ដំណើរការទិន្នន័យ ឧបសម្ព័ន្ធ

ពាក្យដែលមានអក្សរធំដែលមិនបានកំណត់ន័យនៅទីនេះមានន័យដែលបានផ្តល់ក្នុង GDPR (Regulation (EU) 2016/679) និង ករណីអាចអនុវត្តបាន UK GDPR / Data Protection Act 2018, California Consumer Privacy Act ដូចដែលបានកែប្រែដោយ CPRA (“CCPA”) និងច្បាប់ស្មើភាពគ្នានៃយុត្តាធិការផ្សេងទៀត។

“Personal Data” មានន័យថាទិន្នន័យដែលបញ្ជូនដោយ Customer ឬបង្កើតដោយសេវាដែលកំណត់ ឬទាក់ទងទៅនឹងបុគ្គលធម្មជាតិដែលបានកំណត់ ឬអាចកំណត់បាន។ “Sub-processor” មានន័យថាភាគីទីបីដែល FixVibe ទទួលជួលដើម្បីដំណើរការ Personal Data ក្នុងនាម FixVibe — ដែលមានបញ្ជីនៅ /legal/privacy។

ភាគីនីមួយៗទទួលខុសត្រូវដោយឯករាជ្យក្នុងការអនុលោមតាម Data Protection Laws ដែលអាចអនុវត្តចំពោះខ្លួន។ Customer ជា Controller ហើយ FixVibe ជា Processor នៃ Personal Data ដែលដំណើរការក្រោមឧបសម្ព័ន្ធនេះ។ FixVibe នឹងដំណើរការ Personal Data លើការណែនាំដែលបានចងក្រងរបស់ Customer ប៉ុណ្ណោះ (ការកំណត់រចនាសម្ព័ន្ធនៃសេវាបង្កើតការណែនាំបែបនោះ) លើកលែងតែត្រូវការដោយច្បាប់ដើម្បីធ្វើអ្វីផ្សេង។

FixVibe ធានាថាបុគ្គលិកដែលត្រូវបានអនុញ្ញាតឱ្យដំណើរការ Personal Data ត្រូវបានចងដោយកាតព្វកិច្ចការរក្សាការសម្ងាត់។ ការចូលប្រើទិន្នន័យ production ត្រូវបានកំណត់ចំពោះ subset least-privilege នៃ operations staff ដែល log តាម audit_logs ហើយពិនិត្យឡើងវិញជាប្រចាំ។ និយោជិត FixVibe មិនចូលប្រើទិន្នន័យ Customer ទេ លើកលែងតែស្រាវជ្រាសសំណូមពរ support ឆ្លើយតបចំពោះឧបទ្ទវហេតុសុវត្ថិភាព ឬអនុលោមតាមដំណើរការច្បាប់។

FixVibe អនុវត្តវិធានការបច្ចេកទេសនិងអង្គការណ៍ដែលសមរម្យស្របនឹង GDPR Art. 32 រួមមាន:

• ការអ៊ិនគ្រីប Personal Data ក្នុង transit (TLS 1.2+) និង at rest (database disk-level + targeted column-level AES-256-GCM សម្រាប់ authenticated-scan header និង OAuth token);
• ការបង្ខំ row-level security លើតារាងមូលដ្ឋានទិន្នន័យគ្រប់ — code application មិនអាច read ឬ write ឆ្លងកាត់ព្រំដែនអង្គការណ៍ ទោះបីជាគ្មានចេតនាក៏ដោយ;
• ការផ្ទៀងផ្ទាត់ multi-factor ក្នុង user តាម upstream OAuth provider (Google ឬ GitHub) ក្នុងករណី Customer ជ្រើសរើស social sign-in;
• ការវិភាគស្ថិតិ continuous + ការស្កែន dependency vulnerability នៃ codebase FixVibe ផ្ទាល់;
• ការ backup តាម database provider ជាមួយ point-in-time recovery; ត្រូវបានសាកល្បងជារៀងរាល់ឆ្នាំ;
• ការណ៍ retention ដែលបានកំណត់ (សូមមើល គោលការណ៍ឯកជនភាព) ត្រូវបានអនុវត្តដោយ automated daily cron មិនមែនជាការសន្យានៅលើក្រដាស។

