Veri İşleme Eki

Burada tanımlanmayan büyük harfli terimler, GDPR (Regulation (EU) 2016/679) ve uygulanabilir olduğu yerlerde UK GDPR / Data Protection Act 2018, CPRA ile değiştirilmiş California Consumer Privacy Act (“CCPA”) ve diğer yargı bölgelerinin eşdeğer yasalarında verilen anlamı taşır.

“Kişisel Veri”, Müşteri tarafından gönderilen veya Hizmet tarafından oluşturulan ve tanımlanmış ya da tanımlanabilir bir gerçek kişiyi tanımlayan veya onunla ilgili olan verileri ifade eder. “Alt İşleyici”, FixVibe adına Kişisel Verileri işlemek üzere FixVibe tarafından görevlendirilen ve /legal/privacy adresinde listelenen üçüncü tarafı ifade eder.

Her taraf, kendi için geçerli olan Veri Koruma Yasalarına uyum konusunda bağımsız olarak sorumludur. Müşteri, Denetleyici; FixVibe ise bu Ek kapsamında işlenen Kişisel Verilerin İşleyicisidir. FixVibe, Kişisel Verileri yalnızca Müşterinin belgelenmiş talimatları doğrultusunda işler (Hizmetin yapılandırması bu tür talimatlar sayılır); hukukun başka türlü gerektirdiği durumlar bunun istisnasıdır.

FixVibe, Kişisel Verileri işlemeye yetkili personelin gizlilik yükümlülükleriyle bağlı olmasını sağlar. Üretim verilerine erişim, operasyon personelinin en az ayrıcalıklı alt kümesiyle sınırlıdır, audit_logs aracılığıyla günlüğe kaydedilir ve periyodik olarak incelenir. FixVibe çalışanları, destek taleplerini araştırmak, güvenlik olaylarına yanıt vermek veya yasal gereksinimlere uymak dışında Müşteri verilerine erişmez.

FixVibe, GDPR Art. 32 ile tutarlı uygun teknik ve organizasyonel önlemleri uygular:

• Kişisel Verilerin aktarım sırasında (TLS 1.2+) ve beklemede (veritabanı disk düzeyinde + kimlik doğrulamalı tarama başlıkları ve OAuth belirteçleri için hedefli sütun düzeyinde AES-256-GCM) şifrelenmesi;
• her veritabanı tablosunda zorunlu satır düzeyinde güvenlik — uygulama kodu yanlışlıkla bile organizasyonel sınırlar arasında okuyamaz veya yazamaz;
• Müşterinin sosyal oturum açmayı seçtiği durumlarda yukarı akış OAuth sağlayıcısı (Google veya GitHub) aracılığıyla kullanıcı başına çok faktörlü kimlik doğrulama;
• FixVibe kod tabanının kendisinin sürekli statik analizi ve bağımlılık güvenlik açığı taraması;
• veritabanı sağlayıcısı aracılığıyla yedekler ve belirli bir zamana kadar kurtarma; yıllık olarak test edilir;
• bir kağıt söz değil, otomatik günlük cron tarafından uygulanan tanımlanmış saklama süreleri (bkz. Gizlilik Politikası).

Müşteri, FixVibe’ı Gizlilik Politikası’nda listelenen Alt İşleyicileri orada belirtilen amaçlar doğrultusunda devreye almak üzere yetkilendirir. FixVibe, her Alt İşleyiciyle bu Ekteki yükümlülüklerden daha az koruyucu olmayan veri koruma yükümlülükleri dayatan yazılı bir sözleşme imzalar ve Kişisel Verilerin işlenmesi açısından Alt İşleyicinin eylem ve ihmallerinden Müşteriye karşı sorumlu kalır.

FixVibe, Müşteriyi (uygulama içi bildirim veya e-posta yoluyla) Alt İşleyicilerin herhangi bir amaçlanan eklenmesi veya değiştirilmesinden en az 30 gün öncesinde haberdar eder ve Müşteriye itiraz etme fırsatı tanır. Müşteri makul veri koruma gerekçesiyle itiraz ederse, etkilenen işleme ilişkin Hizmeti sonlandırabilir.

