Obdelava podatkov Dodatek

Pojmi z veliko začetnico, ki niso opredeljeni tukaj, imajo pomen, kot je določen v GDPR (Regulation (EU) 2016/679) in, kjer je primerno, UK GDPR / Data Protection Act 2018, Kalifornijskem zakonu o varstvu potrošačev, kakor ga je spremenil CPRA (»CCPA«), ter enakovrednih zakonih v drugih jurisdikcijah.

»Osebni podatki« pomeni podatke, ki jih predloži Stranka ali jih ustvari Storitev in ki identificirajo ali se nanašajo na identificirano ali določljivo fizično osebo. »Podobdelovalec« pomeni tretjo osebo, ki jo FixWeb angažira za obdelavo Osebnih podatkov v imenu FixWeb — navedeno na /legal/privacy.

Vsaka stranka je neodvisno odgovorna za skladnost z Zakoni o varstvu podatkov, ki se zanjo uporabljajo. Stranka je Upravljavec, FixWeb pa je Obdelovalec Osebnih podatkov, obdelanih po tem Dodatku. FixWeb bo obdeloval Osebne podatke le v skladu z dokumentiranimi navodili Stranke (konfiguracija Storitve pomeni taka navodila), razen če zakon zahteva drugače.

FixWeb zagotavlja, da je osebje, pooblaščeno za obdelavo Osebnih podatkov, zavezano k obveznostim zaupnosti. Dostop do produkcijskih podatkov je omejen na podskupino operativnega osebja z najmanjšimi privilegiji, beleži se prek audit_logs in se periodično pregleduje. Zaposleni FixWeb ne dostopajo do podatkov Stranke, razen za preiskavo zahtevkov za podporo, odziv na varnostne incidente ali upoštevanje zakonskih zahtev.

FixWeb izvaja ustrezne tehnične in organizacijske ukrepe v skladu z GDPR Art. 32, vključno z:

• šifriranjem Osebnih podatkov med prenosom (TLS 1.2+) in v mirovanju (šifriranje na ravni diska baze podatkov + ciljano šifriranje na ravni stolpca AES-256-GCM za glave avtenticiranih skeniranj in OAuth žetone);
• prisilno varnostjo na ravni vrstic v vsaki tabeli baze podatkov — koda aplikacije ne more brati ali pisati čez organizacijske meje niti pomotoma;
• večfaktorsko avtentikacijo za vsakega uporabnika prek nadrejenega OAuth ponudnika (Google ali GitHub), kjer Stranka izbere socialno prijavo;
• continuous static analysis + dependency scanning of the FixWeb codebase itself;
• varnostnimi kopijami prek ponudnika baze podatkov z obnovitvijo na točno določen čas; letno testirano;
• določenimi obdobji hrambe (gl. Pravilnik o zasebnosti), ki jih uveljavlja avtomatizirani dnevni cron, ne papirna obljuba.

Stranka pooblašča FixWeb, da angažira Podobdelovalce, navedene v Pravilniku o zasebnosti, za tam opisane namene. FixWeb sklene pisno pogodbo z vsakim Podobdelovalcem, ki nalaga obveznosti varstva podatkov, ki niso manj zaščitne od tistih v tem Dodatku, in ostane odgovoren Stranki za ravnanja in opustitve Podobdelovalca v zvezi z obdelavo Osebnih podatkov.

FixWeb bo obvestil Stranko (prek obvestila v aplikaciji ali e-pošte) o vsaki nameravani dodaditvi ali zamenjavi Podobdelovalca vsaj 30 dni vnaprej, pri čemer bo Stranki dal priložnost za ugovor. Če Stranka ugovarja na razumnih temeljih varstva podatkov, lahko Stranka odpove Storitev glede na zadevno obdelavo.

