Thỏa Thuận Xử Lý Dữ Liệu.

DPA này được ký kết giữa Bên Kiểm Soát (khách hàng doanh nghiệp sử dụng zlabz.io để xử lý dữ liệu liên quan đến người dùng, nhân viên hoặc nhà thầu của họ) và zlabz.io, được vận hành bởi chủ sở hữu của tên miền zlabz.io, hoạt động như Bên Xử Lý. Đối với người dùng cuối tiêu dùng đăng ký trực tiếp trên zlabz.io, chúng tôi hoạt động như Bên Kiểm Soát — DPA này không áp dụng cho mối quan hệ đó; Chính Sách Bảo Mật của chúng tôi áp dụng.

Đối tượng của việc xử lý là dữ liệu cá nhân mà Bên Kiểm Soát tải lên, tạo ra hoặc gửi qua dịch vụ zlabz.io (ví dụ: văn bản đoạn văn, siêu dữ liệu dự án, định danh người dùng cuối). Việc xử lý chỉ giới hạn ở những gì cần thiết để cung cấp, bảo mật và hỗ trợ dịch vụ.

• Thời gian: trong thời gian Bên Kiểm Soát có đăng ký hoặc thử nghiệm hoạt động, cộng với một khoảng thời gian hợp lý sau khi chấm dứt để xóa và lưu trữ hợp pháp.
• Bản chất: lưu trữ, lưu trữ, truyền tải, render và truy xuất dữ liệu của Bên Kiểm Soát trong ứng dụng zlabz.io.
• Danh mục đối tượng dữ liệu: người dùng cuối, nhân viên hoặc nhà thầu của Bên Kiểm Soát tương tác với dịch vụ thay mặt Bên Kiểm Soát.
• Danh mục dữ liệu cá nhân: định danh tài khoản (email, tên), nội dung gửi đến trình chỉnh sửa, siêu dữ liệu sử dụng — như được ghi trong Chính Sách Bảo Mật và danh sách nhà xử lý phụ của chúng tôi.

• Xử lý dữ liệu cá nhân chỉ theo hướng dẫn được ghi lại từ Bên Kiểm Soát (việc sử dụng dịch vụ thông thường cấu thành các hướng dẫn như vậy).
• Đảm bảo những người được ủy quyền xử lý dữ liệu cá nhân bị ràng buộc bởi bảo mật.
• Thực hiện các biện pháp bảo mật kỹ thuật và tổ chức phù hợp (xem phần tiếp theo).
• Hỗ trợ Bên Kiểm Soát trong việc trả lời các yêu cầu của chủ thể dữ liệu và, nếu áp dụng, DPIAs và tham vấn trước với các cơ quan giám sát.
• Cung cấp thông tin cần thiết để chứng minh sự tuân thủ và cho phép kiểm toán hợp lý (thường thông qua bảng câu hỏi viết hoặc báo cáo của nhà cung cấp, do tính chất hạ tầng chia sẻ của dịch vụ).

• Mã hóa trong quá trình truyền (HTTPS / TLS) trên tất cả các điểm cuối.
• Mã hóa khi lưu trữ thông qua mặc định cơ sở dữ liệu Convex.
• Xác thực được xử lý bởi Clerk — mật khẩu không bao giờ được lưu trữ bởi zlabz.io.
• Nguyên tắc quyền tối thiểu trên mã máy chủ, phạm vi người dùng Convex, và không có đường dẫn truy cập dữ liệu giữa các thuê bao.
• Dữ liệu thanh toán được giữ ngoài phạm vi — xử lý thẻ được ủy quyền cho Dodo Payments (PCI DSS Cấp 1).

Bên Kiểm Soát cho phép chung việc sử dụng các nhà xử lý phụ được liệt kê tại zlabz.io/subprocessors. Chúng tôi sẽ thông báo ít nhất 14 ngày về bất kỳ bổ sung hoặc thay đổi nào của nhà xử lý phụ, trong thời gian đó Bên Kiểm Soát có thể phản đối. Nếu Bên Kiểm Soát phản đối hợp lý, các bên sẽ thảo luận về biện pháp khắc phục; nếu không tìm thấy, Bên Kiểm Soát có thể chấm dứt dịch vụ bị ảnh hưởng.

Chúng tôi cung cấp các điểm cuối tự phục vụ trong /settings để người dùng cuối có thể xuất dữ liệu của họ (Điều 20 GDPR) và xóa tài khoản của họ (Điều 17). Đối với các yêu cầu do Bên Kiểm Soát khởi xướng, chúng tôi sẽ hỗ trợ trong phạm vi khả năng kỹ thuật của dịch vụ, và chuyển tiếp bất kỳ yêu cầu nào nhận được trực tiếp bởi chúng tôi đến Bên Kiểm Soát mà không chậm trễ không đáng có.

Trong trường hợp vi phạm dữ liệu cá nhân ảnh hưởng đến dữ liệu của Bên Kiểm Soát, chúng tôi sẽ thông báo cho Bên Kiểm Soát mà không chậm trễ không đáng có và trong mọi trường hợp trong vòng 72 giờ kể từ khi nhận thức được, với bản chất của vi phạm, các danh mục bị ảnh hưởng, hậu quả có thể xảy ra và các biện pháp khắc phục đã thực hiện.

Khi dữ liệu cá nhân được chuyển ra ngoài EEA / UK, chúng tôi dựa vào các Điều Khoản Hợp Đồng Tiêu Chuẩn (SCCs) được bao gồm mặc định trong mỗi DPA của nhà cung cấp (xem /subprocessors) và áp dụng các biện pháp bổ sung khi cần thiết. Chúng tôi sẽ không chuyển dữ liệu đến một khu vực pháp lý thiếu bảo vệ đầy đủ mà không có cơ chế chuyển giao hợp lệ.

Khi chấm dứt thỏa thuận dịch vụ chính hoặc theo yêu cầu bằng văn bản, chúng tôi sẽ xóa hoặc trả lại tất cả dữ liệu cá nhân của Bên Kiểm Soát trong vòng 30 ngày, ngoại trừ khi việc lưu trữ được yêu cầu bởi luật pháp (ví dụ: hồ sơ thanh toán để tuân thủ thuế). Bên Kiểm Soát có thể kích hoạt xuất dữ liệu bất kỳ lúc nào trước khi chấm dứt thông qua /api/user/export hoặc đội ngũ hỗ trợ của chúng tôi cho các tập dữ liệu lớn hơn.

Trách nhiệm theo DPA này phải tuân theo các giới hạn và loại trừ được quy định trong Điều Khoản Dịch Vụ, ngoại trừ khi giới hạn đó không được phép theo luật bảo vệ dữ liệu áp dụng. Không có gì ở đây loại trừ trách nhiệm mà không thể loại trừ hợp pháp.

Thông báo, yêu cầu của chủ thể dữ liệu, báo cáo vi phạm và yêu cầu ký DPA có thể được gửi qua kênh hỗ trợ của chúng tôi. Chúng tôi phản hồi trong vòng hai ngày làm việc.