דאַטן פּראָצעסירונג צוגאָב

טערמינען מיט הויפּט אותיות וואָס ווערן דאָ ניט דעפֿינירט האָבן דעם טײַטש געגעבן אין GDPR (Regulation (EU) 2016/679) און, וווּ צולייגלעך, דעם UK GDPR / Data Protection Act 2018, דעם California Consumer Privacy Act ווי געענדערט דורך CPRA (“CCPA”), און גלײַכווערטיקע געזעצן פֿון אַנדערע יוריסדיקציעס.

“פּערזענלעכע דאַטן” מיינט דאַטן וואָס דער קונה שיקט אַרײַן אָדער וואָס דער סערוויס שאַפֿט, וואָס אידענטיפֿיצירן אָדער באַציען זיך צו אַן אידענטיפֿיצירטן אָדער אידענטיפֿיצירבאַרן נאַטירלעכן מענטש. “סאַב-פּראָצעסירער” מיינט אַ דריטן צד וואָס FixVibe נעמט אַרײַן צו פּראָצעסירן פּערזענלעכע דאַטן אין נאָמען פֿון FixVibe — געליסטעט אויף /legal/privacy.

יעדע צד איז זעלבסטשטענדיק פֿאַראַנטוואָרטלעך פֿאַר נאָכקומען מיט די Data Protection Laws וואָס גייען אָן אויף איר. דער קונה איז דער קאָנטראָלירער און FixVibe איז דער פּראָצעסירער פֿון פּערזענלעכע דאַטן וואָס ווערן פּראָצעסירט אונטער דעם צוגאָב. FixVibe וועט פּראָצעסירן פּערזענלעכע דאַטן בלויז לויט די דאָקומענטירטע אינסטרוקציעס פֿון דעם קונה (די קאָנפֿיגוראַציע פֿון סערוויס באַשטייט אַזעלכע אינסטרוקציעס), חוץ וווּ געזעץ פארלאנגט אַנדערש.

FixVibe זיכערט אַז פּערסאָנעל וואָס זענען אָטאָריזירט צו פּראָצעסירן פּערזענלעכע דאַטן זענען געבונדן דורך קאָנפֿידענציעלקייט פליכטן. אַקסעס צו production דאַטן איז באַגרענעצט צו אַ least-privilege אונטערגרופּע פֿון operations פּערסאָנעל, געלאָגט דורך audit_logs, און פּעריאָדיש איבערגעקוקט. FixVibe אָנגעשטעלטע גייען ניט אַרײַן אין קונה-דאַטן חוץ צו אויספֿאָרשן support tickets, ענטפֿערן אויף security incidents, אָדער נאָכקומען מיט legal process.

FixVibe פירט אויס פּאַסיקע טעכנישע און אָרגאַניזאַציעלע מיטלען לויט GDPR Art. 32, אַרײַנגערעכנט:

• encryption פֿון פּערזענלעכע דאַטן אין טראַנסיט (TLS 1.2+) און אין רו (database disk-level + targeted column-level AES-256-GCM פֿאַר authenticated-scan headers און OAuth tokens);
• צווינגען row-level security אויף יעדן database table — application code קען ניט לייענען אָדער שרײַבן איבער אָרגאַניזאַציעלע גרענעצן אפילו בטעות;
• multi-factor authentication פֿאַר יעדן באַניצער דורך דעם upstream OAuth provider (Google אָדער GitHub) וווּ דער קונה קלײַבט social sign-in;
• קעסיידערדיק static analysis + dependency vulnerability scanning פֿון דעם FixVibe codebase זעלבסט;
• backups דורך דעם database provider מיט point-in-time recovery; טעסטירט יערלעך;
• באַשטימטע retention periods (זעט פּריוואַטקייט פּאָליסי) וואָס ווערן דורכגעפֿירט דורך אַן automated daily cron, ניט קיין הבטחה אויף פּאַפּיר.

דער קונה אָטאָריזירט FixVibe צו נעמען די סאַב-פּראָצעסירערס געליסטעט אין דער פּריוואַטקייט פּאָליסי פֿאַר די צילן דאָרטן באַשריבן. FixVibe גייט אַרײַן אין אַ שריפֿטלעכן קאָנטראַקט מיט יעדן סאַב-פּראָצעסירער וואָס לייגט אויף data-protection פליכטן ניט ווייניקער באַשיצנדיק ווי די אין דעם צוגאָב, און בלייבט פֿאַראַנטוואָרטלעך צו דעם קונה פֿאַר דעם סאַב-פּראָצעסירערס מעשים און פֿאַרלאָזונגען בנוגע זײַן פּראָצעסירן פֿון פּערזענלעכע דאַטן.

FixVibe וועט מעלדן דעם קונה (דורך in-app notice אָדער email) וועגן יעדן פּלאַנירטן צולייג אָדער פֿאַרבײַט פֿון סאַב-פּראָצעסירערס לפּחות 30 טעג פֿריִער, געבנדיק דעם קונה די מעגלעכקייט זיך אַנטקעגנצושטעלן. אויב דער קונה שטעלט זיך אַנטקעגן אויף גלייכע data-protection גרונטן, קען דער קונה אָפּזאָגן דעם סערוויס בנוגע דעם אַפעקטירטן processing.