FixWeb obdeluje Osebne podatke pretežno v Združenih državah Amerike. Kjer se Osebni podatki prenašajo iz EGP, Združenega kraljestva ali Švice v tretjo državo, ki ni prejela odločbe o ustreznosti, se FixWeb opira na:

• Standardne pogodbene klavzule Evropske komisije (Decision (EU) 2021/914), Modul 2 (upravljavec-na-obdelovalca), vključene v ta Dodatek s sklicevanjem;
• Mednarodni dodatek za prenos podatkov Združenega kraljestva k EU SCCs (ali samostojni IDTA), kot ga je objavil ICO;
• dopolnilne tehnične in organizacijske ukrepe, opisane v Razdelku 4.

Stranka pooblašča FixWeb, da sklene SCCs / IDTA z vsakim nadaljnjim Podobdelovalcem v imenu Stranke.

FixWeb bo pomagal Stranki (ob upoštevanju narave obdelave in razpoložljivih informacij) pri odgovarjanju na zahteve posameznikov po Articles 15–22 GDPR. Večina pravic je samopomočna prek Račun → Zasebnost; za preostale zahteve lahko Stranka pošlje e-pošto na support@fixweb.app s predmetom »Zahteva za zasebnost«. Odgovorimo v 30 dneh.

FixWeb bo brez nepotrebnega odlašanja (in v vsakem primeru v 72 urah po seznanitvi) obvestil Stranko o kršitvi Osebnih podatkov, ki vpliva na Osebne podatke Stranke, pri čemer bo zagotovil informacije, ki jih Stranka razumno zahteva za izpolnjevanje lastnih obveznosti iz Article 33 / 34, vključno z naravo kršitve, kategorijami in okvirnim številom prizadetih posameznikov in zapisov, verjetnimi posledicami ter ukrepi, sprejetimi ali predlaganimi za odpravo.

FixWeb bo Stranki zagotovil informacije, potrebne za dokazovanje skladnosti s tem Dodatkom, vključno s tem dokumentom, Pravilnikom o zasebnosti, Pravilnikom o sprejemljivi uporabi, Pogoji ter morebitnimi varnostnimi poročili tretjih strank, ki jih imamo (delili jih bomo pod NDA na zahtevo). FixWeb bo dopustil in prispeval k revizijam, vključno z inšpekcijami, ki jih izvaja Stranka ali drug revizor, ki ga imenuje Stranka, ob razumnem predhodnem obvestilu in v poslovnem času, največ enkrat na koledarsko leto (razen če regulator zahteva drugače ali v primeru kršitve Osebnih podatkov).

Ob prenehanju Storitve in po izbiri Stranke bo FixWeb v 30 dneh izbrisal ali vrnil vse Osebne podatke, obdelane v imenu Stranke, razen v obsegu, v katerem FixWeb zavezuje veljavna zakonodaja k hranjenju (npr. davčni/obračunski zapisi). Samopomočni postopek brisanja računa na Račun → Zasebnost to sproži takoj.

Za namene CCPA je FixWeb »Ponudnik storitev« in Stranka je »Podjetje« glede katere koli Osebne informacije, obdelane po tem Dodatku. FixWeb ne bo:

• prodajal ali delil (kot sta ta pojma opredeljena po CCPA) Osebnih informacij;
• hranjil, uporabljal ali razkril Osebnih informacij za kateri koli namen, razen za specifičen poslovni namen zagotavljanja Storitve, vključno zunaj neposrednega poslovnega razmerja med FixWeb in Stranko;
• kombiniral Osebnih informacij, prejetih od Stranke, z Osebnimi informacijami, prejetimi iz katerega koli drugega vira, razen kadar to CCPA izrecno dovoli.

FixWeb potrjuje, da razume in bo spoštoval te omejitve.

V primeru nasprotja med tem Dodatkom in Pogoji uporabe ta Dodatek prevlada v obsegu nasprotja. SCCs / IDTA prevladajo nad obema, kjer se uporabljajo.

Za vse zadeve varstva podatkov, vključno z uveljavljanjem pravic posameznikov in poizvedbami o Podobdelovalcih, kontaktiraj EGO HERO LLC:

• e-pošta: support@fixweb.app (za usmerjanje uporabi predmet »DPA«)
• poštni naslov: na voljo na zahtevo prek zgornjega e-poštnega naslova