Kasunduan sa Pagproseso ng Datos.

Ang DPA na ito ay pinasok sa pagitan ng Controller (ang kliyente sa negosyo na gumagamit ng zlabz.io upang iproseso ang datos na may kaugnayan sa kanilang sariling mga user, empleyado, o kontratista) at zlabz.io, na pinapatakbo ng may-ari ng domain ng zlabz.io, na kumikilos bilang Processor. Para sa mga end-user na direktang nag-sign up sa zlabz.io, kami ay kumikilos bilang Controller — hindi naaangkop ang DPA na ito sa relasyong iyon; ang aming Patakaran sa Privacy ang naaangkop.

Ang paksa ng pagproseso ay ang personal na datos na ina-upload, nililikha, o kung hindi man isinusumite ng Controller sa pamamagitan ng serbisyo ng zlabz.io (hal. teksto ng talata, metadata ng proyekto, mga identifier ng end-user). Ang pagproseso ay limitado sa kung ano ang kinakailangan upang ihatid, seguruhin, at suportahan ang serbisyo.

• Tagal: hangga't may aktibong subscription o pagsubok ang Controller, kasama ang isang makatwirang panahon pagkatapos ng pagwawakas para sa pagbura at legal na pagpapanatili.
• Kalikasan: imbakan, pagho-host, pagpapadala, pag-render, at pagkuha ng datos ng Controller sa loob ng aplikasyon ng zlabz.io.
• Mga kategorya ng mga paksa ng datos: ang mga end-user, empleyado, o kontratista ng Controller na nakikipag-ugnayan sa serbisyo sa ngalan ng Controller.
• Mga kategorya ng personal na datos: mga identifier ng account (email, pangalan), nilalaman na isinumite sa editor, metadata ng paggamit — gaya ng nakadokumento sa aming Patakaran sa Privacy at listahan ng subprocessor.

• Iproseso ang personal na datos ayon lamang sa dokumentadong mga tagubilin mula sa Controller (ang normal na paggamit ng serbisyo ay bumubuo ng mga naturang tagubilin).
• Tiyakin na ang mga taong awtorisadong magproseso ng personal na datos ay nakatali sa pagiging kompidensiyal.
• Magpatupad ng angkop na teknikal at organisasyonal na mga hakbang sa seguridad (tingnan ang susunod na seksyon).
• Tulungan ang Controller sa pagtugon sa mga kahilingan ng data-subject at, kung naaangkop, mga DPIA at paunang konsultasyon sa mga awtoridad sa pangangasiwa.
• Gawing available ang impormasyong kinakailangan upang ipakita ang pagsunod at payagan ang makatwirang mga audit (karaniwan sa pamamagitan ng mga nakasulat na talatanungan o ulat ng vendor, dahil sa likas na shared-infrastructure ng serbisyo).

• Pag-encrypt sa transit (HTTPS / TLS) sa lahat ng endpoint.
• Pag-encrypt sa pahinga sa pamamagitan ng mga default ng Convex database.
• Ang pagpapatunay ay hinahawakan ng Clerk — ang mga password ay hindi kailanman iniimbak ng zlabz.io.
• Prinsipyo ng pinakamababang pribilehiyo sa server-side code, per-user Convex scoping, at walang mga cross-tenant na landas sa pag-access ng datos.
• Ang datos ng pagbabayad ay mahigpit na hindi saklaw — ang paghawak ng card ay itinalaga sa Dodo Payments (PCI DSS Level 1).

Ang Controller ay nagbibigay ng pangkalahatang awtorisasyon para sa paggamit ng mga subprocessor na nakalista sa zlabz.io/subprocessors. Magbibigay kami ng hindi bababa sa 14 na araw na abiso ng anumang karagdagan o pagbabago ng subprocessor, kung saan ang Controller ay maaaring tumutol. Kung ang Controller ay makatwirang tumutol, ang mga partido ay mag-uusap ng lunas; kung wala, maaaring wakasan ng Controller ang apektadong serbisyo.

Nagbibigay kami ng mga self-service endpoint sa /settings upang ang mga end-user ay makapag-export ng kanilang datos (GDPR Artikulo 20) at mabura ang kanilang mga account (Artikulo 17). Para sa mga kahilingan na pinasimulan ng Controller, tutulungan namin sa loob ng teknikal na kakayahan ng serbisyo, at ipapasa ang anumang kahilingan na direktang natanggap namin sa Controller nang walang hindi kinakailangang pagkaantala.

Sa kaganapan ng paglabag sa personal na datos na nakakaapekto sa datos ng Controller, aabisuhan namin ang Controller nang walang hindi kinakailangang pagkaantala at sa anumang kaso sa loob ng 72 oras ng pagkakaalam, kasama ang kalikasan ng paglabag, mga apektadong kategorya, mga posibleng kahihinatnan, at mga remedial na hakbang na ginawa.

Kung saan ang personal na datos ay inililipat sa labas ng EEA / UK, umaasa kami sa mga Standard Contractual Clauses (SCCs) na kasama bilang default sa bawat DPA ng vendor (tingnan ang /subprocessors) at nag-aaplay ng karagdagang mga hakbang kung kinakailangan. Hindi namin ililipat ang datos sa isang hurisdiksyon na kulang sa sapat na proteksyon nang walang wastong mekanismo ng paglilipat.

Sa pagwawakas ng pangunahing kasunduan sa serbisyo o sa nakasulat na kahilingan, buburahin o ibabalik namin ang lahat ng personal na datos ng Controller sa loob ng 30 araw, maliban kung kinakailangan ng batas ang pagpapanatili (hal. mga talaan ng pagsingil para sa pagsunod sa buwis). Maaaring mag-trigger ang Controller ng isang export anumang oras bago ang pagwawakas sa pamamagitan ng /api/user/export o sa aming support team para sa mas malalaking dataset.

Ang pananagutan sa ilalim ng DPA na ito ay napapailalim sa mga limitasyon at pagbubukod na itinakda sa Mga Tuntunin ng Serbisyo, maliban kung ang naturang limitasyon ay hindi pinahihintulutan ng naaangkop na batas sa proteksyon ng datos. Walang anuman dito ang nag-aalis ng pananagutan na hindi maaaring ligal na alisin.

Ang mga abiso, mga kahilingan ng data-subject, mga ulat ng paglabag, at mga kahilingan sa lagda ng DPA ay maaaring ipadala sa pamamagitan ng aming support channel. Tumutugon kami sa loob ng dalawang araw ng negosyo.