پردازش داده پیوست

اصطلاحات با حرف بزرگ که در اینجا تعریف نشده‌اند، معنایی را که در GDPR (Regulation (EU) 2016/679) و در صورت اعمال، در UK GDPR / Data Protection Act 2018، در California Consumer Privacy Act که توسط CPRA اصلاح شده («CCPA»)، و قوانین معادل در سایر حوزه‌های قضایی آمده، دارند.

«داده‌های شخصی» یعنی داده‌هایی که توسط مشتری ارسال شده یا توسط خدمت تولید شده و شخص طبیعی شناسایی‌شده یا قابل شناسایی را شناسایی می‌کند یا به او مربوط می‌شود. «پردازنده فرعی» یعنی شخص ثالثی که توسط FixVibe برای پردازش داده‌های شخصی از طرف FixVibe استخدام شده — در /legal/privacy فهرست شده است.

هر طرف مستقلاً مسئول رعایت قوانین حفاظت از داده‌های قابل اجرا بر خود است. مشتری کنترلر و FixVibe پردازنده داده‌های شخصی پردازش‌شده تحت این پیوست است. FixVibe داده‌های شخصی را تنها بر اساس دستورالعمل‌های مستند مشتری (پیکربندی خدمت چنین دستورالعمل‌هایی را تشکیل می‌دهد) پردازش می‌کند، مگر در مواردی که قانون مستلزم رویه دیگری باشد.

FixVibe تضمین می‌کند که کارکنان مجاز به پردازش داده‌های شخصی تحت تعهدات محرمانگی هستند. دسترسی به داده‌های تولید به زیرمجموعه‌ای از کارکنان عملیاتی با حداقل امتیاز محدود شده، از طریق audit_logs ثبت می‌شود و به‌صورت دوره‌ای بررسی می‌شود. کارکنان FixVibe به داده‌های مشتری دسترسی ندارند مگر برای بررسی تیکت‌های پشتیبانی، پاسخ به حوادث امنیتی، یا رعایت فرآیندهای قانونی.

FixVibe اقدامات فنی و سازمانی مناسب منطبق با GDPR Art. 32 را اجرا می‌کند، از جمله:

• رمزنگاری داده‌های شخصی در حین انتقال (TLS 1.2+) و در حالت سکون (رمزنگاری دیسک در سطح پایگاه داده + رمزنگاری هدفمند در سطح ستون AES-256-GCM برای هدرهای اسکن احراز هویت‌شده و توکن‌های OAuth);
• اعمال اجباری امنیت در سطح سطر بر هر جدول پایگاه داده — کد برنامه حتی به‌اشتباه نمی‌تواند در مرزهای سازمانی بخواند یا بنویسد;
• احراز هویت چندعاملی برای هر کاربر از طریق ارائه‌دهنده OAuth بالادست (Google یا GitHub) در صورت انتخاب ورود اجتماعی توسط مشتری;
• تحلیل استاتیک مستمر + اسکن آسیب‌پذیری وابستگی‌های خود codebase FixVibe;
• پشتیبان‌گیری از طریق ارائه‌دهنده پایگاه داده با بازیابی به نقطه زمانی؛ سالانه آزمایش می‌شود;
• دوره‌های نگهداری تعریف‌شده (ببینید سیاست حریم خصوصی) که توسط یک cron روزانه خودکار اجرا می‌شوند، نه فقط یک وعده کتبی.

مشتری به FixVibe اجازه می‌دهد پردازنده‌های فرعی فهرست‌شده در سیاست حریم خصوصی را برای اهداف توضیح‌داده‌شده در آنجا بکار گیرد. FixVibe با هر پردازنده فرعی قرارداد کتبی منعقد می‌کند که تعهدات حفاظت از داده‌ای کمتر از آنچه در این پیوست نیست را تحمیل می‌کند، و در قبال مشتری برای اعمال و غفلت‌های پردازنده فرعی در رابطه با پردازش داده‌های شخصی مسئول می‌ماند.

FixVibe مشتری را (از طریق اعلان درون‌برنامه‌ای یا ایمیل) از هر گونه اضافه یا جایگزینی پردازنده‌های فرعی حداقل ۳۰ روز از پیش مطلع می‌کند و به مشتری فرصت اعتراض می‌دهد. اگر مشتری بر اساس دلایل موجه حفاظت از داده اعتراض کند، مشتری می‌تواند خدمت را در رابطه با پردازش تحت تأثیر خاتمه دهد.

