ဒေတာ လုပ်ဆောင်ခြင်း နောက်ဆက်တွဲ

ဤနေရာတွင် သတ်မှတ်မထားသော ကြီးစာလုံးသုံး သဘောတူညီချက်များသည် GDPR (Regulation (EU) 2016/679) နှင့် သင့်တော်သည့်အခါ UK GDPR / Data Protection Act 2018, CPRA ဖြင့် ပြောင်းလဲထားသော California Consumer Privacy Act (“CCPA”) နှင့် အခြားတရားစီရင်ပိုင်ခွင့်ဒေသများ၏ သက်ဆိုင်သော ဥပဒေများ ပေးသော အဓိပ္ပာယ်ကို ရှိသည်။

“Personal Data” ဆိုသည်မှာ Customer တင်သွင်းသော သို့မဟုတ် ဝန်ဆောင်မှုမှ ထုတ်ပေးသော ဒေတာဖြစ်ပြီး သဘာဝပုဂ္ဂိုလ်တစ်ဦးကို ရှာဖွေနိုင်သော သို့မဟုတ် ဆက်နွှယ်မှုရှိသော ဒေတာဖြစ်သည်။ “Sub-processor” ဆိုသည်မှာ FixVibe ကိုယ်စားဖြင့် Personal Data ကို စီမံဆောင်ရွက်ရန် FixVibe မှ ငှားထားသော third party ဖြစ်ပြီး — /legal/privacy တွင် စာရင်းထည့်ထားသည်။

ပါတီတစ်ဦးချင်းစီသည် မိမိနှင့် သက်ဆိုင်သော ဒေတာကာကွယ်ရေးဥပဒေများကို သီးခြားအားဖြင့် လိုက်နာရန် တာဝန်ရှိသည်။ Customer သည် Controller ဖြစ်ပြီး FixVibe သည် ဤ နောက်ဆက်တွဲအောက်တွင် စီမံဆောင်ရွက်သည့် Personal Data ၏ Processor ဖြစ်သည်။ FixVibe သည် ဥပဒေကြောင်းအရ အခြားနည်းဖြင့် ပြုလုပ်ရန် မလိုအပ်မချင်း Customer ၏ မှတ်တမ်းတင်ထားသော ညွှန်ကြားချက်များ (ဝန်ဆောင်မှု configuration သည် ထိုသို့သော ညွှန်ကြားချက်များကို ဖွဲ့စည်းသည်) ပေါ်တွင်သာ Personal Data ကို စီမံဆောင်ရွက်မည်။

Personal Data ကို စီမံဆောင်ရွက်ရန် ခွင့်ပြုချက်ရသော ဝန်ထမ်းများသည် လျှို့ဝှက်မှုဆိုင်ရာ တာဝန်များနှင့် ချုပ်မိကြောင်း FixVibe သေချာအောင် ဆောင်ရွက်သည်။ Production ဒေတာသို့ ဝင်ရောက်ခွင့်ကို operations staff ၏ least-privilege subset သို့ ကန့်သတ်ထား၍ audit_logs မှ တဆင့် log မှတ်ကာ ပုံမှန်စစ်ဆေးသည်။ FixVibe ဝန်ထမ်းများသည် support ticket များကို စုံစမ်းစစ်ဆေးရန်၊ security incident များကို တုံ့ပြန်ရန် သို့မဟုတ် ဥပဒေဆိုင်ရာ လုပ်ငန်းစဉ်ကို လိုက်နာရန်မှ လွဲ၍ Customer ဒေတာကို ဝင်ရောက်ကြည့်ရှုမည် မဟုတ်ပါ။

FixVibe သည် GDPR Art. 32 နှင့် ကိုက်ညီသော သင့်တော်သည့် နည်းပညာဆိုင်ရာနှင့် အဖွဲ့အစည်းဆိုင်ရာ ဆောင်ရွက်မှုများကို ကျင့်သုံးသည်၊ ၎င်းတို့တွင် ပါဝင်သည်မှာ:

