Công ty: RapidFoundry Ltd
Địa chỉ đăng ký: Isiodou Gardens Central 13, Unit 401, 3031 Limassol, Cyprus
Trang này giải thích cách RapidFoundry Ltd ("RapidFoundry", "Công ty", "chúng tôi", "của chúng tôi") tuân thủ Quy định Bảo vệ Dữ liệu Chung (EU) 2016/679 ("GDPR") trên tất cả các phần mềm, nền tảng, ứng dụng, trang web và dịch vụ do chúng tôi vận hành hoặc cung cấp (tổng hợp gọi là "Dịch vụ"). Nó bổ sung cho và nên được đọc cùng với Chính sách Bảo mật và Điều khoản Dịch vụ của chúng tôi. Trong trường hợp có bất kỳ xung đột nào liên quan đến xử lý dữ liệu cá nhân, Chính sách Bảo mật của chúng tôi và bất kỳ Thỏa thuận Xử lý Dữ liệu nào áp dụng sẽ được ưu tiên.
1. Cam kết của chúng tôi đối với GDPR
RapidFoundry cam kết bảo vệ dữ liệu cá nhân và xử lý nó một cách hợp pháp, công bằng và minh bạch. Chúng tôi áp dụng các nguyên tắc cốt lõi của GDPR cho tất cả Dịch vụ của chúng tôi: hợp pháp, công bằng và minh bạch; hạn chế mục đích; tối thiểu hóa dữ liệu; chính xác; hạn chế lưu trữ; toàn vẹn và bảo mật; và trách nhiệm. Chúng tôi thiết kế Dịch vụ của mình để duy trì các nguyên tắc này bất kể bạn sử dụng sản phẩm nào.
2. Phạm vi áp dụng
Tuyên bố GDPR này áp dụng cho tất cả dữ liệu cá nhân chúng tôi xử lý về những người truy cập, người dùng đã đăng ký, khách hàng và khách hàng tiềm năng của Dịch vụ của chúng tôi, cũng như dữ liệu cá nhân mà khách hàng kinh doanh xử lý thông qua Dịch vụ của chúng tôi. Nó áp dụng ở bất kỳ nơi nào GDPR có hiệu lực, bao gồm khi chúng tôi cung cấp Dịch vụ cho các cá nhân trong Liên minh Châu Âu / Khu vực Kinh tế Châu Âu (EEA) hoặc theo dõi hành vi của họ trong EEA.
3. Vai trò Bộ điều khiển và Bộ xử lý
3.1 Khi chúng tôi là Bộ điều khiển
Đối với dữ liệu cá nhân chúng tôi thu thập để vận hành kinh doanh và cung cấp Dịch vụ trực tiếp cho bạn, chẳng hạn như dữ liệu tài khoản, thanh toán, sử dụng và hỗ trợ, RapidFoundry hoạt động như bộ điều khiển dữ liệu và xác định mục đích và phương tiện xử lý. Việc xử lý này được mô tả trong Chính sách Bảo mật của chúng tôi.
3.2 Khi chúng tôi là Bộ xử lý
Khi bạn sử dụng Dịch vụ của chúng tôi như một khách hàng kinh doanh và tải lên hoặc xử lý dữ liệu cá nhân liên quan đến người dùng cuối của riêng bạn, bạn hoạt động như bộ điều khiển dữ liệu và RapidFoundry hoạt động như bộ xử lý dữ liệu của bạn. Trong vai trò đó, chúng tôi xử lý dữ liệu cá nhân như vậy chỉ theo hướng dẫn được ghi chép của bạn và phù hợp với Thỏa thuận Xử lý Dữ liệu (xem Phần 7).
4. Cơ sở pháp lý để xử lý
Chúng tôi xử lý dữ liệu cá nhân chỉ khi chúng tôi có cơ sở hợp pháp theo Điều 6 của GDPR:
- Thực hiện hợp đồng để cung cấp Dịch vụ, quản lý tài khoản của bạn và xử lý thanh toán;
- Lợi ích hợp pháp để bảo mật, duy trì và cải thiện Dịch vụ của chúng tôi, ngăn chặn gian lận và lạm dụng, và giao tiếp với khách hàng hiện tại, cân bằng với quyền và tự do của bạn;
- Sự đồng ý cho cookie không cần thiết và tiếp thị nhất định, mà bạn có thể rút lại bất kỳ lúc nào;
- Nghĩa vụ pháp lý để tuân thủ yêu cầu thuế, kế toán và quy định khác.
Khi chúng tôi xử lý các danh mục đặc biệt của dữ liệu cá nhân (Điều 9), chúng tôi chỉ làm như vậy với sự đồng ý rõ ràng của bạn hoặc khi có điều kiện hợp pháp khác áp dụng.
