Halaman ini menguraikan bagaimana RapidFoundry LTD ("kami", "kita", "milik kami") mematuhi Regulasi (EU) 2016/679, Regulasi Perlindungan Data Umum ("GDPR"). Pernyataan ini dimaksudkan untuk memberikan transparansi mengenai praktik perlindungan data kami dan harus dibaca bersamaan dengan Kebijakan Privasi kami, yang merinci data pribadi spesifik yang kami kumpulkan dan bagaimana kami menggunakannya.
Komitmen Kami terhadap Kepatuhan GDPR
RapidFoundry LTD berkomitmen untuk melindungi hak dan kebebasan fundamental orang-orang terkait dengan pemrosesan data pribadi. Sebagai penyedia Software-as-a-Service berbasis EU, kami telah menerapkan langkah-langkah komprehensif untuk memastikan kepatuhan penuh terhadap GDPR di semua aspek operasi kami.
Kami menyadari bahwa perlindungan data bukan hanya kewajiban hukum tetapi juga landasan kepercayaan antara organisasi kami, pelanggan kami, dan individu yang datanya kami proses. Program kepatuhan kami terus ditinjau dan ditingkatkan untuk mencerminkan panduan regulasi dan praktik terbaik yang terus berkembang.
Peran: Pengendali Data dan Pemroses Data
Ketika Kami Bertindak sebagai Pengendali Data
Sesuai dengan Pasal 4(7) GDPR, RapidFoundry LTD bertindak sebagai pengendali data ketika kami menentukan tujuan dan cara pemrosesan data pribadi. Ini termasuk:
- Memproses data pribadi pengunjung situs web kami
- Mengelola akun dan hubungan dengan pelanggan kami
- Memproses data karyawan dan pelamar kerja
- Melakukan kegiatan pemasaran dan komunikasi
- Mengelola penagihan dan urusan kontraktual
Sebagai pengendali data, kami bertanggung jawab penuh untuk memastikan bahwa aktivitas pemrosesan mematuhi persyaratan GDPR dan untuk menanggapi permintaan subjek data.
Ketika Kami Bertindak sebagai Pemroses Data
Sesuai dengan Pasal 4(8) GDPR, RapidFoundry LTD bertindak sebagai pemroses data ketika kami memproses data pribadi atas nama pelanggan kami sehubungan dengan penyediaan platform SaaS kami. Dalam kapasitas ini:
- Pelanggan kami tetap menjadi pengendali data untuk data pribadi yang mereka unggah atau proses melalui platform kami
- Kami memproses data tersebut secara ketat sesuai dengan instruksi terdokumentasi dari pelanggan kami
- Kami mempertahankan Perjanjian Pemrosesan Data yang sesuai dengan semua pelanggan
- Kami tidak menggunakan data pelanggan untuk tujuan kami sendiri di luar apa yang diperlukan untuk menyediakan layanan yang dikontrakkan
Prinsip Pemrosesan yang Sah (Pasal 5 GDPR)
RapidFoundry LTD mematuhi prinsip-prinsip perlindungan data yang ditetapkan dalam Pasal 5 GDPR. Semua aktivitas pemrosesan data pribadi dilakukan sesuai dengan prinsip-prinsip berikut:
Legalitas, Keadilan, dan Transparansi
Kami memproses data pribadi secara sah, adil, dan transparan. Individu diberi tahu tentang bagaimana data mereka diproses melalui Kebijakan Privasi kami dan pemberitahuan lain yang berlaku.
Pembatasan Tujuan
Data pribadi dikumpulkan untuk tujuan yang ditentukan, eksplisit, dan sah dan tidak diproses lebih lanjut dengan cara yang tidak sesuai dengan tujuan tersebut.
Minimalisasi Data
Kami memastikan bahwa data pribadi yang diproses memadai, relevan, dan terbatas pada apa yang diperlukan sehubungan dengan tujuan pemrosesannya.
Akurasi
Kami mengambil langkah yang wajar untuk memastikan data pribadi akurat dan, jika perlu, diperbarui. Data yang tidak akurat dihapus atau diperbaiki tanpa penundaan.
Pembatasan Penyimpanan
Data pribadi disimpan hanya selama yang diperlukan untuk memenuhi tujuan pengumpulannya, tunduk pada persyaratan retensi hukum yang berlaku.
Integritas dan Kerahasiaan
Kami menerapkan langkah-langkah teknis dan organisasi yang tepat untuk memastikan keamanan data pribadi, termasuk perlindungan terhadap pemrosesan yang tidak sah atau melanggar hukum dan terhadap kehilangan, penghancuran, atau kerusakan yang tidak disengaja.
Akuntabilitas
Kami memelihara dokumentasi dan catatan untuk menunjukkan kepatuhan terhadap prinsip-prinsip di atas dan semua persyaratan GDPR yang berlaku.
