Соглашение об обработке данных.

Это DPA заключается между Контролером (бизнес-клиентом, использующим zlabz.io для обработки данных, относящихся к их собственным пользователям, сотрудникам или подрядчикам) и zlabz.io, управляемым владельцем домена zlabz.io, выступающим в качестве Процессора. Для конечных потребителей, которые регистрируются напрямую на zlabz.io, мы выступаем в качестве Контролера — это DPA не применяется к этим отношениям; применяется наша Политика конфиденциальности.

Предметом обработки являются персональные данные, которые Контролер загружает, создает или иным образом отправляет через сервис zlabz.io (например, текст абзаца, метаданные проекта, идентификаторы конечных пользователей). Обработка ограничивается тем, что необходимо для предоставления, защиты и поддержки сервиса.

• Продолжительность: пока у Контролера есть активная подписка или пробный период, плюс разумный период после прекращения для удаления и юридического хранения.
• Характер: хранение, хостинг, передача, рендеринг и извлечение данных Контролера в приложении zlabz.io.
• Категории субъектов данных: конечные пользователи, сотрудники или подрядчики Контролера, взаимодействующие с сервисом от имени Контролера.
• Категории персональных данных: идентификаторы учетных записей (электронная почта, имя), контент, отправленный в редактор, метаданные использования — как указано в нашей Политике конфиденциальности и списке субпроцессоров.

• Обрабатывать персональные данные только по документированным инструкциям от Контролера (нормальное использование сервиса составляет такие инструкции).
• Обеспечить, чтобы лица, уполномоченные обрабатывать персональные данные, были связаны обязательством о конфиденциальности.
• Реализовать соответствующие технические и организационные меры безопасности (см. следующий раздел).
• Помогать Контролеру в ответах на запросы субъектов данных и, где применимо, DPIA и предварительных консультациях с надзорными органами.
• Предоставлять информацию, необходимую для демонстрации соблюдения, и позволять разумные аудиты (обычно через письменные опросники или отчеты поставщиков, учитывая характер общей инфраструктуры сервиса).

• Шифрование при передаче (HTTPS / TLS) на всех конечных точках.
• Шифрование в состоянии покоя через настройки базы данных Convex.
• Аутентификация осуществляется Clerk — пароли никогда не хранятся на zlabz.io.
• Принцип наименьших привилегий в серверном коде, скопирование Convex для каждого пользователя и отсутствие путей доступа к данным между арендаторами.
• Платежные данные строго вне области — обработка карт делегируется Dodo Payments (уровень PCI DSS 1).

Контролер дает общее разрешение на использование субпроцессоров, перечисленных на zlabz.io/subprocessors. Мы предоставим уведомление как минимум за 14 дней о любом добавлении или изменении субпроцессора, в течение которых Контролер может возразить. Если Контролер обоснованно возражает, стороны обсудят решение; если решение не найдено, Контролер может прекратить использование затронутого сервиса.

Мы предоставляем конечным пользователям возможность самостоятельно экспортировать свои данные (статья 20 GDPR) и удалять свои аккаунты (статья 17) через /settings. Для запросов, инициированных Контролером, мы окажем помощь в пределах технических возможностей сервиса и передадим любой запрос, полученный напрямую от нас, Контролеру без необоснованной задержки.

В случае нарушения персональных данных, затрагивающего данные Контролера, мы уведомим Контролера без необоснованной задержки и в любом случае в течение 72 часов с момента обнаружения, с указанием характера нарушения, затронутых категорий, вероятных последствий и принятых мер по устранению.

Когда персональные данные передаются за пределы ЕЭЗ / Великобритании, мы полагаемся на Стандартные договорные положения (SCC), включенные по умолчанию в DPA каждого поставщика (см. /subprocessors), и применяем дополнительные меры, где это необходимо. Мы не будем передавать данные в юрисдикцию, не обеспечивающую адекватную защиту, без действующего механизма передачи.

При прекращении основного соглашения о предоставлении услуг или по письменному запросу мы удалим или вернем все персональные данные Контролера в течение 30 дней, за исключением случаев, когда хранение требуется по закону (например, учетные записи для налогового соответствия). Контролер может инициировать экспорт в любое время до прекращения через /api/user/export или нашу службу поддержки для больших наборов данных.

Ответственность по этому DPA подлежит ограничениям и исключениям, изложенным в Условиях обслуживания, за исключением случаев, когда такое ограничение не допускается применимым законодательством о защите данных. Ничто здесь не исключает ответственность, которую нельзя законно исключить.

Уведомления, запросы субъектов данных, отчеты о нарушениях и запросы на подписание DPA могут быть отправлены через наш канал поддержки. Мы отвечаем в течение двух рабочих дней.