5. Quyền của bạn như một Chủ thể dữ liệu
Tuân theo các điều kiện và ngoại lệ trong GDPR, bạn có quyền:
- Được thông báo về cách dữ liệu cá nhân của bạn được xử lý (Điều 13–14);
- Truy cập dữ liệu cá nhân của bạn và lấy bản sao (Điều 15);
- Sửa chữa dữ liệu không chính xác hoặc không đầy đủ (Điều 16);
- Xóa ("quyền được lãng quên") trong những trường hợp nhất định (Điều 17);
- Hạn chế xử lý trong những trường hợp nhất định (Điều 18);
- Tính khả chuyển dữ liệu để nhận dữ liệu của bạn ở định dạng có cấu trúc, được sử dụng phổ biến, có thể đọc được bởi máy (Điều 20);
- Phản đối xử lý dựa trên lợi ích hợp pháp và tiếp thị trực tiếp (Điều 21);
- Rút lại sự đồng ý bất kỳ lúc nào, mà không ảnh hưởng đến tính hợp pháp của xử lý trước đó (Điều 7);
- Không phải chịu quyết định dựa hoàn toàn trên xử lý tự động tạo ra hiệu lực pháp lý hoặc tương tự (Điều 22);
- Gửi khiếu nại đến cơ quan giám sát (Điều 77; xem Phần 12).
6. Cách thực hiện quyền của bạn
Bạn có thể thực hiện bất kỳ quyền nào của mình bằng cách liên hệ với chúng tôi thông qua mẫu liên hệ của chúng tôi. Chúng tôi có thể cần xác minh danh tính của bạn trước khi hoàn thành một yêu cầu. Chúng tôi sẽ phản hồi trong vòng một (1) tháng kể từ khi nhận được, như được yêu cầu bởi Điều 12(3); khoảng thời gian này có thể được kéo dài thêm hai tháng nữa đối với các yêu cầu phức tạp hoặc nhiều, trong trường hợp đó chúng tôi sẽ thông báo cho bạn về phần mở rộng và lý do cho nó. Các yêu cầu được xử lý miễn phí trừ khi chúng rõ ràng là vô căn cứ hoặc quá mức.
Nếu bạn sử dụng Dịch vụ của chúng tôi như người dùng cuối của khách hàng kinh doanh (tức là khi khách hàng đó là bộ điều khiển), vui lòng gửi yêu cầu của bạn đến khách hàng đó; chúng tôi sẽ hỗ trợ họ trong việc phản hồi như bộ xử lý của họ.
7. Thỏa thuận Xử lý Dữ liệu (DPA)
Đối với khách hàng kinh doanh sử dụng Dịch vụ của chúng tôi để xử lý dữ liệu cá nhân của người dùng cuối của riêng họ, chúng tôi cung cấp Thỏa thuận Xử lý Dữ liệu đáp ứng các yêu cầu của Điều 28 của GDPR. DPA điều chỉnh chủ đề, thời lượng, bản chất và mục đích xử lý, các loại dữ liệu cá nhân và danh mục chủ thể dữ liệu, và các nghĩa vụ của chúng tôi như bộ xử lý, bao gồm bảo mật, bảo mật, xử lý phụ, hỗ trợ và xóa hoặc trả lại dữ liệu. Khách hàng kinh doanh và doanh nghiệp có thể yêu cầu DPA của chúng tôi thông qua mẫu liên hệ của chúng tôi.
8. Bộ xử lý phụ
Chúng tôi sử dụng các nhà cung cấp dịch vụ bên thứ ba được lựa chọn cẩn thận ("bộ xử lý phụ") để giúp cung cấp Dịch vụ của chúng tôi, chẳng hạn như lưu trữ đám mây và cơ sở hạ tầng, xử lý thanh toán, gửi email và giám sát lỗi. Mỗi bộ xử lý phụ bị ràng buộc bởi thỏa thuận bằng văn bản yêu cầu nó cung cấp mức độ bảo vệ dữ liệu phù hợp và xử lý dữ liệu cá nhân chỉ khi cần thiết để thực hiện dịch vụ của nó. Khi chúng tôi hoạt động như bộ xử lý cho khách hàng kinh doanh, chúng tôi sẽ thông báo cho khách hàng bị ảnh hưởng về các thay đổi dự định đối với bộ xử lý phụ để họ có thể phản đối nếu họ có cơ sở hợp pháp để làm như vậy. Danh sách hiện tại của các bộ xử lý phụ có sẵn cho khách hàng kinh doanh khi yêu cầu.
9. Chuyển giao dữ liệu quốc tế
Chúng tôi chủ yếu lưu trữ và xử lý dữ liệu cá nhân trong EU/EEA. Khi dữ liệu cá nhân được chuyển đến một quốc gia bên ngoài EEA chưa nhận được quyết định đầy đủ từ Ủy ban Châu Âu, chúng tôi áp dụng các biện pháp bảo vệ phù hợp như được yêu cầu bởi Chương V của GDPR, thường là Các Điều khoản Hợp đồng Tiêu chuẩn của Ủy ban Châu Âu, được bổ sung bằng các biện pháp kỹ thuật và tổ chức bổ sung khi cần thiết, để đảm bảo dữ liệu của bạn vẫn được bảo vệ.