FixVibe פּראָצעסירט פּערזענלעכע דאַטן מערסטנס אין די United States. וווּ פּערזענלעכע דאַטן ווערן טראַנספֿערירט פֿון EEA, UK, אָדער Switzerland צו אַ דריט לאַנד וואָס האָט ניט באַקומען אַן adequacy decision, פֿאַרלאָזט זיך FixVibe אויף:

• די Standard Contractual Clauses פֿון דער European Commission (Decision (EU) 2021/914), Module 2 (controller-to-processor), אַרײַנגענומען אין דעם צוגאָב דורך רעפֿערענץ;
• דעם UK International Data Transfer Addendum צו EU SCCs (אָדער דעם IDTA standalone), ווי פּובליקירט דורך ICO;
• די צוגאָבלעכע טעכנישע און אָרגאַניזאַציעלע מיטלען באַשריבן אין אָפּטייל 4.

דער קונה אָטאָריזירט FixVibe אַרײַנצוגיין אין די SCCs / IDTA מיט יעדן ווייטערדיקן סאַב-פּראָצעסירער אין נאָמען פֿון דעם קונה.

FixVibe וועט העלפֿן דעם קונה (אין באַטראַכט פון דער נאַטור פֿון processing און די פֿאַראַנענע אינפֿאָרמאַציע) צו ענטפֿערן אויף דאַטן-סוביעקט בקשות אונטער Articles 15–22 GDPR. רובֿ רעכטן זענען self-serve פֿון חשבון → פּריוואַטקייט; פֿאַר רעשטלעכע בקשות, קען דער קונה שיקן email צו support@fixvibe.app מיט subject “Privacy request”. מיר ענטפֿערן אינעם לויף פֿון 30 טעג.

FixVibe וועט מעלדן דעם קונה אָן אומנייטיקן פֿאַרשפּעטיקונג (און אין יעדן פֿאַל אין 72 שעה נאָך ווערן באַוווּסט) וועגן אַ בראָך פֿון פּערזענלעכע דאַטן וואָס אַפעקטירט קונה פּערזענלעכע דאַטן, צושטעלנדיק אַזאַ אינפֿאָרמאַציע ווי דער קונה דאַרף גלייך צו נאָכקומען מיט זײַנע Article 33 / 34 פליכטן, אַרײַנגערעכנט די נאַטור פֿון דעם בראָך, קאַטעגאָריעס און דערנענטערטע צאָל פֿון אַפעקטירטע דאַטן-סוביעקטן און רעקאָרדס, מעגלעכע נאָכקומען, און די מיטלען גענומען אָדער פֿאָרגעלייגט עס צו באַהאַנדלען.

FixVibe שטעלט צו דעם קונה די אינפֿאָרמאַציע נייטיק צו ווײַזן נאָכקומען מיט דעם צוגאָב, אַרײַנגערעכנט דעם דאָקומענט, די פּריוואַטקייט פּאָליסי, די Acceptable Use Policy, די Terms, און יעדע third-party security reports וואָס מיר האַלטן (מיר וועלן טיילן זיי אונטער NDA אויף בקשה). FixVibe וועט דערלויבן און בײַשטייערן צו audits, אַרײַנגערעכנט inspections, דורכגעפֿירט דורך דעם קונה אָדער אַן אַנדער auditor געמאַנדאַטירט דורך דעם קונה, אויף reasonable advance notice און אין business hours, ניט מער ווי איין מאָל פּער calendar year (חוץ וווּ אַ regulator פארלאנגט אַנדערש אָדער בײַ אַ בראָך פֿון פּערזענלעכע דאַטן).

בײַ אָפּשטעלן דעם סערוויס, און לויט דער אויסקלײַב פֿון דעם קונה, וועט FixVibe אויסמעקן אָדער צוריקגעבן אַלע פּערזענלעכע דאַטן פּראָצעסירט אין נאָמען פֿון דעם קונה אין 30 טעג, חוץ ביז ווי ווײַט FixVibe דאַרף לויט צולייגלעך געזעץ זיי האַלטן (למשל tax / billing records). דער self-serve account deletion flow ביי חשבון → פּריוואַטקייט טריגערט דאָס גלייך.

פֿאַר די צוועקן פֿון CCPA, איז FixVibe אַ “Service Provider” און דער קונה אַ “Business” בנוגע יעדע Personal Information פּראָצעסירט אונטער דעם צוגאָב. FixVibe וועט ניט:

• sell אָדער share (ווי די טערמינען ווערן דעפֿינירט אונטער CCPA) Personal Information;
• האַלטן, נוצן, אָדער אַנטפּלעקן Personal Information פֿאַר קיין ציל אַנדערש ווי דעם ספּעציפֿישן business purpose פֿון צושטעלן דעם סערוויס, אַרײַנגערעכנט אויסער דעם דירעקטן געשעפֿטלעכן שייכות צווישן FixVibe און דעם קונה;
• קאָמבינירן Personal Information באקומען פֿון דעם קונה מיט Personal Information באקומען פֿון קיין אַנדער מקור, חוץ ווי CCPA דערלויבט אויסדרוקלעך.

FixVibe באַשטעטיקט אַז עס פֿאַרשטייט און וועט נאָכקומען מיט די באַגרענעצונגען.

בײַ אַ קאָנפֿליקט צווישן דעם צוגאָב און די טערמינען פֿון סערוויס, האָט דער צוגאָב פֿאָרראַנג ביז דער מאָס פֿון קאָנפֿליקט. די SCCs / IDTA האָבן פֿאָרראַנג איבער ביידע וווּ זיי גייען אָן.

פֿאַר אַלע data-protection ענינים, אַרײַנגערעכנט אויסאיבן פֿון דאַטן-סוביעקט רעכטן און אָנפֿרעגן וועגן סאַב-פּראָצעסירערס, קאָנטאַקטירט EGO HERO LLC:

• email: support@fixvibe.app (נוצט subject line “DPA” פֿאַר routing)
• postal: אַדרעס בנימצא אויף בקשה דורך דעם email אויבן