Customer អនុញ្ញាតឱ្យ FixVibe ចូលរួម Sub-processor ដែលមានបញ្ជីក្នុង គោលការណ៍ឯកជនភាព សម្រាប់គោលបំណងដែលបានពណ៌នានៅទីនោះ។ FixVibe ចូលក្នុងកិច្ចសន្យាជាលាយលក្ខណ៍អក្សរជាមួយ Sub-processor នីមួយៗដែលដាក់កាតព្វកិច្ចការការពារទិន្នន័យដែលមិនតិចជាងការការពារក្នុងឧបសម្ព័ន្ធនេះ ហើយនៅតែទទួលខុសត្រូវចំពោះ Customer ចំពោះសកម្មភាពនិងការខ្វះខាតរបស់ Sub-processor ក្នុងការដំណើរការ Personal Data។

FixVibe នឹងជូនដំណឹង Customer (តាម in-app notice ឬអ៊ីមែល) នៃការបន្ថែម ឬជំនួស Sub-processor ណាមួយដែលបានគ្រោងទុកយ៉ាងហោចណាស់ 30 ថ្ងៃជាមុន ដោយផ្តល់ឱ្យ Customer នូវឱកាសដើម្បីជំទាស់។ ប្រសិនបើ Customer ជំទាស់ដោយហេតុផលការការពារទិន្នន័យដែលសមហេតុផល Customer អាចបញ្ចប់សេវាក្នុងការដំណើរការដែលរងផលប៉ះពាល់។

FixVibe ដំណើរការ Personal Data ជាចម្បងនៅសហរដ្ឋអាមេរិក។ ពេល Personal Data ត្រូវបានផ្ទេរពី EEA, UK ឬ Switzerland ទៅប្រទេសទីបីដែលមិនបានទទួលការសម្រេចចិត្ត adequacy decision FixVibe ពឹងផ្អែកលើ:

• Standard Contractual Clauses របស់ European Commission (Decision (EU) 2021/914), Module 2 (controller-to-processor) ដែលបានបញ្ចូលក្នុងឧបសម្ព័ន្ធនេះដោយ reference;
• International Data Transfer Addendum របស់ UK ទៅ EU SCCs (ឬ IDTA standalone) ដូចដែលបានផ្សព្វផ្សាយដោយ ICO;
• វិធានការបច្ចេកទេសនិងអង្គការណ៍បន្ថែមដែលបានពណ៌នានៅផ្នែក 4។

Customer អនុញ្ញាតឱ្យ FixVibe ចូលក្នុង SCCs / IDTA ជាមួយ Sub-processor ដែលបន្តនីមួយៗក្នុងនាម Customer។

FixVibe នឹងជួយ Customer (ដោយគិតពីលក្ខណៈនៃការដំណើរការនិងព័ត៌មានដែលមាន) ដើម្បីឆ្លើយតបចំពោះការស្នើសុំ data subject ក្រោមមាត្រា 15–22 GDPR។ សិទ្ធិភាគច្រើនគឺ self-serve ពី Account → Privacy; សម្រាប់ការស្នើសុំដែលនៅសល់ Customer អាចផ្ញើអ៊ីមែលទៅ support@fixvibe.app ជាមួយប្រធានបទ “Privacy request”។ យើងឆ្លើយតបក្នុងរយៈពេល 30 ថ្ងៃ។

FixVibe នឹងជូនដំណឹង Customer ដោយគ្មានការពន្យារពេលដែលមិនចាំបាច់ (និងគ្រប់ករណីក្នុងរយៈពេល 72 ម៉ោងក្រោយពីការដឹង) អំពីការបំពាន Personal Data ដែលប៉ះពាល់ Customer Personal Data ដោយផ្តល់ព័ត៌មានបែបនោះដែល Customer ទាមទារដោយសមហេតុផលដើម្បីបំពេញកាតព្វកិច្ច Article 33 / 34 ផ្ទាល់ខ្លួន រួមមានលក្ខណៈនៃការបំពាន ប្រភេទនិងចំនួនប្រហាក់ប្រហែលនៃ data subject និងកំណត់ត្រាដែលពាក់ព័ន្ធ ផលវិបាកដែលទំនងជានឹងកើតឡើង និងវិធានការដែលបានអនុវត្ត ឬស្នើដើម្បីដោះស្រាយ។

