معالجة البيانات ملحق

تحمل المصطلحات بالحروف الكبيرة غير المعرَّفة هنا المعنى المحدد في GDPR (Regulation (EU) 2016/679) وحيثما ينطبق في UK GDPR / Data Protection Act 2018، وقانون California Consumer Privacy Act بصيغته المعدَّلة بموجب CPRA («CCPA»)، والقوانين المماثلة في اختصاصات قضائية أخرى.

«البيانات الشخصية» تعني البيانات التي قدّمها العميل أو أنشأتها الخدمة وتُعرِّف أو تتعلق بشخص طبيعي محدَّد الهوية أو قابل للتحديد. «المعالج الفرعي» يعني طرفاً ثالثاً توكله FixVibe لمعالجة البيانات الشخصية نيابةً عن FixVibe — مدرَج في /legal/privacy.

كل طرف مسؤول بصورة مستقلة عن الامتثال لقوانين حماية البيانات المنطبقة عليه. العميل هو المتحكم وFixVibe هو المعالج للبيانات الشخصية المعالَجة بموجب هذا الملحق. ستعالج FixVibe البيانات الشخصية فقط وفق التعليمات الموثَّقة للعميل (يُعدّ تهيئة الخدمة هذه التعليمات)، إلا حين يقتضي القانون خلاف ذلك.

تضمن FixVibe أن الموظفين المخوَّلين بمعالجة البيانات الشخصية مُلزَمون بالتزامات السرية. يقتصر الوصول إلى بيانات الإنتاج على مجموعة فرعية بأدنى امتياز من موظفي العمليات، ويُسجَّل عبر audit_logs، ويُراجَع دورياً. لا يصل موظفو FixVibe إلى بيانات العملاء إلا للتحقيق في تذاكر الدعم، أو الاستجابة لحوادث أمنية، أو الامتثال لإجراءات قانونية.

تُطبِّق FixVibe تدابير تقنية وتنظيمية مناسبة تتسق مع GDPR Art. 32، تشمل:

• تشفير البيانات الشخصية أثناء النقل (TLS 1.2+) وفي حالة السكون (تشفير قرص قاعدة البيانات + تشفير على مستوى العمود المستهدَف AES-256-GCM لرؤوس الفحص المصادَق عليها ورموز OAuth المميزة);
• إجبار أمان على مستوى الصف في كل جدول قاعدة بيانات — لا يمكن لشفرة التطبيق القراءة أو الكتابة عبر الحدود التنظيمية حتى عن طريق الخطأ;
• مصادقة متعددة العوامل لكل مستخدم عبر مزوّد OAuth الرئيسي (Google أو GitHub) حين يختار العميل تسجيل الدخول الاجتماعي;
• تحليل ثابت مستمر + فحص ثغرات التبعيات لقاعدة شفرة FixVibe ذاتها;
• نسخ احتياطية عبر مزوّد قاعدة البيانات مع استرداد لحظة زمنية محددة؛ تُختبَر سنوياً;
• فترات احتفاظ محددة (انظر سياسة الخصوصية) تُنفَّذ عبر مهمة يومية آلية، لا مجرد وعد كتابي.

يُخوِّل العميل FixVibe لتوكيل المعالجين الفرعيين المُدرَجين في سياسة الخصوصية للأغراض الموضحة فيها. تُبرم FixVibe عقداً كتابياً مع كل معالج فرعي يفرض عليه التزامات حماية البيانات لا تقل مستوى عمّا ورد في هذا الملحق، وتظل مسؤولةً أمام العميل عن أفعال المعالج الفرعي وإغفالاته فيما يتعلق بمعالجته للبيانات الشخصية.

ستُخطر FixVibe العميل (عبر إشعار داخل التطبيق أو البريد الإلكتروني) بأي إضافة أو استبدال مزمَع للمعالجين الفرعيين قبل 30 يوماً على الأقل، ليتاح للعميل الاعتراض. إذا اعترض العميل لأسباب مشروعة تتعلق بحماية البيانات، فله حق إنهاء الخدمة فيما يخص المعالجة المتأثرة.

