ข้อตกลงการประมวลผลข้อมูล

DPA นี้จัดทำขึ้นระหว่างผู้ควบคุม (ลูกค้าธุรกิจที่ใช้ zlabz.io เพื่อประมวลผลข้อมูลที่เกี่ยวข้องกับผู้ใช้, พนักงาน, หรือผู้รับเหมา) และ zlabz.io ซึ่งดำเนินการโดยเจ้าของโดเมน zlabz.io ในฐานะผู้ประมวลผล สำหรับผู้ใช้ปลายทางที่สมัครโดยตรงบน zlabz.io เราทำหน้าที่เป็นผู้ควบคุม — DPA นี้ไม่ใช้กับความสัมพันธ์นั้น; นโยบายความเป็นส่วนตัวของเราใช้แทน

เรื่องของการประมวลผลคือข้อมูลส่วนบุคคลที่ผู้ควบคุมอัปโหลด, สร้าง, หรือส่งผ่านบริการ zlabz.io (เช่น ข้อความย่อหน้า, ข้อมูลเมตาโครงการ, ตัวระบุผู้ใช้ปลายทาง) การประมวลผลจำกัดเฉพาะสิ่งที่จำเป็นเพื่อส่งมอบ, รักษาความปลอดภัย, และสนับสนุนบริการ

• ระยะเวลา: ตราบเท่าที่ผู้ควบคุมมีการสมัครสมาชิกหรือทดลองใช้งานที่ยังใช้งานอยู่ รวมถึงระยะเวลาหลังการยุติที่เหมาะสมสำหรับการลบและการเก็บรักษาตามกฎหมาย
• ลักษณะ: การจัดเก็บ, โฮสต์, การส่งผ่าน, การแสดงผล, และการเรียกคืนข้อมูลของผู้ควบคุมภายในแอปพลิเคชัน zlabz.io
• ประเภทของเจ้าของข้อมูล: ผู้ใช้ปลายทาง, พนักงาน, หรือผู้รับเหมาของผู้ควบคุมที่มีปฏิสัมพันธ์กับบริการในนามของผู้ควบคุม
• ประเภทของข้อมูลส่วนบุคคล: ตัวระบุบัญชี (อีเมล, ชื่อ), เนื้อหาที่ส่งไปยังตัวแก้ไข, ข้อมูลเมตาการใช้งาน — ตามที่ระบุในนโยบายความเป็นส่วนตัวและรายการผู้ประมวลผลย่อยของเรา

• ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่บันทึกไว้จากผู้ควบคุมเท่านั้น (การใช้บริการตามปกติถือเป็นคำสั่งดังกล่าว)
• ให้บุคคลที่ได้รับอนุญาตในการประมวลผลข้อมูลส่วนบุคคลผูกพันตามความลับ
• ดำเนินการตามมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรที่เหมาะสม (ดูในส่วนถัดไป)
• ช่วยเหลือผู้ควบคุมในการตอบสนองต่อคำขอของเจ้าของข้อมูลและ, หากมี, DPIAs และการปรึกษาหารือล่วงหน้ากับหน่วยงานกำกับดูแล
• ให้ข้อมูลที่จำเป็นเพื่อแสดงการปฏิบัติตามและอนุญาตให้มีการตรวจสอบที่สมเหตุสมผล (โดยทั่วไปผ่านแบบสอบถามที่เป็นลายลักษณ์อักษรหรือรายงานของผู้ขาย เนื่องจากลักษณะของโครงสร้างพื้นฐานที่ใช้ร่วมกันของบริการ)

• การเข้ารหัสระหว่างการส่งผ่าน (HTTPS / TLS) บนทุกจุดสิ้นสุด
• การเข้ารหัสเมื่อพักผ่านค่าเริ่มต้นของฐานข้อมูล Convex
• การตรวจสอบสิทธิ์จัดการโดย Clerk — รหัสผ่านจะไม่ถูกจัดเก็บโดย zlabz.io
• หลักการของสิทธิพิเศษน้อยที่สุดในโค้ดฝั่งเซิร์ฟเวอร์, ขอบเขตต่อผู้ใช้ของ Convex, และไม่มีเส้นทางการเข้าถึงข้อมูลข้ามผู้เช่า
• ข้อมูลการชำระเงินถูกเก็บไว้นอกขอบเขตอย่างเคร่งครัด — การจัดการบัตรถูกมอบหมายให้ Dodo Payments (PCI DSS ระดับ 1)

