ဒေတာ လုပ်ဆောင်ခြင်း နောက်ဆက်တွဲ

ဤနေရာတွင် သတ်မှတ်မထားသော ကြီးစာလုံးသုံး သဘောတူညီချက်များသည် GDPR (Regulation (EU) 2016/679) နှင့် သင့်တော်သည့်အခါ UK GDPR / Data Protection Act 2018, CPRA ဖြင့် ပြောင်းလဲထားသော California Consumer Privacy Act (“CCPA”) နှင့် အခြားတရားစီရင်ပိုင်ခွင့်ဒေသများ၏ သက်ဆိုင်သော ဥပဒေများ ပေးသော အဓိပ္ပာယ်ကို ရှိသည်။

“Personal Data” ဆိုသည်မှာ Customer တင်သွင်းသော သို့မဟုတ် ဝန်ဆောင်မှုမှ ထုတ်ပေးသော ဒေတာဖြစ်ပြီး သဘာဝပုဂ္ဂိုလ်တစ်ဦးကို ရှာဖွေနိုင်သော သို့မဟုတ် ဆက်နွှယ်မှုရှိသော ဒေတာဖြစ်သည်။ “Sub-processor” ဆိုသည်မှာ FixWeb ကိုယ်စားဖြင့် Personal Data ကို စီမံဆောင်ရွက်ရန် FixWeb မှ ငှားထားသော third party ဖြစ်ပြီး — /legal/privacy တွင် စာရင်းထည့်ထားသည်။

ပါတီတစ်ဦးချင်းစီသည် မိမိနှင့် သက်ဆိုင်သော ဒေတာကာကွယ်ရေးဥပဒေများကို သီးခြားအားဖြင့် လိုက်နာရန် တာဝန်ရှိသည်။ Customer သည် Controller ဖြစ်ပြီး FixWeb သည် ဤ နောက်ဆက်တွဲအောက်တွင် စီမံဆောင်ရွက်သည့် Personal Data ၏ Processor ဖြစ်သည်။ FixWeb သည် ဥပဒေကြောင်းအရ အခြားနည်းဖြင့် ပြုလုပ်ရန် မလိုအပ်မချင်း Customer ၏ မှတ်တမ်းတင်ထားသော ညွှန်ကြားချက်များ (ဝန်ဆောင်မှု configuration သည် ထိုသို့သော ညွှန်ကြားချက်များကို ဖွဲ့စည်းသည်) ပေါ်တွင်သာ Personal Data ကို စီမံဆောင်ရွက်မည်။

Personal Data ကို စီမံဆောင်ရွက်ရန် ခွင့်ပြုချက်ရသော ဝန်ထမ်းများသည် လျှို့ဝှက်မှုဆိုင်ရာ တာဝန်များနှင့် ချုပ်မိကြောင်း FixWeb သေချာအောင် ဆောင်ရွက်သည်။ Production ဒေတာသို့ ဝင်ရောက်ခွင့်ကို operations staff ၏ least-privilege subset သို့ ကန့်သတ်ထား၍ audit_logs မှ တဆင့် log မှတ်ကာ ပုံမှန်စစ်ဆေးသည်။ FixWeb ဝန်ထမ်းများသည် support ticket များကို စုံစမ်းစစ်ဆေးရန်၊ security incident များကို တုံ့ပြန်ရန် သို့မဟုတ် ဥပဒေဆိုင်ရာ လုပ်ငန်းစဉ်ကို လိုက်နာရန်မှ လွဲ၍ Customer ဒေတာကို ဝင်ရောက်ကြည့်ရှုမည် မဟုတ်ပါ။

FixWeb သည် GDPR Art. 32 နှင့် ကိုက်ညီသော သင့်တော်သည့် နည်းပညာဆိုင်ရာနှင့် အဖွဲ့အစည်းဆိုင်ရာ ဆောင်ရွက်မှုများကို ကျင့်သုံးသည်၊ ၎င်းတို့တွင် ပါဝင်သည်မှာ:

• Personal Data ကို transit (TLS 1.2+) နှင့် at rest (database disk-level + authenticated-scan header နှင့် OAuth token များအတွက် targeted column-level AES-256-GCM) တွင် ကုဒ်ဝှက်ခြင်း;
• database table တိုင်းတွင် row-level security ကို အတင်းအကျပ်သတ်မှတ်ခြင်း — application code သည် မကြံစည်ဘဲ မိမိသည် အဖွဲ့အစည်း ဘောင်များကျော်၍ read သို့မဟုတ် write မပြုနိုင်ပါ;
• Customer က social sign-in ကို ရွေးချယ်သည့်နေရာတွင် upstream OAuth provider (Google သို့မဟုတ် GitHub) မှ တဆင့် user တစ်ဦးချင်းစီ multi-factor authentication;
• continuous static analysis + dependency scanning of the FixWeb codebase itself;
• point-in-time recovery ဖြင့် database provider မှ backup များ; နှစ်စဉ် စမ်းသပ်စစ်ဆေးသည်;
• စာချောင်တစ်ချောင်အဖြစ် မဟုတ်ဘဲ automated daily cron မှ ကျင့်သုံးသော သတ်မှတ်ထားသော retention ကာလများ (ကိုယ်ရေးကိုယ်တာ မူဝါဒ ကြည့်ပါ)။

Customer သည် ကိုယ်ရေးကိုယ်တာ မူဝါဒ တွင် စာရင်းပြုစုထားသော Sub-processor များကို FixWeb မှ ထိုနေရာတွင် ဖော်ပြထားသော ရည်ရွယ်ချက်များအတွက် ပါဝင်ရန် Customer အနေဖြင့် FixWeb ကို ခွင့်ပြုသည်။ FixWeb သည် Sub-processor တစ်ဦးချင်းနှင့် ဤ နောက်ဆက်တွဲနှင့် မနည်းသော ကာကွယ်မှုပေးသော ဒေတာကာကွယ်ရေး တာဝန်ဝတ္တရားများကို တင်မြောက်သော စာဖြင့်ရေးသော စာချုပ်ချုပ်ဆိုပြီး Personal Data ကို စီမံဆောင်ရွက်ရာတွင် Sub-processor ၏ ဆောင်ရွက်မှုများနှင့် ပျက်ကွက်မှုများအတွက် Customer ကို တာဝန်ယူသည်။

FixWeb သည် Sub-processor ၏ မည်သည့် ရည်ရွယ်သော ထပ်မံထည့်သွင်းမှု သို့မဟုတ် အစားထိုးမှုကိုမဆို Customer အနေဖြင့် ကန့်ကွက်နိုင်သော အခွင့်အရေးပေးကာ အနည်းဆုံး ၃၀ ရက်ကြိုတင်၍ Customer ကို (in-app notice သို့မဟုတ် email မှတဆင့်) အကြောင်းကြားမည်။ Customer သည် သင့်တော်သော ဒေတာကာကွယ်ရေး အကြောင်းပြချက်ဖြင့် ကန့်ကွက်ပါက ထိခိုက်သော စီမံဆောင်ရွက်မှုနှင့်ပတ်သက်၍ ဝန်ဆောင်မှုကို ဖြတ်တောက်နိုင်သည်။

FixWeb သည် Personal Data ကို အဓိကအားဖြင့် အမေရိကန်ပြည်ထောင်စုတွင် စီမံဆောင်ရွက်သည်။ EEA, UK, သို့မဟုတ် Switzerland မှ adequacy decision မရရှိသော third country တစ်ခုသို့ Personal Data ကို လွှဲပြောင်းသောအခါ FixWeb သည် အောက်ပါတို့ကို မှီခိုသည်:

• European Commission ၏ Standard Contractual Clauses (Decision (EU) 2021/914), Module 2 (controller-to-processor), reference ဖြင့် ဤ နောက်ဆက်တွဲတွင် ထည့်သွင်းထားသည်;
• ICO မှ ထုတ်ဝေသော EU SCCs (သို့မဟုတ် IDTA standalone) ၏ UK ၏ International Data Transfer Addendum;
• အပိုဒ် 4 တွင် ဖော်ပြသော နောက်ထပ် နည်းပညာနှင့် အဖွဲ့အစည်းဆိုင်ရာ ဆောင်ရွက်မှုများ။

