עיבוד נתונים נספח

מונחים המתחילים באות גדולה שאינם מוגדרים כאן נושאים את המשמעות המפורטת ב-GDPR (Regulation (EU) 2016/679) ובמידה הרלוונטית ב-UK GDPR / Data Protection Act 2018, ב-California Consumer Privacy Act כפי שתוקן על ידי CPRA («CCPA»), ובחוקים שווי ערך בתחומי שיפוט אחרים.

«נתונים אישיים» פירושם נתונים שהוגשו על ידי הלקוח או שנוצרו על ידי השירות המזהים או הנוגעים לאדם טבעי מזוהה או שניתן לזהותו. «מעבד משנה» פירושו צד שלישי שנשכר על ידי FixVibe לעיבוד נתונים אישיים בשם FixVibe — מופיע ב-/legal/privacy.

כל צד אחראי באופן עצמאי לציות לחוקי הגנת הנתונים החלים עליו. הלקוח הוא הבקר ו-FixVibe הוא המעבד של הנתונים האישיים המעובדים במסגרת נספח זה. FixVibe יעבד נתונים אישיים אך ורק על פי ההוראות המתועדות של הלקוח (הגדרת השירות מהווה הוראות כאלה), למעט במקרים שבהם הדין מחייב אחרת.

FixVibe מבטיחה שעובדים המורשים לעבד נתונים אישיים כפופים להתחייבויות סודיות. הגישה לנתוני ייצור מוגבלת לתת-קבוצה של אנשי תפעול בעלי הרשאת מינימום, מתועדת דרך audit_logs, ונסקרת מעת לעת. עובדי FixVibe אינם ניגשים לנתוני לקוחות אלא לשם חקירת פניות תמיכה, תגובה לאירועי אבטחה, או ציות להליכים משפטיים.

FixVibe מיישמת אמצעים טכניים וארגוניים מתאימים בהתאם ל-GDPR Art. 32, כולל:

• הצפנת נתונים אישיים במעבר (TLS 1.2+) ובמנוחה (הצפנת דיסק ברמת מסד הנתונים + הצפנה ממוקדת ברמת עמודה AES-256-GCM עבור כותרות סריקה מאומתות ואסימוני OAuth);
• אכיפת אבטחה ברמת שורה על כל טבלת מסד נתונים — קוד האפליקציה אינו יכול לקרוא או לכתוב דרך גבולות ארגוניים אפילו בטעות;
• אימות רב-גורמי לכל משתמש דרך ספק ה-OAuth הראשי (Google או GitHub) כאשר הלקוח בוחר כניסה חברתית;
• ניתוח סטטי רציף + סריקת פגיעויות תלויות של בסיס קוד FixVibe עצמו;
• גיבויים דרך ספק מסד הנתונים עם שחזור לנקודת זמן; נבדקים מדי שנה;
• תקופות שמירה מוגדרות (ראו מדיניות הפרטיות) הנאכפות על ידי cron יומי אוטומטי, לא רק הבטחה בכתב.

הלקוח מסמיך את FixVibe לשכור את מעבדי המשנה המפורטים במדיניות הפרטיות למטרות המתוארות שם. FixVibe כורתת חוזה כתוב עם כל מעבד משנה המטיל התחייבויות הגנת נתונים שאינן פחות מגוננות מאלה שבנספח זה, ונשארת אחראית כלפי הלקוח על מעשי מעבד המשנה ומחדליו ביחס לעיבוד הנתונים האישיים שלו.

FixVibe תודיע ללקוח (דרך הודעה באפליקציה או אימייל) על כל הוספה או החלפה מתוכננת של מעבדי משנה לפחות 30 יום מראש, ותאפשר ללקוח להתנגד. אם הלקוח מתנגד על רקע עילות הגנת נתונים סבירות, הלקוח רשאי לסיים את השירות ביחס לעיבוד המושפע.

