บริษัท: RapidFoundry Ltd
ที่อยู่จดทะเบียน: Isiodou Gardens Central 13, Unit 401, 3031 Limassol, Cyprus
หน้านี้อธิบายวิธีที่ RapidFoundry Ltd ("RapidFoundry", "บริษัท", "เรา", "ของเรา") ปฏิบัติตามกฎระเบียบการปกป้องข้อมูลทั่วไป (EU) 2016/679 ("GDPR") ในซอฟต์แวร์, แพลตฟอร์ม, แอปพลิเคชัน, เว็บไซต์, และบริการทั้งหมดที่เราดำเนินการหรือจัดเตรียม (รวมกันเรียกว่า "บริการ") หน้านี้เสริมเติมและควรอ่านร่วมกับ นโยบายความเป็นส่วนตัว และ เงื่อนไขการให้บริการ ของเรา ในกรณีที่มีข้อขัดแย้งเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล นโยบายความเป็นส่วนตัวของเราและข้อตกลงการประมวลผลข้อมูลที่เกี่ยวข้องจะมีความสำคัญเหนือกว่า
1. ความมุ่งมั่นของเราต่อ GDPR
RapidFoundry มุ่งมั่นที่จะปกป้องข้อมูลส่วนบุคคลและประมวลผลอย่างถูกกฎหมาย ยุติธรรม และโปร่งใส เราใช้หลักการหลักของ GDPR กับบริการทั้งหมดของเรา ได้แก่ ความถูกกฎหมาย ความยุติธรรมและความโปร่งใส การจำกัดวัตถุประสงค์ การลดข้อมูล ความถูกต้อง การจำกัดการเก็บรักษา ความสมบูรณ์และความลับ และความรับผิดชอบ เราออกแบบบริการของเราเพื่อรักษาหลักการเหล่านี้ไม่ว่าคุณจะใช้สินค้าใดก็ตาม
2. ขอบเขต
คำชี้แจง GDPR นี้ใช้กับข้อมูลส่วนบุคคลทั้งหมดที่เราประมวลผลเกี่ยวกับผู้เยี่ยมชม ผู้ใช้ที่ลงทะเบียน ลูกค้า และลูกค้าที่อาจเป็นไปได้ของบริการของเรา รวมถึงข้อมูลส่วนบุคคลที่ลูกค้าธุรกิจประมวลผลผ่านบริการของเรา โดยใช้ได้ทุกที่ที่ GDPR มีผลใช้บังคับ รวมถึงที่ที่เราเสนอบริการให้แก่บุคคลในสหภาพยุโรป/พื้นที่เศรษฐกิจยุโรป (EEA) หรือติดตามพฤติกรรมของพวกเขาภายใน EEA
3. บทบาทของผู้ควบคุมและผู้ประมวลผล
3.1 เมื่อเราเป็นผู้ควบคุม
สำหรับข้อมูลส่วนบุคคลที่เราเก็บรวบรวมเพื่อดำเนินการธุรกิจและจัดเตรียมบริการให้แก่คุณโดยตรง เช่น ข้อมูลบัญชี การเรียกเก็บเงิน การใช้งาน และการสนับสนุน RapidFoundry ทำหน้าที่เป็น ผู้ควบคุมข้อมูล และกำหนดวัตถุประสงค์และวิธีการประมวลผล การประมวลผลนี้อธิบายไว้ใน นโยบายความเป็นส่วนตัว ของเรา
3.2 เมื่อเราเป็นผู้ประมวลผล
เมื่อคุณใช้บริการของเราเป็นลูกค้าธุรกิจและอัปโหลดหรือประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับผู้ใช้ปลายทางของคุณเอง คุณทำหน้าที่เป็น ผู้ควบคุมข้อมูล และ RapidFoundry ทำหน้าที่เป็น ผู้ประมวลผลข้อมูล ของคุณ ในบทบาทนั้น เราประมวลผลข้อมูลส่วนบุคคลดังกล่าวเฉพาะตามคำแนะนำเป็นลายลักษณ์อักษรของคุณและตามข้อตกลงการประมวลผลข้อมูล (ดูส่วนที่ 7)
4. พื้นฐานทางกฎหมายสำหรับการประมวลผล
เราประมวลผลข้อมูลส่วนบุคคลเฉพาะในกรณีที่เรามีพื้นฐานทางกฎหมายภายใต้ข้อ 6 ของ GDPR:
