Przetwarzanie danych Załącznik

Terminy pisane wielką literą, niezdefiniowane w niniejszym dokumencie, mają znaczenie nadane im przez GDPR (Regulation (EU) 2016/679) oraz, w stosownych przypadkach, UK GDPR / Data Protection Act 2018, California Consumer Privacy Act ze zmianami wprowadzonymi przez CPRA („CCPA“) i równoważne przepisy innych jurysdykcji.

„Dane osobowe“ oznaczają dane przesłane przez Klienta lub wygenerowane przez Usługę, które identyfikują lub dotyczą zidentyfikowanej bądź możliwej do zidentyfikowania osoby fizycznej. „Podprzetwarzający“ oznacza stronę trzecią zaangażowaną przez FixVibe do przetwarzania Danych osobowych w imieniu FixVibe — wymienioną pod adresem /legal/privacy.

Każda ze stron ponosi niezależną odpowiedzialność za przestrzeganie Przepisów o ochronie danych mających do niej zastosowanie. Klient jest Administratorem, a FixVibe jest Podmiotem przetwarzającym Dane osobowe przetwarzane na podstawie niniejszego Załącznika. FixVibe będzie przetwarzać Dane osobowe wyłącznie zgodnie z udokumentowanymi instrukcjami Klienta (konfiguracja Usługi stanowi takie instrukcje), chyba że prawo wymaga inaczej.

FixVibe zapewnia, że pracownicy upoważnieni do przetwarzania Danych osobowych są związani obowiązkami poufności. Dostęp do danych produkcyjnych jest ograniczony do minimalnie uprzywilejowanego podzbioru personelu operacyjnego, rejestrowany przez audit_logs i regularnie przeglądany. Pracownicy FixVibe nie uzyskują dostępu do danych Klienta z wyjątkiem przypadków badania zgłoszeń do pomocy technicznej, reagowania na incydenty bezpieczeństwa lub wypełniania obowiązków prawnych.

FixVibe wdraża odpowiednie techniczne i organizacyjne środki bezpieczeństwa zgodne z GDPR Art. 32, w tym:

• szyfrowanie Danych osobowych podczas transmisji (TLS 1.2+) i w spoczynku (szyfrowanie dysku bazy danych + ukierunkowane szyfrowanie kolumnowe AES-256-GCM dla nagłówków uwierzytelnionego skanowania i tokenów OAuth);
• wymuszone zabezpieczenia na poziomie wiersza na każdej tabeli bazy danych — kod aplikacji nie może odczytywać ani zapisywać danych między organizacjami nawet przez pomyłkę;
• uwierzytelnianie wieloskładnikowe dla każdego użytkownika za pośrednictwem zewnętrznego dostawcy OAuth (Google lub GitHub), gdy Klient wybiera logowanie społecznościowe;
• ciągła analiza statyczna i skanowanie zależności pod kątem podatności samej bazy kodu FixVibe;
• kopie zapasowe za pośrednictwem dostawcy bazy danych z możliwością odtwarzania do punktu w czasie; testowane co roku;
• określone okresy przechowywania (patrz Polityka prywatności) egzekwowane przez automatyczny codzienny cron, a nie papierową obietnicę.

Klient upoważnia FixVibe do zaangażowania Podprzetwarzających wymienionych w Polityce prywatności w opisanych tam celach. FixVibe zawiera pisemną umowę z każdym Podprzetwarzającym, nakładającą obowiązki ochrony danych nie mniej ochronne niż te zawarte w niniejszym Załączniku, i pozostaje odpowiedzialny wobec Klienta za działania i zaniechania Podprzetwarzającego w odniesieniu do jego przetwarzania Danych osobowych.

FixVibe powiadomi Klienta (za pośrednictwem powiadomienia w aplikacji lub e-mailem) o zamierzonym dodaniu lub zastąpieniu Podprzetwarzających co najmniej 30 dni wcześniej, dając Klientowi możliwość wyrażenia sprzeciwu. Jeśli Klient wyrazi sprzeciw na uzasadnionych podstawach ochrony danych, może rozwiązać Usługę w odniesieniu do przetwarzania, którego dotyczy sprzeciw.

