Pemprosesan Data Tambahan

Istilah bermodal besar yang tidak ditakrifkan di sini mempunyai makna yang diberikan dalam GDPR (Regulation (EU) 2016/679) dan, jika berkenaan, UK GDPR / Data Protection Act 2018, California Consumer Privacy Act as amended by the CPRA (“CCPA”), dan undang-undang setara di bidang kuasa lain.

“Data Peribadi” bermaksud data yang diserahkan oleh Pelanggan atau dijana oleh Perkhidmatan yang mengenal pasti atau berkaitan dengan orang semula jadi yang dikenal pasti atau boleh dikenal pasti. “Sub-pemproses” bermaksud pihak ketiga yang dilantik oleh FixWeb untuk memproses Data Peribadi bagi pihak FixWeb — disenaraikan di /legal/privacy.

Setiap pihak bertanggungjawab secara bebas untuk mematuhi Undang-undang Perlindungan Data yang terpakai kepadanya. Pelanggan adalah Pengawal dan FixWeb adalah Pemproses Data Peribadi yang diproses di bawah Tambahan ini. FixWeb akan memproses Data Peribadi hanya berdasarkan arahan yang didokumentasikan daripada Pelanggan (konfigurasi Perkhidmatan merupakan arahan tersebut), kecuali dikehendaki oleh undang-undang untuk berbuat sebaliknya.

FixWeb memastikan kakitangan yang diberi kuasa untuk memproses Data Peribadi terikat dengan kewajipan kerahsiaan. Akses kepada data pengeluaran terhad kepada subset kakitangan operasi yang paling sedikit keistimewaannya, dilog melalui audit_logs, dan disemak secara berkala. Pekerja FixWeb tidak mengakses data Pelanggan kecuali untuk menyiasat tiket sokongan, bertindak balas terhadap insiden keselamatan, atau mematuhi proses undang-undang.

FixWeb melaksanakan langkah teknikal dan organisasi yang sesuai selaras dengan GDPR Art. 32, termasuk:

• penyulitan Data Peribadi dalam transit (TLS 1.2+) dan dalam keadaan rehat (peringkat cakera pangkalan data + peringkat lajur AES-256-GCM yang disasarkan untuk pengepala imbasan yang disahkan dan token OAuth);
• paksaan keselamatan peringkat baris pada setiap jadual pangkalan data — kod aplikasi tidak boleh membaca atau menulis merentasi sempadan organisasi walaupun secara tidak sengaja;
• pengesahan pelbagai faktor bagi setiap pengguna melalui pembekal OAuth upstream (Google atau GitHub) di mana Pelanggan memilih log masuk sosial;
• continuous static analysis + dependency scanning of the FixWeb codebase itself;
• sandaran melalui pembekal pangkalan data dengan pemulihan titik-dalam-masa; diuji setiap tahun;
• tempoh pengekalan yang ditakrifkan (lihat Dasar Privasi) dikuatkuasakan oleh cron harian automatik, bukan janji di atas kertas.

Pelanggan memberi kuasa kepada FixWeb untuk melantik Sub-pemproses yang disenaraikan dalam Dasar Privasi untuk tujuan yang dinyatakan di sana. FixWeb mengikat kontrak bertulis dengan setiap Sub-pemproses yang mengenakan kewajipan perlindungan data tidak kurang melindungi daripada yang terdapat dalam Tambahan ini, dan kekal bertanggungjawab kepada Pelanggan atas tindakan dan peninggalan Sub-pemproses berkenaan dengan pemprosesan Data Peribadinya.

FixWeb akan memberitahu Pelanggan (melalui notis dalam apl atau e-mel) tentang sebarang penambahan atau penggantian Sub-pemproses yang dirancang sekurang-kurangnya 30 hari lebih awal, memberikan Pelanggan peluang untuk membantah. Jika Pelanggan membantah atas alasan perlindungan data yang munasabah, Pelanggan boleh menamatkan Perkhidmatan berkenaan dengan pemprosesan yang terjejas.

FixWeb memproses Data Peribadi terutamanya di Amerika Syarikat. Di mana Data Peribadi dipindahkan dari EEA, UK, atau Switzerland ke negara ketiga yang tidak menerima keputusan kecukupan, FixWeb bergantung pada:

• Klausa Kontrak Standard Suruhanjaya Eropah (Decision (EU) 2021/914), Modul 2 (pengawal-kepada-pemproses), digabungkan ke dalam Tambahan ini melalui rujukan;
• Tambahan Pemindahan Data Antarabangsa UK kepada SCCs EU (atau IDTA tersendiri), seperti yang diterbitkan oleh ICO;
• langkah teknikal dan organisasi tambahan yang diterangkan dalam Seksyen 4.

