การประมวลผลข้อมูล ภาคผนวก

คำที่ขึ้นต้นด้วยตัวพิมพ์ใหญ่ซึ่งไม่ได้นิยามไว้ที่นี่มีความหมายตามที่ให้ไว้ใน GDPR (Regulation (EU) 2016/679) และหากมีการบังคับใช้ ตาม UK GDPR / Data Protection Act 2018, California Consumer Privacy Act ซึ่งแก้ไขเพิ่มเติมโดย CPRA (“CCPA”) และกฎหมายที่เทียบเคียงกันของเขตอำนาจศาลอื่น

“ข้อมูลส่วนบุคคล” หมายถึงข้อมูลที่ลูกค้าส่งมาหรือเกิดจากบริการซึ่งระบุหรือเกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวตนได้หรืออาจระบุตัวตนได้ “ผู้ประมวลผลย่อย” หมายถึงบุคคลที่สามที่ FixVibe ว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคลในนามของ FixVibe — ระบุไว้ที่/legal/privacy

แต่ละฝ่ายรับผิดชอบการปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่ใช้บังคับกับตนโดยอิสระ ลูกค้าคือผู้ควบคุม และ FixVibe คือผู้ประมวลผลข้อมูลส่วนบุคคลที่ประมวลผลภายใต้ภาคผนวกนี้ FixVibe จะประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่เป็นเอกสารของลูกค้าเท่านั้น (การกำหนดค่าบริการถือเป็นคำสั่งดังกล่าว) ยกเว้นกรณีที่กฎหมายกำหนดให้ปฏิบัติเป็นอย่างอื่น

FixVibe ดูแลให้บุคลากรที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลมีพันธกรณีการรักษาความลับ การเข้าถึงข้อมูลการผลิตถูกจำกัดเฉพาะกลุ่มบุคลากรด้านปฏิบัติการที่มีสิทธิ์น้อยที่สุด บันทึกผ่าน audit_logs และตรวจสอบเป็นระยะ พนักงาน FixVibe จะไม่เข้าถึงข้อมูลลูกค้าเว้นแต่เพื่อตรวจสอบตั๋วสนับสนุน ตอบสนองต่อเหตุการณ์ด้านความปลอดภัย หรือปฏิบัติตามกระบวนการทางกฎหมาย

FixVibe ดำเนินการตามมาตรการทางเทคนิคและองค์กรที่เหมาะสมสอดคล้องกับ GDPR Art. 32 ได้แก่:

• การเข้ารหัสข้อมูลส่วนบุคคลระหว่างการส่ง (TLS 1.2+) และระหว่างการจัดเก็บ (การเข้ารหัสระดับดิสก์ฐานข้อมูล + การเข้ารหัสระดับคอลัมน์เฉพาะด้วย AES-256-GCM สำหรับส่วนหัวการสแกนที่ผ่านการยืนยันตัวตนและโทเคน OAuth);
• การบังคับใช้ row-level security บนทุกตารางฐานข้อมูล — โค้ดแอปพลิเคชันไม่สามารถอ่านหรือเขียนข้ามขอบเขตองค์กรได้แม้โดยไม่ตั้งใจ;
• การยืนยันตัวตนแบบหลายปัจจัยต่อผู้ใช้ผ่านผู้ให้บริการ OAuth ต้นทาง (Google หรือ GitHub) เมื่อลูกค้าเลือกการเข้าสู่ระบบด้วยบัญชีโซเชียล;
• การวิเคราะห์แบบ static และการสแกนช่องโหว่การพึ่งพาของโค้ดเบส FixVibe เองอย่างต่อเนื่อง;
• การสำรองข้อมูลผ่านผู้ให้บริการฐานข้อมูลพร้อมการกู้คืน ณ จุดเวลา ทดสอบทุกปี;
• ระยะเวลาการเก็บรักษาที่กำหนดไว้ (ดูนโยบายความเป็นส่วนตัว) บังคับใช้โดย cron อัตโนมัติรายวัน ไม่ใช่เพียงคำมั่นสัญญา

