Acord de Prelucrare a Datelor.

Acest DPA este încheiat între Controlor (clientul de afaceri care utilizează zlabz.io pentru a prelucra date referitoare la proprii utilizatori, angajați sau contractori) și zlabz.io, operat de proprietarul domeniului zlabz.io, acționând ca Procesator. Pentru utilizatorii finali consumatori care se înscriu direct pe zlabz.io, acționăm ca Controlor — acest DPA nu se aplică acelei relații; Politica noastră de Confidențialitate se aplică.

Obiectul prelucrării sunt datele personale pe care Controlorul le încarcă, creează sau le trimite prin serviciul zlabz.io (de exemplu, text de paragraf, metadate de proiect, identificatori de utilizatori finali). Prelucrarea este limitată la ceea ce este necesar pentru a livra, securiza și susține serviciul.

• Durata: atât timp cât Controlorul are un abonament activ sau un trial, plus o perioadă rezonabilă post-încetare pentru ștergere și păstrare legală.
• Natura: stocare, găzduire, transmitere, redare și recuperare a datelor Controlorului în cadrul aplicației zlabz.io.
• Categorii de subiecți ai datelor: utilizatorii finali, angajații sau contractorii Controlorului care interacționează cu serviciul în numele Controlorului.
• Categorii de date personale: identificatori de cont (email, nume), conținut trimis editorului, metadate de utilizare — așa cum este documentat în Politica noastră de Confidențialitate și lista subprocesatorilor.

• Prelucrarea datelor personale numai pe baza instrucțiunilor documentate de la Controlor (utilizarea normală a serviciului constituie astfel de instrucțiuni).
• Asigurarea că persoanele autorizate să prelucreze date personale sunt obligate prin confidențialitate.
• Implementarea măsurilor de securitate tehnice și organizatorice adecvate (vezi secțiunea următoare).
• Asistarea Controlorului în răspunsul la cererile subiecților de date și, unde este cazul, DPIA-urile și consultările prealabile cu autoritățile de supraveghere.
• Punerea la dispoziție a informațiilor necesare pentru a demonstra conformitatea și permiterea auditurilor rezonabile (de obicei prin chestionare scrise sau rapoarte ale furnizorilor, având în vedere natura infrastructurii partajate a serviciului).

• Criptare în tranzit (HTTPS / TLS) pe toate punctele finale.
• Criptare în repaus prin setările implicite ale bazei de date Convex.
• Autentificarea gestionată de Clerk — parolele nu sunt niciodată stocate de zlabz.io.
• Principiul privilegiului minim pe codul de server, delimitarea pe utilizator Convex și fără căi de acces la date între chiriași.
• Datele de plată sunt strict în afara domeniului — gestionarea cardurilor este delegată către Dodo Payments (PCI DSS Nivel 1).

Controlorul oferă o autorizație generală pentru utilizarea subprocesatorilor listați la zlabz.io/subprocessors. Vom oferi un preaviz de cel puțin 14 zile pentru orice adăugare sau schimbare de subprocesator, timp în care Controlorul poate obiecta. Dacă Controlorul obiectează în mod rezonabil, părțile vor discuta o soluție; dacă nu se găsește niciuna, Controlorul poate înceta serviciul afectat.

Oferim puncte de acces self-service în /settings astfel încât utilizatorii finali să-și poată exporta datele (Articolul 20 GDPR) și să-și șteargă conturile (Articolul 17). Pentru cererile inițiate de Controlor, vom asista în limitele capacităților tehnice ale serviciului și vom transmite orice cerere primită direct de noi către Controlor fără întârzieri nejustificate.

În cazul unei încălcări a datelor personale care afectează datele Controlorului, vom notifica Controlorul fără întârzieri nejustificate și în orice caz în termen de 72 de ore de la conștientizare, cu natura încălcării, categoriile afectate, consecințele probabile și măsurile de remediere luate.

Atunci când datele personale sunt transferate în afara SEE / UK, ne bazăm pe Clauzele Contractuale Standard (SCC) incluse implicit în DPA-ul fiecărui furnizor (vezi /subprocessors) și aplicăm măsuri suplimentare unde este necesar. Nu vom transfera date într-o jurisdicție care nu oferă protecție adecvată fără un mecanism de transfer valid.

La încetarea acordului principal de servicii sau la cerere scrisă, vom șterge sau returna toate datele personale ale Controlorului în termen de 30 de zile, cu excepția cazului în care păstrarea este cerută de lege (de exemplu, înregistrările de facturare pentru conformitatea fiscală). Controlorul poate declanșa un export în orice moment înainte de încetare prin /api/user/export sau echipa noastră de suport pentru seturi de date mai mari.

Răspunderea în cadrul acestui DPA este supusă limitărilor și excluderilor stabilite în Termenii de Serviciu, cu excepția cazului în care o astfel de limitare nu este permisă de legea aplicabilă privind protecția datelor. Nimic de aici nu exclude răspunderea care nu poate fi exclusă legal.

Notificările, cererile subiecților de date, rapoartele de încălcare și cererile de semnare a DPA pot fi trimise prin canalul nostru de suport. Răspundem în termen de două zile lucrătoare.