Обробка даних Доповнення

Терміни з великої літери, що не визначені тут, мають значення, надане GDPR (Regulation (EU) 2016/679) і, де застосовно, UK GDPR / Data Protection Act 2018, Каліфорнійським законом про захист прав споживачів у редакції CPRA («CCPA») та відповідними законами інших юрисдикцій.

«Персональні дані» означає дані, подані Клієнтом або згенеровані Послугою, що ідентифікують або відносяться до ідентифікованої чи ідентифікованої фізичної особи. «Суб-обробник» означає третю сторону, залучену FixVibe для обробки Персональних даних від імені FixVibe — наведено на /legal/privacy.

Кожна сторона несе незалежну відповідальність за дотримання Законів про захист даних, що застосовуються до неї. Клієнт є Контролером, а FixVibe є Обробником Персональних даних, що обробляються за цим Доповненням. FixVibe буде обробляти Персональні дані лише за задокументованими інструкціями Клієнта (конфігурація Послуги є такими інструкціями), за винятком випадків, коли цього вимагає закон.

FixVibe забезпечує, що персонал, уповноважений обробляти Персональні дані, пов'язаний зобов'язаннями конфіденційності. Доступ до виробничих даних обмежений підмножиною операційного персоналу з мінімальними привілеями, реєструється через audit_logs і періодично перевіряється. Співробітники FixVibe не отримують доступу до даних Клієнта, крім як для розслідування запитів підтримки, реагування на інциденти безпеки або виконання вимог законодавства.

FixVibe впроваджує відповідні технічні та організаційні заходи відповідно до GDPR Art. 32, зокрема:

• шифрування Персональних даних при передачі (TLS 1.2+) та у стані спокою (шифрування на рівні диска бази даних + цільове шифрування на рівні стовпця AES-256-GCM для заголовків автентифікованих сканувань та OAuth-токенів);
• примусову безпеку на рівні рядків для кожної таблиці бази даних — код застосунку не може читати або записувати через організаційні кордони навіть помилково;
• багатофакторну автентифікацію для кожного користувача через upstream OAuth-провайдера (Google або GitHub), де Клієнт обирає соціальний вхід;
• безперервний статичний аналіз + сканування вразливостей залежностей самого коду FixVibe;
• резервні копії через провайдера бази даних з відновленням до певної точки в часі; тестується щорічно;
• визначені терміни зберігання (див. Політику конфіденційності), що застосовуються автоматизованим щоденним cron, а не паперовою обіцянкою.

Клієнт уповноважує FixVibe залучати Суб-обробників, перелічених у Політиці конфіденційності, для описаних там цілей. FixVibe укладає письмовий договір з кожним Суб-обробником, що покладає зобов'язання із захисту даних не менш захисні, ніж ті, що містяться в цьому Доповненні, і залишається відповідальним перед Клієнтом за дії та бездіяльність Суб-обробника щодо обробки Персональних даних.

FixVibe повідомить Клієнта (через повідомлення в застосунку або електронною поштою) про будь-яке заплановане додавання або заміну Суб-обробників щонайменше за 30 днів, надаючи Клієнту можливість заперечити. Якщо Клієнт заперечує на обґрунтованих підставах захисту даних, Клієнт може припинити Послугу щодо відповідної обробки.

FixVibe обробляє Персональні дані переважно в Сполучених Штатах. Де Персональні дані передаються з ЄЕЗ, Великобританії або Швейцарії до третьої країни, яка не отримала рішення про адекватність, FixVibe покладається на:

• Стандартні договірні умови Європейської Комісії (Decision (EU) 2021/914), Модуль 2 (контролер-до-обробника), включені до цього Доповнення за посиланням;
• Міжнародне доповнення до передачі даних Великобританії до EU SCCs (або самостійний IDTA), опубліковане ICO;
• додаткові технічні та організаційні заходи, описані в Розділі 4.

Клієнт уповноважує FixVibe укладати SCCs / IDTA з кожним наступним Суб-обробником від імені Клієнта.

FixVibe надаватиме допомогу Клієнту (з урахуванням характеру обробки та наявної інформації) у відповіді на запити суб'єктів даних відповідно до Articles 15–22 GDPR. Більшість прав доступні для самообслуговування з Акаунт → Конфіденційність; для залишкових запитів Клієнт може надіслати листа на support@fixvibe.app з темою «Запит щодо конфіденційності». Ми відповідаємо протягом 30 днів.

FixVibe повідомить Клієнта без зайвого зволікання (і в будь-якому разі протягом 72 годин після виявлення) про порушення Персональних даних, що стосується Персональних даних Клієнта, надаючи таку інформацію, яку Клієнт розумно вимагає для виконання власних зобов'язань за Article 33 / 34, включаючи характер порушення, категорії та приблизну кількість постраждалих суб'єктів і записів, ймовірні наслідки та вжиті або запропоновані заходи для усунення.

FixVibe надає Клієнту інформацію, необхідну для демонстрації відповідності цьому Доповненню, включаючи цей документ, Політику конфіденційності, Політику прийнятного використання, Умови та будь-які звіти про безпеку третіх сторін, які ми маємо (поділимося ними під NDA на запит). FixVibe дозволить проведення аудитів, включаючи інспекції, що проводяться Клієнтом або іншим аудитором, уповноваженим Клієнтом, при розумному попередньому повідомленні та в робочий час, не більше одного разу на календарний рік (крім випадків, коли регулятор вимагає іншого або у разі порушення Персональних даних).

При припиненні Послуги та за вибором Клієнта FixVibe видалить або поверне всі Персональні дані, що обробляються від імені Клієнта, протягом 30 днів, за винятком випадків, коли застосовне законодавство зобов'язує FixVibe зберігати їх (наприклад, податкові / бухгалтерські записи). Самообслуговуваний процес видалення акаунту в Акаунт → Конфіденційність запускає це негайно.

Для цілей CCPA FixVibe є «Постачальником послуг», а Клієнт є «Бізнесом» щодо будь-якої Особистої інформації, що обробляється за цим Доповненням. FixVibe не буде:

• продавати або ділитися (як ці терміни визначені за CCPA) Особистою інформацією;
• зберігати, використовувати або розкривати Особисту інформацію для будь-якої мети, крім конкретної ділової мети надання Послуги, включаючи поза межами прямих ділових відносин між FixVibe і Клієнтом;
• об'єднувати Особисту інформацію, отриману від Клієнта, з Особистою інформацією, отриманою з будь-якого іншого джерела, крім випадків, прямо дозволених CCPA.

FixVibe підтверджує, що розуміє і дотримуватиметься цих обмежень.

У разі конфлікту між цим Доповненням і Умовами використання це Доповнення має пріоритет у межах конфлікту. SCCs / IDTA мають пріоритет над обома там, де вони застосовуються.

З усіх питань захисту даних, включаючи реалізацію прав суб'єктів даних та запити щодо Суб-обробників, звертайся до EGO HERO LLC:

• електронна пошта: support@fixvibe.app (використовуй тему «DPA» для маршрутизації)
• поштова адреса: надається на запит через вказану вище адресу електронної пошти