Өгөгдөл боловсруулах Нэмэлт

Энд тодорхойлоогүй том үсгээр эхэлсэн нэр томьёонууд нь GDPR (Regulation (EU) 2016/679)-д, мөн хамаарах тохиолдолд UK GDPR / Data Protection Act 2018, CPRA-аар нэмэлт өөрчлөлт орсон California Consumer Privacy Act (“CCPA”), болон бусад харьяаллын ижил төстэй хуульд заасан утгатай байна.

“Personal Data” гэдэг нь Хэрэглэгчийн илгээсэн эсвэл Service-ээс үүсгэсэн, тодорхойлогдсон буюу тодорхойлогдох боломжтой хувь хүнийг таних эсвэл түүнд хамаарах өгөгдлийг хэлнэ. “Sub-processor” гэдэг нь FixVibe-ийн өмнөөс Personal Data боловсруулахын тулд FixVibe-ийн татан оролцуулсан гуравдагч этгээдийг хэлнэ — /legal/privacy дээр жагсаасан.

Тал бүр өөрт нь хамаарах Data Protection Laws-ыг дагаж мөрдөхөд бие даан хариуцна. Хэрэглэгч нь Controller, FixVibe нь энэхүү нэмэлтийн дагуу боловсруулж буй Personal Data-ийн Processor байна. FixVibe нь Personal Data-г зөвхөн Хэрэглэгчийн баримтжуулсан зааврын дагуу боловсруулна (Service-ийн тохиргоо нь ийм зааварт тооцогдоно), хууль өөрөөр шаардсанаас бусад тохиолдолд.

FixVibe нь Personal Data боловсруулах эрх бүхий ажилтнуудыг нууцлалын үүргээр хүлээсэн байхыг баталгаажуулна. Production өгөгдөлд хандах эрхийг least-privilege зарчмаар operations багийн хязгаарлагдмал хэсэгт олгож, audit_logs-оор бүртгэн, тогтмол хянана. FixVibe-ийн ажилтнууд support tickets шалгах, security incidents-д хариу өгөх, эсвэл хууль ёсны процесс дагах шаардлагаас бусад үед Хэрэглэгчийн өгөгдөлд хандахгүй.

FixVibe нь GDPR Art. 32-т нийцсэн зохих техникийн болон зохион байгуулалтын арга хэмжээг хэрэгжүүлдэг бөгөөд үүнд:

• дамжуулах үед (TLS 1.2+) болон хадгалах үед (database disk-level + authenticated-scan headers болон OAuth tokens-д зориулсан targeted column-level AES-256-GCM) Personal Data-г шифрлэх;
• database table бүр дээр row-level security-г албадан хэрэгжүүлэх — application code нь байгууллагын хил хязгаарыг санамсаргүйгээр ч даван уншиж эсвэл бичиж чадахгүй;
• Хэрэглэгч social sign-in сонгосон үед upstream OAuth provider (Google эсвэл GitHub)-ээр дамжуулсан хэрэглэгч бүрийн multi-factor authentication;
• FixVibe codebase өөр дээр тасралтгүй static analysis + dependency vulnerability scanning хийх;
• database provider-оор дамжуулсан, point-in-time recovery бүхий backups; жил бүр туршдаг;
• тодорхойлсон хадгалалтын хугацаа (Нууцлалын бодлого-г үзнэ үү) нь цаасан амлалт биш, өдөр тутмын автомат cron-оор хэрэгждэг.

Хэрэглэгч нь Нууцлалын бодлого-д жагсаасан Sub-processors-ыг тэнд тайлбарласан зорилгоор татан оролцуулахыг FixVibe-д зөвшөөрнө. FixVibe нь Sub-processor бүртэй энэхүү нэмэлтэд зааснаас дутахааргүй хамгаалалттай өгөгдөл хамгаалах үүрэг ногдуулсан бичгээрх гэрээ байгуулж, Personal Data боловсруулахтай холбоотой Sub-processor-ын үйлдэл болон эс үйлдэхүйн төлөө Хэрэглэгчийн өмнө хариуцлага хүлээсээр байна.

FixVibe нь Sub-processors нэмэх эсвэл солих аливаа төлөвлөсөн өөрчлөлтийн талаар Хэрэглэгчид (app доторх мэдэгдэл эсвэл имэйлээр) дор хаяж 30 хоногийн өмнө мэдэгдэж, Хэрэглэгчид эсэргүүцэх боломж олгоно. Хэрэв Хэрэглэгч өгөгдөл хамгаалалтын үндэслэлтэй шалтгаанаар эсэргүүцвэл Хэрэглэгч тухайн processing-д хамаарах Service-ийг дуусгавар болгож болно.

FixVibe нь Personal Data-г үндсэндээ АНУ-д боловсруулдаг. Personal Data-г EEA, UK, эсвэл Switzerland-аас adequacy decision аваагүй гуравдагч улс руу шилжүүлэх үед FixVibe дараахад тулгуурлана:

• European Commission-ы Standard Contractual Clauses (Decision (EU) 2021/914), Module 2 (controller-to-processor), эдгээрийг энэхүү нэмэлтэд ишлэлээр оруулсан;
• ICO-оос нийтэлсэн EU SCCs-д зориулсан UK International Data Transfer Addendum (эсвэл бие даасан IDTA);
• Section 4-т тайлбарласан нэмэлт техникийн болон зохион байгуулалтын арга хэмжээ.

