Obrada podataka Dodatak

Pojmovi s velikim početnim slovom koji ovdje nisu definirani imaju značenje dano u GDPR-u (Uredba (EU) 2016/679) i, gdje je primjenjivo, UK GDPR-u / Zakonu o zaštiti podataka 2018., Zakonu o zaštiti privatnosti potrošača Kalifornije kako je izmijenjen CPRA-om („CCPA“), i ekvivalentnim zakonima drugih jurisdikcija.

„Osobni podaci“ znači podatke koje je Klijent dostavio ili koje je Usluga generirala, a koji identificiraju ili se odnose na identificiranu ili prepoznatljivu fizičku osobu. „Podivrizvor” znači treću stranu koju je FixWeb angažirao za obradu Osobnih podataka u ime FixWeb — naveden na /legal/privacy.

Svaka stranka je neovisno odgovorna za usklađenost sa Zakonima o zaštiti podataka koji se na nju primjenjuju. Klijent je Voditelj obrade, a FixWeb je Izvršilac obrade Osobnih podataka obrađenih prema ovom Dodatku. FixWeb će obrađivati Osobne podatke samo prema dokumentiranim uputama Klijenta (konfiguracija Usluge predstavlja takve upute), osim kada to zakon zahtijeva.

FixWeb osigurava da su zaposlenici ovlašteni za obradu Osobnih podataka vezani obvezama povjerljivosti. Pristup produkcijskim podacima ograničen je na podskup operativnog osoblja s minimalnim privilegijama, evidentiran putem audit_logs i periodično pregledan. Zaposlenici FixWeb ne pristupaju podacima Klijenta osim radi istrage tiketa podrške, odgovora na sigurnosne incidente ili usklađenosti s pravnim procesom.

FixWeb implementira odgovarajuće tehničke i organizacijske mjere u skladu s GDPR čl. 32, uključujući:

• enkripciju Osobnih podataka u prijenosu (TLS 1.2+) i u mirovanju (enkripcija diska baze podataka + ciljana enkripcija stupaca AES-256-GCM za zaglavlja autentificiranog skeniranja i OAuth tokene);
• prisilnu sigurnost na razini redaka na svakoj tablici baze podataka — aplikacijski kod ne može čitati ni pisati između organizacijskih granica čak ni greškom;
• višefaktorsku autentifikaciju po korisniku putem upstream OAuth pružatelja (Google ili GitHub) gdje Klijent odabere društvenu prijavu;
• continuous static analysis + dependency scanning of the FixWeb codebase itself;
• sigurnosne kopije putem pružatelja baze podataka s vraćanjem na određeni trenutak; testirano godišnje;
• definirane periode zadržavanja (vidi Politiku privatnosti) koje provodi automatizirani dnevni cron, a ne papirno obećanje.

Klijent ovlašćuje FixWeb da angažira Podizvodioce navedene u Politici privatnosti za navedene svrhe. FixWeb sklapa pisani ugovor sa svakim Podizvođačem koji nameće obveze zaštite podataka ne manje zaštitne od onih u ovom Dodatku, i ostaje odgovoran Klijentu za postupke i propuste Podizvođača u pogledu obrade Osobnih podataka.

FixWeb će obavijestiti Klijenta (putem obavijesti u aplikaciji ili e-poštom) o bilo kakvom namjeravanom dodavanju ili zamjeni Podizvodilaca najmanje 30 dana unaprijed, dajući Klijentu mogućnost prigovora. Ako Klijent prigovori na razumnim osnovama zaštite podataka, Klijent može prekinuti Uslugu s obzirom na zahvaćenu obradu.

FixWeb obrađuje Osobne podatke primarno u Sjedinjenim Državama. Gdje se Osobni podaci prenose iz EGP-a, Ujedinjenog Kraljevstva ili Švicarske u treću zemlju koja nije dobila odluku o adekvatnosti, FixWeb se oslanja na:

• Standardne ugovorne klauzule Europske komisije (Odluka (EU) 2021/914), Modul 2 (voditelj-izvršilac), uključene u ovaj Dodatak upućivanjem;
• Međunarodni dodatak o prijenosu podataka UK-a uz EU SCC-ove (ili samostalni IDTA), kako ga je objavio ICO;
• dopunske tehničke i organizacijske mjere opisane u Odjeljku 4.

