ડેટા પ્રોસેસિંગ પરિશિષ્ટ

અહીં વ્યાખ્યાયિત ન કરેલા મોટા અક્ષરથી શરૂ થતા શબ્દોને GDPR (Regulation (EU) 2016/679) માં આપેલો અર્થ લાગુ પડે છે અને, જ્યાં લાગુ પડે ત્યાં, UK GDPR / Data Protection Act 2018, CPRA દ્વારા સુધારેલ California Consumer Privacy Act (“CCPA”), અને અન્ય અધિકારક્ષેત્રોના સમકક્ષ કાયદા લાગુ પડે છે.

“વ્યક્તિગત ડેટા” એટલે ગ્રાહક દ્વારા સબ્મિટ કરાયેલ અથવા સેવા દ્વારા જનરેટ થયેલો એવો ડેટા જે ઓળખાયેલી અથવા ઓળખી શકાય તેવી કુદરતી વ્યક્તિને ઓળખે છે અથવા તેની સાથે સંબંધિત છે. “ઉપ-પ્રોસેસર” એટલે FixWeb વતી વ્યક્તિગત ડેટા પ્રક્રિયા કરવા FixWeb દ્વારા જોડાયેલ તૃતીય પક્ષ — યાદી /legal/privacy પર છે.

દરેક પક્ષ પોતાને લાગુ પડતા ડેટા સુરક્ષા કાયદાનું પાલન કરવા સ્વતંત્ર રીતે જવાબદાર છે. ગ્રાહક કંટ્રોલર છે અને આ પરિશિષ્ટ હેઠળ પ્રક્રિયા થતા વ્યક્તિગત ડેટા માટે FixWeb પ્રોસેસર છે. FixWeb ગ્રાહકની દસ્તાવેજીકૃત સૂચનાઓ પર જ વ્યક્તિગત ડેટા પ્રક્રિયા કરશે (સેવાની કૉન્ફિગ્યુરેશન આવી સૂચનાઓ ગણીાશે), કાયદા દ્વારા અન્યથા કરવું જરૂરી હોય તે સિવાય.

FixWeb ખાતરી કરે છે કે વ્યક્તિગત ડેટા પ્રક્રિયા કરવા અધિકૃત કર્મચારીઓ ગોપનીયતા ફરજો હેઠળ બંધાયેલા છે. પ્રોડક્શન ડેટાની ઍક્સેસ ઓપરેશન્સ સ્ટાફના least-privilege ઉપસમૂહ સુધી મર્યાદિત છે, audit_logs મારફતે લૉગ થાય છે, અને સમયાંતરે સમીક્ષાય છે. FixWeb કર્મચારીઓ સપોર્ટ ટિકિટ તપાસવા, સુરક્ષા ઘટનાનો પ્રતિસાદ આપવા, અથવા કાનૂની પ્રક્રિયાનું પાલન કરવા સિવાય ગ્રાહક ડેટા ઍક્સેસ કરતા નથી.

FixWeb GDPR Art. 32 સાથે સુસંગત યોગ્ય તકનીકી અને સંગઠનાત્મક પગલાં અમલમાં મૂકે છે, જેમાં સામેલ છે:

• પરિવહન દરમિયાન (TLS 1.2+) અને સંગ્રહિત અવસ્થામાં (ડેટાબેઝ disk-level + authenticated-scan headers અને OAuth tokens માટે લક્ષિત column-level AES-256-GCM) વ્યક્તિગત ડેટાનું એન્ક્રિપ્શન;
• દરેક ડેટાબેઝ ટેબલ પર ફરજિયાત row-level security — એપ્લિકેશન કૉડ ભૂલથી પણ સંગઠન સીમાઓ પાર વાંચી અથવા લખી શકતો નથી;
• ગ્રાહક social sign-in પસંદ કરે ત્યાં upstream OAuth પ્રદાતા (Google અથવા GitHub) મારફતે પ્રતિ-વપરાશકર્તા multi-factor authentication;
• continuous static analysis + dependency scanning of the FixWeb codebase itself;
• ડેટાબેઝ પ્રદાતા મારફતે point-in-time recovery સાથે બૅકઅપ; દર વર્ષે પરીક્ષણ કરેલું;
• નિર્ધારિત જાળવણી સમયગાળા (ગોપનીયતા નીતિ જુઓ) આપમેળે ચાલતા દૈનિક cron દ્વારા અમલમાં મૂકાયેલા, કાગળ પરના વચન નહીં.

