მონაცემთა დამუშავება დანართი

დიდი ასოებით დაწერილ ტერმინებს, რომლებიც აქ არ არის განმარტებული, აქვთ GDPR-ში (Regulation (EU) 2016/679) მინიჭებული მნიშვნელობა და, სადაც გამოყენებადია, UK GDPR / მონაცემთა დაცვის კანონი 2018, კალიფორნიის სამომხმარებლო კონფიდენციალურობის აქტი CPRA-ით შეცვლილი ვარიანტით („CCPA"), და სხვა იურისდიქციების ეკვივალენტური კანონები.

„პერსონალური მონაცემები" ნიშნავს კლიენტის მიერ წარდგენილ ან სერვისის მიერ გენერირებულ მონაცემებს, რომლებიც განსაზღვრავს ან ეხება განსაზღვრულ ან განსაზღვრვად ფიზიკურ პირს. „ქვე-დამმუშავებელი" ნიშნავს მესამე მხარეს, რომელსაც FixWeb ერთვება პერსონალური მონაცემების FixWeb-ის სახელით დასამუშავებლად — ჩამოთვლილია /legal/privacy-ზე.

თითოეული მხარე დამოუკიდებლად არის პასუხისმგებელი მასზე გამოყენებადი მონაცემთა დაცვის კანონების შესრულებაზე. კლიენტი არის კონტროლერი, FixWeb კი — ამ დანართის ფარგლებში დამუშავებული პერსონალური მონაცემების დამმუშავებელი. FixWeb დაამუშავებს პერსონალურ მონაცემებს მხოლოდ კლიენტის დოკუმენტირებული ინსტრუქციების შესაბამისად (სერვისის კონფიგურაცია ასეთ ინსტრუქციებს წარმოადგენს), გარდა კანონით სხვაგვარად მოთხოვნილი შემთხვევებისა.

FixWeb უზრუნველყოფს, რომ პერსონალური მონაცემების დასამუშავებლად ავტორიზებული თანამშრომლები ეკისრებათ კონფიდენციალურობის ვალდებულებები. წარმოების მონაცემებზე წვდომა შეზღუდულია ოპერაციული პერსონალის მინიმალური პრივილეგიების ქვეჯგუფით, ლოგირებულია audit_logs-ის მეშვეობით და პერიოდულად განიხილება. FixWeb-ის თანამშრომლები არ წვდებიან კლიენტის მონაცემებს, გარდა მხარდაჭერის ტიკეტების გამოძიების, უსაფრთხოების ინციდენტებზე რეაგირების, ან სამართლებრივი პროცესის შესრულებისა.

FixWeb ახორციელებს შესაბამის ტექნიკურ და ორგანიზაციულ ზომებს GDPR Art. 32-ის შესაბამისად, მათ შორის:

• პერსონალური მონაცემების დაშიფვრა გადაცემისას (TLS 1.2+) და მოსვენებისას (მონაცემთა ბაზის დისკის დონე + მიზნობრივი სვეტის დონის AES-256-GCM ავტენტიფიცირებული სკანირების სათაურებისა და OAuth ტოკენებისთვის);
• მწკრივის დონის უსაფრთხოების იძულება მონაცემთა ბაზის ყოველ ცხრილზე — აპლიკაციის კოდს არ შეუძლია წაკითხვა ან ჩაწერა ორგანიზაციულ საზღვრებს გარეთ შეცდომითაც კი;
• თითო-მომხმარებლის მრავალფაქტორიანი ავთენტიფიკაცია upstream OAuth პროვაიდერის (Google ან GitHub) მეშვეობით, სადაც კლიენტი ირჩევს სოციალურ შესვლას;
• continuous static analysis + dependency scanning of the FixWeb codebase itself;
• სარეზერვო ასლები მონაცემთა ბაზის პროვაიდერის მეშვეობით დროის ერთი წერტილის აღდგენით; ყოველწლიურად ტესტირდება;
• განსაზღვრული შენახვის პერიოდები (იხ. კონფიდენციალურობის პოლიტიკა) გამოყენებული ავტომატიზებული ყოველდღიური cron-ით, და არა ქაღალდის დაპირებით.