- การปฏิบัติตามสัญญา - เพื่อจัดเตรียมบริการ จัดการบัญชีของคุณ และประมวลผลการชำระเงิน
- ผลประโยชน์ที่ชอบด้วยกฎหมาย - เพื่อรักษาความปลอดภัย บำรุงรักษา และปรับปรุงบริการของเรา ป้องกันการฉ้อโกงและการละเมิด และติดต่อสื่อสารกับลูกค้าที่มีอยู่ โดยสมดุลกับสิทธิและเสรีภาพของคุณ
- ความยินยอม - สำหรับคุกกี้ที่ไม่จำเป็นและการตลาดบางอย่าง ซึ่งคุณอาจถอนได้ทุกเมื่อ
- ข้อบังคับทางกฎหมาย - เพื่อปฏิบัติตามข้อกำหนดด้านภาษี บัญชี และกฎระเบียบอื่นๆ
เมื่อเราประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ (ข้อ 9) เราทำเช่นนั้นเฉพาะด้วยความยินยอมอย่างชัดแจ้งของคุณหรือเมื่อเงื่อนไขทางกฎหมายอื่นๆ นำไปใช้
5. สิทธิของคุณในฐานะวัตถุข้อมูล
ภายใต้เงื่อนไขและข้อยกเว้นใน GDPR คุณมีสิทธิ:
- ได้รับข้อมูลเกี่ยวกับวิธีประมวลผลข้อมูลส่วนบุคคลของคุณ (ข้อ 13-14)
- เข้าถึงข้อมูลส่วนบุคคลของคุณและได้รับสำเนา (ข้อ 15)
- แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์ (ข้อ 16)
- ลบ("สิทธิที่จะถูกลืม") ในสถานการณ์บางอย่าง (ข้อ 17)
- จำกัดการประมวลผลในสถานการณ์บางอย่าง (ข้อ 18)
- การถ่ายโอนข้อมูล - เพื่อรับข้อมูลของคุณในรูปแบบที่มีโครงสร้าง ใช้บ่อยทั่วไป และอ่านได้โดยเครื่อง (ข้อ 20)
- คัดค้านการประมวลผลตามผลประโยชน์ที่ชอบด้วยกฎหมายและการตลาดโดยตรง (ข้อ 21)
- ถอนความยินยอมทุกเมื่อ โดยไม่ส่งผลกระทบต่อความถูกกฎหมายของการประมวลผลก่อนหน้า (ข้อ 7)
- ไม่อยู่ภายใต้การตัดสินใจตามการประมวลผลอัตโนมัติเพียงอย่างเดียวที่สร้างผลกระทบทางกฎหมายหรือมีความสำคัญเท่าเทียมกัน (ข้อ 22)
- ยื่นร้องเรียนกับหน่วยงานกำกับดูแล (ข้อ 77 ดูส่วนที่ 12)
6. วิธีการใช้สิทธิของคุณ
คุณสามารถใช้สิทธิใดๆ ของคุณได้โดยติดต่อเราผ่าน แบบฟอร์มติดต่อ ของเรา เราอาจจำเป็นต้องยืนยันตัวตนของคุณก่อนทำตามคำขอ เราจะตอบสนองภายในหนึ่ง (1) เดือนนับจากการได้รับ ตามที่กำหนดไว้ในข้อ 12(3) ระยะเวลานี้อาจขยายออกไปอีกได้สูงสุดสองเดือนสำหรับคำขอที่ซับซ้อนหรือจำนวนมาก ซึ่งในกรณีนี้เราจะแจ้งให้คุณทราบถึงการขยายและเหตุผล คำขอจะได้รับการจัดการโดยไม่เสียค่าใช้จ่าย เว้นแต่ว่าคำขอนั้นเห็นได้ชัดว่าไม่มีพื้นฐานหรือมากเกินไป
หากคุณใช้บริการของเราในฐานะผู้ใช้ปลายทางของลูกค้าธุรกิจ (เช่น ลูกค้ารายนั้นเป็นผู้ควบคุม) โปรดส่งคำขอของคุณไปยังลูกค้ารายนั้น เราจะช่วยเหลือพวกเขาในการตอบสนองในฐานะผู้ประมวลผลของพวกเขา
7. ข้อตกลงการประมวลผลข้อมูล (DPA)