• Personal Data ကို transit (TLS 1.2+) နှင့် at rest (database disk-level + authenticated-scan header နှင့် OAuth token များအတွက် targeted column-level AES-256-GCM) တွင် ကုဒ်ဝှက်ခြင်း;
• database table တိုင်းတွင် row-level security ကို အတင်းအကျပ်သတ်မှတ်ခြင်း — application code သည် မကြံစည်ဘဲ မိမိသည် အဖွဲ့အစည်း ဘောင်များကျော်၍ read သို့မဟုတ် write မပြုနိုင်ပါ;
• Customer က social sign-in ကို ရွေးချယ်သည့်နေရာတွင် upstream OAuth provider (Google သို့မဟုတ် GitHub) မှ တဆင့် user တစ်ဦးချင်းစီ multi-factor authentication;
• FixVibe codebase ကိုယ်တိုင်ကို continuous static analysis + dependency vulnerability scanning;
• point-in-time recovery ဖြင့် database provider မှ backup များ; နှစ်စဉ် စမ်းသပ်စစ်ဆေးသည်;
• စာချောင်တစ်ချောင်အဖြစ် မဟုတ်ဘဲ automated daily cron မှ ကျင့်သုံးသော သတ်မှတ်ထားသော retention ကာလများ (ကိုယ်ရေးကိုယ်တာ မူဝါဒ ကြည့်ပါ)။

Customer သည် ကိုယ်ရေးကိုယ်တာ မူဝါဒ တွင် စာရင်းပြုစုထားသော Sub-processor များကို FixVibe မှ ထိုနေရာတွင် ဖော်ပြထားသော ရည်ရွယ်ချက်များအတွက် ပါဝင်ရန် Customer အနေဖြင့် FixVibe ကို ခွင့်ပြုသည်။ FixVibe သည် Sub-processor တစ်ဦးချင်းနှင့် ဤ နောက်ဆက်တွဲနှင့် မနည်းသော ကာကွယ်မှုပေးသော ဒေတာကာကွယ်ရေး တာဝန်ဝတ္တရားများကို တင်မြောက်သော စာဖြင့်ရေးသော စာချုပ်ချုပ်ဆိုပြီး Personal Data ကို စီမံဆောင်ရွက်ရာတွင် Sub-processor ၏ ဆောင်ရွက်မှုများနှင့် ပျက်ကွက်မှုများအတွက် Customer ကို တာဝန်ယူသည်။

FixVibe သည် Sub-processor ၏ မည်သည့် ရည်ရွယ်သော ထပ်မံထည့်သွင်းမှု သို့မဟုတ် အစားထိုးမှုကိုမဆို Customer အနေဖြင့် ကန့်ကွက်နိုင်သော အခွင့်အရေးပေးကာ အနည်းဆုံး ၃၀ ရက်ကြိုတင်၍ Customer ကို (in-app notice သို့မဟုတ် email မှတဆင့်) အကြောင်းကြားမည်။ Customer သည် သင့်တော်သော ဒေတာကာကွယ်ရေး အကြောင်းပြချက်ဖြင့် ကန့်ကွက်ပါက ထိခိုက်သော စီမံဆောင်ရွက်မှုနှင့်ပတ်သက်၍ ဝန်ဆောင်မှုကို ဖြတ်တောက်နိုင်သည်။

FixVibe သည် Personal Data ကို အဓိကအားဖြင့် အမေရိကန်ပြည်ထောင်စုတွင် စီမံဆောင်ရွက်သည်။ EEA, UK, သို့မဟုတ် Switzerland မှ adequacy decision မရရှိသော third country တစ်ခုသို့ Personal Data ကို လွှဲပြောင်းသောအခါ FixVibe သည် အောက်ပါတို့ကို မှီခိုသည်:

• European Commission ၏ Standard Contractual Clauses (Decision (EU) 2021/914), Module 2 (controller-to-processor), reference ဖြင့် ဤ နောက်ဆက်တွဲတွင် ထည့်သွင်းထားသည်;
• ICO မှ ထုတ်ဝေသော EU SCCs (သို့မဟုတ် IDTA standalone) ၏ UK ၏ International Data Transfer Addendum;
• အပိုဒ် 4 တွင် ဖော်ပြသော နောက်ထပ် နည်းပညာနှင့် အဖွဲ့အစည်းဆိုင်ရာ ဆောင်ရွက်မှုများ။