კლიენტი ანიჭებს FixWeb-ს უფლებას ჩართოს კონფიდენციალურობის პოლიტიკაში ჩამოთვლილი ქვე-დამმუშავებლები იქ აღწერილი მიზნებისთვის. FixWeb დებს წერილობით ხელშეკრულებას თითოეულ ქვე-დამმუშავებელთან, რომელიც ითვალისწინებს მონაცემთა დაცვის ვალდებულებებს ამ დანართზე ნაკლებ დამცავ პირობებს, და პასუხისმგებელი რჩება კლიენტის წინაშე ქვე-დამმუშავებლის ქმედებებსა და გამოტოვებებზე პერსონალური მონაცემების დამუშავებასთან დაკავშირებით.

FixWeb წინასწარ შეატყობინებს კლიენტს (აპლიკაციაში ან ელ-ფოსტით) ქვე-დამმუშავებლების დამატების ან შეცვლის ნებისმიერი განზრახვის შესახებ არანაკლებ 30 დღით ადრე, კლიენტს მიეცეს საპასუხო შესაძლებლობა. თუ კლიენტი გამართლებული მონაცემთა დაცვის საფუძვლებზე ეწინააღმდეგება, კლიენტს შეუძლია შეწყვიტოს სერვისი დაზარალებული დამუშავების კუთხით.

FixWeb ამუშავებს პერსონალურ მონაცემებს ძირითადად შეერთებულ შტატებში. სადაც პერსონალური მონაცემები გადაიცემა EEA-დან, UK-დან ან შვეიცარიიდან სამესამე ქვეყანაში, რომელმაც ადეკვატურობის გადაწყვეტილება ვერ მიიღო, FixWeb ეყრდნობა:

• ევროპული კომისიის სტანდარტულ სახელშეკრულებო პირობებს (Decision (EU) 2021/914), მოდული 2 (კონტროლერი-დამმუშავებელი), ამ დანართში მითითებით ჩართული;
• UK-ის საერთაშორისო მონაცემთა გადარიცხვის დანართს EU SCCs-თვის (ან IDTA დამოუკიდებელი), ICO-ს მიერ გამოქვეყნებული;
• მე-4 განყოფილებაში აღწერილ დამატებით ტექნიკურ და ორგანიზაციულ ზომებს.

კლიენტი ანიჭებს FixWeb-ს უფლებას გაუფორმოს SCCs / IDTA თითოეულ შემდგომ ქვე-დამმუშავებელთან კლიენტის სახელით.

FixWeb დაეხმარება კლიენტს (დამუშავების ხასიათისა და ხელმისაწვდომი ინფორმაციის გათვალისწინებით) მონაცემთა სუბიექტების მოთხოვნებზე Articles 15–22 GDPR-ის მიხედვით პასუხის გასაცემად. უფლებების უმეტესობა ხელმისაწვდომია თვითმომსახურებით ანგარიში → კონფიდენციალურობა-დან; დარჩენილი მოთხოვნებისთვის კლიენტმა შეიძლება ელ-ფოსტა გაუგზავნოს support@fixweb.app-ს „კონფიდენციალურობის მოთხოვნა" თემით. ვპასუხობთ 30 დღის განმავლობაში.

FixWeb შეატყობინებს კლიენტს დაუყოვნებლივ (და ნებისმიერ შემთხვევაში 72 საათის განმავლობაში ინფორმირებულობიდან) კლიენტის პერსონალური მონაცემების მომხმდარი დარღვევის შესახებ, მიაწვდის ისეთ ინფორმაციას, რომელიც კლიენტს გონივრულად ჭირდება საკუთარი Article 33 / 34 ვალდებულებების შესასრულებლად, მათ შორის დარღვევის ხასიათი, მონაცემთა სუბიექტებისა და ჩანაწერების კატეგორიები და სავარაუდო რიცხვი, სავარაუდო შედეგები და მიღებული ან შემოთავაზებული ზომები.

