Umowa o Przetwarzanie Danych.

Niniejsza DPA jest zawarta między Administratorem (klientem biznesowym korzystającym z zlabz.io do przetwarzania danych dotyczących własnych użytkowników, pracowników lub kontrahentów) a zlabz.io, obsługiwanym przez właściciela domeny zlabz.io, działającym jako Procesor. W przypadku konsumentów końcowych, którzy rejestrują się bezpośrednio na zlabz.io, działamy jako Administrator — niniejsza DPA nie ma zastosowania do tej relacji; obowiązuje nasza Polityka Prywatności.

Przedmiotem przetwarzania są dane osobowe, które Administrator przesyła, tworzy lub w inny sposób dostarcza za pośrednictwem usługi zlabz.io (np. teksty paragrafów, metadane projektów, identyfikatory użytkowników końcowych). Przetwarzanie jest ograniczone do tego, co jest niezbędne do dostarczenia, zabezpieczenia i wsparcia usługi.

• Czas trwania: tak długo, jak Administrator ma aktywną subskrypcję lub okres próbny, plus rozsądny okres po zakończeniu na usunięcie i przechowywanie zgodne z prawem.
• Charakter: przechowywanie, hosting, transmisja, renderowanie i pobieranie danych Administratora w aplikacji zlabz.io.
• Kategorie podmiotów danych: użytkownicy końcowi, pracownicy lub kontrahenci Administratora, którzy korzystają z usługi w imieniu Administratora.
• Kategorie danych osobowych: identyfikatory kont (email, imię), treści przesłane do edytora, metadane użycia — zgodnie z dokumentacją w naszej Polityce Prywatności i liście podprocesorów.

• Przetwarzanie danych osobowych wyłącznie na udokumentowane instrukcje Administratora (normalne korzystanie z usługi stanowi takie instrukcje).
• Zapewnienie, że osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania poufności.
• Wdrożenie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa (patrz następna sekcja).
• Wspieranie Administratora w odpowiedzi na żądania podmiotów danych oraz, w stosownych przypadkach, DPIA i wcześniejsze konsultacje z organami nadzorczymi.
• Udostępnienie informacji niezbędnych do wykazania zgodności i umożliwienie rozsądnych audytów (zwykle za pomocą pisemnych kwestionariuszy lub raportów dostawców, biorąc pod uwagę wspólną infrastrukturę usługi).

• Szyfrowanie w tranzycie (HTTPS / TLS) na wszystkich punktach końcowych.
• Szyfrowanie w spoczynku za pomocą domyślnych ustawień bazy danych Convex.
• Uwierzytelnianie obsługiwane przez Clerk — hasła nigdy nie są przechowywane przez zlabz.io.
• Zasada najmniejszych uprawnień w kodzie serwerowym, zakres Convex dla każdego użytkownika i brak ścieżek dostępu do danych między najemcami.
• Dane płatnicze są ściśle poza zakresem — obsługa kart jest delegowana do Dodo Payments (PCI DSS Poziom 1).

Administrator udziela ogólnego zezwolenia na korzystanie z podprocesorów wymienionych na zlabz.io/subprocessors. Powiadomimy z co najmniej 14-dniowym wyprzedzeniem o każdym dodaniu lub zmianie podprocesora, podczas którego Administrator może zgłosić sprzeciw. Jeśli Administrator zgłosi uzasadniony sprzeciw, strony omówią rozwiązanie; jeśli nie zostanie znalezione, Administrator może zakończyć dotkniętą usługę.

Udostępniamy punkty końcowe samoobsługowe w /settings, aby użytkownicy końcowi mogli eksportować swoje dane (artykuł 20 RODO) i usuwać swoje konta (artykuł 17). W przypadku żądań inicjowanych przez Administratora, pomożemy w ramach technicznych możliwości usługi i przekażemy każde żądanie otrzymane bezpośrednio od nas do Administratora bez zbędnej zwłoki.

W przypadku naruszenia danych osobowych dotyczących danych Administratora, powiadomimy Administratora bez zbędnej zwłoki, a w każdym przypadku w ciągu 72 godzin od momentu uzyskania wiedzy, z podaniem charakteru naruszenia, dotkniętych kategorii, prawdopodobnych konsekwencji i podjętych środków naprawczych.

W przypadku transferu danych osobowych poza EOG / Wielką Brytanię, polegamy na Standardowych Klauzulach Umownych (SCC) zawartych domyślnie w DPA każdego dostawcy (patrz /subprocessors) i stosujemy dodatkowe środki, gdy jest to wymagane. Nie będziemy przenosić danych do jurysdykcji, która nie zapewnia odpowiedniej ochrony, bez ważnego mechanizmu transferu.

Po zakończeniu głównej umowy o świadczenie usług lub na pisemne żądanie, usuniemy lub zwrócimy wszystkie dane osobowe Administratora w ciągu 30 dni, z wyjątkiem sytuacji, gdy przechowywanie jest wymagane przez prawo (np. dokumenty rozliczeniowe dla zgodności podatkowej). Administrator może uruchomić eksport w dowolnym momencie przed zakończeniem za pośrednictwem /api/user/export lub naszego zespołu wsparcia dla większych zbiorów danych.

Odpowiedzialność na mocy niniejszej DPA podlega ograniczeniom i wyłączeniom określonym w Warunkach Usługi, z wyjątkiem przypadków, gdy takie ograniczenie nie jest dozwolone przez obowiązujące prawo o ochronie danych. Nic tutaj nie wyłącza odpowiedzialności, której nie można zgodnie z prawem wyłączyć.

Powiadomienia, żądania podmiotów danych, raporty o naruszeniach i prośby o podpisanie DPA można przesyłać za pośrednictwem naszego kanału wsparcia. Odpowiadamy w ciągu dwóch dni roboczych.