Pagproseso ng Data Karagdagan

Ang mga nakaganap na termino na hindi tinukoy dito ay may kahulugang ibinigay sa GDPR (Regulation (EU) 2016/679) at, kung naaangkop, ang UK GDPR / Data Protection Act 2018, ang California Consumer Privacy Act na binago ng CPRA (“CCPA”), at katumbas na batas ng ibang mga hurisdiksyon.

“Personal Data” ay nangangahulugang data na isusumite ng Customer o nilikha ng Serbisyo na kumikilala o nauugnay sa isang nakilala o matutukoy na natural na tao. “Sub-processor” ay nangangahulugang isang third party na inupahan ng FixVibe upang iproseso ang Personal Data sa ngalan ng FixVibe — nakalista sa /legal/privacy.

Ang bawat partido ay independiyenteng responsable para sa pagsunod sa Mga Batas sa Proteksyon ng Data na naaangkop sa kanya. Ang Customer ay ang Controller at ang FixVibe ay ang Processor ng Personal Data na pinoproseso sa ilalim ng Karagdagang ito. Ipoproseso ng FixVibe ang Personal Data batay lamang sa mga dokumentadong tagubilin ng Customer (ang configuration ng Serbisyo ay bumubuo ng mga naturang tagubilin), maliban sa kung kinakailangan ng batas na gawin nang naiiba.

Tinitiyak ng FixVibe na ang mga tauhang awtorisadong mag-proseso ng Personal Data ay nakatali ng mga obligasyon sa pagiging kumpidensyal. Ang access sa production data ay limitado sa isang least-privilege na subset ng operations staff, naka-log sa pamamagitan ng audit_logs, at pana-panahong sinusuri. Ang mga empleyado ng FixVibe ay hindi nag-a-access ng data ng Customer maliban upang imbestigahan ang mga support ticket, tumugon sa mga security incident, o sumunod sa legal na proseso.

Nagpapatupad ang FixVibe ng angkop na teknikal at organisasyonal na mga hakbain na naaayon sa GDPR Art. 32, kabilang ang:

• pag-encrypt ng Personal Data sa transit (TLS 1.2+) at sa pahinga (database disk-level + targeted column-level AES-256-GCM para sa mga authenticated-scan header at OAuth token);
• sapilitang row-level security sa bawat talahanayan ng database — hindi maaaring mag-read o mag-write ang application code sa mga hangganan ng organisasyon kahit na hindi sinasadya;
• bawat-user multi-factor authentication sa pamamagitan ng upstream OAuth provider (Google o GitHub) kung saan pinili ng Customer ang social sign-in;
• tuloy-tuloy na static analysis + dependency vulnerability scanning ng FixVibe codebase mismo;
• mga backup sa pamamagitan ng database provider na may point-in-time recovery; sinusubukan taun-taon;
• mga tinukoy na panahon ng pagpapanatili (tingnan ang Patakaran sa Privacy) na ipinapatupad ng isang automated na araw-araw na cron, hindi isang pangako sa papel.

Binibigyan ng Customer ng pahintulot ang FixVibe na makiisa sa mga Sub-processor na nakalista sa Patakaran sa Privacy para sa mga layuning inilarawan doon. Pumapasok ang FixVibe sa isang nakasulat na kontrata sa bawat Sub-processor na nagpapataw ng mga obligasyon sa proteksyon ng data na hindi mas mababa sa proteksyon kaysa sa mga nasa Karagdagang ito, at nananatiling responsable sa Customer para sa mga kilos at pagkukulang ng Sub-processor kaugnay sa pagproseso ng Personal Data.

Aabisuhan ng FixVibe ang Customer (sa pamamagitan ng in-app na abiso o email) ng anumang nilayon na pagdaragdag o pagpapalit ng mga Sub-processor nang hindi bababa sa 30 araw nang maaga, na nagbibigay sa Customer ng pagkakataon na tumutol. Kung tutol ang Customer sa makatuwirang batayan ng proteksyon ng data, maaaring wakasan ng Customer ang Serbisyo kaugnay sa apektadong pagproseso.

Pangunahing pinoproseso ng FixVibe ang Personal Data sa Estados Unidos. Kung ang Personal Data ay inilipat mula sa EEA, UK, o Switzerland patungong isang third country na hindi nakatanggap ng adequacy decision, ang FixVibe ay umaasa sa:

• ang Standard Contractual Clauses ng European Commission (Decision (EU) 2021/914), Module 2 (controller-to-processor), na isinama sa Karagdagang ito bilang reference;
• ang International Data Transfer Addendum ng UK sa EU SCCs (o ang IDTA standalone), na inilathala ng ICO;
• ang mga karagdagang teknikal at organisasyonal na hakbain na inilarawan sa Seksyon 4.