ผู้ควบคุมให้การอนุญาตทั่วไปสำหรับการใช้ผู้ประมวลผลย่อยที่ระบุไว้ที่ zlabz.io/subprocessors เราจะแจ้งให้ทราบล่วงหน้าอย่างน้อย 14 วันสำหรับการเพิ่มหรือเปลี่ยนแปลงผู้ประมวลผลย่อย ซึ่งในระหว่างนั้นผู้ควบคุมสามารถคัดค้านได้ หากผู้ควบคุมคัดค้านอย่างสมเหตุสมผล คู่สัญญาจะหารือเกี่ยวกับการแก้ไข; หากไม่พบการแก้ไข ผู้ควบคุมสามารถยุติบริการที่ได้รับผลกระทบ

เรามีจุดสิ้นสุดบริการตนเองใน /settings เพื่อให้ผู้ใช้ปลายทางสามารถส่งออกข้อมูลของตน (GDPR มาตรา 20) และลบบัญชีของตน (มาตรา 17) สำหรับคำขอที่เริ่มต้นโดยผู้ควบคุม เราจะช่วยเหลือภายในขีดความสามารถทางเทคนิคของบริการ และส่งต่อคำขอใด ๆ ที่ได้รับโดยตรงจากเราถึงผู้ควบคุมโดยไม่ล่าช้าเกินควร

ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลที่ส่งผลกระทบต่อข้อมูลของผู้ควบคุม เราจะแจ้งให้ผู้ควบคุมทราบโดยไม่ล่าช้าเกินควรและในทุกกรณีภายใน 72 ชั่วโมงหลังจากทราบ พร้อมกับลักษณะของการละเมิด, ประเภทที่ได้รับผลกระทบ, ผลที่เป็นไปได้, และมาตรการแก้ไขที่ดำเนินการ

เมื่อข้อมูลส่วนบุคคลถูกโอนไปยังนอก EEA / UK เราอาศัยข้อสัญญามาตรฐาน (SCCs) ที่รวมอยู่โดยค่าเริ่มต้นใน DPA ของผู้ขายแต่ละราย (ดู /subprocessors) และใช้มาตรการเสริมเมื่อจำเป็น เราจะไม่โอนข้อมูลไปยังเขตอำนาจศาลที่ไม่มีการคุ้มครองที่เพียงพอโดยไม่มีกลไกการโอนที่ถูกต้อง

เมื่อสิ้นสุดข้อตกลงบริการหลักหรือเมื่อมีคำขอเป็นลายลักษณ์อักษร เราจะลบหรือส่งคืนข้อมูลส่วนบุคคลของผู้ควบคุมทั้งหมดภายใน 30 วัน ยกเว้นในกรณีที่การเก็บรักษาตามกฎหมายเป็นสิ่งจำเป็น (เช่น บันทึกการเรียกเก็บเงินเพื่อปฏิบัติตามภาษี) ผู้ควบคุมสามารถเรียกใช้การส่งออกได้ตลอดเวลาก่อนการยุติผ่าน /api/user/export หรือทีมสนับสนุนของเราสำหรับชุดข้อมูลขนาดใหญ่

ความรับผิดภายใต้ DPA นี้อยู่ภายใต้ข้อจำกัดและข้อยกเว้นที่กำหนดไว้ในข้อกำหนดการให้บริการ ยกเว้นในกรณีที่ข้อจำกัดดังกล่าวไม่ได้รับอนุญาตตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ ไม่มีสิ่งใดที่นี่ยกเว้นความรับผิดที่ไม่สามารถยกเว้นได้ตามกฎหมาย

ประกาศ, คำขอของเจ้าของข้อมูล, รายงานการละเมิด, และคำขอลงนาม DPA สามารถส่งผ่าน ช่องทางสนับสนุน ของเรา เราตอบกลับภายในสองวันทำการ