Апрацоўка дадзеных Дадатак

Тэрміны з вялікай літары, не вызначаныя тут, маюць значэнне, прыведзенае ў GDPR (Рэгламент (ЕС) 2016/679) і, дзе гэта прымяняецца, у UK GDPR / Законе аб абароне дадзеных 2018 года, Законе аб канфідэнцыяльнасці спажыўцоў Каліфорніі ў рэдакцыі CPRA («CCPA») і эквівалентных законах іншых юрысдыкцый.

«Персанальныя дадзеныя» азначаюць дадзеныя, пададзеныя Кліентам або сфарміраваныя Паслугай, якія ідэнтыфікуюць або адносяцца да ідэнтыфікаванай або ідэнтыфікавальнай фізічнай асобы. «Падапрацоўшчык» азначае трэцяй боку, прыцягнуты FixWeb для апрацоўкі Персанальных дадзеных ад імя FixWeb — пералічаны на /legal/privacy.

Кожны бок самастойна нясе адказнасць за выкананне Законаў аб абароне дадзеных, якія прымяняюцца да яго. Кліент з'яўляецца Кантролёрам, а FixWeb — Апрацоўшчыкам Персанальных дадзеных, апрацоўваных у рамках гэтага Дадатка. FixWeb будзе апрацоўваць Персанальныя дадзеныя толькі згодна з задакументаванымі інструкцыямі Кліента (канфігурацыя Паслугі складае такія інструкцыі), за выключэннем выпадкаў, калі гэтага патрабуе закон.

FixWeb гарантуе, что персанал, упаўнаважаны апрацоўваць Персанальныя дадзеныя, звязаны абавязацельствамі канфідэнцыяльнасці. Доступ да вытворчых дадзеных абмежаваны падмноствам аперацыйнага персаналу з мінімальнымі прывілеямі, фіксуецца праз audit_logs і перыядычна праглядаецца. Супрацоўнікі FixWeb не маюць доступу да дадзеных Кліента, за выключэннем выпадкаў расследавання тыкетаў падтрымкі, рэагавання на інцыдэнты бяспекі або выканання патрабаванняў закону.

FixWeb рэалізуе адпаведныя тэхнічныя і арганізацыйныя меры ў адпаведнасці з GDPR Арт. 32, у тым ліку:

• шыфраванне Персанальных дадзеных пры перадачы (TLS 1.2+) і ў стане спакою (шыфраванне дыска базы дадзеных + мэтавае шыфраванне слупкоў AES-256-GCM для загалоўкаў аўтэнтыфікаванага сканавання і токенаў OAuth);
• прымусовая бяспека на ўзроўні радкоў у кожнай табліцы базы дадзеных — код прыкладання не можа чытаць або запісваць праз арганізацыйныя межы нават памылкова;
• шматфактарная аўтэнтыфікацыя для кожнага карыстальніка праз правайдэра OAuth (Google або GitHub), калі Кліент выбірае сацыяльны ўваход;
• continuous static analysis + dependency scanning of the FixWeb codebase itself;
• рэзервовыя копіі праз правайдэра базы дадзеных з аднаўленнем да пэўнага моманту часу; тэстуецца штогадова;
• вызначаныя тэрміны захавання (гл. Палітыку прыватнасці), выкананыя аўтаматычным штодзённым cron, а не папяровай абяцалкай.

Кліент упаўнаважвае FixWeb прыцягваць Падапрацоўшчыкаў, пералічаных у Палітыцы прыватнасці, для мэт, апісаных там. FixWeb заключае пісьмовы дагавор з кожным Падапрацоўшчыкам, які ўскладае абавязальствы па абароне дадзеных не менш абарончыя, чым у гэтым Дадатку, і застаецца адказным перад Кліентам за дзеянні і бяздзеянні Падапрацоўшчыка ў дачыненні да апрацоўкі Персанальных дадзеных.

FixWeb паведаміць Кліенту (праз паведамленне ў прыкладанні або па электроннай пошце) аб любым меркаваным дабаўленні або замене Падапрацоўшчыкаў не менш чым за 30 дзён, даючы Кліенту магчымасць выказаць пярэчанні. Калі Кліент выказвае пярэчанні па абгрунтаваных падставах абароны дадзеных, Кліент можа спыніць Паслугу ў дачыненні да закранутай апрацоўкі.