Хэрэглэгч нь SCCs / IDTA-г дараагийн Sub-processor бүртэй Хэрэглэгчийн өмнөөс байгуулахыг FixVibe-д зөвшөөрнө.

FixVibe нь processing-ийн шинж чанар болон боломжтой мэдээллийг харгалзан Articles 15–22 GDPR-ын дагуу data subject-ийн хүсэлтэд хариу өгөхөд Хэрэглэгчид тусална. Ихэнх эрхийг Бүртгэл → Нууцлал-аас self-serve байдлаар хэрэгжүүлж болно; үлдсэн хүсэлтэд Хэрэглэгч support@fixvibe.app руу “Privacy request” сэдвээр имэйл илгээж болно. Бид 30 хоногийн дотор хариу өгнө.

FixVibe нь Customer Personal Data-д нөлөөлсөн Personal Data breach-ийн талаар мэдсэнээс хойш үндэслэлгүй сааталгүйгээр (ямар ч тохиолдолд 72 цагийн дотор) Хэрэглэгчид мэдэгдэж, Хэрэглэгч өөрийн Article 33 / 34 үүргээ биелүүлэхэд үндэслэлтэй шаардлагатай мэдээллийг өгнө. Үүнд breach-ийн шинж чанар, холбогдох data subjects болон records-ын ангилал ба ойролцоо тоо, боломжит үр дагавар, мөн түүнийг шийдвэрлэхээр авсан эсвэл санал болгосон арга хэмжээ орно.

FixVibe нь энэхүү нэмэлтийн хэрэгжилтийг харуулахад шаардлагатай мэдээллийг Хэрэглэгчид олгоно. Үүнд энэ баримт бичиг, Нууцлалын бодлого, Зохистой хэрэглээний бодлого, Terms, мөн бидэнд байгаа гуравдагч этгээдийн аюулгүй байдлын тайлангууд орно (бид хүсэлтээр эдгээрийг NDA дор хуваалцана). FixVibe нь Хэрэглэгч эсвэл Хэрэглэгчийн томилсон өөр auditor-ын явуулах audits, түүний дотор inspections-д зөвшөөрөл өгч, хамтран ажиллана. Үүнийг үндэслэлтэй урьдчилсан мэдэгдэлтэйгээр, ажлын цагаар, календарийн жилд нэгээс илүүгүй удаа явуулна (regulator өөрөөр шаардсан эсвэл Personal Data breach гарснаас бусад тохиолдолд).

Service дуусгавар болоход, Хэрэглэгчийн сонголтоор, FixVibe нь Хэрэглэгчийн өмнөөс боловсруулсан бүх Personal Data-г 30 хоногийн дотор устгах эсвэл буцаана, гэхдээ FixVibe холбогдох хуулийн дагуу хадгалах шаардлагатай хэмжээнд (жишээ нь, татвар / billing records) үлдээнэ. Бүртгэл → Нууцлал дахь self-serve бүртгэл устгах урсгал нь үүнийг шууд эхлүүлнэ.

CCPA-ын зорилгын хүрээнд, энэхүү нэмэлтийн дагуу боловсруулж буй аливаа Personal Information-тэй холбоотойгоор FixVibe нь “Service Provider”, Хэрэглэгч нь “Business” байна. FixVibe дараахийг хийхгүй:

• Personal Information-г худалдах эсвэл хуваалцах (эдгээр нэр томьёо CCPA-д тодорхойлогдсон утгаар);
• Personal Information-г Service үзүүлэх тодорхой бизнесийн зорилгоос өөр зорилгоор хадгалах, ашиглах, эсвэл задруулах, үүнд FixVibe болон Хэрэглэгчийн шууд бизнесийн харилцаанаас гадуур ашиглах орно;
• Хэрэглэгчээс авсан Personal Information-г өөр эх сурвалжаас авсан Personal Information-тэй нэгтгэх, CCPA-аар шууд зөвшөөрснөөс бусад тохиолдолд.

FixVibe эдгээр хязгаарлалтыг ойлгож байгаа бөгөөд дагаж мөрдөхөө баталгаажуулна.

Энэхүү нэмэлт болон Үйлчилгээний нөхцөл хоорондоо зөрчилдвөл зөрчлийн хэмжээнд энэхүү нэмэлт давуу хүчинтэй байна. SCCs / IDTA хамаарах үедээ эдгээр хоёроос давуу хүчинтэй байна.

Data subject-ийн эрхийг хэрэгжүүлэх болон Sub-processors-ын талаар асуух зэрэг өгөгдөл хамгаалалтын бүх асуудлаар EGO HERO LLC-тэй холбогдоно уу:

• email: support@fixvibe.app (чиглүүлэхийн тулд “DPA” сэдвийн мөр ашиглана уу)
• postal: дээрх имэйлээр хүсэлт гаргавал хаягийг өгнө