Pemrosesan Data Adendum

Istilah-istilah berkapital yang tidak didefinisikan di sini memiliki arti yang diberikan dalam GDPR (Regulation (EU) 2016/679) dan, bila berlaku, UK GDPR / Data Protection Act 2018, California Consumer Privacy Act sebagaimana diubah oleh CPRA (“CCPA”), dan undang-undang setara di yurisdiksi lain.

“Data Pribadi” berarti data yang dikirimkan oleh Pelanggan atau dihasilkan oleh Layanan yang mengidentifikasi atau berkaitan dengan orang perseorangan yang telah atau dapat diidentifikasi. “Sub-prosesor” berarti pihak ketiga yang ditunjuk oleh FixVibe untuk memproses Data Pribadi atas nama FixVibe — tercantum di /legal/privacy.

Masing-masing pihak bertanggung jawab secara independen atas kepatuhan terhadap Undang-Undang Perlindungan Data yang berlaku baginya. Pelanggan adalah Pengendali dan FixVibe adalah Prosesor Data Pribadi yang diproses berdasarkan Adendum ini. FixVibe hanya akan memproses Data Pribadi berdasarkan instruksi yang terdokumentasi dari Pelanggan (konfigurasi Layanan merupakan instruksi tersebut), kecuali diwajibkan oleh hukum untuk melakukan sebaliknya.

FixVibe memastikan personel yang diberi wewenang untuk memproses Data Pribadi terikat oleh kewajiban kerahasiaan. Akses ke data produksi dibatasi pada sebagian kecil staf operasional dengan hak istimewa minimum, dicatat melalui audit_logs, dan ditinjau secara berkala. Karyawan FixVibe tidak mengakses data Pelanggan kecuali untuk menyelidiki tiket dukungan, merespons insiden keamanan, atau mematuhi proses hukum.

FixVibe menerapkan langkah-langkah teknis dan organisasi yang sesuai, konsisten dengan GDPR Art. 32, termasuk:

• enkripsi Data Pribadi saat transit (TLS 1.2+) dan saat diam (enkripsi disk basis data + enkripsi tingkat kolom AES-256-GCM yang ditargetkan untuk header pemindaian yang diautentikasi dan token OAuth);
• keamanan tingkat baris yang dipaksakan pada setiap tabel basis data — kode aplikasi tidak dapat membaca atau menulis melampaui batas organisasi bahkan secara tidak sengaja;
• autentikasi multi-faktor per pengguna melalui penyedia OAuth hulu (Google atau GitHub) saat Pelanggan memilih masuk sosial;
• analisis statis berkelanjutan + pemindaian kerentanan dependensi pada basis kode FixVibe itu sendiri;
• pencadangan melalui penyedia basis data dengan pemulihan point-in-time; diuji setiap tahun;
• periode retensi yang ditetapkan (lihat Kebijakan Privasi) yang diterapkan oleh cron otomatis harian, bukan janji di atas kertas.

Pelanggan mengotorisasi FixVibe untuk melibatkan Sub-prosesor yang tercantum dalam Kebijakan Privasi untuk tujuan yang dijelaskan di sana. FixVibe membuat kontrak tertulis dengan setiap Sub-prosesor yang menetapkan kewajiban perlindungan data tidak kurang protektif dari yang ada dalam Adendum ini, dan tetap bertanggung jawab kepada Pelanggan atas tindakan dan kelalaian Sub-prosesor terkait pemrosesan Data Pribadi.

FixVibe akan memberi tahu Pelanggan (melalui pemberitahuan dalam aplikasi atau email) tentang penambahan atau penggantian Sub-prosesor yang dimaksudkan setidaknya 30 hari sebelumnya, memberi Pelanggan kesempatan untuk mengajukan keberatan. Jika Pelanggan mengajukan keberatan atas dasar perlindungan data yang wajar, Pelanggan dapat mengakhiri Layanan sehubungan dengan pemrosesan yang terpengaruh.

FixVibe memproses Data Pribadi terutama di Amerika Serikat. Saat Data Pribadi ditransfer dari EEA, UK, atau Swiss ke negara ketiga yang belum menerima keputusan kecukupan, FixVibe mengandalkan:

• Klausul Kontrak Standar Komisi Eropa (Decision (EU) 2021/914), Modul 2 (pengendali–prosesor), yang dimasukkan ke dalam Adendum ini dengan referensi;
• Adendum Transfer Data Internasional UK untuk EU SCCs (atau IDTA mandiri), sebagaimana diterbitkan oleh ICO;
• langkah-langkah teknis dan organisasi tambahan yang dijelaskan dalam Bagian 4.

