Xử lý dữ liệu Phụ lục

Các thuật ngữ viết hoa không được định nghĩa ở đây có nghĩa được quy định trong GDPR (Regulation (EU) 2016/679) và, nếu áp dụng, UK GDPR / Data Protection Act 2018, California Consumer Privacy Act được sửa đổi bởi CPRA (“CCPA”) và các luật tương đương của các khu vực pháp lý khác.

“Dữ liệu cá nhân” có nghĩa là dữ liệu do Khách hàng gửi hoặc được Dịch vụ tạo ra, xác định hoặc liên quan đến một người tự nhiên đã được xác định hoặc có thể xác định. “Bộ xử lý phụ” có nghĩa là bên thứ ba được FixVibe tham gia để xử lý Dữ liệu cá nhân thay mặt FixVibe — được liệt kê tại /legal/privacy.

Mỗi bên chịu trách nhiệm độc lập về việc tuân thủ Luật bảo vệ dữ liệu áp dụng cho mình. Khách hàng là Bộ kiểm soát và FixVibe là Bộ xử lý Dữ liệu cá nhân được xử lý theo Phụ lục này. FixVibe sẽ chỉ xử lý Dữ liệu cá nhân theo hướng dẫn có tài liệu của Khách hàng (cấu hình của Dịch vụ cấu thành các hướng dẫn đó), trừ khi pháp luật yêu cầu làm khác.

FixVibe đảm bảo nhân sự được ủy quyền xử lý Dữ liệu cá nhân bị ràng buộc bởi các nghĩa vụ bảo mật. Quyền truy cập vào dữ liệu sản xuất được giới hạn ở một tập hợp nhỏ nhân viên vận hành với đặc quyền tối thiểu, được ghi lại qua audit_logs và được xem xét định kỳ. Nhân viên FixVibe không truy cập dữ liệu Khách hàng ngoại trừ để điều tra các phiếu hỗ trợ, phản hồi các sự cố bảo mật hoặc tuân thủ quy trình pháp lý.

FixVibe thực hiện các biện pháp kỹ thuật và tổ chức phù hợp nhất quán với GDPR Art. 32, bao gồm:

• mã hóa Dữ liệu cá nhân khi truyền (TLS 1.2+) và khi lưu trữ (mã hóa đĩa cơ sở dữ liệu + mã hóa cột có mục tiêu AES-256-GCM cho các tiêu đề quét được xác thực và các token OAuth);
• bảo mật cấp hàng bắt buộc trên mỗi bảng cơ sở dữ liệu — mã ứng dụng không thể đọc hoặc ghi qua các ranh giới tổ chức ngay cả do nhầm lẫn;
• xác thực đa yếu tố cho từng người dùng qua nhà cung cấp OAuth thượng nguồn (Google hoặc GitHub) khi Khách hàng chọn đăng nhập xã hội;
• phân tích tĩnh liên tục + quét lỗ hổng phụ thuộc của chính cơ sở mã FixVibe;
• sao lưu qua nhà cung cấp cơ sở dữ liệu với khôi phục theo thời điểm; được kiểm tra hàng năm;
• các kỳ lưu giữ xác định (xem Chính sách bảo mật) được thực thi bởi cron tự động hàng ngày, không phải lời hứa trên giấy.

Khách hàng ủy quyền cho FixVibe tham gia các Bộ xử lý phụ được liệt kê trong Chính sách bảo mật cho các mục đích được mô tả ở đó. FixVibe ký hợp đồng bằng văn bản với mỗi Bộ xử lý phụ, áp đặt các nghĩa vụ bảo vệ dữ liệu không kém bảo vệ hơn các nghĩa vụ trong Phụ lục này, và vẫn chịu trách nhiệm với Khách hàng về các hành động và thiếu sót của Bộ xử lý phụ trong việc xử lý Dữ liệu cá nhân.

FixVibe sẽ thông báo cho Khách hàng (qua thông báo trong ứng dụng hoặc email) về bất kỳ việc bổ sung hoặc thay thế Bộ xử lý phụ nào dự kiến ít nhất 30 ngày trước, tạo cơ hội cho Khách hàng phản đối. Nếu Khách hàng phản đối trên cơ sở bảo vệ dữ liệu hợp lý, Khách hàng có thể chấm dứt Dịch vụ liên quan đến việc xử lý bị ảnh hưởng.

FixVibe xử lý Dữ liệu cá nhân chủ yếu ở Hoa Kỳ. Khi Dữ liệu cá nhân được chuyển từ EEA, UK hoặc Thụy Sĩ sang một nước thứ ba chưa nhận được quyết định đầy đủ, FixVibe dựa vào:

• Các điều khoản hợp đồng tiêu chuẩn của Ủy ban Châu Âu (Decision (EU) 2021/914), Mô-đun 2 (bộ kiểm soát–bộ xử lý), được tích hợp vào Phụ lục này bằng tham chiếu;
• Phụ lục chuyển giao dữ liệu quốc tế của UK đối với EU SCCs (hoặc IDTA độc lập), được ICO công bố;
• các biện pháp kỹ thuật và tổ chức bổ sung được mô tả trong Mục 4.

