Prelucrarea Datelor Anexă

Termenii cu majusculă care nu sunt definiți aici au înțelesul dat în GDPR (Regulation (EU) 2016/679) și, unde este aplicabil, în UK GDPR / Data Protection Act 2018, în California Consumer Privacy Act astfel cum a fost modificat prin CPRA („CCPA”) și în legile echivalente din alte jurisdicții.

„Date cu caracter personal” înseamnă date transmise de Client sau generate de Serviciu care identifică sau se referă la o persoană fizică identificată sau identificabilă. „Subpersoană împuternicită” înseamnă un terț angajat de FixVibe pentru a prelucra Date cu caracter personal în numele FixVibe — enumerate la /legal/privacy.

Fiecare parte este responsabilă în mod independent pentru respectarea Legilor privind protecția datelor care îi sunt aplicabile. Clientul este Operatorul, iar FixVibe este Persoana împuternicită pentru prelucrarea Datelor cu caracter personal în temeiul acestei Anexe. FixVibe va prelucra Datele cu caracter personal numai pe baza instrucțiunilor documentate ale Clientului (configurarea Serviciului constituie astfel de instrucțiuni), cu excepția cazului în care legea impune altfel.

FixVibe se asigură că personalul autorizat să prelucreze Date cu caracter personal este supus unor obligații de confidențialitate. Accesul la datele de producție este restricționat la un subset cu privilegii minime al personalului operațional, înregistrat prin audit_logs și revizuit periodic. Angajații FixVibe nu accesează datele Clientului decât pentru a investiga tichete de suport, a răspunde la incidente de securitate sau a se conforma proceselor legale.

FixVibe implementează măsuri tehnice și organizatorice adecvate în conformitate cu GDPR Art. 32, inclusiv:

• criptarea Datelor cu caracter personal în tranzit (TLS 1.2+) și în repaus (criptare la nivel de disc al bazei de date + criptare AES-256-GCM la nivel de coloană pentru antetele de scanare autentificate și token-urile OAuth);
• securitate la nivel de rând forțată pe fiecare tabel din baza de date — codul aplicației nu poate citi sau scrie peste granițele organizaționale nici din greșeală;
• autentificare multifactorială per utilizator prin furnizorul OAuth upstream (Google sau GitHub) acolo unde Clientul alege autentificarea socială;
• analiză statică continuă + scanare a vulnerabilităților dependențelor chiar ale bazei de cod FixVibe;
• copii de rezervă prin furnizorul de baze de date cu recuperare la un moment dat; testate anual;
• perioade de retenție definite (vezi Politica de confidențialitate) aplicate printr-un cron zilnic automat, nu o promisiune pe hârtie.

Clientul autorizează FixVibe să angajeze Subpersoanele împuternicite enumerate în Politica de confidențialitate în scopurile descrise acolo. FixVibe încheie un contract scris cu fiecare Subpersoană împuternicită care impune obligații de protecție a datelor cel puțin la fel de protectoare ca cele din această Anexă și rămâne răspunzător față de Client pentru actele și omisiunile Subpersoanei împuternicite în ceea ce privește prelucrarea Datelor cu caracter personal.

FixVibe va notifica Clientul (prin notificare în aplicație sau e-mail) cu privire la orice adăugare sau înlocuire intenționată de Subpersoane împuternicite cu cel puțin 30 de zile înainte, oferind Clientului posibilitatea de a obiecta. Dacă Clientul obiectează pe motive rezonabile de protecție a datelor, Clientul poate rezilia Serviciul în ceea ce privește prelucrarea afectată.

FixVibe prelucrează Date cu caracter personal în principal în Statele Unite. Unde Datele cu caracter personal sunt transferate din SEE, Regatul Unit sau Elveția către o țară terță care nu a primit o decizie de adecvare, FixVibe se bazează pe:

• Clauzele contractuale standard ale Comisiei Europene (Decision (EU) 2021/914), Modulul 2 (operator-persoană împuternicită), încorporate în această Anexă prin referință;
• Anexa pentru transferul internațional de date a Regatului Unit la CCS ale UE (sau IDTA independent), astfel cum a fost publicată de ICO;
• măsurile tehnice și organizatorice suplimentare descrise în Secțiunea 4.

Clientul autorizează FixVibe să încheie CCS / IDTA cu fiecare Subpersoană împuternicită ulterioară în numele Clientului.

FixVibe va asista Clientul (ținând cont de natura prelucrării și de informațiile disponibile) pentru a răspunde la solicitările persoanelor vizate în temeiul Articles 15–22 GDPR. Majoritatea drepturilor sunt disponibile prin autoservire din Cont → Confidențialitate; pentru solicitările reziduale, Clientul poate trimite un e-mail la support@fixvibe.app cu subiectul „Solicitare de confidențialitate”. Răspundem în termen de 30 de zile.

FixVibe va notifica Clientul fără întârzieri nejustificate (și în orice caz în termen de 72 de ore de la luarea la cunoștință) cu privire la o încălcare a securității Datelor cu caracter personal ale Clientului, furnizând informațiile pe care Clientul le solicită în mod rezonabil pentru a-și îndeplini propriile obligații conform Article 33 / 34, inclusiv natura încălcării, categoriile și numărul aproximativ de persoane vizate și înregistrări afectate, consecințele probabile și măsurile luate sau propuse pentru a o remedia.

FixVibe pune la dispoziția Clientului informațiile necesare pentru a demonstra conformitatea cu această Anexă, inclusiv acest document, Politica de confidențialitate, Politica de utilizare acceptabilă, Termenii și orice rapoarte de securitate ale terților pe care le deținem (le vom partaja sub NDA la cerere). FixVibe va permite și va contribui la audituri, inclusiv inspecții, efectuate de Client sau de un alt auditor mandatat de Client, cu notificare prealabilă rezonabilă și în timpul orelor de lucru, cel mult o dată pe an calendaristic (cu excepția cazului în care un regulator impune altfel sau în cazul unei încălcări a securității Datelor cu caracter personal).

La încetarea Serviciului și la alegerea Clientului, FixVibe va șterge sau va returna toate Datele cu caracter personal prelucrate în numele Clientului în termen de 30 de zile, cu excepția cazului în care FixVibe este obligat prin legea aplicabilă să le păstreze (de ex., evidențe fiscale / de facturare). Fluxul de autoservire pentru ștergerea contului din Cont → Confidențialitate declanșează acest lucru imediat.

În scopurile CCPA, FixVibe este un „Furnizor de servicii”, iar Clientul este o „Afacere” în ceea ce privește orice Informații personale prelucrate în temeiul acestei Anexe. FixVibe nu va:

• vinde sau partaja (în sensul în care acești termeni sunt definiți conform CCPA) Informații personale;
• păstra, utiliza sau divulga Informații personale în alt scop decât scopul de afaceri specific de furnizare a Serviciului, inclusiv în afara relației de afaceri directe dintre FixVibe și Client;
• combina Informații personale primite de la Client cu Informații personale primite din orice altă sursă, cu excepția celor permise expres de CCPA.

FixVibe certifică că înțelege și va respecta aceste restricții.

În cazul unui conflict între această Anexă și Termenii de serviciu, această Anexă prevalează în măsura conflictului. CCS / IDTA prevalează asupra ambelor acolo unde se aplică.

Pentru toate problemele de protecție a datelor, inclusiv exercitarea drepturilor persoanelor vizate și întrebări despre Subpersoanele împuternicite, contactează EGO HERO LLC:

• e-mail: support@fixvibe.app (folosește subiectul „DPA” pentru direcționare)
• adresă poștală: disponibilă la cerere prin e-mailul de mai sus