تعالج FixVibe البيانات الشخصية أساساً في الولايات المتحدة. عند نقل البيانات الشخصية من EEA أو المملكة المتحدة أو سويسرا إلى دولة ثالثة لم تحظَ بقرار ملاءمة، تستند FixVibe إلى:

• بنود العقد القياسية الصادرة عن المفوضية الأوروبية (Decision (EU) 2021/914)، الوحدة 2 (من المتحكم إلى المعالج)، مُدمَجة في هذا الملحق بالإحالة;
• ملحق النقل الدولي للبيانات الصادر عن المملكة المتحدة للإضافة إلى EU SCCs (أو IDTA المستقل)، كما نشره ICO;
• التدابير التقنية والتنظيمية التكميلية الموضحة في القسم 4.

يُخوِّل العميل FixVibe لإبرام SCCs / IDTA مع كل معالج فرعي لاحق نيابةً عن العميل.

ستُساعد FixVibe العميل (مع مراعاة طبيعة المعالجة والمعلومات المتاحة) في الاستجابة لطلبات أصحاب البيانات بموجب Articles 15–22 GDPR. معظم الحقوق متاحة للخدمة الذاتية من الحساب ← الخصوصية؛ وللطلبات المتبقية، يمكن للعميل مراسلة support@fixvibe.app بعنوان «Privacy request». نرد خلال 30 يوماً.

ستُخطر FixVibe العميل دون تأخير لا مبرر له (وفي جميع الأحوال في غضون 72 ساعة من إدراك الخرق) بأي خرق للبيانات الشخصية يمس البيانات الشخصية للعميل، مقدِّمةً المعلومات التي يحتاجها العميل بصورة معقولة للوفاء بالتزاماته بموجب Article 33 / 34، بما يشمل طبيعة الخرق وفئات أصحاب البيانات المتأثرين وعددهم التقريبي والسجلات المعنية والعواقب المحتملة والتدابير المتخذة أو المقترحة لمعالجته.

تُتيح FixVibe للعميل المعلومات اللازمة لإثبات الامتثال لهذا الملحق، بما يشمل هذه الوثيقة وسياسة الخصوصية وسياسة الاستخدام المقبول وشروط الخدمة وأي تقارير أمنية صادرة عن أطراف ثالثة بحوزتنا (نشاركها تحت NDA عند الطلب). ستسمح FixVibe بإجراء عمليات تدقيق بما فيها عمليات تفتيش يجريها العميل أو مدقق آخر يفوّضه العميل، وستُساهم فيها، بإشعار مسبق معقول وخلال ساعات العمل، مرة واحدة كحد أقصى في السنة التقويمية (إلا حين يشترط المنظِّم خلاف ذلك أو في حالة خرق البيانات الشخصية).

عند إنهاء الخدمة، وبحسب اختيار العميل، ستحذف FixVibe أو تُعيد جميع البيانات الشخصية المعالَجة نيابةً عن العميل في غضون 30 يوماً، إلا بالقدر الذي يُلزمها القانون المنطبق بالاحتفاظ بها (مثل سجلات الضرائب / الفواتير). ينشّط مسار حذف الحساب الذاتي في الحساب ← الخصوصية هذه العملية فوراً.

لأغراض CCPA، تُعدّ FixVibe «مزوّداً للخدمات» والعميل «شركة» فيما يخص أي معلومات شخصية تُعالَج بموجب هذا الملحق. لن تقوم FixVibe بما يلي:

• بيع المعلومات الشخصية أو مشاركتها (بمفهومَي هذين المصطلحَين وفق CCPA);
• الاحتفاظ بالمعلومات الشخصية أو استخدامها أو الإفصاح عنها لأي غرض غير الغرض التجاري المحدد المتمثل في تقديم الخدمة، بما في ذلك خارج نطاق العلاقة التجارية المباشرة بين FixVibe والعميل;
• دمج المعلومات الشخصية المستلَمة من العميل مع معلومات شخصية من أي مصدر آخر، إلا بما تسمح به CCPA صراحةً.

تُقرّ FixVibe بأنها تفهم هذه القيود وستلتزم بها.

في حالة التعارض بين هذا الملحق وشروط الخدمة، يُقدَّم هذا الملحق بقدر التعارض. تُقدَّم SCCs / IDTA على كليهما حيثما تنطبق.

لجميع مسائل حماية البيانات، بما فيها ممارسة حقوق أصحاب البيانات والاستفسارات عن المعالجين الفرعيين، تواصَل مع EGO HERO LLC:

• البريد الإلكتروني: support@fixvibe.app (استخدم سطر الموضوع «DPA» للتوجيه)
• العنوان البريدي: متاح عند الطلب عبر البريد الإلكتروني أعلاه