Acordo de Processamento de Dados.

Este DPA é firmado entre o Controlador (o cliente empresarial que usa o zlabz.io para processar dados relacionados aos seus próprios usuários, funcionários ou contratados) e o zlabz.io, operado pelo proprietário do domínio zlabz.io, atuando como o Processador. Para usuários finais consumidores que se inscrevem diretamente no zlabz.io, atuamos como Controlador — este DPA não se aplica a essa relação; nossa Política de Privacidade se aplica.

O objeto do processamento são os dados pessoais que o Controlador faz upload, cria ou de outra forma envia através do serviço zlabz.io (por exemplo, texto de parágrafo, metadados de projeto, identificadores de usuários finais). O processamento é limitado ao necessário para entregar, proteger e dar suporte ao serviço.

• Duração: enquanto o Controlador tiver uma assinatura ativa ou teste, além de um período razoável pós-rescisão para exclusão e retenção legal.
• Natureza: armazenamento, hospedagem, transmissão, renderização e recuperação de dados do Controlador dentro do aplicativo zlabz.io.
• Categorias de titulares de dados: os usuários finais, funcionários ou contratados do Controlador que interagem com o serviço em nome do Controlador.
• Categorias de dados pessoais: identificadores de conta (e-mail, nome), conteúdo enviado ao editor, metadados de uso — conforme documentado em nossa Política de Privacidade e lista de subcontratados.

• Processar dados pessoais apenas com instruções documentadas do Controlador (o uso normal do serviço constitui tais instruções).
• Garantir que as pessoas autorizadas a processar dados pessoais estejam vinculadas por confidencialidade.
• Implementar medidas de segurança técnicas e organizacionais apropriadas (veja a próxima seção).
• Auxiliar o Controlador na resposta a solicitações de titulares de dados e, quando aplicável, DPIAs e consulta prévia com autoridades de supervisão.
• Disponibilizar informações necessárias para demonstrar conformidade e permitir auditorias razoáveis (normalmente via questionários escritos ou relatórios de fornecedores, dada a natureza de infraestrutura compartilhada do serviço).

• Criptografia em trânsito (HTTPS / TLS) em todos os endpoints.
• Criptografia em repouso via padrões de banco de dados Convex.
• Autenticação gerida pela Clerk — senhas nunca são armazenadas pelo zlabz.io.
• Princípio do menor privilégio no código do lado do servidor, escopo por usuário Convex, e sem caminhos de acesso a dados entre locatários.
• Dados de pagamento mantidos estritamente fora do escopo — o manuseio de cartões é delegado à Dodo Payments (PCI DSS Nível 1).

O Controlador dá autorização geral para o uso dos subcontratados listados em zlabz.io/subprocessors. Daremos pelo menos 14 dias de aviso de qualquer adição ou mudança de subcontratado, durante os quais o Controlador pode se opor. Se o Controlador se opuser razoavelmente, as partes discutirão uma solução; se nenhuma for encontrada, o Controlador pode rescindir o serviço afetado.

Fornecemos endpoints de autoatendimento em /settings para que os usuários finais possam exportar seus dados (Artigo 20 do GDPR) e excluir suas contas (Artigo 17). Para solicitações iniciadas pelo Controlador, ajudaremos dentro das capacidades técnicas do serviço e encaminharemos qualquer solicitação recebida diretamente por nós ao Controlador sem atraso indevido.

No caso de uma violação de dados pessoais afetando os dados do Controlador, notificaremos o Controlador sem atraso indevido e, em qualquer caso, dentro de 72 horas após tomarmos conhecimento, com a natureza da violação, categorias afetadas, prováveis consequências e medidas corretivas tomadas.

Quando dados pessoais são transferidos para fora do EEE / Reino Unido, contamos com as Cláusulas Contratuais Padrão (SCCs) incluídas por padrão no DPA de cada fornecedor (veja /subprocessors) e aplicamos medidas suplementares quando necessário. Não transferiremos dados para uma jurisdição sem proteção adequada sem um mecanismo de transferência válido.

Na rescisão do acordo de serviço principal ou mediante solicitação por escrito, excluiremos ou devolveremos todos os dados pessoais do Controlador dentro de 30 dias, exceto quando a retenção for exigida por lei (por exemplo, registros de faturamento para conformidade fiscal). O Controlador pode acionar uma exportação a qualquer momento antes da rescisão via /api/user/export ou nossa equipe de suporte para conjuntos de dados maiores.

A responsabilidade sob este DPA está sujeita às limitações e exclusões estabelecidas nos Termos de Serviço, exceto onde tal limitação não seja permitida pela lei de proteção de dados aplicável. Nada aqui exclui responsabilidade que não pode ser legalmente excluída.

Avisos, solicitações de titulares de dados, relatórios de violação e solicitações de assinatura de DPA podem ser enviados via nosso canal de suporte. Respondemos dentro de dois dias úteis.