FixVibe, Kişisel Verileri öncelikli olarak Amerika Birleşik Devletleri’nde işler. Kişisel Verilerin EEA, UK veya İsviçre’den yeterlilik kararı almamış bir üçüncü ülkeye aktarıldığı durumlarda FixVibe şunlara dayanır:

• Avrupa Komisyonu’nun Standart Sözleşme Hükümleri (Decision (EU) 2021/914), Modül 2 (denetleyiciden işleyiciye), bu Eke referansla dahil edilmiştir;
• ICO tarafından yayımlanan AB SCCs’ye UK Uluslararası Veri Transferi Eki (veya bağımsız IDTA);
• Bölüm 4’te açıklanan tamamlayıcı teknik ve organizasyonel önlemler.

Müşteri, FixVibe’ı Müşteri adına her aşağı akış Alt İşleyicisiyle SCCs / IDTA imzalamak üzere yetkilendirir.

FixVibe, Müşteriye (işlemenin niteliğini ve mevcut bilgileri göz önünde bulundurarak) Articles 15–22 GDPR kapsamındaki veri sahibi taleplerine yanıt vermesinde yardımcı olur. Hakların çoğu Hesap → Gizlilik adresinden self-servis olarak kullanılabilir; kalan talepler için Müşteri support@fixvibe.app adresine “Privacy request” konusuyla e-posta gönderebilir. 30 gün içinde yanıt veririz.

FixVibe, Müşteri Kişisel Verilerini etkileyen bir Kişisel Veri ihlalinden haberdar olduğunda gecikme olmaksızın (ve her halükarda öğrendikten sonraki 72 saat içinde) Müşteriyi bilgilendirir; Müşterinin kendi Article 33 / 34 yükümlülüklerine uymak için makul olarak ihtiyaç duyduğu bilgileri sağlar (ihlal türü, ilgili veri sahiplerinin kategorileri ve yaklaşık sayısı, olası sonuçlar ve alınan veya önerilen önlemler dahil).

FixVibe, Müşteriye bu Eke uyumu kanıtlamak için gerekli bilgileri (bu belge, Gizlilik Politikası, Kabul Edilebilir Kullanım Politikası, Şartlar ve sahip olduğumuz tüm üçüncü taraf güvenlik raporları dahil) sağlar (bunları NDA kapsamında talep üzerine paylaşacağız). FixVibe, Müşteri veya Müşteri tarafından görevlendirilen başka bir denetçi tarafından yürütülen denetimlere (incelemeler dahil), makul önceden bildirim ve mesai saatleri içinde, takvim yılı başına en fazla bir kez (düzenleyicinin aksi belirtmediği veya Kişisel Veri ihlali yaşanmadığı durumlar hariç) izin verir ve katkıda bulunur.

Hizmetin sona ermesinin ardından ve Müşterinin tercihine göre FixVibe, Müşteri adına işlenen tüm Kişisel Verileri 30 gün içinde siler veya iade eder; FixVibe’ın geçerli yasa gereği saklamak zorunda olduğu durumlar (vergi/fatura kayıtları gibi) bunun istisnasıdır. Hesap → Gizlilik adresindeki self-servis hesap silme akışı bunu anında tetikler.

CCPA amaçları doğrultusunda FixVibe, bu Ek kapsamında işlenen Kişisel Bilgiler açısından “Hizmet Sağlayıcı”, Müşteri ise “İşletme”’dir. FixVibe şunları yapmayacaktır:

• Kişisel Bilgileri satmak veya paylaşmak (CCPA’da tanımlandığı şekliyle);
• Kişisel Bilgileri, Hizmetin sağlanmasına ilişkin belirli iş amacı dışında herhangi bir amaçla (FixVibe ile Müşteri arasındaki doğrudan iş ilişkisi dışında dahil) saklamak, kullanmak veya ifşa etmek;
• Müşteriden alınan Kişisel Bilgileri başka herhangi bir kaynaktan alınan Kişisel Bilgilerle, CCPA tarafından açıkça izin verilen durumlar dışında, birleştirmek.

FixVibe bu kısıtlamaları anladığını ve bunlara uymayı kabul ettiğini teyit eder.

Bu Ek ile Hizmet Şartları arasında çakışma olması durumunda bu Ek, çakışma kapsamında öncelik taşır. SCCs / IDTA uygulandıkları yerde her ikisine de önceliği geçer.

Veri sahiplerinin haklarının kullanılması ve Alt İşleyicilere ilişkin sorular dahil tüm veri koruma konuları için EGO HERO LLC ile iletişime geç:

• e-posta: support@fixvibe.app (yönlendirme için konu satırına “DPA” yaz)
• posta adresi: yukarıdaki e-posta aracılığıyla talep üzerine sağlanır