ગ્રાહક FixWeb ને ગોપનીયતા નીતિમાં યાદીબદ્ધ ઉપ-પ્રોસેસર્સને ત્યાં વર્ણવાયેલા હેતુઓ માટે જોડવાની મંજૂરી આપે છે. FixWeb દરેક ઉપ-પ્રોસેસર સાથે લેખિત કરારમાં પ્રવેશે છે જે આ પરિશિષ્ટની તુલનામાં ઓછું રક્ષણ ન આપતી ડેટા-સુરક્ષા ફરજો લાદે છે, અને વ્યક્તિગત ડેટાની પ્રક્રિયા સંબંધે ઉપ-પ્રોસેસરના કૃત્યો અને ચૂક માટે ગ્રાહક સામે જવાબદાર રહે છે.

FixWeb કોઈ પણ ઉપ-પ્રોસેસર ઉમેરવા અથવા બદલવાના ઈરાદાની જાણ ગ્રાહકને (in-app સૂચના અથવા ઇમેઇલ દ્વારા) ઓછામાં ઓછા 30 દિવસ અગાઉ કરશે, જેથી ગ્રાહકને વાંધો ઉઠાવવાનો અવસર મળે. જો ગ્રાહક વાજબી ડેટા-સુરક્ષા કારણોસર વાંધો ઉઠાવે, તો ગ્રાહક અસરગ્રસ્ત પ્રક્રિયા સંબંધે સેવા સમાપ્ત કરી શકે છે.

FixWeb વ્યક્તિગત ડેટાની પ્રક્રિયા મુખ્યત્વે United States માં કરે છે. જ્યાં વ્યક્તિગત ડેટા EEA, UK, અથવા Switzerland માંથી એવા ત્રીજા દેશમાં ટ્રાન્સફર થાય જેને adequacy decision મળ્યું નથી, ત્યાં FixWeb આ પર આધાર રાખે છે:

• European Commission ના Standard Contractual Clauses (Decision (EU) 2021/914), Module 2 (controller-to-processor), જે સંદર્ભ દ્વારા આ પરિશિષ્ટમાં સામેલ થાય છે;
• EU SCCs માટે UK International Data Transfer Addendum (અથવા standalone IDTA), ICO દ્વારા પ્રકાશિત પ્રમાણે;
• Section 4 માં વર્ણવાયેલા પૂરક તકનીકી અને સંગઠનાત્મક પગલાં.

ગ્રાહક FixWeb ને ગ્રાહકના વતી દરેક onward ઉપ-પ્રોસેસર સાથે SCCs / IDTA માં પ્રવેશવાની મંજૂરી આપે છે.

FixWeb ગ્રાહકને (પ્રક્રિયાની પ્રકૃતિ અને ઉપલબ્ધ માહિતી ધ્યાનમાં રાખીને) Articles 15–22 GDPR હેઠળ ડેટા સબજેક્ટની વિનંતીઓને જવાબ આપવા મદદ કરશે. મોટાભાગના અધિકારો એકાઉન્ટ → ગોપનીયતા માંથી સ્વ-સેવા દ્વારા ઉપલબ્ધ છે; બાકીની વિનંતીઓ માટે ગ્રાહક “Privacy request” વિષય સાથે support@fixweb.app પર ઇમેઇલ કરી શકે છે. અમે 30 દિવસમાં જવાબ આપીએ છીએ.

ગ્રાહકના વ્યક્તિગત ડેટાને અસર કરતી વ્યક્તિગત ડેટા ભંગની જાણ FixWeb ગ્રાહકને અનાવશ્યક વિલંબ વિના (અને કોઈ પણ સ્થિતિમાં જાણ થયા પછી 72 કલાકમાં) કરશે, અને ગ્રાહકને પોતાની Article 33 / 34 ફરજોનું પાલન કરવા વાજબી રીતે જરૂરી માહિતી આપશે, જેમાં ભંગનો સ્વભાવ, સંબંધિત ડેટા સબજેક્ટ અને રેકૉર્ડની શ્રેણીઓ અને અંદાજિત સંખ્યા, સંભવિત પરિણામો, અને તેને સંબોધવા લેવામાં આવેલા અથવા પ્રસ્તાવિત પગલાં સામેલ છે.