FixWeb კლიენტს გადასცემს ამ დანართის შესაბამისობის დასამტკიცებლად საჭირო ინფორმაციას, მათ შორის ამ დოკუმენტს, კონფიდენციალურობის პოლიტიკას, მისაღები გამოყენების პოლიტიკას, პირობებს და ნებისმიერ მესამე მხარის უსაფრთხოების ანგარიშს, რომელსაც ვფლობთ (ვაზიარებთ NDA-ს ქვეშ მოთხოვნით). FixWeb დაუშვებს და ხელს შეუწყობს აუდიტებს, მათ შორის შემოწმებებს, კლიენტის ან კლიენტის მიერ დამანდატებული სხვა აუდიტორის მიერ ჩატარებულს, გონივრული წინასწარი შეტყობინებით და სამუშაო საათებში, კალენდარული წლის განმავლობაში არა უმეტეს ერთხელ (გარდა შემთხვევებისა, სადაც მარეგულირებელი მოითხოვს სხვაგვარ ან პერსონალური მონაცემების დარღვევის შემთხვევაში).

სერვისის შეწყვეტისას, კლიენტის არჩევანით, FixWeb წაშლის ან დაუბრუნებს კლიენტის სახელით დამუშავებულ ყველა პერსონალურ მონაცემს 30 დღის განმავლობაში, გარდა იმ შემთხვევებისა, სადაც FixWeb ვალდებულია მათი შენახვა გამოყენებადი კანონით (მაგ. საგადასახადო / ბილინგის ჩანაწერები). თვითმომსახურებით ანგარიშის წაშლის ფუნქცია ანგარიში → კონფიდენციალურობა-ზე ამას დაუყოვნებლივ ააქტიურებს.

CCPA-ის მიზნებისთვის, FixWeb არის „სერვისის პროვაიდერი", კლიენტი კი — „ბიზნესი" ამ დანართის ფარგლებში დამუშავებული ნებისმიერი პერსონალური ინფორმაციის კუთხით. FixWeb არ:

• გაყიდის ან გაუზიარებს (როგორც ეს ტერმინები განმარტებულია CCPA-ში) პერსონალურ ინფორმაციას;
• შეინახავს, გამოიყენებს ან გაამჟღავნებს პერსონალურ ინფორმაციას სხვა მიზნით, გარდა სერვისის მიწოდების კონკრეტული ბიზნეს მიზნისა, მათ შორის FixWeb-სა და კლიენტს შორის პირდაპირი ბიზნეს ურთიერთობის გარეთ;
• შეუთავსებს კლიენტისგან მიღებულ პერსონალურ ინფორმაციას სხვა წყაროდან მიღებულ პერსონალურ ინფორმაციასთან, გარდა CCPA-ით პირდაპირ ნებადართული შემთხვევებისა.

FixWeb ადასტურებს, რომ ესმის და შეასრულებს ამ შეზღუდვებს.

ამ დანართსა და მომსახურების პირობებს შორის კონფლიქტის შემთხვევაში, ეს დანართი მოქმედებს კონფლიქტის ფარგლებში. SCCs / IDTA უპირატესობა აქვს ორივეზე, სადაც გამოიყენება.

ყველა მონაცემთა დაცვის საკითხზე, მათ შორის მონაცემთა სუბიექტის უფლებების განხორციელებასა და ქვე-დამმუშავებლების შესახებ შეკითხვებზე, დაუკავშირდით EGO HERO LLC-ს:

• ელ-ფოსტა: support@fixweb.app (მარშრუტიზაციისთვის გამოიყენეთ „DPA" თემის სტრიქონი)
• საფოსტო მისამართი: ხელმისაწვდომია მოთხოვნით ზემოთ მოყვანილი ელ-ფოსტის საშუალებით