Customer သည် FixWeb ကို Customer ကိုယ်စားဖြင့် Sub-processor တစ်ဦးချင်းနှင့် SCCs / IDTA ချုပ်ဆိုရန် ခွင့်ပြုသည်။

FixWeb သည် GDPR Articles 15–22 အောက်တွင် data subject တောင်းဆိုချက်များကို တုံ့ပြန်ရန် Customer ကို (စီမံဆောင်ရွက်မှု၏ သဘာဝနှင့် ရရှိနိုင်သော အချက်အလက်ကို ထည့်သွင်းစဉ်းစား၍) ကူညီမည်။ အများစုသော အခွင့်အရေးများကို Account → Privacy မှ self-serve ဖြင့် ဆောင်ရွက်နိုင်သည်; ကျန်ရှိသော တောင်းဆိုချက်များအတွက် Customer သည် “Privacy request” ဟူသော ခေါင်းစဉ်ဖြင့် support@fixweb.app သို့ အီးမေးလ်ပို့နိုင်သည်။ ကျွန်ုပ်တို့ ၃၀ ရက်အတွင်း တုံ့ပြန်ပါသည်။

FixWeb သည် Customer Personal Data ကို ထိခိုက်သော Personal Data ချိုးဖောက်မှုတစ်ခုနှင့်ပတ်သက်၍ မလိုအပ်သော နှောင့်နှေးမှုမရှိဘဲ (ပြီး မည်သည့်အခြေအနေတွင်မဆို ၇၂ နာရီအတွင်း) Customer ကို အကြောင်းကြားမည်ဖြစ်ပြီး ချိုးဖောက်မှု၏ သဘာဝ၊ ထိခိုက်သော data subject နှင့် မှတ်တမ်းများ၏ အမျိုးအစားများနှင့် ခန့်မှန်းအရေအတွက်၊ ဖြစ်ဖွယ်ရှိသော ကျိုးဆက်မှုများ နှင့် ၎င်းကို ဖြေရှင်းရန် ဆောင်ရွက်ပြီးသော သို့မဟုတ် အကြံပြုထားသော ဆောင်ရွက်မှုများ အပါအဝင် Customer သည် မိမိ Article 33 / 34 တာဝန်ဝတ္တရားများကို ဆောင်ရွက်ရန် သင့်တင့်မျှတစွာ လိုအပ်သော အချက်အလက်ကို ပေးဆောင်မည်။

FixWeb သည် ဤ ဒါကျုမန်ကို၊ ကိုယ်ရေးကိုယ်တာ မူဝါဒကို၊ လက်ခံနိုင်သော အသုံးပြုမှု မူဝါဒကို၊ စည်းကမ်းချက်များကို နှင့် ကျွန်ုပ်တို့ ထိန်းသိမ်းထားသော third-party လုံခြုံရေးအစီရင်ခံစာများ (NDA အောက်တွင် တောင်းဆိုမှုအပေါ် ဤတို့ကို မျှဝေမည်) အပါအဝင် ဤ နောက်ဆက်တွဲနှင့် ကိုက်ညီကြောင်း သက်သေပြရန် လိုအပ်သော အချက်အလက်ကို Customer အတွက် ရနိုင်သောအောင် ဆောင်ရွက်သည်။ FixWeb သည် Customer သို့မဟုတ် Customer မှ တာဝန်ပေးသော auditor တစ်ဦးမှ ပြုလုပ်သော audit များ (inspections အပါအဝင်) ကို သင့်တော်သော ကြိုတင်အကြောင်းကြားချက်နှင့် လုပ်ငန်းချိန်တွင် ကြိုကျအောင် ဆောင်ရွက်ပြီး ပြကဒ်ဉပဒေ တစ်နှစ်တစ်ကြိမ် မကျော်ဘဲ ကူညီပါမည် (regulator က အခြားနည်းဖြင့် ဆောင်ရွက်ရန် မလိုအပ်သော သို့မဟုတ် Personal Data ချိုးဖောက်ခြင်းဖြစ်သောအခြေအနေမှ လွဲ၍)။

