Dateveraarbechtung Addendum

Groussgeschriwwe Begrëffer, déi hei net definéiert sinn, hunn déi Bedeitung déi hinnen am GDPR (Regulation (EU) 2016/679) ginn ass an, wou uwendbar, am UK GDPR / Data Protection Act 2018, am California Consumer Privacy Act wéi duerch de CPRA geännert (“CCPA”), an an equivalente Gesetzer vun anere Jurisdiktiounen.

“Personal Data” bedeit Donnéeën, déi vum Client agereecht oder vum Service generéiert ginn an déi eng identifizéiert oder identifizéierbar natierlech Persoun identifizéieren oder mat hir zesummenhänken. “Sub-processor” bedeit eng Drëttpartei, déi vu FixVibe engagéiert gëtt fir Personal Data am Numm vu FixVibe ze veraarbechten — opgelëscht op /legal/privacy.

All Partei ass onofhängeg verantwortlech fir d'Anhale vun den Dateschutzgesetzer, déi op si uwendbar sinn. De Client ass de Controller a FixVibe ass de Processor vun de Personal Data, déi ënner dësem Addendum veraarbecht ginn. FixVibe veraarbecht Personal Data nëmmen op dokumentéiert Instruktioune vum Client (d'Konfiguratioun vum Service gëllt als esou Instruktiounen), ausser wann d'Gesetz eppes Aneres verlaangt.

FixVibe suergt dofir, datt Personal, dat autoriséiert ass Personal Data ze veraarbechten, u Vertraulechkeetsobligatioune gebonnen ass. Zougang zu Produktiounsdonnéeën ass op e klengen Operations-Personalkrees mat least-privilege limitéiert, gëtt iwwer audit_logs protokolléiert a periodesch iwwerpréift. FixVibe-Mataarbechter gräifen net op Clientendonnéeën zou, ausser fir Support-Ticketen z'ënnersichen, op Sécherheetsincidenten ze reagéieren oder engem Rechtsprozess nozekommen.

FixVibe setzt passend technesch an organisatoresch Moossnamen ëm, déi mat GDPR Art. 32 iwwereneestëmmen, dorënner:

• Verschlësselung vu Personal Data beim Transport (TLS 1.2+) an am Reschtzoustand (Datebank-Disk-Niveau + gezielt Spalten-Niveau AES-256-GCM fir authenticated-scan headers an OAuth Tokens);
• erzwongen row-level security op all Datebanktabell — Applikatiounscode kann och versehentlech net iwwer organisatoresch Grenzen eraus liesen oder schreiwen;
• Multi-Factor Authentication pro Benotzer iwwer den upstream OAuth Provider (Google oder GitHub), wann de Client social sign-in wielt;
• kontinuéierlech statesch Analyse + Ofhängegkeets-Vulnerability-Scanning vum FixVibe-Codebase selwer;
• Backups iwwer den Datebankprovider mat point-in-time recovery; jäerlech getest;
• definéiert Retentiounsperioden (kuck Dateschutzrichtlinn), duerch en automateschen deegleche Cron duerchgesat, net nëmmen e Pabeier-Verspriechen.

De Client autoriséiert FixVibe, déi Sub-processors ze engagéieren, déi an der Dateschutzrichtlinn opgelëscht sinn, fir déi do beschriwwe Zwecker. FixVibe schléisst mat all Sub-processor e schrëftleche Vertrag of, deen Dateschutzobligatioune imposéiert, déi net manner schützend si wéi déi an dësem Addendum, a bleift vis-à-vis vum Client haftbar fir d'Handlungen an d'Versäumnisser vum Sub-processor am Zesummenhang mat der Veraarbechtung vu Personal Data.

FixVibe informéiert de Client (iwwer eng In-App-Notiz oder E-Mail) iwwer all geplangten Zousaz oder Ersatz vu Sub-processors op d'mannst 30 Deeg am Viraus, sou datt de Client d'Méiglechkeet huet ze widderspriechen. Wann de Client op vernënftege Dateschutzgrënn widdersprécht, kann de Client de Service am Bezuch op déi betraffe Veraarbechtung ophalen.

