Databehandlingsavtal.

Detta DPA ingås mellan Personuppgiftsansvarig (företagskunden som använder zlabz.io för att behandla data relaterad till sina egna användare, anställda eller entreprenörer) och zlabz.io, som drivs av ägaren av zlabz.io-domänen, agerande som Personuppgiftsbiträde. För konsumentanvändare som registrerar sig direkt på zlabz.io agerar vi som Personuppgiftsansvarig — detta DPA gäller inte för den relationen; vår Integritetspolicy gäller.

Ämnet för behandlingen är de personuppgifter som Personuppgiftsansvarig laddar upp, skapar eller på annat sätt skickar genom zlabz.io-tjänsten (t.ex. stycketext, projektmetadata, slutanvändaridentifierare). Behandlingen är begränsad till vad som är nödvändigt för att leverera, säkra och stödja tjänsten.

• Varaktighet: så länge Personuppgiftsansvarig har en aktiv prenumeration eller testperiod, plus en rimlig period efter uppsägning för radering och lagring enligt lag.
• Natur: lagring, hosting, överföring, rendering och hämtning av Personuppgiftsansvarigs data inom zlabz.io-applikationen.
• Kategorier av registrerade: Personuppgiftsansvarigs slutanvändare, anställda eller entreprenörer som interagerar med tjänsten på Personuppgiftsansvarigs vägnar.
• Kategorier av personuppgifter: kontoidentifierare (e-post, namn), innehåll som skickas till redigeraren, användningsmetadata — som dokumenterat i vår Integritetspolicy och lista över underleverantörer.

• Behandla personuppgifter endast enligt dokumenterade instruktioner från Personuppgiftsansvarig (normal användning av tjänsten utgör sådana instruktioner).
• Säkerställa att personer som är auktoriserade att behandla personuppgifter är bundna av sekretess.
• Implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder (se nästa avsnitt).
• Bistå Personuppgiftsansvarig i att svara på registrerades förfrågningar och, där tillämpligt, DPIA:er och förhandskonsultationer med tillsynsmyndigheter.
• Tillhandahålla information som är nödvändig för att visa efterlevnad och tillåta rimliga revisioner (vanligtvis via skriftliga frågeformulär eller leverantörsrapporter, med tanke på tjänstens delade infrastruktur).

• Kryptering under överföring (HTTPS / TLS) på alla slutpunkter.
• Kryptering i vila via Convex-databasens standardinställningar.
• Autentisering hanteras av Clerk — lösenord lagras aldrig av zlabz.io.
• Principen om minsta privilegium på serversidans kod, per-användare Convex-avgränsning och inga korshyresgäståtkomstvägar.
• Betalningsdata hålls strikt utanför omfattningen — kortbehandling delegeras till Dodo Payments (PCI DSS nivå 1).

Personuppgiftsansvarig ger allmän auktorisation för användning av de underleverantörer som listas på zlabz.io/subprocessors. Vi kommer att ge minst 14 dagars varsel om någon tillägg eller förändring av underleverantör, under vilken Personuppgiftsansvarig kan invända. Om Personuppgiftsansvarig rimligen invänder, kommer parterna att diskutera en lösning; om ingen hittas, kan Personuppgiftsansvarig säga upp den berörda tjänsten.

Vi tillhandahåller självbetjäningsslutpunkter i /settings så att slutanvändare kan exportera sina data (GDPR artikel 20) och radera sina konton (artikel 17). För förfrågningar initierade av Personuppgiftsansvarig kommer vi att bistå inom tjänstens tekniska kapacitet och vidarebefordra alla förfrågningar som vi mottar direkt till Personuppgiftsansvarig utan onödigt dröjsmål.

Vid en personuppgiftsincident som påverkar Personuppgiftsansvarigs data kommer vi att meddela Personuppgiftsansvarig utan onödigt dröjsmål och i vilket fall som helst inom 72 timmar efter att vi blivit medvetna, med incidentens natur, påverkade kategorier, sannolika konsekvenser och vidtagna åtgärder.

När personuppgifter överförs utanför EES / Storbritannien förlitar vi oss på de standardavtalsklausuler (SCC) som ingår som standard i varje leverantörs DPA (se /subprocessors) och tillämpar kompletterande åtgärder där det krävs. Vi kommer inte att överföra data till en jurisdiktion som saknar adekvat skydd utan en giltig överföringsmekanism.

Vid uppsägning av huvudtjänsteavtalet eller vid skriftlig begäran kommer vi att radera eller returnera alla Personuppgiftsansvarigs personuppgifter inom 30 dagar, förutom där lagring krävs enligt lag (t.ex. faktureringsuppgifter för skatteefterlevnad). Personuppgiftsansvarig kan initiera en export när som helst före uppsägning via /api/user/export eller vårt supportteam för större datamängder.

Ansvar enligt detta DPA är föremål för de begränsningar och undantag som anges i användarvillkoren, förutom där sådan begränsning inte är tillåten enligt tillämplig dataskyddslag. Inget här utesluter ansvar som inte lagligen kan uteslutas.

Meddelanden, förfrågningar från registrerade, incidentrapporter och förfrågningar om DPA-signatur kan skickas via vår supportkanal. Vi svarar inom två arbetsdagar.