Binibigyan ng pahintulot ng Customer ang FixVibe na pumasok sa mga SCC / IDTA sa bawat Sub-processor sa ngalan ng Customer.

Tutulong ang FixVibe sa Customer (isinasaalang-alang ang kalikasan ng pagproseso at ang impormasyong magagamit) upang tumugon sa mga kahilingan ng data subject sa ilalim ng Mga Artikulo 15–22 GDPR. Karamihan sa mga karapatan ay self-serve mula sa Account → Privacy; para sa mga natitirang kahilingan, maaaring mag-email ang Customer sa support@fixvibe.app na may paksa na “Privacy request”. Tumutugon kami sa loob ng 30 araw.

Aabisuhan ng FixVibe ang Customer nang walang hindi kinakailangang pagkaantala (at sa anumang kaso sa loob ng 72 oras mula sa pagiging alam) ng isang paglabag ng Personal Data na nakakaapekto sa Customer Personal Data, na nagbibigay ng naturang impormasyon na makatwirang kailangan ng Customer upang matupad ang sarili nitong mga obligasyon sa Artikulo 33 / 34, kabilang ang kalikasan ng paglabag, mga kategorya at tinatayang bilang ng mga data subject at mga rekord na kasangkot, malamang na mga kahihinatnan, at ang mga hakbain na ginawa o iminungkahi upang tugunan ito.

Ginagawa ng FixVibe na magagamit para sa Customer ang impormasyong kinakailangan upang ipakita ang pagsunod sa Karagdagang ito, kabilang ang dokumentong ito, ang Patakaran sa Privacy, ang Patakaran sa Tinatanggap na Paggamit, ang mga Tuntunin, at anumang third-party na mga ulat sa seguridad na hawak namin (ibabahagi namin ang mga ito sa ilalim ng NDA sa kahilingan). Papayagan ng FixVibe at mag-aambag sa mga audit, kabilang ang mga inspeksyon, na isinasagawa ng Customer o isa pang auditor na itinalaga ng Customer, sa makatuwirang paunang abiso at sa mga oras ng negosyo, nang hindi hihigit sa isang beses bawat kalendaryo taon (maliban kung kinakailangan ng regulator na gumawa ng naiiba o kung sakaling may paglabag ng Personal Data).

Sa pagtatapos ng Serbisyo, at sa pagpili ng Customer, tatanggalin o ibabalik ng FixVibe ang lahat ng Personal Data na pinoproseso sa ngalan ng Customer sa loob ng 30 araw, maliban sa lawak na kinakailangan ng FixVibe ng naaangkop na batas na panatilihin ito (hal. buwis / mga rekord ng pagsingil). Ang self-serve na daloy ng pagtanggal ng account sa Account → Privacy ay agad na nag-trigger nito.

Para sa mga layunin ng CCPA, ang FixVibe ay isang “Service Provider” at ang Customer ay isang “Business” kaugnay ng anumang Personal Information na pinoproseso sa ilalim ng Karagdagang ito. Hindi gagawin ng FixVibe ang:

• ibenta o ibahagi (ayon sa kahulugan ng mga terminong iyon sa ilalim ng CCPA) ang Personal Information;
• panatilihin, gamitin, o ibunyag ang Personal Information para sa anumang layunin maliban sa tiyak na layunin ng negosyo ng pagbibigay ng Serbisyo, kabilang ang labas ng direktang relasyon sa negosyo sa pagitan ng FixVibe at ng Customer;
• pagsamahin ang Personal Information na natanggap mula sa Customer kasama ang Personal Information na natanggap mula sa anumang ibang pinagkukunan, maliban kung hayagang pinahihintulutan ng CCPA.

Pinatutunayan ng FixVibe na naiintindihan at susundin nito ang mga paghihigpit na ito.

Sa kaso ng salungatan sa pagitan ng Karagdagang ito at ng Mga Tuntunin ng Serbisyo, ang Karagdagang ito ay nangunguna sa lawak ng salungatan. Ang mga SCC / IDTA ay nangunguna sa pareho kung saan sila naaangkop.

Para sa lahat ng bagay na may kinalaman sa proteksyon ng data, kabilang ang pagpapatupad ng mga karapatan ng data subject at mga katanungan tungkol sa Mga Sub-processor, makipag-ugnayan sa EGO HERO LLC:

• email: support@fixvibe.app (gamitin ang linya ng paksa na “DPA” para sa pagro-route)
• postal: ang address ay magagamit sa kahilingan sa pamamagitan ng email sa itaas