ลูกค้าอนุญาตให้ FixVibe ว่าจ้างผู้ประมวลผลย่อยที่ระบุไว้ในนโยบายความเป็นส่วนตัวเพื่อวัตถุประสงค์ที่อธิบายไว้ที่นั่น FixVibe ทำสัญญาเป็นลายลักษณ์อักษรกับผู้ประมวลผลย่อยแต่ละรายโดยกำหนดพันธกรณีคุ้มครองข้อมูลที่ไม่น้อยกว่าที่กำหนดในภาคผนวกนี้ และยังคงรับผิดชอบต่อลูกค้าสำหรับการกระทำและการละเลยของผู้ประมวลผลย่อยในการประมวลผลข้อมูลส่วนบุคคล

FixVibe จะแจ้งลูกค้า (ผ่านการแจ้งเตือนในแอปหรืออีเมล) เกี่ยวกับการเพิ่มหรือเปลี่ยนผู้ประมวลผลย่อยที่ตั้งใจไว้ล่วงหน้าอย่างน้อย 30 วัน โดยให้โอกาสลูกค้าคัดค้าน หากลูกค้าคัดค้านด้วยเหตุผลด้านการคุ้มครองข้อมูลที่สมเหตุสมผล ลูกค้าสามารถยกเลิกบริการในส่วนที่เกี่ยวข้องกับการประมวลผลที่ได้รับผลกระทบ

FixVibe ประมวลผลข้อมูลส่วนบุคคลเป็นหลักในสหรัฐอเมริกา เมื่อมีการโอนข้อมูลส่วนบุคคลจาก EEA สหราชอาณาจักร หรือสวิตเซอร์แลนด์ไปยังประเทศที่สามที่ยังไม่ได้รับการตัดสินว่ามีความเพียงพอ FixVibe อาศัยหลักการดังนี้:

• ข้อสัญญามาตรฐานของคณะกรรมาธิการยุโรป (Decision (EU) 2021/914) โมดูล 2 (ผู้ควบคุม-ต่อ-ผู้ประมวลผล) รวมอยู่ในภาคผนวกนี้โดยอ้างอิง;
• ภาคผนวกการโอนข้อมูลระหว่างประเทศของสหราชอาณาจักรสำหรับ EU SCCs (หรือ IDTA แบบเดี่ยว) ตามที่ ICO เผยแพร่;
• มาตรการทางเทคนิคและองค์กรเสริมที่อธิบายไว้ในมาตรา 4

ลูกค้าอนุญาตให้ FixVibe ทำ SCCs / IDTA กับผู้ประมวลผลย่อยในลำดับถัดไปแต่ละรายในนามของลูกค้า

FixVibe จะช่วยเหลือลูกค้า (โดยคำนึงถึงลักษณะของการประมวลผลและข้อมูลที่มีอยู่) ในการตอบสนองต่อคำขอของเจ้าของข้อมูลภายใต้ Articles 15–22 GDPR สิทธิ์ส่วนใหญ่สามารถดำเนินการได้เองจากบัญชี → ความเป็นส่วนตัว สำหรับคำขอที่เหลือ ลูกค้าสามารถส่งอีเมลไปที่ support@fixvibe.app โดยใส่หัวเรื่อง “Privacy request” เราจะตอบกลับภายใน 30 วัน

FixVibe จะแจ้งลูกค้าโดยไม่ล่าช้าเกินสมควร (และในทุกกรณีภายใน 72 ชั่วโมงนับจากที่ทราบ) เกี่ยวกับการละเมิดข้อมูลส่วนบุคคลที่กระทบต่อข้อมูลส่วนบุคคลของลูกค้า โดยให้ข้อมูลที่ลูกค้าต้องการอย่างสมเหตุสมผลเพื่อปฏิบัติตามพันธกรณี Article 33 / 34 ของตนเอง รวมถึงลักษณะของการละเมิด หมวดหมู่และจำนวนโดยประมาณของเจ้าของข้อมูลและบันทึกที่ได้รับผลกระทบ ผลที่น่าจะเป็นไปได้ และมาตรการที่ดำเนินการหรือเสนอเพื่อแก้ไข