Customer သည် FixVibe ကို Customer ကိုယ်စားဖြင့် Sub-processor တစ်ဦးချင်းနှင့် SCCs / IDTA ချုပ်ဆိုရန် ခွင့်ပြုသည်။

FixVibe သည် GDPR Articles 15–22 အောက်တွင် data subject တောင်းဆိုချက်များကို တုံ့ပြန်ရန် Customer ကို (စီမံဆောင်ရွက်မှု၏ သဘာဝနှင့် ရရှိနိုင်သော အချက်အလက်ကို ထည့်သွင်းစဉ်းစား၍) ကူညီမည်။ အများစုသော အခွင့်အရေးများကို Account → Privacy မှ self-serve ဖြင့် ဆောင်ရွက်နိုင်သည်; ကျန်ရှိသော တောင်းဆိုချက်များအတွက် Customer သည် “Privacy request” ဟူသော ခေါင်းစဉ်ဖြင့် support@fixvibe.app သို့ အီးမေးလ်ပို့နိုင်သည်။ ကျွန်ုပ်တို့ ၃၀ ရက်အတွင်း တုံ့ပြန်ပါသည်။

FixVibe သည် Customer Personal Data ကို ထိခိုက်သော Personal Data ချိုးဖောက်မှုတစ်ခုနှင့်ပတ်သက်၍ မလိုအပ်သော နှောင့်နှေးမှုမရှိဘဲ (ပြီး မည်သည့်အခြေအနေတွင်မဆို ၇၂ နာရီအတွင်း) Customer ကို အကြောင်းကြားမည်ဖြစ်ပြီး ချိုးဖောက်မှု၏ သဘာဝ၊ ထိခိုက်သော data subject နှင့် မှတ်တမ်းများ၏ အမျိုးအစားများနှင့် ခန့်မှန်းအရေအတွက်၊ ဖြစ်ဖွယ်ရှိသော ကျိုးဆက်မှုများ နှင့် ၎င်းကို ဖြေရှင်းရန် ဆောင်ရွက်ပြီးသော သို့မဟုတ် အကြံပြုထားသော ဆောင်ရွက်မှုများ အပါအဝင် Customer သည် မိမိ Article 33 / 34 တာဝန်ဝတ္တရားများကို ဆောင်ရွက်ရန် သင့်တင့်မျှတစွာ လိုအပ်သော အချက်အလက်ကို ပေးဆောင်မည်။

FixVibe သည် ဤ ဒါကျုမန်ကို၊ ကိုယ်ရေးကိုယ်တာ မူဝါဒကို၊ လက်ခံနိုင်သော အသုံးပြုမှု မူဝါဒကို၊ စည်းကမ်းချက်များကို နှင့် ကျွန်ုပ်တို့ ထိန်းသိမ်းထားသော third-party လုံခြုံရေးအစီရင်ခံစာများ (NDA အောက်တွင် တောင်းဆိုမှုအပေါ် ဤတို့ကို မျှဝေမည်) အပါအဝင် ဤ နောက်ဆက်တွဲနှင့် ကိုက်ညီကြောင်း သက်သေပြရန် လိုအပ်သော အချက်အလက်ကို Customer အတွက် ရနိုင်သောအောင် ဆောင်ရွက်သည်။ FixVibe သည် Customer သို့မဟုတ် Customer မှ တာဝန်ပေးသော auditor တစ်ဦးမှ ပြုလုပ်သော audit များ (inspections အပါအဝင်) ကို သင့်တော်သော ကြိုတင်အကြောင်းကြားချက်နှင့် လုပ်ငန်းချိန်တွင် ကြိုကျအောင် ဆောင်ရွက်ပြီး ပြကဒ်ဉပဒေ တစ်နှစ်တစ်ကြိမ် မကျော်ဘဲ ကူညီပါမည် (regulator က အခြားနည်းဖြင့် ဆောင်ရွက်ရန် မလိုအပ်သော သို့မဟုတ် Personal Data ချိုးဖောက်ခြင်းဖြစ်သောအခြေအနေမှ လွဲ၍)။