Pelanggan memberi kuasa kepada FixWeb untuk memasuki SCCs / IDTA dengan setiap Sub-pemproses yang seterusnya bagi pihak Pelanggan.

FixWeb akan membantu Pelanggan (dengan mengambil kira sifat pemprosesan dan maklumat yang tersedia) untuk menjawab permintaan subjek data di bawah Articles 15–22 GDPR. Kebanyakan hak boleh dilakukan sendiri dari Akaun → Privasi; untuk permintaan selebihnya, Pelanggan boleh menghantar e-mel ke support@fixweb.app dengan subjek “Permintaan Privasi”. Kami bertindak balas dalam masa 30 hari.

FixWeb akan memberitahu Pelanggan tanpa kelewatan yang tidak wajar (dan dalam apa jua keadaan dalam masa 72 jam selepas mengetahui) mengenai pelanggaran Data Peribadi yang mempengaruhi Data Peribadi Pelanggan, memberikan maklumat yang munasabah diperlukan oleh Pelanggan untuk mematuhi kewajipan Article 33 / 34 sendiri, termasuk sifat pelanggaran, kategori dan anggaran bilangan subjek data dan rekod yang terlibat, kemungkinan akibat, dan langkah yang diambil atau dicadangkan untuk menanganinya.

FixWeb menyediakan kepada Pelanggan maklumat yang diperlukan untuk menunjukkan pematuhan dengan Tambahan ini, termasuk dokumen ini, Dasar Privasi, Dasar Penggunaan Boleh Diterima, Syarat, dan sebarang laporan keselamatan pihak ketiga yang kami pegang (kami akan berkongsinya di bawah NDA atas permintaan). FixWeb akan membenarkan dan menyumbang kepada audit, termasuk pemeriksaan, yang dijalankan oleh Pelanggan atau juruaudit lain yang dimandatkan oleh Pelanggan, dengan notis awal yang munasabah dan dalam waktu perniagaan, tidak lebih daripada sekali setiap tahun kalendar (kecuali di mana pengawal selia memerlukan sebaliknya atau dalam kes pelanggaran Data Peribadi).

Selepas penamatan Perkhidmatan, dan atas pilihan Pelanggan, FixWeb akan memadam atau memulangkan semua Data Peribadi yang diproses bagi pihak Pelanggan dalam masa 30 hari, kecuali setakat FixWeb dikehendaki oleh undang-undang yang terpakai untuk mengekalkannya (cth. rekod cukai / pengebilan). Aliran pemadaman akaun layan diri di Akaun → Privasi mencetuskan ini dengan serta-merta.

Bagi tujuan CCPA, FixWeb adalah “Pembekal Perkhidmatan” dan Pelanggan adalah “Perniagaan” berkenaan dengan sebarang Maklumat Peribadi yang diproses di bawah Tambahan ini. FixWeb tidak akan:

• menjual atau berkongsi (seperti yang ditakrifkan di bawah CCPA) Maklumat Peribadi;
• mengekalkan, menggunakan, atau mendedahkan Maklumat Peribadi untuk tujuan selain daripada tujuan perniagaan khusus menyediakan Perkhidmatan, termasuk di luar hubungan perniagaan langsung antara FixWeb dan Pelanggan;
• menggabungkan Maklumat Peribadi yang diterima daripada Pelanggan dengan Maklumat Peribadi yang diterima daripada mana-mana sumber lain, kecuali sebagaimana yang dibenarkan secara nyata oleh CCPA.

FixWeb mengesahkan bahawa ia memahami dan akan mematuhi sekatan ini.

Sekiranya berlaku konflik antara Tambahan ini dan Syarat Perkhidmatan, Tambahan ini mengatasi setakat konflik tersebut. SCCs / IDTA mengatasi kedua-duanya di mana ia terpakai.

Untuk semua perkara perlindungan data, termasuk pelaksanaan hak subjek data dan pertanyaan tentang Sub-pemproses, hubungi EGO HERO LLC:

• e-mel: support@fixweb.app (gunakan baris subjek “DPA” untuk penghalaan)
• pos: alamat tersedia atas permintaan melalui e-mel di atas