Zpracování údajů Dodatek

Termíny psané s velkým počátečním písmenem, které zde nejsou definovány, mají význam přiznaný jim GDPR (Regulation (EU) 2016/679) a případně UK GDPR / Data Protection Act 2018, California Consumer Privacy Act ve znění CPRA („CCPA“) a rovnocennými právními předpisy jiných jurisdikcí.

„Osobní údaje“ znamenají data zaslaná Zákazníkem nebo vygenerovaná Službou, která identifikují nebo se vztahují k identifikované nebo identifikovatelné fyzické osobě. „Dílčí zpracovatel“ znamená třetí stranu zapojenou FixVibe ke zpracování Osobních údajů jménem FixVibe — uvedenou na adrese /legal/privacy.

Každá strana nese samostatnou odpovědnost za dodržování Předpisů o ochraně osobních údajů, které se na ni vztahují. Zákazník je Správcem a FixVibe je Zpracovatelem Osobních údajů zpracovávaných na základě tohoto Dodatku. FixVibe bude zpracovávat Osobní údaje pouze na základě zdokumentovaných pokynů Zákazníka (konfigurace Služby představuje takovéto pokyny), ledaže to právo vyžaduje jinak.

FixVibe zajišťuje, že zaměstnanci oprávnění ke zpracování Osobních údajů jsou vázáni povinnostmi mlčenlivosti. Přístup k provozním datům je omezen na minimálně privilegovanou část provozního personálu, zaznamenáván prostřednictvím audit_logs a pravidelně přezkoumáván. Zaměstnanci FixVibe nepřistupují k datům Zákazníka s výjimkou případů vyšetřování požadavků podpory, reakce na bezpečnostní incidenty nebo plnění zákonných povinností.

FixVibe zavádí vhodná technická a organizační opatření v souladu s GDPR Art. 32, včetně:

• šifrování Osobních údajů při přenosu (TLS 1.2+) a v klidu (šifrování disku databáze + cílené sloupcové šifrování AES-256-GCM pro záhlaví ověřeného skenování a tokeny OAuth);
• vynuceného zabezpečení na úrovni řádků v každé databázové tabulce — kód aplikace nemůže číst ani zapisovat přes organizační hranice ani omylem;
• vícefaktorového ověřování pro každého uživatele prostřednictvím externího poskytovatele OAuth (Google nebo GitHub), když Zákazník zvolí přihlášení přes sociální sítě;
• průběžné statické analýzy a skenování zranitelností závislostí samotné kódové základny FixVibe;
• zálohy prostřednictvím poskytovatele databáze s obnovou k určitému bodu v čase; testováno každoročně;
• definovaných dob uchovávání (viz Zásady ochrany soukromí) vynucovaných automatickým denním cronem, nikoli papírovým příslibem.

Zákazník zmocňuje FixVibe k zapojení Dílčích zpracovatelů uvedených v Zásadách ochrany soukromí pro tam popsané účely. FixVibe uzavírá písemnou smlouvu s každým Dílčím zpracovatelem, která ukládá povinnosti ochrany dat ne méně ochranné než ty v tomto Dodatku, a zůstává vůči Zákazníkovi odpovědný za jednání a opomenutí Dílčího zpracovatele v souvislosti se zpracováním Osobních údajů.

FixVibe oznámí Zákazníkovi (prostřednictvím oznámení v aplikaci nebo e-mailem) záměr přidat nebo nahradit Dílčí zpracovatele nejméně 30 dní předem, čímž dá Zákazníkovi příležitost vznést námitku. Pokud Zákazník vznese námitku na oprávněných základech ochrany údajů, může ukončit Službu ve vztahu k dotčenému zpracování.