10. Bảo vệ dữ liệu theo thiết kế và theo mặc định
Phù hợp với Điều 25, chúng tôi xem xét bảo vệ dữ liệu khi thiết kế và vận hành Dịch vụ của chúng tôi. Chúng tôi áp dụng tối thiểu hóa dữ liệu, hạn chế quyền truy cập trên cơ sở cần biết, và định cấu hình các cài đặt mặc định để bảo vệ quyền riêng tư. Chúng tôi định kỳ xem xét các hoạt động xử lý của mình và, khi một loại xử lý có khả năng tạo ra rủi ro cao cho các cá nhân, chúng tôi thực hiện Đánh giá Tác động Bảo vệ Dữ liệu (Điều 35).
11. Bảo mật dữ liệu
Chúng tôi thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro, như được yêu cầu bởi Điều 32. Chúng bao gồm mã hóa dữ liệu trong quá trình truyền, kiểm soát truy cập và xác thực, tách biệt môi trường, ghi nhật ký và giám sát, và xem xét thường xuyên các thực hành bảo mật của chúng tôi. Không có hệ thống nào có thể được đảm bảo hoàn toàn an toàn, nhưng chúng tôi liên tục làm việc để bảo vệ dữ liệu cá nhân khỏi bị phá hủy, mất mát, thay đổi và tiết lộ hoặc truy cập trái phép, dù vô tình hay cố ý.
12. Thông báo vi phạm dữ liệu cá nhân
Chúng tôi duy trì các thủ tục để phát hiện, điều tra và ứng phó với các vi phạm dữ liệu cá nhân. Khi một vi phạm có khả năng tạo ra rủi ro đối với quyền và tự do của các cá nhân, chúng tôi sẽ thông báo cho cơ quan giám sát có thẩm quyền mà không chậm trễ không cần thiết và, nếu có thể, trong vòng 72 giờ kể từ khi biết về nó, phù hợp với Điều 33. Khi vi phạm có khả năng tạo ra rủi ro cao cho các cá nhân, chúng tôi cũng sẽ thông báo cho các chủ thể dữ liệu bị ảnh hưởng mà không chậm trễ không cần thiết (Điều 34). Khi chúng tôi hoạt động như bộ xử lý, chúng tôi sẽ thông báo cho bộ điều khiển liên quan mà không chậm trễ không cần thiết sau khi biết về một vi phạm.
13. Lưu giữ dữ liệu
Chúng tôi lưu giữ dữ liệu cá nhân chỉ trong thời gian cần thiết để hoàn thành các mục đích mà nó được thu thập, bao gồm cung cấp Dịch vụ, tuân thủ nghĩa vụ pháp lý (chẳng hạn như yêu cầu thuế và kế toán), giải quyết tranh chấp và thực thi các thỏa thuận của chúng tôi. Khi dữ liệu cá nhân không còn cần thiết, chúng tôi xóa hoặc ẩn danh nó. Chi tiết thêm được cung cấp trong Chính sách Bảo mật của chúng tôi.
14. Hồ sơ xử lý
Phù hợp với Điều 30, chúng tôi duy trì hồ sơ các hoạt động xử lý của chúng tôi, mô tả các mục đích xử lý, các danh mục dữ liệu và chủ thể dữ liệu, người nhận, chuyển giao quốc tế, thời hạn lưu giữ và các biện pháp bảo mật đang có.
15. Liên hệ bảo vệ dữ liệu
Các câu hỏi về tuân thủ GDPR của chúng tôi, yêu cầu thực hiện quyền của bạn hoặc yêu cầu Thỏa thuận Xử lý Dữ liệu của chúng tôi có thể được gửi thông qua mẫu liên hệ của chúng tôi. Vui lòng chỉ ra bản chất của yêu cầu của bạn để chúng tôi có thể định tuyến nó một cách thích hợp. Đối với các vấn đề khẩn cấp liên quan đến nghi ngờ vi phạm dữ liệu, vui lòng chỉ ra tính khẩn cấp trong dòng chủ đề của bạn.
16. Cơ quan giám sát
RapidFoundry Ltd được thành lập tại Cyprus, và cơ quan giám sát chính của chúng tôi là Văn phòng Ủy viên Bảo vệ Dữ liệu Cá nhân (Cyprus), www.dataprotection.gov.cy. Nếu bạn đang ở trong một quốc gia EU/EEA khác, bạn cũng có quyền gửi khiếu nại đến cơ quan giám sát địa phương của bạn. Chúng tôi sẽ đánh giá cao cơ hội giải quyết mối quan tâm của bạn trực tiếp trước khi bạn làm như vậy.
17. Thay đổi đối với Tuyên bố GDPR này
Chúng tôi có thể cập nhật Tuyên bố GDPR này theo thời gian để phản ánh các thay đổi trong thực hành hoặc yêu cầu pháp lý của chúng tôi. Chúng tôi sẽ đăng phiên bản cập nhật trên trang web của chúng tôi và cập nhật ngày "Cập nhật lần cuối". Các thay đổi quan trọng sẽ được thông báo khi có thể, và việc tiếp tục sử dụng Dịch vụ của bạn sau ngày có hiệu lực cấu thành sự thừa nhận của tuyên bố cập nhật.