สำหรับลูกค้าธุรกิจที่ใช้บริการของเราเพื่อประมวลผลข้อมูลส่วนบุคคลของผู้ใช้ปลายทางของตนเอง เราจัดเตรียม Data Processing Agreement ที่เป็นไปตามข้อกำหนดของข้อ 28 ของ GDPR DPA นี้ควบคุมเรื่องการประมวลผล ระยะเวลา ลักษณะ และวัตถุประสงค์ ประเภทของข้อมูลส่วนบุคคลและหมวดหมู่ของวัตถุข้อมูล และข้อบังคับของเราในฐานะผู้ประมวลผล รวมถึงความลับ ความปลอดภัย การประมวลผลแบบย่อย ความช่วยเหลือ และการลบหรือส่งคืนข้อมูล ลูกค้าธุรกิจและองค์กรขนาดใหญ่อาจขอ DPA ของเราผ่าน แบบฟอร์มติดต่อ ของเรา
8. ผู้ประมวลผลแบบย่อย
เราใช้ผู้ให้บริการบุคคลที่สาม ("ผู้ประมวลผลแบบย่อย") ที่ได้รับการคัดเลือกอย่างระมัดระวังเพื่อช่วยให้บริการของเรา เช่น โฮสติ้งและโครงสร้างพื้นฐานแบบคลาวด์ การประมวลผลการชำระเงิน การส่งอีเมล และการตรวจสอบข้อผิดพลาด ผู้ประมวลผลแบบย่อยแต่ละรายถูกผูกมัดด้วยข้อตกลงเป็นลายลักษณ์อักษรที่กำหนดให้ระดับการปกป้องข้อมูลเพียงพอและประมวลผลข้อมูลส่วนบุคคลเฉพาะตามที่จำเป็นเพื่อดำเนินการบริการของตนเอง เมื่อเราทำหน้าที่เป็นผู้ประมวลผลสำหรับลูกค้าธุรกิจ เราจะแจ้งให้ลูกค้าที่ได้รับผลกระทบทราบเกี่ยวกับการเปลี่ยนแปลงที่ตั้งใจไว้ต่อผู้ประมวลผลแบบย่อย เพื่อให้พวกเขาอาจคัดค้านได้หากมีพื้นฐานที่ชอบด้วยกฎหมาย รายชื่อปัจจุบันของผู้ประมวลผลแบบย่อยมีให้แก่ลูกค้าธุรกิจตามคำขอ
9. การถ่ายโอนข้อมูลระหว่างประเทศ
เราเก็บรักษาและประมวลผลข้อมูลส่วนบุคคลเป็นหลักภายใน EU/EEA เมื่อข้อมูลส่วนบุคคลถูกถ่ายโอนไปยังประเทศนอก EEA ที่ยังไม่ได้รับการตัดสินใจเพียงพอจากคณะมนตรียุโรป เราจึงใช้มาตรการป้องกันที่เหมาะสมตามที่กำหนดไว้ในบท V ของ GDPR ส่วนใหญ่มักเป็น Standard Contractual Clauses ของคณะมนตรียุโรป ซึ่งเสริมด้วยมาตรการเทคนิคและองค์การเพิ่มเติมหากจำเป็น เพื่อให้มั่นใจว่าข้อมูลของคุณยังคงได้รับการปกป้อง
10. การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น
สอดคล้องกับข้อ 25 เราพิจารณาการปกป้องข้อมูลเมื่อออกแบบและดำเนินการบริการของเรา เราใช้การลดข้อมูล จำกัดการเข้าถึงตามความจำเป็น และกำหนดค่าการตั้งค่าเริ่มต้นเพื่อปกป้องความเป็นส่วนตัว เราตรวจสอบกิจกรรมการประมวลผลของเราเป็นระยะๆ และในกรณีที่ประเภทของการประมวลผลอาจส่งผลความเสี่ยงสูงต่อบุคคล เราจะดำเนินการประเมินผลกระทบการปกป้องข้อมูล (ข้อ 35)
11. ความปลอดภัยของข้อมูล
เราใช้มาตรการทางเทคนิคและองค์การที่เหมาะสมเพื่อให้มั่นใจถึงระดับความปลอดภัยที่เหมาะสมกับความเสี่ยง ตามที่กำหนดไว้ในข้อ 32 ซึ่งรวมถึงการเข้ารหัสข้อมูลระหว่างการส่ง การควบคุมการเข้าถึงและการตรวจสอบสิทธิ์ การแยกสภาพแวดล้อม การบันทึกและการตรวจสอบ และการตรวจสอบแนวปฏิบัติด้านความปลอดภัยของเราเป็นระยะ ไม่มีระบบใดที่สามารถรับประกันว่าจะปลอดภัยได้อย่างสมบูรณ์ แต่เราทำงานอย่างต่อเนื่องเพื่อปกป้องข้อมูลส่วนบุคคลจากการทำลาย การสูญหาย การเปลี่ยนแปลง และการเปิดเผยหรือการเข้าถึงโดยไม่ได้รับอนุญาต