FixVibe veraarbecht Personal Data haaptsächlech an de Vereenegte Staaten. Wann Personal Data aus der EEA, UK oder der Schwäiz an en Drëttland transferéiert ginn, dat keng Adäquanzentscheedung krut, stäipt FixVibe sech op:

• d'Standard Contractual Clauses vun der Europäescher Kommissioun (Decision (EU) 2021/914), Module 2 (controller-to-processor), déi duerch Referenz an dësen Addendum integréiert sinn;
• de UK International Data Transfer Addendum zu den EU SCCs (oder den eegestännegen IDTA), wéi vum ICO publizéiert;
• déi zousätzlech technesch an organisatoresch Moossnamen, déi an Section 4 beschriwwe sinn.

De Client autoriséiert FixVibe, d'SCCs / IDTA mat all weidere Sub-processor am Numm vum Client anzegoen.

FixVibe hëlleft dem Client (ënner Berécksiichtegung vun der Natur vun der Veraarbechtung an den disponibele Informatiounen), op Ufroe vun Datasubjekter ënner Articles 15–22 GDPR ze äntweren. Déi meescht Rechter si self-serve iwwer Kont → Privatsphär; fir Reschtufroe kann de Client eng E-Mail un support@fixvibe.app mam Betreff “Privacy request” schécken. Mir äntweren bannent 30 Deeg.

FixVibe informéiert de Client ouni onnéideg Verspéidung (an op jiddwer Fall bannent 72 Stonnen nodeems FixVibe dovu Kenntnis krut) iwwer e Personal Data breach, deen Customer Personal Data betrëfft, a liwwert déi Informatiounen, déi de Client vernënftegerweis brauch fir seng eege Article 33 / 34 Obligatiounen z'erfëllen, dorënner d'Natur vum breach, d'Kategorien an déi ongeféier Zuel vun de betraffenen Datasubjekter a Records, déi méiglech Konsequenzen, an déi geholl oder proposéiert Moossname fir en ze adresséieren.

FixVibe stellt dem Client déi Informatiounen zur Verfügung, déi néideg sinn fir d'Konformitéit mat dësem Addendum ze demonstréieren, dorënner dëst Dokument, d'Dateschutzrichtlinn, d'Acceptabel Notzungsrichtlinn, d'Notzungsbedingungen, an all Drëttpartei-Sécherheetsrapporte déi mir hunn (mir deelen dës op Ufro ënner NDA). FixVibe erlaabt Auditen, inklusiv Inspektiounen, déi vum Client oder vun engem anere vum Client mandatéierten Auditeur duerchgefouert ginn, a schafft dorun mat, bei vernënftegem Viraviso a wärend Geschäftsstonnen, net méi wéi eemol pro Kalennerjoer (ausser wann e Regulateur eppes Aneres verlaangt oder am Fall vun engem Personal Data breach).

Beim Enn vum Service, an no Wiel vum Client, läscht FixVibe all Personal Data, déi am Numm vum Client veraarbecht goufen, oder gëtt se zeréck, bannent 30 Deeg, ausser souwäit FixVibe duerch uwendbart Gesetz verflicht ass se ze behalen (z. B. Steier- / Rechnungsrecords). De self-serve Kont-Läschfloss op Kont → Privatsphär léist dat direkt aus.

Fir d'Zwecker vum CCPA ass FixVibe e “Service Provider” an de Client ass e “Business” am Bezuch op all Personal Information, déi ënner dësem Addendum veraarbecht gëtt. FixVibe wäert net:

• Personal Information verkafen oder deelen (wéi dës Begrëffer am CCPA definéiert sinn);
• Personal Information fir en aneren Zweck behalen, benotzen oder verëffentlechen wéi de spezifesche geschäftlechen Zweck, de Service ze liwweren, och net ausserhalb vun der direkter Geschäftsbezéiung tëscht FixVibe an dem Client;
• Personal Information, déi vum Client kritt goufen, mat Personal Information aus enger anerer Quell kombinéieren, ausser wéi ausdrécklech vum CCPA erlaabt.

FixVibe zertifizéiert, datt et dës Aschränkunge versteet an se wäert anhalen.

Am Fall vun engem Konflikt tëscht dësem Addendum an den Notzungsbedingungen huet dësen Addendum Virrang am Mooss vum Konflikt. D'SCCs / IDTA hu Virrang virun deenen zwee, wou se uwendbar sinn.

Fir all Dateschutzfroen, inklusiv d'Ausübung vu Rechter vun Datasubjekter an Ufroen iwwer Sub-processors, kontaktéiert EGO HERO LLC:

• E-Mail: support@fixvibe.app (benotz d'Betreffzeil “DPA” fir d'Weiderleedung)
• Post: Adress op Ufro iwwer déi E-Mail hei uewen verfügbar