FixVibe przetwarza Dane osobowe głównie w Stanach Zjednoczonych. W przypadku transferu Danych osobowych z EEA, UK lub Szwajcarii do kraju trzeciego, który nie uzyskał decyzji o adekwatności, FixVibe opiera się na:

• Standardowych Klauzulach Umownych Komisji Europejskiej (Decision (EU) 2021/914), Moduł 2 (administrator–podmiot przetwarzający), włączonych do niniejszego Załącznika przez odesłanie;
• Międzynarodowym Załączniku do Transferu Danych UK do SCC UE (lub samodzielnym IDTA), opublikowanym przez ICO;
• uzupełniającymi technicznymi i organizacyjnymi środkami bezpieczeństwa opisanymi w Sekcji 4.

Klient upoważnia FixVibe do zawarcia SCCs / IDTA z każdym dalszym Podprzetwarzającym w imieniu Klienta.

FixVibe będzie wspierać Klienta (biorąc pod uwagę charakter przetwarzania i dostępne informacje) w odpowiadaniu na wnioski osób, których dane dotyczą, na podstawie Articles 15–22 GDPR. Większość praw jest dostępna samoobsługowo pod adresem Konto → Prywatność; w pozostałych przypadkach Klient może wysłać e-mail na adres support@fixvibe.app z tematem „Privacy request“. Odpowiadamy w ciągu 30 dni.

FixVibe powiadomi Klienta bez zbędnej zwłoki (w każdym razie w ciągu 72 godzin od powzięcia wiadomości) o naruszeniu ochrony Danych osobowych dotyczącym Danych osobowych Klienta, dostarczając informacji, których Klient racjonalnie potrzebuje w celu wypełnienia własnych obowiązków wynikających z Article 33 / 34, w tym o charakterze naruszenia, kategoriach i przybliżonej liczbie osób, których dane dotyczą, i rekordów, których dotyczy, prawdopodobnych konsekwencjach oraz podjętych lub proponowanych środkach zaradczych.

FixVibe udostępnia Klientowi informacje niezbędne do wykazania zgodności z niniejszym Załączniku, w tym niniejszy dokument, Politykę prywatności, Politykę dopuszczalnego użytkowania, Warunki i wszelkie raporty bezpieczeństwa stron trzecich (udostępnimy je na żądanie na podstawie NDA). FixVibe umożliwi i wesprze audyty, w tym inspekcje, przeprowadzane przez Klienta lub innego audytora wyznaczonego przez Klienta, za rozsądnym uprzednim powiadomieniem i w godzinach pracy, nie częściej niż raz w roku kalendarzowym (z wyjątkiem przypadków wymaganych przez organ regulacyjny lub w przypadku naruszenia ochrony Danych osobowych).

Po rozwiązaniu Usługi, zgodnie z wyborem Klienta, FixVibe usunie lub zwróci wszystkie Dane osobowe przetworzone w imieniu Klienta w ciągu 30 dni, z wyjątkiem przypadków, gdy FixVibe jest zobowiązany przez obowiązujące prawo do ich przechowywania (np. dokumentacja podatkowa / rozliczeniowa). Samoobsługowy proces usuwania konta pod adresem Konto → Prywatność uruchamia to natychmiast.

Na potrzeby CCPA FixVibe jest „Dostawcą usług“, a Klient jest „Podmiotem“ w odniesieniu do wszelkich Informacji osobowych przetwarzanych na podstawie niniejszego Załącznika. FixVibe nie będzie:

• sprzedawać ani udostępniać (zgodnie z definicjami tych terminów w CCPA) Informacji osobowych;
• przechowywać, wykorzystywać ani ujawniać Informacji osobowych w celach innych niż szczegółowy cel biznesowy polegający na świadczeniu Usługi, w tym poza bezpośrednią relacją biznesową między FixVibe a Klientem;
• łączyć Informacji osobowych otrzymanych od Klienta z Informacjami osobowymi otrzymanymi z jakiegokolwiek innego źródła, z wyjątkiem przypadków wyraźnie dozwolonych przez CCPA.

FixVibe potwierdza, że rozumie i będzie przestrzegać tych ograniczeń.

W przypadku konfliktu między niniejszym Załącznikiem a Warunkami świadczenia usług, niniejszy Załącznik ma pierwszeństwo w zakresie konfliktu. SCCs / IDTA mają pierwszeństwo przed oboma dokumentami tam, gdzie mają zastosowanie.

W przypadku wszystkich spraw dotyczących ochrony danych, w tym wykonywania praw osób, których dane dotyczą, i zapytań dotyczących Podprzetwarzających, prosimy o kontakt z EGO HERO LLC:

• e-mail: support@fixvibe.app (użyj tematu „DPA“ dla sprawniejszego przekierowania)
• adres pocztowy: dostępny na żądanie pod powyższym adresem e-mail