FixVibe zpracovává Osobní údaje primárně ve Spojených státech. Kde jsou Osobní údaje přenášeny z EEA, UK nebo Švýcarska do třetí země, která neobdržela rozhodnutí o přiměřenosti, FixVibe se opírá o:

• Standardní smluvní doložky Evropské komise (Decision (EU) 2021/914), Modul 2 (správce–zpracovatel), začleněné do tohoto Dodatku odkazem;
• Mezinárodní dodatek k přenosu dat UK k SCC EU (nebo samostatný IDTA), zveřejněný ICO;
• doplňková technická a organizační opatření popsaná v Sekci 4.

Zákazník zmocňuje FixVibe k uzavření SCCs / IDTA s každým dalším Dílčím zpracovatelem jménem Zákazníka.

FixVibe bude pomáhat Zákazníkovi (s přihlédnutím k povaze zpracování a dostupným informacím) při odpovídání na žádosti subjektů údajů podle Articles 15–22 GDPR. Většina práv je dostupná samoobslužně na adrese Účet → Soukromí; pro zbývající žádosti může Zákazník zaslat e-mail na support@fixvibe.app s předmětem „Privacy request“. Odpovídáme do 30 dnů.

FixVibe oznámí Zákazníkovi bez zbytečného odkladu (v každém případě do 72 hodin od okamžiku, kdy se o tom dozví) porušení ochrany Osobních údajů týkající se Osobních údajů Zákazníka, přičemž poskytne informace, které Zákazník přiměřeně potřebuje ke splnění vlastních povinností vyplývajících z Article 33 / 34, včetně povahy porušení, kategorií a přibližného počtu dotčených subjektů a záznamů, pravděpodobných důsledků a přijatých nebo navrhovaných opatření.

FixVibe zpřístupní Zákazníkovi informace nezbytné k prokázání souladu s tímto Dodatkem, včetně tohoto dokumentu, Zásad ochrany soukromí, Zásad přijatelného užívání, Podmínek a veškerých bezpečnostních zpráv třetích stran, které máme k dispozici (poskytneme je na žádost na základě NDA). FixVibe umožní a přispěje k auditům, včetně inspekcí, prováděným Zákazníkem nebo jiným auditorem pověřeným Zákazníkem, na přiměřené předchozí oznámení a v pracovní době, nejvýše jednou za kalendářní rok (s výjimkou případů vyžadovaných regulátorem nebo v případě porušení ochrany Osobních údajů).

Po ukončení Služby a podle volby Zákazníka FixVibe vymaže nebo vrátí veškeré Osobní údaje zpracované jménem Zákazníka do 30 dnů, ledaže FixVibe je povinen je uchovávat na základě platných právních předpisů (např. daňové / účetní záznamy). Samoobslužný proces smazání účtu na adrese Účet → Soukromí to spustí okamžitě.

Pro účely CCPA je FixVibe „Postkytováníem služeb“ a Zákazník je „Podnikem“ ve vztahu k jakýmkoli Osobním informacím zpracovávaným na základě tohoto Dodatku. FixVibe nebude:

• prodávat ani sdílet (jak jsou tyto pojmy definovány v CCPA) Osobní informace;
• uchovávat, používat ani zveřejňovat Osobní informace pro jakýkoli jiný účel než konkrétní obchodní účel poskytování Služby, a to ani mimo přímý obchodní vztah mezi FixVibe a Zákazníkem;
• kombinovat Osobní informace přijaté od Zákazníka s Osobními informacemi přijatými z jakéhokoli jiného zdroje, s výjimkou případů výslovně povolených CCPA.

FixVibe potvrzuje, že tato omezení chápe a bude je dodržovat.

V případě konfliktu mezi tímto Dodatkem a Smluvními podmínkami má tento Dodatek přednost v rozsahu konfliktu. SCCs / IDTA mají přednost před oběma dokumenty tam, kde se uplatňují.

Ve všech záležitostech ochrany osobních údajů, včetně výkonu práv subjektů údajů a dotazů ohledně Dílčích zpracovatelů, kontaktuj EGO HERO LLC:

• e-mail: support@fixvibe.app (použij předmět „DPA“ pro správné směrování)
• poštovní adresa: dostupná na žádost prostřednictvím výše uvedeného e-mailu