Tractament de dades Annex

Els termes en majúscula no definits aquí tenen el significat que els atorga el GDPR (Regulation (EU) 2016/679) i, quan escaigui, el UK GDPR / Llei de Protecció de Dades 2018, la Llei de Privacitat del Consumidor de Califòrnia modificada per la CPRA («CCPA») i les lleis equivalents d'altres jurisdiccions.

«Dades Personals» significa dades enviades pel Client o generades pel Servei que identifiquen o es refereixen a una persona física identificada o identificable. «Subcontractista» significa un tercer contractat per FixVibe per tractar Dades Personals en nom de FixVibe — enumerat a /legal/privacy.

Cada part és responsable de manera independent del compliment de les Lleis de Protecció de Dades que li siguin aplicables. El Client és el Responsable del tractament i FixVibe és l'Encarregat del tractament de les Dades Personals tractades sota aquest Annex. FixVibe tractarà les Dades Personals únicament seguint les instruccions documentades del Client (la configuració del Servei constitueix tals instruccions), excepte quan la llei exigeixi actuar d'una altra manera.

FixVibe garanteix que el personal autoritzat a tractar Dades Personals estigui subjecte a obligacions de confidencialitat. L'accés a les dades de producció està restringit a un subconjunt amb privilegis mínims del personal d'operacions, registrat mitjançant audit_logs i revisat periòdicament. Els empleats de FixVibe no accedeixen a les dades del Client excepte per investigar tiquets de suport, respondre a incidents de seguretat o complir amb processos legals.

FixVibe implementa mesures tècniques i organitzatives adequades coherents amb el GDPR Art. 32, incloent:

• xifratge de les Dades Personals en trànsit (TLS 1.2+) i en repòs (xifratge de disc a nivell de base de dades + xifratge dirigit a nivell de columna AES-256-GCM per a les capçaleres d'escaneig autenticat i els tokens OAuth);
• seguretat forçada a nivell de fila en cada taula de la base de dades — el codi de l'aplicació no pot llegir ni escriure entre límits organitzatius ni per error;
• autenticació multifactor per usuari a través del proveïdor OAuth superior (Google o GitHub) on el Client tria el registre social;
• anàlisi estàtica contínua + escaneig de vulnerabilitats de dependències de la pròpia base de codi de FixVibe;
• còpies de seguretat a través del proveïdor de base de dades amb recuperació a un punt en el temps; provades anualment;
• períodes de retenció definits (veure Política de Privacitat) aplicats per un cron diari automatitzat, no només una promesa en paper.

El Client autoritza FixVibe a contractar els Subcontractistes enumerats a la Política de Privacitat per als fins descrits allí. FixVibe subscriu un contracte per escrit amb cada Subcontractista que imposa obligacions de protecció de dades no menys protectores que les d'aquest Annex, i segueix sent responsable davant el Client pels actes i omissions del Subcontractista respecte al seu tractament de les Dades Personals.

FixVibe notificarà al Client (mitjançant avís a l'aplicació o correu electrònic) qualsevol addició o substitució prevista de Subcontractistes amb almenys 30 dies d'antelació, donant al Client l'oportunitat d'objectar. Si el Client objecta per motius raonables de protecció de dades, el Client pot rescindir el Servei respecte al tractament afectat.

FixVibe tracta les Dades Personals principalment als Estats Units. Quan les Dades Personals es transfereixin des de l'EEE, el Regne Unit o Suïssa a un tercer país que no hagi rebut una decisió d'adequació, FixVibe s'adreça a:

• les Clàusules Contractuals Tipus de la Comissió Europea (Decision (EU) 2021/914), Mòdul 2 (responsable-a-encarregat), incorporades a aquest Annex per referència;
• l'Addendum de Transferència Internacional de Dades del Regne Unit a les SCCs de la UE (o el IDTA independent), tal com ha publicat l'ICO;
• les mesures tècniques i organitzatives complementàries descrites a l'Apartat 4.

El Client autoritza FixVibe a subscriure les SCCs / IDTA amb cada Subcontractista ulterior en nom del Client.

FixVibe assistirà al Client (tenint en compte la naturalesa del tractament i la informació disponible) per respondre a les sol·licituds dels interessats sota els Articles 15–22 GDPR. La majoria dels drets són autoservei des de Compte → Privacitat; per a sol·licituds residuals, el Client pot enviar un correu a support@fixvibe.app amb l'assumpte «Sol·licitud de privacitat». Responem en 30 dies.

FixVibe notificarà al Client sense demora indeguda (i en tot cas dins de 72 hores des que en tingui coneixement) d'una violació de Dades Personals que afecti les Dades Personals del Client, proporcionant la informació que el Client requereixi raonablement per complir amb les seves pròpies obligacions de l'Article 33 / 34, incloent la naturalesa de la violació, les categories i el nombre aproximat d'interessats i registres afectats, les conseqüències probables i les mesures preses o proposades per abordar-la.

FixVibe posa a disposició del Client la informació necessària per demostrar el compliment d'aquest Annex, incloent aquest document, la Política de Privacitat, la Política d'Ús Acceptable, els Termes i qualsevol informe de seguretat de tercers que tinguem (els compartirem sota NDA a petició). FixVibe permetrà i contribuirà a les auditories, incloses les inspeccions, realitzades pel Client o un altre auditor designat per ell, amb un avís previ raonable i durant l'horari laboral, no més d'una vegada per any natural (excepte quan un regulador ho exigeixi o en cas de violació de Dades Personals).

En la rescissió del Servei, i a elecció del Client, FixVibe suprimirà o retornarà totes les Dades Personals tractades en nom del Client en un termini de 30 dies, excepte en la mesura en què FixVibe estigui obligat per llei aplicable a conservar-les (p. ex. registres fiscals/de facturació). El flux d'eliminació de compte d'autoservei a Compte → Privacitat activa això immediatament.

Als efectes de la CCPA, FixVibe és un «Proveïdor de Serveis» i el Client és una «Empresa» respecte a qualsevol Informació Personal tractada sota aquest Annex. FixVibe no:

• vendrà ni compartirà (tal com es defineixen aquests termes sota la CCPA) la Informació Personal;
• retindrà, usarà ni revelarà la Informació Personal per a cap finalitat diferent de la finalitat empresarial específica de prestar el Servei, inclòs fora de la relació empresarial directa entre FixVibe i el Client;
• combinarà la Informació Personal rebuda del Client amb la Informació Personal rebuda de qualsevol altra font, excepte quan la CCPA ho permeti expressament.

FixVibe certifica que entén i complirà aquestes restriccions.

En cas de conflicte entre aquest Annex i els Termes del Servei, aquest Annex prevaldrà en la mesura del conflicte. Les SCCs / IDTA prevaldran sobre ambdós allà on siguin aplicables.

Per a totes les qüestions de protecció de dades, inclòs l'exercici dels drets dels interessats i les consultes sobre Subcontractistes, contacta amb EGO HERO LLC:

• correu electrònic: support@fixvibe.app (usa l'assumpte «DPA» per a l'enrutament)
• adreça postal: disponible a petició a través del correu electrònic anterior