Khách hàng ủy quyền cho FixVibe ký kết SCCs / IDTA với mỗi Bộ xử lý phụ hạ nguồn thay mặt Khách hàng.

FixVibe sẽ hỗ trợ Khách hàng (có tính đến bản chất của việc xử lý và thông tin hiện có) để phản hồi các yêu cầu của chủ thể dữ liệu theo Articles 15–22 GDPR. Hầu hết các quyền có thể tự phục vụ từ Tài khoản → Quyền riêng tư; đối với các yêu cầu còn lại, Khách hàng có thể gửi email đến support@fixvibe.app với chủ đề “Privacy request”. Chúng tôi phản hồi trong vòng 30 ngày.

FixVibe sẽ thông báo cho Khách hàng mà không chậm trễ quá mức (và trong mọi trường hợp trong vòng 72 giờ sau khi biết) về vi phạm Dữ liệu cá nhân ảnh hưởng đến Dữ liệu cá nhân của Khách hàng, cung cấp thông tin mà Khách hàng cần hợp lý để tuân thủ các nghĩa vụ Article 33 / 34 của mình, bao gồm bản chất của vi phạm, các danh mục và số lượng gần đúng của chủ thể dữ liệu và hồ sơ liên quan, các hậu quả có thể xảy ra và các biện pháp đã thực hiện hoặc được đề xuất để giải quyết.

FixVibe cung cấp cho Khách hàng thông tin cần thiết để chứng minh sự tuân thủ Phụ lục này, bao gồm tài liệu này, Chính sách bảo mật, Chính sách sử dụng chấp nhận được, Điều khoản và bất kỳ báo cáo bảo mật của bên thứ ba nào chúng tôi có (chúng tôi sẽ chia sẻ theo NDA theo yêu cầu). FixVibe sẽ cho phép và đóng góp vào các cuộc kiểm toán, bao gồm kiểm tra, được Khách hàng hoặc kiểm toán viên khác được Khách hàng ủy nhiệm tiến hành, với thông báo hợp lý trước và trong giờ làm việc, không quá một lần mỗi năm dương lịch (trừ trường hợp cơ quan quản lý yêu cầu khác hoặc trong trường hợp vi phạm Dữ liệu cá nhân).

Khi chấm dứt Dịch vụ, và theo lựa chọn của Khách hàng, FixVibe sẽ xóa hoặc trả lại tất cả Dữ liệu cá nhân được xử lý thay mặt Khách hàng trong vòng 30 ngày, trừ khi FixVibe được pháp luật hiện hành yêu cầu lưu giữ (ví dụ: hồ sơ thuế / thanh toán). Quy trình xóa tài khoản tự phục vụ tại Tài khoản → Quyền riêng tư sẽ kích hoạt điều này ngay lập tức.

Cho mục đích của CCPA, FixVibe là “Nhà cung cấp dịch vụ” và Khách hàng là “Doanh nghiệp” liên quan đến bất kỳ Thông tin cá nhân nào được xử lý theo Phụ lục này. FixVibe sẽ không:

• bán hoặc chia sẻ (theo định nghĩa của các thuật ngữ đó trong CCPA) Thông tin cá nhân;
• lưu giữ, sử dụng hoặc tiết lộ Thông tin cá nhân cho bất kỳ mục đích nào khác ngoài mục đích kinh doanh cụ thể là cung cấp Dịch vụ, kể cả bên ngoài mối quan hệ kinh doanh trực tiếp giữa FixVibe và Khách hàng;
• kết hợp Thông tin cá nhân nhận được từ Khách hàng với Thông tin cá nhân nhận được từ bất kỳ nguồn nào khác, trừ khi được CCPA cho phép rõ ràng.

FixVibe xác nhận rằng mình hiểu và sẽ tuân thủ các hạn chế này.

Trong trường hợp có xung đột giữa Phụ lục này và Điều khoản dịch vụ, Phụ lục này sẽ có hiệu lực trong phạm vi xung đột. SCCs / IDTA có hiệu lực hơn cả hai ở nơi chúng áp dụng.

Đối với tất cả các vấn đề bảo vệ dữ liệu, bao gồm việc thực hiện quyền của chủ thể dữ liệu và các câu hỏi về Bộ xử lý phụ, hãy liên hệ EGO HERO LLC:

• email: support@fixvibe.app (sử dụng dòng chủ đề “DPA” để định tuyến)
• bưu chính: địa chỉ có theo yêu cầu qua email trên