FixWeb апрацоўвае Персанальныя дадзеныя пераважна ў Злучаных Штатах. Калі Персанальныя дадзеныя перадаюцца з ЕЭЗ, Вялікабрытаніі або Швейцарыі ў трэцюю краіну, якая не атрымала рашэнне аб адэкватнасці, FixWeb абапіраецца на:

• Стандартныя дагаворныя статьи Еўрапейскай камісіі (Рашэнне (ЕС) 2021/914), Модуль 2 (кантролёр-апрацоўшчык), уключаныя ў гэты Дадатак па спасылцы;
• Міжнародны дадатак аб перадачы дадзеных Вялікабрытаніі да Стандартных дагаворных статей ЕС (або самастойны IDTA), апублікаваны ICO;
• дадатковыя тэхнічныя і арганізацыйныя меры, апісаныя ў Раздзеле 4.

Кліент упаўнаважвае FixWeb заключаць SCCs / IDTA з кожным наступным Падапрацоўшчыкам ад імя Кліента.

FixWeb будзе дапамагаць Кліенту (з улікам характару апрацоўкі і даступнай інфармацыі) адказваць на запыты суб'ектаў дадзеных у адпаведнасці са Артыкуламі 15–22 GDPR. Большасць правоў даступна ў рэжыме самаабслугоўвання з Акаўнт → Прыватнасць; для рэзідуальных запытаў Кліент можа адправіць ліст на support@fixweb.app з тэмай «Privacy request». Мы адказваем у цягу 30 дзён.

FixWeb паведаміць Кліенту без непатрэбнай затрымкі (і ў любым выпадку на працягу 72 гадзін з моманту выяўлення) аб парушэнні Персанальных дадзеных, якое закранае Персанальныя дадзеныя Кліента, прадастаўляючы такую інфармацыю, якая Кліенту разумна патрабуецца для выканання ўласных абавязацельстваў паводле Артыкулаў 33 / 34, уключаючы характар парушэння, катэгорыі і прыблізную колькасць суб'ектаў дадзеных і запісаў, верагодныя наступствы і меры, прынятыя або прапанаваныя для яго ліквідацыі.

FixWeb прадастаўляе Кліенту інфармацыю, неабходную для дэманстрацыі выканання гэтага Дадатка, уключаючы гэты дакумент, Палітыку прыватнасці, Палітыку прымальнага выкарыстання, Умовы і любыя справаздачы аб бяспецы трэціх бакоў (мы падзелімся імі пад NDA па запыце). FixWeb дазволіць і будзе садзейнічаць аўдытам, у тым ліку праверкам, праводзімым Кліентам або іншым аўдытарам, мандатаваным Кліентам, пры дастатковым папярэджанні і ў рабочы час, не часцей аднаго разу ў каляндарны год (за выключэннем выпадкаў, калі рэгулятар патрабуе іначай або ў выпадку парушэння Персанальных дадзеных).

Пасля спынення Паслугі і па выбары Кліента FixWeb выдаліць або верне ўсе Персанальныя дадзеныя, апрацаваныя ад імя Кліента, у цягу 30 дзён, за выключэннем выпадкаў, калі FixWeb абавязаны захоўваць іх паводле прымяняльнага закону (напрыклад, падатковыя / бухгалтарскія запісы). Паток самаабслугоўвання па выдаленні акаўнта на Акаўнт → Прыватнасць запускае гэта неадкладна.

Для мэт CCPA FixWeb з'яўляецца «Пастаўшчыком паслуг», а Кліент — «Бізнесам» у дачыненні да любой Персанальнай інфармацыі, апрацаванай у рамках гэтага Дадатка. FixWeb не будзе:

• прадаваць або дзяліцца (у значэнні гэтых тэрмінаў згодна з CCPA) Персанальнай інфармацыяй;
• захоўваць, выкарыстоўваць або раскрываць Персанальную інфармацыю для любых мэт, акрамя канкрэтнай дзелавой мэты прадастаўлення Паслугі, у тым ліку па-за прамымі дзелавымі адносінамі паміж FixWeb і Кліентам;
• аб'ядноўваць Персанальную інфармацыю, атрыманую ад Кліента, з Персанальнай інфармацыяй, атрыманай з любога іншага крыніцы, за выключэннем выпадкаў, прама дазволеных CCPA.

FixWeb пацвярджае, что разумее і будзе выконваць гэтыя абмежаванні.

У выпадку супярэчнасці паміж гэтым Дадаткам і Умовамі абслугоўвання гэты Дадатак мае прымат у меры гэтай супярэчнасці. SCCs / IDTA маюць прымат над абодвума там, дзе яны прымяняюцца.

Па ўсіх пытаннях абароны дадзеных, уключаючы рэалізацыю правоў суб'ектаў дадзеных і запыты аб Падапрацоўшчыках, звяртайся да EGO HERO LLC:

• электронная пошта: support@fixweb.app (выкарыстоўвай тэму «DPA» для маршрутызацыі)
• паштовы адрас: даступны па запыце праз указаную вышэй электронную пошту