Pelanggan mengotorisasi FixVibe untuk menandatangani SCCs / IDTA dengan setiap Sub-prosesor hilir atas nama Pelanggan.

FixVibe akan membantu Pelanggan (dengan mempertimbangkan sifat pemrosesan dan informasi yang tersedia) untuk merespons permintaan subjek data berdasarkan Articles 15–22 GDPR. Sebagian besar hak dapat dilayani sendiri dari Akun → Privasi; untuk permintaan yang tersisa, Pelanggan dapat mengirim email ke support@fixvibe.app dengan subjek “Privacy request”. Kami merespons dalam 30 hari.

FixVibe akan memberi tahu Pelanggan tanpa penundaan yang tidak semestinya (dan dalam setiap hal dalam 72 jam setelah mengetahui) tentang pelanggaran Data Pribadi yang memengaruhi Data Pribadi Pelanggan, memberikan informasi yang secara wajar dibutuhkan Pelanggan untuk mematuhi kewajibannya sendiri berdasarkan Article 33 / 34, termasuk sifat pelanggaran, kategori dan perkiraan jumlah subjek data dan catatan yang terkena dampak, kemungkinan konsekuensi, dan langkah-langkah yang diambil atau diusulkan untuk mengatasinya.

FixVibe menyediakan kepada Pelanggan informasi yang diperlukan untuk mendemonstrasikan kepatuhan terhadap Adendum ini, termasuk dokumen ini, Kebijakan Privasi, Kebijakan Penggunaan yang Dapat Diterima, Ketentuan, dan laporan keamanan pihak ketiga yang kami miliki (kami akan membagikannya di bawah NDA atas permintaan). FixVibe akan mengizinkan dan berkontribusi pada audit, termasuk inspeksi, yang dilakukan oleh Pelanggan atau auditor lain yang dimandatkan oleh Pelanggan, dengan pemberitahuan awal yang wajar dan selama jam kerja, tidak lebih dari sekali per tahun kalender (kecuali jika regulator mengharuskan sebaliknya atau terjadi pelanggaran Data Pribadi).

Setelah berakhirnya Layanan, dan atas pilihan Pelanggan, FixVibe akan menghapus atau mengembalikan semua Data Pribadi yang diproses atas nama Pelanggan dalam 30 hari, kecuali sejauh FixVibe diwajibkan oleh hukum yang berlaku untuk menyimpannya (misalnya catatan pajak / penagihan). Alur penghapusan akun layanan mandiri di Akun → Privasi memicu ini secara langsung.

Untuk tujuan CCPA, FixVibe adalah “Penyedia Layanan” dan Pelanggan adalah “Bisnis” sehubungan dengan Informasi Pribadi apa pun yang diproses berdasarkan Adendum ini. FixVibe tidak akan:

• menjual atau berbagi (sebagaimana istilah-istilah tersebut didefinisikan berdasarkan CCPA) Informasi Pribadi;
• menyimpan, menggunakan, atau mengungkapkan Informasi Pribadi untuk tujuan apa pun selain tujuan bisnis spesifik penyediaan Layanan, termasuk di luar hubungan bisnis langsung antara FixVibe dan Pelanggan;
• menggabungkan Informasi Pribadi yang diterima dari Pelanggan dengan Informasi Pribadi yang diterima dari sumber lain mana pun, kecuali sebagaimana diizinkan secara tegas oleh CCPA.

FixVibe menyatakan bahwa FixVibe memahami dan akan mematuhi pembatasan-pembatasan ini.

Jika terjadi konflik antara Adendum ini dan Ketentuan Layanan, Adendum ini berlaku sejauh konflik tersebut. SCCs / IDTA berlaku lebih dari keduanya di mana mereka diterapkan.

Untuk semua masalah perlindungan data, termasuk pelaksanaan hak subjek data dan pertanyaan tentang Sub-prosesor, hubungi EGO HERO LLC:

• email: support@fixvibe.app (gunakan baris subjek “DPA” untuk perutean)
• pos: alamat tersedia atas permintaan melalui email di atas