Обработка данных Дополнение

Термины с заглавной буквы, не определённые здесь, имеют значение, указанное в GDPR (Regulation (EU) 2016/679) и, где применимо, в UK GDPR / Data Protection Act 2018, в Законе Калифорнии о защите прав потребителей с поправками CPRA («CCPA»), а также в эквивалентных законах других юрисдикций.

«Персональные данные» означают данные, предоставленные Клиентом или сгенерированные Сервисом, которые идентифицируют или относятся к идентифицированному либо идентифицируемому физическому лицу. «Субобработчик» означает третью сторону, привлечённую FixVibe для обработки Персональных данных от имени FixVibe, — перечислена в /legal/privacy.

Каждая из сторон самостоятельно несёт ответственность за соблюдение применимого к ней законодательства о защите данных. Клиент является Контролёром, а FixVibe — Обработчиком Персональных данных, обрабатываемых по настоящему Дополнению. FixVibe обрабатывает Персональные данные только согласно задокументированным инструкциям Клиента (конфигурация Сервиса представляет собой такие инструкции), за исключением случаев, когда иное требуется по закону.

FixVibe обеспечивает, что персонал, уполномоченный обрабатывать Персональные данные, связан обязательствами о конфиденциальности. Доступ к производственным данным ограничен минимально привилегированным подмножеством операционного персонала, логируется через audit_logs и периодически проверяется. Сотрудники FixVibe не получают доступ к данным Клиента, кроме как для расследования обращений в поддержку, реагирования на инциденты безопасности или выполнения требований правовых процессов.

FixVibe внедряет надлежащие технические и организационные меры в соответствии с GDPR Art. 32, включая:

• шифрование Персональных данных при передаче (TLS 1.2+) и в состоянии покоя (шифрование диска на уровне БД + целевое шифрование на уровне столбцов AES-256-GCM для заголовков аутентифицированных сканирований и OAuth-токенов);
• принудительную безопасность на уровне строк для каждой таблицы базы данных — код приложения не может читать или записывать данные через границы организации даже случайно;
• многофакторную аутентификацию для каждого пользователя через вышестоящего OAuth-провайдера (Google или GitHub) при использовании Клиентом входа через социальные сети;
• непрерывный статический анализ и сканирование уязвимостей зависимостей самой кодовой базы FixVibe;
• резервное копирование через провайдера базы данных с восстановлением на определённый момент времени; проверяется ежегодно;
• определённые сроки хранения (см. Политику конфиденциальности), обеспечиваемые автоматическим ежедневным заданием, а не только обещанием.

Клиент уполномочивает FixVibe привлекать Субобработчиков, перечисленных в Политике конфиденциальности, для целей, описанных там. FixVibe заключает письменный договор с каждым Субобработчиком, налагая обязательства по защите данных не менее строгие, чем предусмотренные настоящим Дополнением, и остаётся ответственным перед Клиентом за действия и бездействие Субобработчика в части обработки Персональных данных.

FixVibe уведомляет Клиента (через уведомление в приложении или по электронной почте) о любом планируемом добавлении или замене Субобработчиков не менее чем за 30 дней, предоставляя Клиенту возможность возразить. Если Клиент возражает по обоснованным причинам защиты данных, Клиент вправе прекратить использование Сервиса в части затронутой обработки.

FixVibe обрабатывает Персональные данные преимущественно в Соединённых Штатах. В случае передачи Персональных данных из EEA, UK или Швейцарии в третью страну, не получившую решения об адекватности, FixVibe опирается на:

• Стандартные договорные положения Европейской комиссии (Decision (EU) 2021/914), Модуль 2 (контролёр — обработчик), включённые в настоящее Дополнение посредством ссылки;
• Дополнение к международной передаче данных Великобритании к EU SCCs (или самостоятельный IDTA), опубликованное ICO;
• дополнительные технические и организационные меры, описанные в Разделе 4.

Клиент уполномочивает FixVibe заключать SCCs / IDTA с каждым последующим Субобработчиком от имени Клиента.

FixVibe оказывает Клиенту содействие (с учётом характера обработки и имеющейся информации) в ответе на запросы субъектов данных по Articles 15–22 GDPR. Большинство прав реализуется в режиме самообслуживания через Аккаунт → Конфиденциальность; для остальных запросов Клиент может написать на support@fixvibe.app с темой «Privacy request». Мы отвечаем в течение 30 дней.

FixVibe уведомляет Клиента без излишней задержки (и в любом случае в течение 72 часов с момента обнаружения) о нарушении безопасности Персональных данных, затрагивающем Персональные данные Клиента, предоставляя информацию, которая разумно необходима Клиенту для выполнения собственных обязательств по Article 33 / 34, включая характер нарушения, категории и приблизительное количество затронутых субъектов данных и записей, вероятные последствия, а также принятые или предлагаемые меры по его устранению.

FixVibe предоставляет Клиенту информацию, необходимую для подтверждения соответствия настоящему Дополнению, включая данный документ, Политику конфиденциальности, Правила приемлемого использования, Условия использования и любые имеющиеся у нас сторонние отчёты по безопасности (мы предоставим их по запросу на условиях NDA). FixVibe допускает и содействует проведению аудитов, включая проверки, осуществляемые Клиентом или иным аудитором, уполномоченным Клиентом, при разумном предварительном уведомлении и в рабочее время, не чаще одного раза в календарный год (за исключением случаев, когда регулятор требует иного или в случае нарушения безопасности Персональных данных).

При прекращении действия Сервиса и по выбору Клиента FixVibe удаляет или возвращает все Персональные данные, обработанные от имени Клиента, в течение 30 дней, за исключением случаев, когда FixVibe обязан сохранить их по применимому закону (например, налоговые / бухгалтерские записи). Самостоятельное удаление аккаунта через Аккаунт → Конфиденциальность запускает этот процесс немедленно.

В целях CCPA FixVibe является «Поставщиком услуг», а Клиент — «Бизнесом» в отношении любой Персональной информации, обрабатываемой по настоящему Дополнению. FixVibe не будет:

• продавать или передавать (в значении этих терминов согласно CCPA) Персональную информацию;
• хранить, использовать или раскрывать Персональную информацию в иных целях, кроме конкретной деловой цели предоставления Сервиса, включая за пределами прямых деловых отношений между FixVibe и Клиентом;
• объединять Персональную информацию, полученную от Клиента, с Персональной информацией из любого другого источника, кроме случаев, прямо разрешённых CCPA.

FixVibe подтверждает, что понимает и будет соблюдать эти ограничения.

В случае противоречия между настоящим Дополнением и Условиями использования, настоящее Дополнение имеет приоритет в части такого противоречия. SCCs / IDTA имеют приоритет над обоими там, где они применяются.

По всем вопросам защиты данных, включая реализацию прав субъектов данных и запросы о Субобработчиках, обращайся в EGO HERO LLC:

• email: support@fixvibe.app (укажи тему «DPA» для маршрутизации)
• почтовый адрес: предоставляется по запросу через указанный выше email