01
فریقین
یہ DPA کنٹرولر (کاروباری صارف جو zlabz.io کا استعمال کرتے ہوئے اپنے صارفین، ملازمین، یا کنٹریکٹرز سے متعلق ڈیٹا پروسیس کرتا ہے) اور zlabz.io کے درمیان کیا گیا ہے، جو zlabz.io ڈومین کے مالک کے ذریعہ چلایا جاتا ہے، جو پروسیسر کے طور پر کام کرتا ہے۔ صارفین کے لئے جو براہ راست zlabz.io پر سائن اپ کرتے ہیں، ہم کنٹرولر کے طور پر کام کرتے ہیں — یہ DPA اس تعلق پر لاگو نہیں ہوتا؛ ہماری پرائیویسی پالیسی لاگو ہوتی ہے۔
02
موضوع
پروسیسنگ کا موضوع وہ ذاتی ڈیٹا ہے جو کنٹرولر zlabz.io سروس کے ذریعے اپ لوڈ، تخلیق، یا بصورت دیگر جمع کرتا ہے (مثلاً پیراگراف ٹیکسٹ، پروجیکٹ میٹا ڈیٹا، اختتامی صارف کی شناختیں)۔ پروسیسنگ صرف سروس کی فراہمی، سیکیورٹی، اور معاونت کے لئے ضروری حد تک محدود ہے۔
03
دائرہ کار اور مقصد
- مدت: جب تک کنٹرولر کی فعال سبسکرپشن یا ٹرائل ہے، اس کے علاوہ حذف کرنے اور قانونی برقرار رکھنے کے لئے ایک معقول بعد از اختتام مدت۔
- نوعیت: zlabz.io ایپلیکیشن کے اندر کنٹرولر ڈیٹا کی اسٹوریج، ہوسٹنگ، ترسیل، رینڈرنگ، اور بازیافت۔
- ڈیٹا مضامین کی اقسام: کنٹرولر کے اختتامی صارفین، ملازمین، یا کنٹریکٹرز جو کنٹرولر کی جانب سے سروس کے ساتھ تعامل کرتے ہیں۔
- ذاتی ڈیٹا کی اقسام: اکاؤنٹ کی شناختیں (ای میل، نام)، ایڈیٹر کو جمع کرایا گیا مواد، استعمال میٹا ڈیٹا — جیسا کہ ہماری پرائیویسی پالیسی اور سب پروسیسر کی فہرست میں دستاویزی ہے۔
04
پروسیسر کی ذمہ داریاں
- کنٹرولر کی دستاویزی ہدایات پر ہی ذاتی ڈیٹا پروسیس کریں (سروس کا معمول کا استعمال ایسی ہدایات تشکیل دیتا ہے)۔
- ذاتی ڈیٹا پروسیس کرنے کے لئے مجاز افراد کو رازداری کا پابند بنائیں۔
- مناسب تکنیکی اور تنظیمی سیکیورٹی اقدامات نافذ کریں (اگلے سیکشن میں دیکھیں)۔
- ڈیٹا-موضوع کی درخواستوں کا جواب دینے میں کنٹرولر کی مدد کریں اور جہاں لاگو ہو، DPIAs اور نگران حکام کے ساتھ پیشگی مشاورت۔
- تعمیل کا مظاہرہ کرنے کے لئے ضروری معلومات دستیاب کریں اور معقول آڈٹ کی اجازت دیں (عام طور پر تحریری سوالنامے یا وینڈر رپورٹس کے ذریعے، سروس کی مشترکہ انفراسٹرکچر نوعیت کے پیش نظر)۔
05
سیکیورٹی کے اقدامات
- تمام اینڈ پوائنٹس پر ترسیل میں انکرپشن (HTTPS / TLS)۔
- Convex ڈیٹا بیس ڈیفالٹس کے ذریعے آرام میں انکرپشن۔
- تصدیق Clerk کے ذریعے ہینڈل کی جاتی ہے — zlabz.io کبھی بھی پاس ورڈ اسٹور نہیں کرتا۔
- سرور سائیڈ کوڈ پر کم سے کم استحقاق کا اصول، فی صارف Convex اسکوپنگ، اور کوئی کراس ٹیننٹ ڈیٹا رسائی راستے نہیں۔
