang dimulakan oleh Pengawal, kami akan membantu dalam kemampuan teknikal perkhidmatan, dan meneruskan sebarang permintaan yang diterima terus oleh kami kepada Pengawal tanpa kelewatan yang tidak wajar.

Sekiranya berlaku pelanggaran data peribadi yang menjejaskan data Pengawal, kami akan memberitahu Pengawal tanpa kelewatan yang tidak wajar dan dalam mana-mana kes dalam masa 72 jam selepas menyedari, dengan sifat pelanggaran, kategori yang terjejas, kemungkinan akibat, dan langkah pemulihan yang diambil.

Di mana data peribadi dipindahkan di luar EEA / UK, kami bergantung pada Klausa Kontraktual Standard (SCC) yang disertakan secara lalai dalam setiap DPA vendor (lihat /subprocessors) dan menerapkan langkah-langkah tambahan jika diperlukan. Kami tidak akan memindahkan data ke bidang kuasa yang tidak mempunyai perlindungan yang mencukupi tanpa mekanisme pemindahan yang sah.

Pada penamatan perjanjian perkhidmatan utama atau atas permintaan bertulis, kami akan memadam atau mengembalikan semua data peribadi Pengawal dalam masa 30 hari, kecuali di mana pengekalan diperlukan oleh undang-undang (contohnya rekod pengebilan untuk pematuhan cukai). Pengawal boleh mencetuskan eksport pada bila-bila masa sebelum penamatan melalui /api/user/export atau pasukan sokongan kami untuk set data yang lebih besar.

Liabiliti di bawah DPA ini tertakluk kepada batasan dan pengecualian yang ditetapkan dalam Terma Perkhidmatan, kecuali di mana batasan tersebut tidak dibenarkan oleh undang-undang perlindungan data yang berkenaan. Tiada apa-apa di sini mengecualikan liabiliti yang tidak boleh dikecualikan secara sah.

Notis, permintaan subjek data, laporan pelanggaran, dan permintaan tandatangan DPA boleh dihantar melalui saluran sokongan kami. Kami akan membalas dalam masa dua hari bekerja.