12. การแจ้งเรื่องการละเมิดข้อมูลส่วนบุคคล
เราดำเนินการตามขั้นตอนเพื่อตรวจจับ สืบสวน และตอบสนองต่อการละเมิดข้อมูลส่วนบุคคล เมื่อการละเมิดอาจส่งผลความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล เราจะแจ้งให้หน่วยงานกำกับดูแลที่มีอำนาจทราบโดยไม่ชักช้าและหากเป็นไปได้ภายในเจ็ด 72 ชั่วโมงนับจากที่เราทราบ ตามข้อ 33 เมื่อการละเมิดอาจส่งผลความเสี่ยงสูงต่อบุคคล เราจะแจ้งให้วัตถุข้อมูลที่ได้รับผลกระทบทราบเช่นกันโดยไม่ชักช้า (ข้อ 34) เมื่อเราทำหน้าที่เป็นผู้ประมวลผล เราจะแจ้งให้ผู้ควบคุมที่เกี่ยวข้องทราบโดยไม่ชักช้าหลังจากที่เราทราบเกี่ยวกับการละเมิด
13. การเก็บรักษาข้อมูล
เราเก็บรักษาข้อมูลส่วนบุคคลเฉพาะตราบเท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่เก็บรวบรวมข้อมูล รวมถึงการจัดเตรียมบริการ การปฏิบัติตามข้อบังคับทางกฎหมาย (เช่น ข้อกำหนดด้านภาษีและบัญชี) การแก้ไขข้อพิพาท และการบังคับใช้ข้อตกลงของเรา เมื่อข้อมูลส่วนบุคคลไม่จำเป็นอีกต่อไป เราจะลบหรือทำให้เป็นไม่ระบุตัวตน รายละเอียดเพิ่มเติมมีให้ใน นโยบายความเป็นส่วนตัว ของเรา
14. บันทึกการประมวลผล
สอดคล้องกับข้อ 30 เราดำเนินการบันทึกกิจกรรมการประมวลผลของเรา โดยอธิบายวัตถุประสงค์ของการประมวลผล หมวดหมู่ของข้อมูลและวัตถุข้อมูล ผู้รับ การถ่ายโอนระหว่างประเทศ ระยะเวลาการเก็บรักษา และมาตรการความปลอดภัยที่มีอยู่
15. ผู้ติดต่อด้านการปกป้องข้อมูล
คำถามเกี่ยวกับการปฏิบัติตาม GDPR ของเรา คำขอเพื่อใช้สิทธิของคุณ หรือคำขอสำหรับ Data Processing Agreement ของเราสามารถส่งได้ผ่าน แบบฟอร์มติดต่อ ของเรา โปรดระบุลักษณะของคำขอของคุณเพื่อให้เราสามารถจัดส่งอย่างเหมาะสม สำหรับเรื่องเร่งด่วนที่เกี่ยวข้องกับการละเมิดข้อมูลที่อาจเกิดขึ้น โปรดระบุความเร่งด่วนในหัวข้อของคุณ
16. หน่วยงานกำกับดูแล
RapidFoundry Ltd ได้รับการจัดตั้งในประเทศไซปรัส และหน่วยงานกำกับดูแลหลักของเราคือสำนักงานของผู้บัญชาการคุ้มครองข้อมูลส่วนบุคคล (ประเทศไซปรัส) www.dataprotection.gov.cy หากคุณตั้งอยู่ในประเทศ EU/EEA อื่นๆ คุณจะมีสิทธิยื่นร้องเรียนกับหน่วยงานกำกับดูแลในท้องถิ่นของคุณด้วย เราขอบคุณและขอให้มีโอกาสแก้ไขข้อกังวลของคุณโดยตรงก่อนที่คุณจะทำเช่นนั้น
17. การเปลี่ยนแปลงคำชี้แจง GDPR นี้
เราอาจปรับปรุงคำชี้แจง GDPR นี้เป็นครั้งคราวเพื่อสะท้อนการเปลี่ยนแปลงในแนวปฏิบัติหรือข้อกำหนดทางกฎหมายของเรา เราจะลงประกาศเวอร์ชันที่อัปเดตบนเว็บไซต์ของเราและอัปเดตวันที่ "อัปเดตครั้งล่าสุด" การเปลี่ยนแปลงที่มีนัยสำคัญจะถูกสื่อสารโดยที่เป็นไปได้ และการใช้บริการของคุณต่อไปหลังจากวันที่มีผลใช้บังคับถือเป็นการยอมรับคำชี้แจงที่อัปเดต