עיבוד נתונים נספח

מונחים המתחילים באות גדולה שאינם מוגדרים כאן נושאים את המשמעות המפורטת ב-GDPR (Regulation (EU) 2016/679) ובמידה הרלוונטית ב-UK GDPR / Data Protection Act 2018, ב-California Consumer Privacy Act כפי שתוקן על ידי CPRA («CCPA»), ובחוקים שווי ערך בתחומי שיפוט אחרים.

«נתונים אישיים» פירושם נתונים שהוגשו על ידי הלקוח או שנוצרו על ידי השירות המזהים או הנוגעים לאדם טבעי מזוהה או שניתן לזהותו. «מעבד משנה» פירושו צד שלישי שנשכר על ידי FixWeb לעיבוד נתונים אישיים בשם FixWeb — מופיע ב-/legal/privacy.

כל צד אחראי באופן עצמאי לציות לחוקי הגנת הנתונים החלים עליו. הלקוח הוא הבקר ו-FixWeb הוא המעבד של הנתונים האישיים המעובדים במסגרת נספח זה. FixWeb יעבד נתונים אישיים אך ורק על פי ההוראות המתועדות של הלקוח (הגדרת השירות מהווה הוראות כאלה), למעט במקרים שבהם הדין מחייב אחרת.

FixWeb מבטיחה שעובדים המורשים לעבד נתונים אישיים כפופים להתחייבויות סודיות. הגישה לנתוני ייצור מוגבלת לתת-קבוצה של אנשי תפעול בעלי הרשאת מינימום, מתועדת דרך audit_logs, ונסקרת מעת לעת. עובדי FixWeb אינם ניגשים לנתוני לקוחות אלא לשם חקירת פניות תמיכה, תגובה לאירועי אבטחה, או ציות להליכים משפטיים.

FixWeb מיישמת אמצעים טכניים וארגוניים מתאימים בהתאם ל-GDPR Art. 32, כולל:

• הצפנת נתונים אישיים במעבר (TLS 1.2+) ובמנוחה (הצפנת דיסק ברמת מסד הנתונים + הצפנה ממוקדת ברמת עמודה AES-256-GCM עבור כותרות סריקה מאומתות ואסימוני OAuth);
• אכיפת אבטחה ברמת שורה על כל טבלת מסד נתונים — קוד האפליקציה אינו יכול לקרוא או לכתוב דרך גבולות ארגוניים אפילו בטעות;
• אימות רב-גורמי לכל משתמש דרך ספק ה-OAuth הראשי (Google או GitHub) כאשר הלקוח בוחר כניסה חברתית;
• continuous static analysis + dependency scanning of the FixWeb codebase itself;
• גיבויים דרך ספק מסד הנתונים עם שחזור לנקודת זמן; נבדקים מדי שנה;
• תקופות שמירה מוגדרות (ראו מדיניות הפרטיות) הנאכפות על ידי cron יומי אוטומטי, לא רק הבטחה בכתב.

הלקוח מסמיך את FixWeb לשכור את מעבדי המשנה המפורטים במדיניות הפרטיות למטרות המתוארות שם. FixWeb כורתת חוזה כתוב עם כל מעבד משנה המטיל התחייבויות הגנת נתונים שאינן פחות מגוננות מאלה שבנספח זה, ונשארת אחראית כלפי הלקוח על מעשי מעבד המשנה ומחדליו ביחס לעיבוד הנתונים האישיים שלו.

FixWeb תודיע ללקוח (דרך הודעה באפליקציה או אימייל) על כל הוספה או החלפה מתוכננת של מעבדי משנה לפחות 30 יום מראש, ותאפשר ללקוח להתנגד. אם הלקוח מתנגד על רקע עילות הגנת נתונים סבירות, הלקוח רשאי לסיים את השירות ביחס לעיבוד המושפע.

