データ処理 追補

ここで定義されていない大文字の用語は、GDPR（Regulation (EU) 2016/679）および該当する場合は英国GDPR / 2018年データ保護法、CPRAにより改正されたカリフォルニア州消費者プライバシー法（「CCPA」）、ならびに他の法域の同等法律において与えられた意味を有します。

「個人データ」とは、お客様が提出した、またはサービスが生成した、識別された、もしくは識別可能な自然人を特定または関連付けるデータをいいます。「副処理者」とは、FixWebに代わって個人データを処理するためにFixWebが委託した第三者をいい、/legal/privacyに一覧が掲載されています。

各当事者は、自身に適用されるデータ保護法への準拠について独立して責任を負います。お客様は管理者であり、FixWebは本追補に基づき個人データを処理する処理者です。FixWebは、法律による別段の要求がない限り、お客様の文書化された指示（サービスの設定がかかる指示を構成します）に従ってのみ個人データを処理します。

FixWebは、個人データの処理を許可された担当者が守秘義務を負うことを確保します。本番データへのアクセスは運用スタッフの最小権限サブセットに制限され、audit_logsを通じて記録され、定期的に見直されます。FixWebの従業員は、サポートチケットの調査、セキュリティインシデントへの対応、または法的手続きへの準拠のため以外には、お客様のデータにアクセスしません。

FixWebはGDPR Art. 32に準拠した適切な技術的・組織的措置を実施しており、以下を含みます:

• 転送中（TLS 1.2+）および保存時（データベースディスクレベル + 認証済みスキャンヘッダーおよびOAuthトークンを対象とした列レベルのAES-256-GCM）の個人データの暗号化;
• すべてのデータベーステーブルへの行レベルセキュリティの強制適用——誤操作があっても、アプリケーションコードは組織の境界を越えてデータを読み書きできません;
• お客様がソーシャルサインインを選択した場合、上流OAuthプロバイダー（GoogleまたはGitHub）を通じたユーザーごとの多要素認証;
• continuous static analysis + dependency scanning of the FixWeb codebase itself;
• ポイントインタイムリカバリ付きのデータベースプロバイダーによるバックアップ、年次テスト実施;
• 書面上の約束ではなく、自動日次定期実行によって強制される定義済みの保持期間（プライバシーポリシー参照）。

お客様は、プライバシーポリシーに記載された目的のために、同ポリシーに列挙された副処理者をFixWebが利用することを承認します。FixWebは各副処理者と書面による契約を締結し、本追補に定めるものと同等以上のデータ保護義務を課すとともに、個人データの処理に関する副処理者の作為・不作為についてお客様に対して責任を負います。

FixWebは、副処理者の追加または変更の意向を少なくとも30日前にお客様に通知し（アプリ内通知またはメールで）、お客様が異議を申し立てる機会を与えます。お客様が合理的なデータ保護上の理由で異議を申し立てた場合、お客様は影響を受ける処理に関してサービスを終了することができます。

FixWebは主に米国で個人データを処理します。個人データをEEA、UK、またはスイスから十分性認定を受けていない第三国に移転する場合、FixWebは以下に依拠します:

• 欧州委員会の標準契約条項（Decision (EU) 2021/914）、モジュール2（管理者対処理者）、参照により本追補に組み込まれます;
• ICOが公表したEU SCCsへの英国国際データ移転追補（または独立したIDTA）;
• 第4条に記載された補足的な技術的・組織的措置。

お客様は、FixWebがお客様に代わって各下流副処理者とSCCs / IDTAを締結することを承認します。

FixWebは、（処理の性質および利用可能な情報を考慮して）Articles 15–22 GDPRに基づくデータ主体の請求に対応するお客様を支援します。ほとんどの権利はアカウント → プライバシーからセルフサービスで行使できます。残余の請求については、件名「Privacy request」でお客様がsupport@fixweb.appにメールをお送りいただくことができます。30日以内に対応します。

FixWebは、お客様の個人データに影響する個人データ侵害を認識した後、不当な遅延なく（いかなる場合も認識から72時間以内に）お客様に通知し、お客様のArticle 33 / 34上の義務を履行するために合理的に必要な情報（侵害の性質、関係するデータ主体および記録の種類と概数、生じると見込まれる結果、ならびに侵害に対処するために講じた、または提案された措置を含む）を提供します。

FixWebは、本追補への準拠を実証するために必要な情報（本文書、プライバシーポリシー、利用規定ポリシー、利用規約、および当社が保有する第三者セキュリティレポート（NDA下で請求に応じて共有します））をお客様が利用できるようにします。FixWebは、合理的な事前通知のうえ業務時間内に、お客様または別のお客様委任の監査人が実施する監査（検査を含む）に同意し、これに協力します。年間1回を超えない範囲（規制当局が別段の要求をする場合または個人データ侵害が発生した場合を除く）とします。

サービスの終了時、お客様の選択に従い、FixWebはお客様に代わって処理したすべての個人データを30日以内に削除または返還します。ただし、適用法令（税務・請求記録など）によって保持が義務付けられている範囲を除きます。アカウント → プライバシーのセルフサービスアカウント削除フローにより、即座にこれを実行できます。

CCPAの目的上、FixWebは「サービスプロバイダー」であり、お客様は本追補に基づき処理される個人情報に関する「事業者」です。FixWebは以下を行いません:

• CCPAに定義された個人情報の販売または共有;
• サービスを提供する特定のビジネス目的以外の目的での個人情報の保持、使用、または開示（FixWebとお客様の直接的なビジネス関係の外での利用を含む）;
• CCPAにより明示的に許可されている場合を除き、お客様から受け取った個人情報と他の情報源から受け取った個人情報との結合。

FixWebは、これらの制限を理解し、遵守することを証明します。

本追補と利用規約の間に矛盾が生じた場合、矛盾の範囲において本追補が優先します。SCCs / IDTAは適用される範囲で両者に優先します。

データ主体の権利の行使および副処理者に関するお問い合わせを含む、すべてのデータ保護に関する事項については、EGO HERO LLCまでご連絡ください:

• メール:support@fixweb.app（件名に「DPA」とご記入ください）
• 郵送先住所:上記メールにてご請求ください