FixVibe จัดหาให้ลูกค้าซึ่งข้อมูลที่จำเป็นในการแสดงให้เห็นว่าสอดคล้องกับภาคผนวกนี้ รวมถึงเอกสารนี้ นโยบายความเป็นส่วนตัว นโยบายการใช้งานที่ยอมรับได้ ข้อกำหนด และรายงานความปลอดภัยจากบุคคลที่สามที่เราเก็บไว้ (เราจะแบ่งปันสิ่งเหล่านี้ภายใต้ NDA ตามคำขอ) FixVibe จะอนุญาตและมีส่วนร่วมในการตรวจสอบ รวมถึงการตรวจสอบสถานที่ ที่ดำเนินการโดยลูกค้าหรือผู้ตรวจสอบอื่นที่ลูกค้ามอบหมาย โดยแจ้งล่วงหน้าอย่างสมเหตุสมผลและในช่วงเวลาทำการ ไม่เกินหนึ่งครั้งต่อปีปฏิทิน (เว้นแต่ผู้กำกับดูแลกำหนดให้ปฏิบัติเป็นอย่างอื่น หรือในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล)

เมื่อสิ้นสุดการให้บริการ ตามทางเลือกของลูกค้า FixVibe จะลบหรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของลูกค้าภายใน 30 วัน เว้นแต่ FixVibe ถูกกำหนดโดยกฎหมายที่ใช้บังคับให้เก็บรักษาไว้ (เช่น บันทึกภาษี/การเรียกเก็บเงิน) ขั้นตอนการลบบัญชีด้วยตนเองที่บัญชี → ความเป็นส่วนตัวจะดำเนินการนี้ทันที

สำหรับวัตถุประสงค์ของ CCPA FixVibe คือ “ผู้ให้บริการ” และลูกค้าคือ “ธุรกิจ” ในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลใดๆ ที่ประมวลผลภายใต้ภาคผนวกนี้ FixVibe จะไม่:

• ขายหรือแบ่งปัน (ตามความหมายที่กำหนดภายใต้ CCPA) ข้อมูลส่วนบุคคล;
• เก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นใดนอกจากวัตถุประสงค์ทางธุรกิจเฉพาะในการให้บริการ รวมถึงนอกเหนือจากความสัมพันธ์ทางธุรกิจโดยตรงระหว่าง FixVibe และลูกค้า;
• รวมข้อมูลส่วนบุคคลที่ได้รับจากลูกค้าเข้ากับข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่น ยกเว้นที่ CCPA อนุญาตอย่างชัดแจ้ง

FixVibe รับรองว่าเข้าใจและจะปฏิบัติตามข้อจำกัดเหล่านี้

ในกรณีที่มีความขัดแย้งระหว่างภาคผนวกนี้กับข้อกำหนดในการให้บริการ ภาคผนวกนี้มีความสำคัญเหนือกว่าในขอบเขตของความขัดแย้ง SCCs / IDTA มีความสำคัญเหนือกว่าทั้งสองในที่ที่นำมาใช้

สำหรับเรื่องการคุ้มครองข้อมูลทั้งหมด รวมถึงการใช้สิทธิ์ของเจ้าของข้อมูลและการสอบถามเกี่ยวกับผู้ประมวลผลย่อย โปรดติดต่อ EGO HERO LLC:

• อีเมล: support@fixvibe.app (ใส่หัวเรื่อง “DPA” เพื่อการจัดเส้นทาง)
• ที่อยู่ไปรษณีย์: สามารถขอได้ผ่านอีเมลข้างต้น