FixWeb מעבדת נתונים אישיים בעיקר בארצות הברית. כאשר נתונים אישיים מועברים מה-EEA, בריטניה, או שווייץ למדינה שלישית שלא קיבלה החלטת התאמה, FixWeb מסתמכת על:

• סעיפי חוזה סטנדרטיים של הנציבות האירופית (Decision (EU) 2021/914), מודול 2 (בקר-למעבד), המשולבים בנספח זה על דרך הפניה;
• תוספת ההעברה הבינלאומית של נתונים של בריטניה ל-EU SCCs (או ה-IDTA העצמאי), כפי שפורסם על ידי ה-ICO;
• האמצעים הטכניים והארגוניים המשלימים המתוארים בסעיף 4.

הלקוח מסמיך את FixWeb לכרות את ה-SCCs / IDTA עם כל מעבד משנה נוסף בשם הלקוח.

FixWeb תסייע ללקוח (תוך התחשבות באופי העיבוד ובמידע הזמין) להגיב לבקשות נושאי נתונים במסגרת Articles 15–22 GDPR. רוב הזכויות ניתנות לשירות עצמי מחשבון ← פרטיות; לבקשות שאריות, הלקוח רשאי לשלוח אימייל ל-support@fixweb.app עם הנושא «Privacy request». אנו מגיבים תוך 30 יום.

FixWeb תודיע ללקוח ללא עיכוב מיותר (ובכל מקרה תוך 72 שעות מרגע ידיעה) על פרצת נתונים אישיים המשפיעה על הנתונים האישיים של הלקוח, תוך מסירת המידע שהלקוח זקוק לו באופן סביר לצורך ציות להתחייבויות Article 33 / 34 שלו, כולל אופי הפרצה, קטגוריות ומספר משוער של נושאי נתונים ורשומות מושפעים, השלכות סבירות, והאמצעים שנלקחו או מוצעים לטיפול בה.

FixWeb תעמיד לרשות הלקוח את המידע הדרוש להדגמת הציות לנספח זה, כולל מסמך זה, מדיניות הפרטיות, מדיניות השימוש הסביר, התנאים, וכל דוחות אבטחה של צדדים שלישיים שברשותנו (נשתף אלה תחת NDA לפי בקשה). FixWeb תאפשר ותתרום לביקורות, כולל בדיקות, שמבצע הלקוח או מבקר אחר שמינה הלקוח, בהודעה מוקדמת סבירה ובשעות עבודה, לא יותר מפעם אחת בשנה קלנדרית (למעט כאשר רגולטור דורש אחרת או במקרה של פרצת נתונים אישיים).

עם סיום השירות, ולפי בחירת הלקוח, FixWeb תמחק או תחזיר את כל הנתונים האישיים שעובדו בשמו תוך 30 יום, למעט במידה ש-FixWeb נדרשת על ידי החוק המחיל לשמור אותם (למשל, רשומות מס / חיוב). תהליך מחיקת חשבון בשירות עצמי בחשבון ← פרטיות מפעיל זאת מיד.

לצורכי CCPA, FixWeb היא «ספק שירות» והלקוח הוא «עסק» ביחס לכל מידע אישי המעובד במסגרת נספח זה. FixWeb לא תעשה:

• מכירה או שיתוף (כמשמעות מונחים אלה תחת CCPA) של מידע אישי;
• שמירה, שימוש, או גילוי מידע אישי לכל מטרה שאינה המטרה העסקית הספציפית של מתן השירות, כולל מחוץ למערכת היחסים העסקית הישירה בין FixWeb לבין הלקוח;
• שילוב מידע אישי שהתקבל מהלקוח עם מידע אישי שהתקבל מכל מקור אחר, למעט כפי שמותר במפורש על ידי CCPA.

FixWeb מאשרת שהיא מבינה ותציית להגבלות אלה.

במקרה של סתירה בין נספח זה לתנאי השימוש, נספח זה גובר במידת הסתירה. ה-SCCs / IDTA גוברים על שניהם במקום שבו הם חלים.

לכל ענייני הגנת הנתונים, כולל מימוש זכויות נושאי נתונים ופניות בנוגע למעבדי משנה, צרו קשר עם EGO HERO LLC:

• אימייל: support@fixweb.app (השתמשו בשורת הנושא «DPA» לניתוב)
• כתובת דואר: זמינה לפי בקשה דרך האימייל לעיל