FixVibe ធ្វើឱ្យ Customer អាចប្រើព័ត៌មានចាំបាច់ដើម្បីបង្ហាញការអនុលោមនឹងឧបសម្ព័ន្ធនេះ រួមមានឯកសារនេះ គោលការណ៍ឯកជនភាព គោលការណ៍ប្រើប្រាស់ដែលអាចទទួលយកបាន លក្ខខណ្ឌ និងរបាយការណ៍សុវត្ថិភាព third-party ណាដែលយើងមាន (យើងនឹងចែករំលែកទាំងនេះក្រោម NDA នៅការស្នើសុំ)។ FixVibe នឹងអនុញ្ញាតនិងចូលរួម audit រួមមានការត្រួតពិនិត្យ ដែលធ្វើឡើងដោយ Customer ឬ auditor ផ្សេងទៀតដែលត្រូវបានចាត់តាំងដោយ Customer ដោយជូនដំណឹងជាមុនដែលសមហេតុផលនិងក្នុងម៉ោងធ្វើការ យ៉ាងច្រើនមួយដងក្នុងមួយឆ្នាំ (លើកលែងតែ regulator ទាមទារអ្វីផ្សេង ឬក្នុងករណីមានការបំពាន Personal Data)។

នៅពេលបញ្ចប់សេវា និងជម្រើស Customer FixVibe នឹងលុបចោល ឬប្រគល់ Personal Data ទាំងអស់ដែលដំណើរការក្នុងនាម Customer ក្នុងរយៈពេល 30 ថ្ងៃ លើកលែងតែក្នុងវិសាលភាពដែល FixVibe ត្រូវតែរក្សាវា (ឧទា. កំណត់ត្រាពន្ធ / ការចេញវិក្កយបត្រ)។ លំហូរ self-serve account deletion នៅ Account → Privacy ដំណើរការភ្លាមៗ។

សម្រាប់គោលបំណង CCPA FixVibe ជា “Service Provider” ហើយ Customer ជា “Business” ក្នុងទាក់ទងនឹង Personal Information ណាមួយដែលដំណើរការក្រោមឧបសម្ព័ន្ធនេះ។ FixVibe នឹងមិន:

• លក់ ឬចែករំលែក (ដូចដែលពាក្យទាំងនោះត្រូវបានកំណត់ក្រោម CCPA) Personal Information;
• រក្សា ប្រើ ឬបង្ហាញ Personal Information សម្រាប់គោលបំណងណាមួយដទៃពីគោលបំណងអាជីវកម្មជាក់លាក់នៃការផ្តល់សេវា រួមមានក្រៅពីទំនាក់ទំនងអាជីវកម្មផ្ទាល់រវាង FixVibe និង Customer;
• ផ្សំ Personal Information ដែលទទួលពី Customer ជាមួយ Personal Information ដែលទទួលពីប្រភពផ្សេងទៀត លើកលែងតែអនុញ្ញាតដោយ CCPA យ៉ាងច្បាស់លាស់។

FixVibe បញ្ជាក់ថាខ្លួនយល់ ហើយនឹងអនុលោមតាមការដាក់កម្រិតទាំងនេះ។

ក្នុងករណីមានជម្លោះរវាងឧបសម្ព័ន្ធនេះ និងលក្ខខណ្ឌសេវាកម្ម ឧបសម្ព័ន្ធនេះមានអំណាចលើស្ថានការណ៍ជម្លោះ។ SCCs / IDTA មានអំណាចលើទាំងពីរនៅកន្លែងដែលពួកវាអនុវត្ត។

សម្រាប់រឿងការការពារទិន្នន័យទាំងអស់ រួមមានការប្រើប្រាស់សិទ្ធិ data subject និងការស្វែងរកព័ត៌មានអំពី Sub-processor ទាក់ទង EGO HERO LLC:

• email: support@fixvibe.app (ប្រើប្រធានបទ “DPA” សម្រាប់ការបញ្ជូន)
• postal: អាសយដ្ឋានមានតាមការស្នើសុំតាម email ខាងលើ