Klijent ovlašćuje FixWeb da u ime Klijenta sklopi SCC-ove / IDTA s svakim daljnjim Podizvođačem.

FixWeb će pomagati Klijentu (uzimajući u obzir prirodu obrade i dostupne informacije) da odgovori na zahtjeve ispitanika prema Člancima 15–22 GDPR-a. Većina prava dostupna je putem samoposluživanja iz Račun → Privatnost; za preostale zahtjeve, Klijent može poslati e-mail na support@fixweb.app s temom „Privacy request“. Odgovaramo u roku od 30 dana.

FixWeb će obavijestiti Klijenta bez nepotrebnog odgađanja (i u svakom slučaju unutar 72 sata od saznanja) o povredi Osobnih podataka koja utječe na Osobne podatke Klijenta, pružajući takve informacije koje Klijent razumno zahtijeva za ispunjavanje vlastitih obveza prema Člancima 33 / 34, uključujući prirodu povrede, kategorije i aproksimativni broj ispitanika i zapisa, vjerojatne posljedice i mjere poduzete ili predložene za njeno rješavanje.

FixWeb stavlja Klijentu na raspolaganje informacije potrebne za demonstraciju usklađenosti s ovim Dodatkom, uključujući ovaj dokument, Politiku privatnosti, Politiku prihvatljive upotrebe, Uvjete i sve izvještaje o sigurnosti trećih strana koje imamo (podijelit ćemo ih pod NDA-om na zahtjev). FixWeb će dopustiti i doprinijeti revizijama, uključujući inspekcije, koje provodi Klijent ili drugi revizor kojeg je Klijent ovlastio, uz razumno unaprijed dano obavještenje i u radno vrijeme, ne više od jednom po kalendarskoj godini (osim ako regulator zahtijeva drugačije ili u slučaju povrede Osobnih podataka).

Po prestanku Usluge i po izboru Klijenta, FixWeb će izbrisati ili vratiti sve Osobne podatke obrađene u ime Klijenta unutar 30 dana, osim u mjeri u kojoj je FixWeb obavezan ih zadržati prema primjenjivom zakonu (npr. porezni / računovodstveni zapisi). Tijek samoposluživanja za brisanje računa na Račun → Privatnost pokreće ovo odmah.

Za potrebe CCPA-a, FixWeb je „Pružalac usluga“, a Klijent je „Poslovanje” s obzirom na sve Osobne informacije obrađene prema ovom Dodatku. FixWeb neće:

• prodavati ili dijeliti (kako su ti pojmovi definirani prema CCPA-u) Osobne informacije;
• zadržavati, koristiti ili otkrivati Osobne informacije za bilo koju svrhu osim specifične poslovne svrhe pružanja Usluge, uključujući izvan izravnog poslovnog odnosa između FixWeb i Klijenta;
• kombinirati Osobne informacije primljene od Klijenta s Osobnim informacijama primljenim iz bilo kojeg drugog izvora, osim što je izričito dopušteno CCPA-om.

FixWeb potvrđuje da razumije i da će se pridržavati ovih ograničenja.

U slučaju sukoba između ovog Dodatka i Uvjeta korištenja, ovaj Dodatak ima prednost u mjeri sukoba. SCC-ovi / IDTA imaju prednost nad oba gdje se primjenjuju.

Za sva pitanja zaštite podataka, uključujući ostvarivanje prava ispitanika i upite o Podizvodiocima, kontaktiraj EGO HERO LLC:

• email: support@fixweb.app (koristi predmet „DPA“ za usmjeravanje)
• poštanska adresa: dostupna na zahtjev putem gornje e-mail adrese