- ادائیگی کا ڈیٹا سختی سے دائرہ کار سے باہر رکھا جاتا ہے — کارڈ ہینڈلنگ Dodo Payments کو تفویض کی جاتی ہے (PCI DSS لیول 1)۔
06
سب پروسیسرز
کنٹرولر zlabz.io/subprocessors پر درج سب پروسیسرز کے استعمال کے لئے عمومی اجازت دیتا ہے۔ ہم کسی بھی سب پروسیسر کے اضافے یا تبدیلی کی کم از کم 14 دن کی اطلاع دیں گے، جس دوران کنٹرولر اعتراض کر سکتا ہے۔ اگر کنٹرولر معقول طور پر اعتراض کرتا ہے، تو فریقین ایک حل پر بات کریں گے؛ اگر کوئی حل نہ ملا، تو کنٹرولر متاثرہ سروس کو ختم کر سکتا ہے۔
07
ڈیٹا-موضوع کے حقوق
ہم /settings میں خود سروس اینڈ پوائنٹس فراہم کرتے ہیں تاکہ اختتامی صارفین اپنا ڈیٹا برآمد کر سکیں (جی ڈی پی آر آرٹیکل 20) اور اپنے اکاؤنٹس کو حذف کر سکیں (آرٹیکل 17)۔ کنٹرولر کی جانب سے شروع کی گئی درخواستوں کے لئے، ہم سروس کی تکنیکی صلاحیتوں کے اندر مدد کریں گے، اور ہمارے ذریعہ براہ راست موصول ہونے والی کسی بھی درخواست کو بلا تاخیر کنٹرولر کو آگے بڑھائیں گے۔
08
خلاف ورزی کی اطلاع
کنٹرولر ڈیٹا کو متاثر کرنے والی ذاتی ڈیٹا کی خلاف ورزی کی صورت میں، ہم کنٹرولر کو بلا تاخیر اور کسی بھی صورت میں 72 گھنٹوں کے اندر آگاہ کریں گے، جب ہمیں خلاف ورزی کا علم ہو جائے، خلاف ورزی کی نوعیت، متاثرہ زمرے، ممکنہ نتائج، اور اٹھائے گئے اصلاحی اقدامات کے ساتھ۔
09
بین الاقوامی منتقلی
جہاں ذاتی ڈیٹا EEA / UK سے باہر منتقل کیا جاتا ہے، ہم ہر وینڈر کے DPA میں شامل کردہ معیاری معاہداتی شقوں (SCCs) پر انحصار کرتے ہیں اور جہاں ضروری ہو اضافی اقدامات لاگو کرتے ہیں۔ ہم کسی ایسے دائرہ اختیار میں ڈیٹا منتقل نہیں کریں گے جس میں مناسب تحفظ کی کمی ہو بغیر کسی درست منتقلی کے طریقہ کار کے۔
10
اختتام اور حذف
مرکزی سروس معاہدے کے اختتام پر یا تحریری درخواست پر، ہم 30 دن کے اندر کنٹرولر کے تمام ذاتی ڈیٹا کو حذف یا واپس کر دیں گے، سوائے جہاں قانون کے ذریعہ برقرار رکھنا ضروری ہو (مثلاً ٹیکس کی تعمیل کے لئے بلنگ ریکارڈز)۔ کنٹرولر کسی بھی وقت اختتام سے پہلے /api/user/export کے ذریعے یا بڑے ڈیٹا سیٹس کے لئے ہماری سپورٹ ٹیم کے ذریعے برآمد کو متحرک کر سکتا ہے۔
11
ذمہ داری
اس DPA کے تحت ذمہ داری سروس کی شرائط میں طے شدہ حدود اور استثناؤں کے تابع ہے، سوائے جہاں ایسی حد لاگو ڈیٹا-تحفظ قانون کے ذریعہ اجازت نہیں دی گئی ہو۔ یہاں کچھ بھی ایسی ذمہ داری کو خارج نہیں کرتا جو قانونی طور پر خارج نہیں کی جا سکتی۔
12
رابطہ
نوٹس، ڈیٹا-موضوع کی درخواستیں، خلاف ورزی کی رپورٹس، اور DPA دستخط کی درخواستیں ہمارے سپورٹ چینل کے ذریعے بھیجی جا سکتی ہیں۔ ہم دو کاروباری دنوں کے اندر جواب دیتے ہیں۔