Угода про обробку даних.

Ця DPA укладається між Контролером (бізнес-клієнтом, який використовує zlabz.io для обробки даних, що стосуються їхніх власних користувачів, співробітників або підрядників) і zlabz.io, що управляється власником домену zlabz.io, діючим як Процесор. Для кінцевих споживачів, які реєструються безпосередньо на zlabz.io, ми виступаємо як Контролер — ця DPA не застосовується до цих відносин; діє наша Політика конфіденційності.

Предметом обробки є персональні дані, які Контролер завантажує, створює або іншим чином подає через сервіс zlabz.io (наприклад, текст абзацу, метадані проекту, ідентифікатори кінцевих користувачів). Обробка обмежується тим, що необхідно для надання, захисту та підтримки сервісу.

• Тривалість: поки Контролер має активну підписку або пробний період, плюс розумний період після припинення для видалення та юридичного збереження.
• Природа: зберігання, хостинг, передача, рендеринг і отримання даних Контролера в додатку zlabz.io.
• Категорії суб'єктів даних: кінцеві користувачі, співробітники або підрядники Контролера, які взаємодіють із сервісом від імені Контролера.
• Категорії персональних даних: ідентифікатори облікових записів (електронна пошта, ім'я), контент, поданий в редактор, метадані використання — як задокументовано в нашій Політиці конфіденційності та списку субпроцесорів.

• Обробляти персональні дані лише за документованими інструкціями від Контролера (звичайне використання сервісу становить такі інструкції).
• Забезпечити, щоб особи, уповноважені на обробку персональних даних, були зобов'язані зберігати конфіденційність.
• Впровадити відповідні технічні та організаційні заходи безпеки (див. наступний розділ).
• Допомагати Контролеру у відповіді на запити суб'єктів даних і, де це застосовно, DPIA та попередні консультації з наглядовими органами.
• Надати інформацію, необхідну для демонстрації відповідності, і дозволити розумні аудити (зазвичай через письмові анкети або звіти постачальників, враховуючи природу спільної інфраструктури сервісу).

• Шифрування під час передачі (HTTPS / TLS) на всіх кінцевих точках.
• Шифрування в стані спокою за замовчуванням бази даних Convex.
• Аутентифікація здійснюється Clerk — паролі ніколи не зберігаються zlabz.io.
• Принцип найменших привілеїв на серверному коді, скопіювання Convex для кожного користувача та відсутність шляхів доступу до даних між орендарями.
• Платіжні дані суворо виключені з обсягу — обробка карток делегована Dodo Payments (PCI DSS Level 1).

Контролер надає загальний дозвіл на використання субпроцесорів, зазначених на zlabz.io/subprocessors. Ми надамо щонайменше 14 днів повідомлення про будь-яке додавання або зміну субпроцесора, протягом якого Контролер може заперечити. Якщо Контролер обґрунтовано заперечує, сторони обговорять вирішення; якщо жодного не знайдено, Контролер може припинити відповідний сервіс.

Ми надаємо кінцевим користувачам самостійні кінцеві точки в /settings, щоб вони могли експортувати свої дані (стаття 20 GDPR) і видаляти свої облікові записи (стаття 17). Для запитів, ініційованих Контролером, ми надамо допомогу в межах технічних можливостей сервісу та передамо будь-який запит, отриманий безпосередньо від нас, Контролеру без зайвих затримок.

У разі порушення персональних даних, що стосуються даних Контролера, ми повідомимо Контролера без зайвих затримок і в будь-якому випадку протягом 72 годин з моменту виявлення, з природою порушення, ураженими категоріями, ймовірними наслідками та вжитими заходами щодо усунення.

Коли персональні дані передаються за межі ЄЕЗ / Великобританії, ми покладаємося на Стандартні договірні положення (SCC), включені за замовчуванням у DPA кожного постачальника (див. /subprocessors) і застосовуємо додаткові заходи, де це потрібно. Ми не передаватимемо дані в юрисдикцію, яка не має адекватного захисту, без дійсного механізму передачі.

Після припинення основної угоди про обслуговування або за письмовим запитом ми видалимо або повернемо всі персональні дані Контролера протягом 30 днів, за винятком випадків, коли збереження вимагається законом (наприклад, облікові записи для податкової відповідності). Контролер може ініціювати експорт у будь-який час до припинення через /api/user/export або нашу службу підтримки для більших наборів даних.

Відповідальність за цією DPA підлягає обмеженням та виключенням, викладеним в Умовах обслуговування, за винятком випадків, коли таке обмеження не дозволено чинним законом про захист даних. Ніщо тут не виключає відповідальності, яка не може бути законно виключена.

Повідомлення, запити суб'єктів даних, звіти про порушення та запити на підписання DPA можуть бути надіслані через наш канал підтримки. Ми відповідаємо протягом двох робочих днів.