Databehandlings- Tillæg

Begreber med stort begyndelsesbogstav, som ikke er defineret her, har den betydning, som de er tillagt i GDPR (Regulation (EU) 2016/679) og, hvor det er relevant, UK GDPR / Data Protection Act 2018, California Consumer Privacy Act som ændret ved CPRA (“CCPA”), og tilsvarende love i andre jurisdiktioner.

“Personoplysninger” betyder data indsendt af Kunden eller genereret af Tjenesten, der identificerer eller vedrører en identificeret eller identificerbar fysisk person. “Underdatabehandler” betyder en tredjepart, som FixVibe har antaget til at behandle Personoplysninger på FixVibes vegne — oplistet på /legal/privacy.

Hver part er selvstændigt ansvarlig for overholdelsen af de databeskyttelseslove, der gælder for den. Kunden er Den Dataansvarlige og FixVibe er Databehandleren af Personoplysninger, der behandles under dette Tillæg. FixVibe behandler Personoplysninger udelukkende efter Kundens dokumenterede instrukser (Tjenestens konfiguration udgør sådanne instrukser), undtagen hvor loven kræver andet.

FixVibe sikrer, at personale, der er autoriseret til at behandle Personoplysninger, er bundet af fortrolighedsforpligtelser. Adgang til produktionsdata er begrænset til et mindste nødvendigt undersæt af driftspersonale, logget via audit_logs og gennemgået periodisk. FixVibes medarbejdere tilgår ikke Kundedata undtagen for at undersøge supportsager, reagere på sikkerhedshændelser eller overholde retslige krav.

FixVibe implementerer passende tekniske og organisatoriske foranstaltninger i overensstemmelse med GDPR Art. 32, herunder:

• kryptering af Personoplysninger under overførsel (TLS 1.2+) og i hvile (databasediskniveau + målrettet kryptering på kolonneniveau med AES-256-GCM for autentificerede skanningsheadere og OAuth-tokens);
• tvungen sikkerhed på rækkeniveau for alle databasetabeller — applikationskode kan ikke læse eller skrive på tværs af organisationsgrænser selv ved fejl;
• multifaktorgodkendelse pr. bruger via den overordnede OAuth-udbyder (Google eller GitHub), når Kunden vælger socialt login;
• kontinuerlig statisk analyse og sårbarhedsscanning af afhængigheder for FixVibes kodebase;
• sikkerhedskopier via databaseudbyderen med punktgendannelse; testet årligt;
• definerede opbevaringsperioder (se Privatlivspolitik) håndhævet af en automatiseret daglig cron, ikke et papirløfte.

Kunden bemyndiger FixVibe til at anvende de Underdatabehandlere, der er oplistet i Privatlivspolitikken til de formål, der er beskrevet der. FixVibe indgår en skriftlig kontrakt med hver Underdatabehandler, der pålægger databeskyttelsesforpligtelser, som ikke er mindre beskyttende end dem i dette Tillæg, og forbliver ansvarlig over for Kunden for Underdatabehandlerens handlinger og undladelser med hensyn til behandlingen af Personoplysninger.

FixVibe underretter Kunden (via besked i appen eller e-mail) om eventuelle påtænkte tilføjelser eller udskiftninger af Underdatabehandlere mindst 30 dage i forvejen, hvilket giver Kunden mulighed for at gøre indsigelse. Hvis Kunden gør indsigelse på rimelige databeskyttelsesgrunde, kan Kunden opsige Tjenesten med hensyn til den berørte behandling.

FixVibe behandler Personoplysninger primært i USA. Når Personoplysninger overføres fra EØS, UK eller Schweiz til et tredjeland, der ikke har modtaget en afgørelse om tilstrækkeligheds-beskyttelsesniveau, baserer FixVibe sig på:

• Europa-Kommissionens Standardkontraktbestemmelser (Decision (EU) 2021/914), Modul 2 (dataansvarlig til databehandler), inkorporeret i dette Tillæg ved reference;
• UKs International Data Transfer Addendum til EU SCCs (eller den selvstændige IDTA), som offentliggjort af ICO;
• de supplerende tekniske og organisatoriske foranstaltninger beskrevet i Afsnit 4.

Kunden bemyndiger FixVibe til at indgå SCCs / IDTA med hver videre Underdatabehandler på Kundens vegne.

FixVibe bistår Kunden (under hensyntagen til behandlingens karakter og de tilgængelige oplysninger) med at besvare anmodninger fra registrerede i henhold til Articles 15–22 GDPR. De fleste rettigheder er selvbetjening fra Konto → Privatliv; for resterende anmodninger kan Kunden sende e-mail til support@fixvibe.app med emnet “Privacy request”. Vi svarer inden for 30 dage.

FixVibe underretter Kunden uden unødigt ophold (og under alle omstændigheder inden for 72 timer efter at have fået kendskab hertil) om et brud på persondatasikkerheden, der berører Kundens Personoplysninger, og giver de oplysninger, som Kunden med rimelighed kræver for at opfylde sine egne Article 33 / 34-forpligtelser, herunder bruddets karakter, kategorier og omtrentligt antal registrerede og berørte poster, sandsynlige konsekvenser og de foranstaltninger, der er truffet eller foreslået for at afhjælpe det.

FixVibe stiller de oplysninger til rådighed for Kunden, der er nødvendige for at påvise overholdelse af dette Tillæg, herunder dette dokument, Privatlivspolitikken, Politikken for acceptabel brug, Vilkårene og eventuelle tredjeparts sikkerhedsrapporter, vi besidder (vi deler disse under NDA på anmodning). FixVibe tillader og bidrager til revisioner, herunder inspektioner, udført af Kunden eller en anden af Kunden bemyndiget revisor, med rimeligt forudgående varsel og i åbningstiden, højst én gang pr. kalenderår (undtagen når en tilsynsmyndighed kræver andet eller i tilfælde af et brud på persondatasikkerheden).

Ved Tjenestens ophør og efter Kundens valg sletter eller returnerer FixVibe alle Personoplysninger, der er behandlet på Kundens vegne, inden for 30 dage, undtagen i det omfang FixVibe er forpligtet ved gældende lov til at opbevare dem (f.eks. skatte-/faktureringsoptegnelser). Selvbetjeningsflowet til kontosletning på Konto → Privatliv udløser dette øjeblikkeligt.

I henhold til CCPA er FixVibe en “Tjenesteudbyder” og Kunden er en “Virksomhed” med hensyn til Personoplysninger, der behandles under dette Tillæg. FixVibe vil ikke:

• sælge eller dele (som disse begreber er defineret under CCPA) Personoplysninger;
• opbevare, bruge eller videregive Personoplysninger til noget andet formål end det specifikke forretningsmæssige formål at levere Tjenesten, herunder uden for det direkte forretningsforhold mellem FixVibe og Kunden;
• kombinere Personoplysninger modtaget fra Kunden med Personoplysninger modtaget fra en anden kilde, undtagen i det omfang det udtrykkeligt er tilladt af CCPA.

FixVibe bekræfter, at det forstår og vil overholde disse begrænsninger.

I tilfælde af konflikt mellem dette Tillæg og Servicevilkårene har dette Tillæg forrang i det omfang konflikten rækker. SCCs / IDTA har forrang over begge, hvor de finder anvendelse.

For alle databeskyttelsesanliggender, herunder udøvelse af registreredes rettigheder og forespørgsler om Underdatabehandlere, kontakt EGO HERO LLC:

• e-mail: support@fixvibe.app (brug emnelinjen “DPA” for routing)
• post: adresse tilgængelig på anmodning via ovenstående e-mailadresse