FixVibe داده‌های شخصی را عمدتاً در ایالات متحده پردازش می‌کند. هنگامی که داده‌های شخصی از EEA، بریتانیا، یا سوئیس به کشور ثالثی که تصمیم کفایت دریافت نکرده منتقل می‌شوند، FixVibe به موارد زیر متکی است:

• بندهای قرارداد استاندارد کمیسیون اروپا (Decision (EU) 2021/914)، ماژول ۲ (کنترلر به پردازنده)، که از طریق ارجاع در این پیوست گنجانده شده‌اند;
• پیوست انتقال بین‌المللی داده بریتانیا به EU SCCs (یا IDTA مستقل)، همان‌طور که توسط ICO منتشر شده;
• اقدامات فنی و سازمانی تکمیلی توضیح‌داده‌شده در بخش ۴.

مشتری به FixVibe اجازه می‌دهد SCCs / IDTA را با هر پردازنده فرعی بعدی از طرف مشتری منعقد کند.

FixVibe به مشتری (با توجه به ماهیت پردازش و اطلاعات موجود) در پاسخ به درخواست‌های صاحبان داده تحت Articles 15–22 GDPR کمک خواهد کرد. اکثر حقوق از حساب ← حریم خصوصی به‌صورت سلف‌سرویس قابل استفاده هستند؛ برای درخواست‌های باقی‌مانده، مشتری می‌تواند به support@fixvibe.app با موضوع «Privacy request» ایمیل بزند. ما ظرف ۳۰ روز پاسخ می‌دهیم.

FixVibe مشتری را بدون تأخیر غیرموجه (و در هر صورت ظرف ۷۲ ساعت از آگاهی) از نقض داده‌های شخصی که داده‌های شخصی مشتری را تحت تأثیر قرار می‌دهد مطلع خواهد کرد، و اطلاعاتی را که مشتری به‌طور معقول برای رعایت تعهدات Article 33 / 34 خود نیاز دارد ارائه می‌دهد، از جمله ماهیت نقض، دسته‌بندی‌ها و تعداد تقریبی صاحبان داده و رکوردهای مربوطه، پیامدهای احتمالی، و اقدامات انجام‌شده یا پیشنهادی برای رسیدگی به آن.

FixVibe اطلاعات لازم برای اثبات انطباق با این پیوست را در اختیار مشتری می‌گذارد، از جمله این سند، سیاست حریم خصوصی، سیاست استفاده قابل‌قبول، شرایط خدمات، و هر گزارش امنیتی شخص ثالثی که در اختیار داریم (در صورت درخواست تحت NDA به اشتراک می‌گذاریم). FixVibe حسابرسی‌هایی را که توسط مشتری یا حسابرس دیگری که مشتری تفویض اختیار کرده انجام می‌شود، از جمله بازرسی‌ها، با اطلاع قبلی معقول و در ساعات کاری، حداکثر یک بار در سال تقویمی مجاز می‌شمارد و در آنها مشارکت می‌کند (مگر در جایی که رگولاتور خلاف آن را الزامی کند یا در صورت نقض داده‌های شخصی).

پس از خاتمه خدمت، و به انتخاب مشتری، FixVibe ظرف ۳۰ روز تمام داده‌های شخصی پردازش‌شده از طرف مشتری را حذف یا بازمی‌گرداند، مگر تا جایی که FixVibe توسط قانون قابل اجرا ملزم به نگهداری آنها باشد (مثلاً رکوردهای مالیاتی / صورتحساب). جریان حذف حساب سلف‌سرویس در حساب ← حریم خصوصی این را فوری فعال می‌کند.

برای اهداف CCPA، FixVibe یک «ارائه‌دهنده خدمات» و مشتری یک «کسب‌وکار» نسبت به هر اطلاعات شخصی پردازش‌شده تحت این پیوست است. FixVibe موارد زیر را انجام نخواهد داد:

• فروش یا اشتراک‌گذاری (به آن معنایی که این اصطلاحات تحت CCPA تعریف شده‌اند) اطلاعات شخصی;
• نگهداری، استفاده، یا افشای اطلاعات شخصی برای هیچ هدفی غیر از هدف تجاری خاص ارائه خدمت، از جمله خارج از رابطه تجاری مستقیم بین FixVibe و مشتری;
• ترکیب اطلاعات شخصی دریافت‌شده از مشتری با اطلاعات شخصی دریافت‌شده از هر منبع دیگری، مگر آنچه صریحاً توسط CCPA مجاز است.

FixVibe تأیید می‌کند که این محدودیت‌ها را می‌فهمد و از آنها پیروی خواهد کرد.

در صورت تعارض بین این پیوست و شرایط خدمات، این پیوست تا حد تعارض مقدم است. SCCs / IDTA در جایی که اعمال می‌شوند بر هر دو مقدم هستند.

برای تمام موارد حفاظت از داده، از جمله اعمال حقوق صاحبان داده و استعلام درباره پردازنده‌های فرعی، با EGO HERO LLC تماس بگیرید:

• ایمیل: support@fixvibe.app (برای مسیریابی از خط موضوع «DPA» استفاده کنید)
• آدرس پستی: از طریق ایمیل بالا در صورت درخواست در دسترس است