FixVibe מעבדת נתונים אישיים בעיקר בארצות הברית. כאשר נתונים אישיים מועברים מה-EEA, בריטניה, או שווייץ למדינה שלישית שלא קיבלה החלטת התאמה, FixVibe מסתמכת על:

• סעיפי חוזה סטנדרטיים של הנציבות האירופית (Decision (EU) 2021/914), מודול 2 (בקר-למעבד), המשולבים בנספח זה על דרך הפניה;
• תוספת ההעברה הבינלאומית של נתונים של בריטניה ל-EU SCCs (או ה-IDTA העצמאי), כפי שפורסם על ידי ה-ICO;
• האמצעים הטכניים והארגוניים המשלימים המתוארים בסעיף 4.

הלקוח מסמיך את FixVibe לכרות את ה-SCCs / IDTA עם כל מעבד משנה נוסף בשם הלקוח.

FixVibe תסייע ללקוח (תוך התחשבות באופי העיבוד ובמידע הזמין) להגיב לבקשות נושאי נתונים במסגרת Articles 15–22 GDPR. רוב הזכויות ניתנות לשירות עצמי מחשבון ← פרטיות; לבקשות שאריות, הלקוח רשאי לשלוח אימייל ל-support@fixvibe.app עם הנושא «Privacy request». אנו מגיבים תוך 30 יום.

FixVibe תודיע ללקוח ללא עיכוב מיותר (ובכל מקרה תוך 72 שעות מרגע ידיעה) על פרצת נתונים אישיים המשפיעה על הנתונים האישיים של הלקוח, תוך מסירת המידע שהלקוח זקוק לו באופן סביר לצורך ציות להתחייבויות Article 33 / 34 שלו, כולל אופי הפרצה, קטגוריות ומספר משוער של נושאי נתונים ורשומות מושפעים, השלכות סבירות, והאמצעים שנלקחו או מוצעים לטיפול בה.

FixVibe תעמיד לרשות הלקוח את המידע הדרוש להדגמת הציות לנספח זה, כולל מסמך זה, מדיניות הפרטיות, מדיניות השימוש הסביר, התנאים, וכל דוחות אבטחה של צדדים שלישיים שברשותנו (נשתף אלה תחת NDA לפי בקשה). FixVibe תאפשר ותתרום לביקורות, כולל בדיקות, שמבצע הלקוח או מבקר אחר שמינה הלקוח, בהודעה מוקדמת סבירה ובשעות עבודה, לא יותר מפעם אחת בשנה קלנדרית (למעט כאשר רגולטור דורש אחרת או במקרה של פרצת נתונים אישיים).

עם סיום השירות, ולפי בחירת הלקוח, FixVibe תמחק או תחזיר את כל הנתונים האישיים שעובדו בשמו תוך 30 יום, למעט במידה ש-FixVibe נדרשת על ידי החוק המחיל לשמור אותם (למשל, רשומות מס / חיוב). תהליך מחיקת חשבון בשירות עצמי בחשבון ← פרטיות מפעיל זאת מיד.

לצורכי CCPA, FixVibe היא «ספק שירות» והלקוח הוא «עסק» ביחס לכל מידע אישי המעובד במסגרת נספח זה. FixVibe לא תעשה:

• מכירה או שיתוף (כמשמעות מונחים אלה תחת CCPA) של מידע אישי;
• שמירה, שימוש, או גילוי מידע אישי לכל מטרה שאינה המטרה העסקית הספציפית של מתן השירות, כולל מחוץ למערכת היחסים העסקית הישירה בין FixVibe לבין הלקוח;
• שילוב מידע אישי שהתקבל מהלקוח עם מידע אישי שהתקבל מכל מקור אחר, למעט כפי שמותר במפורש על ידי CCPA.

FixVibe מאשרת שהיא מבינה ותציית להגבלות אלה.

במקרה של סתירה בין נספח זה לתנאי השימוש, נספח זה גובר במידת הסתירה. ה-SCCs / IDTA גוברים על שניהם במקום שבו הם חלים.

לכל ענייני הגנת הנתונים, כולל מימוש זכויות נושאי נתונים ופניות בנוגע למעבדי משנה, צרו קשר עם EGO HERO LLC:

• אימייל: support@fixvibe.app (השתמשו בשורת הנושא «DPA» לניתוב)
• כתובת דואר: זמינה לפי בקשה דרך האימייל לעיל