ဝန်ဆောင်မှုကို ဖြတ်တောက်ပြီး Customer ၏ ရွေးချယ်မှုအပေါ်မူတည်ကာ FixVibe သည် FixVibe အနေဖြင့် နည်းဥပဒေကြောင်းအရ ထိန်းသိမ်းထားရန် မလိုအပ်သောကြောင်း (ဥပမာ အခွန် / ငွေတောင်းတမ်း မှတ်တမ်းများ) မဟုတ်မချင်း Customer ကိုယ်စားဖြင့် စီမံဆောင်ရွက်သည့် Personal Data အားလုံးကို ၃၀ ရက်အတွင်း ဖျက်ပစ်သော သို့မဟုတ် ပြန်ပေးမည်။ Account → Privacy တွင် self-serve account deletion flow သည် ၎င်းကို ချက်ချင်း trigger ပြုလုပ်သည်။

CCPA ၏ ရည်ရွယ်ချက်များအတွက် FixVibe သည် “Service Provider” ဖြစ်ပြီး Customer သည် ဤ နောက်ဆက်တွဲအောက်တွင် စီမံဆောင်ရွက်သည့် မည်သည့် Personal Information နှင့်မဆို ပတ်သက်ပြီး “Business” ဖြစ်သည်။ FixVibe မပြုလုပ်မည်မှာ:

• Personal Information ကို ရောင်းချ သို့မဟုတ် မျှဝေ (ထိုသဘောတရားများကို CCPA အောက်တွင် သတ်မှတ်ထားသည့်အတိုင်း);
• FixVibe နှင့် Customer အကြား တိုက်ရိုက်စီးပွားရေး ဆက်ဆံရေးအပြင် ဝန်ဆောင်မှုပေးဆောင်ရာ၏ တိကျသော စီးပွားရေးရည်ရွယ်ချက်မှ လွဲ၍ Personal Information ကို မည်သည့် ရည်ရွယ်ချက်အတွက်မဆို သိမ်းဆည်း၊ သုံးစွဲ သို့မဟုတ် ထုတ်ဖော်ခြင်း;
• CCPA မှ ထင်ရှားပြသ ခွင့်ပြုထားသည်မှ လွဲ၍ Customer ထံမှ ရရှိသော Personal Information ကို အခြားရင်းမြစ်မှ ရရှိသော Personal Information နှင့် ပေါင်းစည်းခြင်း။

FixVibe သည် ဤ ကန့်သတ်ချက်များကို နားလည်ပြီး လိုက်နာမည်ဖြစ်ကြောင်း အတည်ပြုသည်။

ဤ နောက်ဆက်တွဲနှင့် ဝန်ဆောင်မှုစည်းကမ်းချက်များ အကြား ဆန့်ကျင်ဘက်ဖြစ်မှုရှိပါက ဤ နောက်ဆက်တွဲသည် ဆန့်ကျင်ဘက်ဖြစ်မှု၏ ကန့်သတ်ချက်အတွင်း အဓိကဖြစ်သည်။ SCCs / IDTA သည် ၎င်းတို့ နှစ်ခုလုံးကျော်ပြီး ၎င်းတို့ သက်ဆိုင်သောနေရာတွင် အဓိကဖြစ်သည်။

Data subject အခွင့်အရေးများ ကျင့်သုံးခြင်းနှင့် Sub-processor များနှင့်ပတ်သက်သော မေးမြန်းမှုများ အပါအဝင် ဒေတာကာကွယ်ရေး ကိစ္စရပ်များ အားလုံးအတွက် EGO HERO LLC ကို ဆက်သွယ်ပါ:

• email: support@fixvibe.app (routing အတွက် “DPA” ဟူသော ခေါင်းစဉ်လိုင်းကို သုံးပါ)
• postal: address ကို အထက်ဖော်ပြပါ email မှ တဆင့် တောင်းဆိုမှုအပေါ် ရနိုင်ပါသည်