Veri İşleme Sözleşmesi.

Bu DPA, Kontrolör (zlabz.io'yu kendi kullanıcıları, çalışanları veya yüklenicileri ile ilgili verileri işlemek için kullanan iş müşterisi) ve zlabz.io'yu işleten, zlabz.io alan adının sahibi olan ve İşlemci olarak hareket eden taraf arasında yapılmıştır. Zlabz.io'ya doğrudan kaydolan tüketici son kullanıcılar için, Kontrolör olarak hareket ederiz — bu DPA bu ilişki için geçerli değildir; Gizlilik Politikamız geçerlidir.

İşlemenin konusu, Kontrolör'ün zlabz.io hizmeti aracılığıyla yüklediği, oluşturduğu veya başka bir şekilde gönderdiği kişisel verilerdir (örneğin, paragraf metni, proje meta verileri, son kullanıcı tanımlayıcıları). İşleme, hizmeti sunmak, güvence altına almak ve desteklemek için gerekli olanlarla sınırlıdır.

• Süre: Kontrolör'ün aktif bir aboneliği veya denemesi olduğu sürece ve silme ve yasal saklama için makul bir sonlandırma sonrası dönem.
• Doğa: zlabz.io uygulaması içinde Kontrolör verilerinin depolanması, barındırılması, iletilmesi, render edilmesi ve alınması.
• Veri konusu kategorileri: Kontrolör adına hizmetle etkileşime giren Kontrolör'ün son kullanıcıları, çalışanları veya yüklenicileri.
• Kişisel veri kategorileri: hesap tanımlayıcıları (e-posta, isim), editöre gönderilen içerik, kullanım meta verileri — Gizlilik Politikamızda ve alt işlemci listemizde belgelenmiştir.

• Kişisel verileri yalnızca Kontrolör'den gelen belgelenmiş talimatlar doğrultusunda işlemek (hizmetin normal kullanımı bu tür talimatları oluşturur).
• Kişisel verileri işlemekle yetkilendirilen kişilerin gizlilikle bağlı olmasını sağlamak.
• Uygun teknik ve organizasyonel güvenlik önlemlerini uygulamak (bir sonraki bölüme bakın).
• Veri konusu taleplerine yanıt vermede Kontrolör'e yardımcı olmak ve gerektiğinde DPIA'lar ve denetleyici otoritelerle ön danışma sağlamak.
• Uyumu göstermek için gerekli bilgileri sağlamak ve makul denetimlere izin vermek (genellikle yazılı anketler veya satıcı raporları aracılığıyla, hizmetin paylaşılan altyapı doğası göz önüne alındığında).

• Tüm uç noktalarda taşınırken şifreleme (HTTPS / TLS).
• Convex veritabanı varsayılanları aracılığıyla dinlenme halinde şifreleme.
• Kimlik doğrulama Clerk tarafından yönetilir — şifreler zlabz.io tarafından asla saklanmaz.
• Sunucu tarafı kodda en az ayrıcalık ilkesi, kullanıcı başına Convex kapsamı ve kiracılar arası veri erişim yolları yok.
• Ödeme verileri kesinlikle kapsam dışı tutulur — kart işlemleri Dodo Payments'a devredilmiştir (PCI DSS Seviye 1).

Kontrolör, zlabz.io/subprocessors adresinde listelenen alt işlemcilerin kullanımına genel yetki verir. Herhangi bir alt işlemcinin eklenmesi veya değiştirilmesi durumunda en az 14 gün önceden bildirimde bulunacağız ve bu süre zarfında Kontrolör itiraz edebilir. Kontrolör makul bir şekilde itiraz ederse, taraflar bir çözüm tartışacaktır; eğer bulunamazsa, Kontrolör etkilenen hizmeti sonlandırabilir.

Son kullanıcıların verilerini dışa aktarması (GDPR Madde 20) ve hesaplarını silmesi (Madde 17) için /settings içinde self-servis uç noktalar sağlıyoruz. Kontrolör tarafından başlatılan talepler için, hizmetin teknik yetenekleri dahilinde yardımcı olacağız ve doğrudan bize ulaşan herhangi bir talebi gecikmeden Kontrolör'e ileteceğiz.

Kontrolör verilerini etkileyen bir kişisel veri ihlali durumunda, ihlalin doğası, etkilenen kategoriler, muhtemel sonuçlar ve alınan düzeltici önlemler ile birlikte, farkına vardığımız andan itibaren 72 saat içinde ve gecikmeden Kontrolör'e bildirimde bulunacağız.

Kişisel verilerin EEA / Birleşik Krallık dışına transfer edildiği durumlarda, her satıcının DPA'sında varsayılan olarak dahil edilen Standart Sözleşme Maddelerine (SCC'ler) dayanırız ve gerektiğinde ek önlemler uygularız. Yeterli koruma sağlamayan bir yargı alanına geçerli bir transfer mekanizması olmadan veri transferi yapmayacağız.

Ana hizmet sözleşmesinin sona ermesi veya yazılı talep üzerine, yasal olarak saklama gerekliliği olmadıkça (örneğin, vergi uyumu için fatura kayıtları), tüm Kontrolör kişisel verilerini 30 gün içinde sileceğiz veya iade edeceğiz. Kontrolör, sonlandırmadan önce herhangi bir zamanda /api/user/export veya daha büyük veri setleri için destek ekibimiz aracılığıyla bir dışa aktarma başlatabilir.

Bu DPA kapsamındaki sorumluluk, Hizmet Şartlarında belirtilen sınırlamalar ve istisnalara tabidir, ancak bu tür bir sınırlamanın geçerli veri koruma yasaları tarafından izin verilmediği durumlar hariçtir. Burada, yasal olarak hariç tutulamayacak sorumluluklar hariç tutulmamaktadır.

Bildirimler, veri konusu talepleri, ihlal raporları ve DPA imza talepleri destek kanalımız üzerinden gönderilebilir. İki iş günü içinde yanıt veririz.