FixWeb ગ્રાહકને આ પરિશિષ્ટ સાથે પાલન દર્શાવવા જરૂરી માહિતી ઉપલબ્ધ કરાવે છે, જેમાં આ દસ્તાવેજ, ગોપનીયતા નીતિ, સ્વીકાર્ય ઉપયોગ નીતિ, શરતો, અને અમારી પાસે રહેલા કોઈ પણ third-party security reports સામેલ છે (વિનંતી પર અમે આ NDA હેઠળ શેર કરીશું). FixWeb ગ્રાહક અથવા ગ્રાહક દ્વારા નિમાયેલા બીજા ઑડિટર દ્વારા કરવામાં આવતા ઑડિટ્સ, જેમાં નિરીક્ષણો સામેલ છે, માટે વાજબી પૂર્વ સૂચના અને વ્યવસાયિક કલાકોમાં, દર કૅલેન્ડર વર્ષે એક વખતથી વધારે નહીં, મંજૂરી આપશે અને સહકાર આપશે (નિયમનકારી સત્તા અન્યથા માંગે અથવા વ્યક્તિગત ડેટા ભંગ બને તે સિવાય).

સેવા સમાપ્ત થાય ત્યારે, અને ગ્રાહકની પસંદગી મુજબ, FixWeb ગ્રાહકના વતી પ્રક્રિયા કરાયેલ તમામ વ્યક્તિગત ડેટા 30 દિવસમાં કાઢી નાખશે અથવા પરત આપશે, જેટલી હદ સુધી લાગુ કાયદા હેઠળ FixWeb તેને જાળવવા જરૂરી હોય તે સિવાય (દા.ત. કર / બિલિંગ રેકૉર્ડ). એકાઉન્ટ → ગોપનીયતા પરનો સ્વ-સેવા એકાઉન્ટ કાઢી નાખવાનો પ્રવાહ આ પ્રક્રિયા તરત જ શરૂ કરે છે.

CCPA ના હેતુઓ માટે, આ પરિશિષ્ટ હેઠળ પ્રક્રિયા થતી કોઈ પણ Personal Information સંદર્ભે FixWeb “Service Provider” છે અને ગ્રાહક “Business” છે. FixWeb નહીં કરે:

• Personal Information ને વેચવું અથવા શેર કરવું (CCPA હેઠળ આ શબ્દો જેમ વ્યાખ્યાયિત છે તે અર્થમાં);
• સેવા પ્રદાન કરવાના ચોક્કસ વ્યાવસાયિક હેતુ સિવાય કોઈ પણ હેતુ માટે Personal Information જાળવવું, વાપરવું, અથવા જાહેર કરવું, જેમાં FixWeb અને ગ્રાહક વચ્ચેના સીધા વ્યવસાયિક સંબંધની બહારનો ઉપયોગ પણ સામેલ છે;
• CCPA સ્પષ્ટ રીતે પરવાનગી આપે તે સિવાય, ગ્રાહક પાસેથી પ્રાપ્ત Personal Information ને કોઈ અન્ય સ્ત્રોત પાસેથી પ્રાપ્ત Personal Information સાથે જોડવું.

FixWeb પ્રમાણિત કરે છે કે તે આ મર્યાદાઓ સમજે છે અને તેનું પાલન કરશે.

આ પરિશિષ્ટ અને સેવાની શરતો વચ્ચે વિસંગતિ થાય તો વિસંગતિની હદ સુધી આ પરિશિષ્ટ પ્રબળ રહેશે. જ્યાં SCCs / IDTA લાગુ પડે છે ત્યાં તે બંને પર પ્રબળ રહેશે.

ડેટા-સુરક્ષા સંબંધિત તમામ બાબતો માટે, જેમાં ડેટા સબજેક્ટ અધિકારોનો ઉપયોગ અને ઉપ-પ્રોસેસર્સ અંગે પૂછપરછ સામેલ છે, EGO HERO LLC નો સંપર્ક કરો:

• ઇમેઇલ: support@fixweb.app (routing માટે વિષય પંક્તિ “DPA” વાપરો)
• ટપાલ: ઉપરના ઇમેઇલ મારફતે વિનંતી પર સરનામું ઉપલબ્ધ છે