ဝန်ဆောင်မှုကို ဖြတ်တောက်ပြီး Customer ၏ ရွေးချယ်မှုအပေါ်မူတည်ကာ FixWeb သည် FixWeb အနေဖြင့် နည်းဥပဒေကြောင်းအရ ထိန်းသိမ်းထားရန် မလိုအပ်သောကြောင်း (ဥပမာ အခွန် / ငွေတောင်းတမ်း မှတ်တမ်းများ) မဟုတ်မချင်း Customer ကိုယ်စားဖြင့် စီမံဆောင်ရွက်သည့် Personal Data အားလုံးကို ၃၀ ရက်အတွင်း ဖျက်ပစ်သော သို့မဟုတ် ပြန်ပေးမည်။ Account → Privacy တွင် self-serve account deletion flow သည် ၎င်းကို ချက်ချင်း trigger ပြုလုပ်သည်။

CCPA ၏ ရည်ရွယ်ချက်များအတွက် FixWeb သည် “Service Provider” ဖြစ်ပြီး Customer သည် ဤ နောက်ဆက်တွဲအောက်တွင် စီမံဆောင်ရွက်သည့် မည်သည့် Personal Information နှင့်မဆို ပတ်သက်ပြီး “Business” ဖြစ်သည်။ FixWeb မပြုလုပ်မည်မှာ:

• Personal Information ကို ရောင်းချ သို့မဟုတ် မျှဝေ (ထိုသဘောတရားများကို CCPA အောက်တွင် သတ်မှတ်ထားသည့်အတိုင်း);
• FixWeb နှင့် Customer အကြား တိုက်ရိုက်စီးပွားရေး ဆက်ဆံရေးအပြင် ဝန်ဆောင်မှုပေးဆောင်ရာ၏ တိကျသော စီးပွားရေးရည်ရွယ်ချက်မှ လွဲ၍ Personal Information ကို မည်သည့် ရည်ရွယ်ချက်အတွက်မဆို သိမ်းဆည်း၊ သုံးစွဲ သို့မဟုတ် ထုတ်ဖော်ခြင်း;
• CCPA မှ ထင်ရှားပြသ ခွင့်ပြုထားသည်မှ လွဲ၍ Customer ထံမှ ရရှိသော Personal Information ကို အခြားရင်းမြစ်မှ ရရှိသော Personal Information နှင့် ပေါင်းစည်းခြင်း။

FixWeb သည် ဤ ကန့်သတ်ချက်များကို နားလည်ပြီး လိုက်နာမည်ဖြစ်ကြောင်း အတည်ပြုသည်။

ဤ နောက်ဆက်တွဲနှင့် ဝန်ဆောင်မှုစည်းကမ်းချက်များ အကြား ဆန့်ကျင်ဘက်ဖြစ်မှုရှိပါက ဤ နောက်ဆက်တွဲသည် ဆန့်ကျင်ဘက်ဖြစ်မှု၏ ကန့်သတ်ချက်အတွင်း အဓိကဖြစ်သည်။ SCCs / IDTA သည် ၎င်းတို့ နှစ်ခုလုံးကျော်ပြီး ၎င်းတို့ သက်ဆိုင်သောနေရာတွင် အဓိကဖြစ်သည်။

Data subject အခွင့်အရေးများ ကျင့်သုံးခြင်းနှင့် Sub-processor များနှင့်ပတ်သက်သော မေးမြန်းမှုများ အပါအဝင် ဒေတာကာကွယ်ရေး ကိစ္စရပ်များ အားလုံးအတွက် EGO HERO LLC ကို ဆက်သွယ်ပါ:

• email: support@fixweb.app (routing အတွက် “DPA” ဟူသော ခေါင်းစဉ်လိုင်းကို သုံးပါ)
• postal: address ကို အထက်ဖော်ပြပါ email မှ တဆင့် တောင်းဆိုမှုအပေါ် ရနိုင်ပါသည်