Databehandlings- Tillegg

Begreper med stor forbokstav som ikke er definert her, har den betydning som er gitt i GDPR (Regulation (EU) 2016/679) og, der det er aktuelt, UK GDPR / Data Protection Act 2018, California Consumer Privacy Act slik den er endret ved CPRA (“CCPA”), og tilsvarende lover i andre jurisdiksjoner.

“Personopplysninger” betyr data sendt inn av Kunden eller generert av Tjenesten som identifiserer eller relaterer seg til en identifisert eller identifiserbar fysisk person. “Underdatabehandler” betyr en tredjepart engasjert av FixWeb for å behandle Personopplysninger på FixWebs vegne — opplistet på /legal/privacy.

Hver part er selvstendig ansvarlig for overholdelse av de databeskyttelseslovene som gjelder for den. Kunden er Behandlingsansvarlig og FixWeb er Databehandler for Personopplysninger som behandles under dette Tillegget. FixWeb vil behandle Personopplysninger kun etter Kundens dokumenterte instruksjoner (Tjenestens konfigurasjon utgjør slike instruksjoner), unntatt der loven krever noe annet.

FixWeb sikrer at personell som er autorisert til å behandle Personopplysninger er bundet av konfidensialitetsforpliktelser. Tilgang til produksjonsdata er begrenset til et minimum av driftspersonell med minste nødvendig tilgang, logget via audit_logs og gjennomgått periodisk. FixWeb-ansatte har ikke tilgang til Kundedata, unntatt for å undersøke supporthenvendelser, reagere på sikkerhetshendelser eller overholde juridiske krav.

FixWeb implementerer passende tekniske og organisatoriske tiltak i samsvar med GDPR Art. 32, inkludert:

• kryptering av Personopplysninger under overføring (TLS 1.2+) og i hvile (databasedisknivå + målrettet kryptering på kolonnenivå med AES-256-GCM for autentiserte skanningsoverskrifter og OAuth-tokens);
• tvungen sikkerhet på radnivå for hver databasetabell — applikasjonskode kan ikke lese eller skrive på tvers av organisasjonsgrenser selv ved en feil;
• multifaktorautentisering per bruker via den oppstrøms OAuth-leverandøren (Google eller GitHub) der Kunden velger sosial pålogging;
• continuous static analysis + dependency scanning of the FixWeb codebase itself;
• sikkerhetskopier via databaseleverandøren med tidspunktgjenoppretting; testet årlig;
• definerte oppbevaringsperioder (se Personvernerklæring) håndhevet av en automatisert daglig cron, ikke et papirløfte.

Kunden autoriserer FixWeb til å engasjere Underdatabehandlerne som er opplistet i Personvernerklæringen for de formålene som er beskrevet der. FixWeb inngår en skriftlig kontrakt med hver Underdatabehandler som pålegger databeskyttelsesforpliktelser som ikke er mindre beskyttende enn de i dette Tillegget, og forblir ansvarlig overfor Kunden for Underdatabehandlerens handlinger og unnlatelser med hensyn til behandlingen av Personopplysninger.

FixWeb vil varsle Kunden (via varsel i appen eller e-post) om eventuelle planlagte tillegg eller utskiftninger av Underdatabehandlere minst 30 dager i forkant, slik at Kunden har mulighet til å protestere. Hvis Kunden protesterer på rimelige databeskyttelsesgrunnlag, kan Kunden si opp Tjenesten med hensyn til den berørte behandlingen.

FixWeb behandler Personopplysninger primært i USA. Der Personopplysninger overføres fra EØS, UK eller Sveits til et tredjeland som ikke har mottatt en adekvansavgjørelse, baserer FixWeb seg på:

• EU-kommisjonens Standardkontraktsklausuler (Decision (EU) 2021/914), Modul 2 (behandlingsansvarlig til databehandler), innarbeidet i dette Tillegget ved referanse;
• UKs International Data Transfer Addendum til EU SCCs (eller den frittstående IDTA), slik den er publisert av ICO;
• de supplerende tekniske og organisatoriske tiltakene beskrevet i Avsnitt 4.

Kunden autoriserer FixWeb til å inngå SCCs / IDTA med hver videre Underdatabehandler på Kundens vegne.

FixWeb vil bistå Kunden (tatt i betraktning behandlingens art og tilgjengelig informasjon) med å svare på forespørsler fra registrerte under Articles 15–22 GDPR. De fleste rettigheter er selvbetjening fra Konto → Personvern; for gjenværende forespørsler kan Kunden sende e-post til support@fixweb.app med emnet “Privacy request”. Vi svarer innen 30 dager.

FixWeb vil varsle Kunden uten unødvendig forsinkelse (og uansett innen 72 timer etter å ha blitt klar over det) om et Personopplysningsbrudd som berører Kundens Personopplysninger, og gi slik informasjon som Kunden med rimelighet krever for å overholde sine egne Article 33 / 34-forpliktelser, inkludert bruddets art, kategorier og omtrentlig antall registrerte og berørte poster, sannsynlige konsekvenser, og tiltakene som er tatt eller foreslått for å håndtere det.

FixWeb gjør tilgjengelig for Kunden den informasjonen som er nødvendig for å demonstrere overholdelse av dette Tillegget, inkludert dette dokumentet, Personvernerklæringen, Retningslinjene for akseptabel bruk, Vilkårene og eventuelle tredjeparts sikkerhetsrapporter vi besitter (vi deler disse under NDA på forespørsel). FixWeb vil tillate og bidra til revisjoner, inkludert inspeksjoner, gjennomført av Kunden eller en annen revisor som Kunden har mandat, med rimelig forhåndsvarsel og i arbeidstiden, ikke mer enn én gang per kalenderår (unntatt der en regulatør krever noe annet eller ved et Personopplysningsbrudd).

Ved oppsigelse av Tjenesten, og etter Kundens valg, vil FixWeb slette eller returnere alle Personopplysninger behandlet på Kundens vegne innen 30 dager, unntatt i den grad FixWeb er pålagt av gjeldende lov å beholde dem (f.eks. skatte-/faktureringsregistre). Selvbetjeningsflyten for kontosletting på Konto → Personvern utløser dette umiddelbart.

For CCPA-formål er FixWeb en “Tjenesteleverandør” og Kunden er en “Virksomhet” med hensyn til Personopplysninger behandlet under dette Tillegget. FixWeb vil ikke:

• selge eller dele (slik disse begrepene er definert under CCPA) Personopplysninger;
• beholde, bruke eller utlevere Personopplysninger for noe annet formål enn det spesifikke forretningsmessige formålet å levere Tjenesten, inkludert utenfor det direkte forretningsforholdet mellom FixWeb og Kunden;
• kombinere Personopplysninger mottatt fra Kunden med Personopplysninger mottatt fra en annen kilde, unntatt i den grad det er uttrykkelig tillatt av CCPA.

FixWeb bekrefter at det forstår og vil overholde disse begrensningene.

Ved konflikt mellom dette Tillegget og Bruksvilkårene, gjelder dette Tillegget i den utstrekning konflikten rekker. SCCs / IDTA gjelder foran begge der de er anvendelige.

For alle databeskyttelsessaker, inkludert utøvelse av registrertes rettigheter og henvendelser om Underdatabehandlere, kontakt EGO HERO LLC:

• e-post: support@fixweb.app (bruk emnelinjen “DPA” for ruting)
• post: adresse tilgjengelig på forespørsel via e-postadressen ovenfor