Dasar Hukum untuk Pemrosesan
Sesuai dengan Pasal 6 GDPR, RapidFoundry LTD memproses data pribadi hanya jika kami telah mengidentifikasi dasar hukum yang valid. Dasar hukum yang kami andalkan meliputi:
- Kebutuhan Kontraktual (Pasal 6(1)(b)): Pemrosesan yang diperlukan untuk pelaksanaan kontrak dengan subjek data atau untuk mengambil langkah pra-kontraktual atas permintaan mereka
- Kewajiban Hukum (Pasal 6(1)(c)): Pemrosesan yang diperlukan untuk mematuhi kewajiban hukum yang kami tunduki
- Kepentingan yang Sah (Pasal 6(1)(f)): Pemrosesan yang diperlukan untuk tujuan kepentingan sah yang dikejar oleh kami atau pihak ketiga, asalkan kepentingan tersebut tidak dilampaui oleh hak dan kebebasan subjek data
- Persetujuan (Pasal 6(1)(a)): Di mana subjek data telah memberikan persetujuan eksplisit untuk pemrosesan untuk satu atau lebih tujuan spesifik
Jika kami memproses kategori khusus data pribadi, kami memastikan bahwa kondisi tambahan berdasarkan Pasal 9 GDPR terpenuhi. Detail mengenai dasar hukum spesifik yang diterapkan pada aktivitas pemrosesan tertentu diatur dalam Kebijakan Privasi kami.
Perjanjian Pemrosesan Data
Sesuai dengan Pasal 28 GDPR, RapidFoundry LTD menandatangani Perjanjian Pemrosesan Data ("DPA") dengan semua pihak dengan siapa kami memiliki hubungan pengendali-pemroses.
DPA dengan Pelanggan Kami
Ketika bertindak sebagai pemroses data atas nama pelanggan kami, kami menyediakan DPA komprehensif yang memenuhi semua persyaratan Pasal 28(3) GDPR, termasuk:
- Pokok permasalahan, durasi, sifat, dan tujuan pemrosesan
- Jenis data pribadi yang diproses dan kategori subjek data
- Kewajiban dan hak pengendali
- Komitmen kami untuk memproses data hanya berdasarkan instruksi terdokumentasi
- Kewajiban kerahasiaan untuk personel
- Langkah-langkah keamanan yang diterapkan
- Kondisi untuk melibatkan subpemroses
- Bantuan dengan hak subjek data dan kewajiban kepatuhan
- Penghapusan atau pengembalian data setelah pengakhiran
- Hak audit dan inspeksi
DPA standar kami tersedia sesuai permintaan dan merupakan bagian dari Ketentuan Layanan kami.
DPA dengan Subpemroses Kami
Kami mempertahankan DPA dengan semua subpemroses yang memenuhi atau melebihi kewajiban perlindungan data yang terkandung dalam perjanjian kami dengan pelanggan, memastikan tingkat perlindungan yang sama di seluruh rantai pemrosesan.
Subpemroses dan Manajemen Vendor
RapidFoundry LTD melibatkan subpemroses pihak ketiga untuk membantu dalam menyediakan layanan kami. Kami mempertahankan program manajemen vendor yang ketat untuk memastikan semua subpemroses memenuhi standar perlindungan data kami.
Uji Tuntas Subpemroses
Sebelum melibatkan subpemroses, kami melakukan penilaian menyeluruh terhadap praktik perlindungan data mereka, termasuk:
- Peninjauan sertifikasi keamanan dan laporan audit
- Penilaian langkah-langkah teknis dan organisasi
- Evaluasi mekanisme transfer data jika berlaku
- Verifikasi kemampuan kepatuhan GDPR
Daftar Subpemroses
Kami mempertahankan daftar subpemroses terkini, yang tersedia bagi pelanggan berdasarkan permintaan atau melalui portal pelanggan kami. Daftar ini mencakup identitas, lokasi, dan aktivitas pemrosesan setiap subpemroses.
Perubahan Subpemroses
Sesuai dengan ketentuan DPA kami, kami memberikan pemberitahuan kepada pelanggan sebelumnya tentang perubahan yang dimaksudkan pada subpemroses, memberi mereka kesempatan untuk menolak perubahan tersebut berdasarkan alasan perlindungan data yang wajar.
Transfer Data Internasional dan Perlindungan
RapidFoundry LTD berkantor pusat di Uni Eropa. Jika data pribadi ditransfer di luar Kawasan Ekonomi Eropa ("EEA"), kami memastikan bahwa perlindungan yang tepat tersedia sesuai dengan Bab V GDPR (Pasal 44–49).
Mekanisme Transfer
Kami mengandalkan mekanisme berikut untuk melegitimasi transfer data internasional:
- Keputusan Kecukupan (Pasal 45): Transfer ke negara yang telah menerima keputusan kecukupan dari Komisi Eropa
- Klausul Kontraktual Standar (Pasal 46(2)(c)): Kami menggunakan Klausul Kontraktual Standar ("SCC") Komisi Eropa yang diadopsi sesuai dengan Keputusan Implementasi Komisi (EU) 2021/914 untuk transfer ke negara tanpa keputusan kecukupan
- Langkah-langkah Tambahan: Jika diperlukan setelah penilaian dampak transfer, kami menerapkan langkah-langkah teknis, kontraktual, dan organisasi tambahan untuk memastikan tingkat perlindungan yang pada dasarnya setara
Penilaian Dampak Transfer
Untuk transfer yang mengandalkan SCC, kami melakukan penilaian dampak transfer untuk mengevaluasi apakah kerangka hukum negara penerima memastikan perlindungan yang memadai. Penilaian ini mempertimbangkan perundang-undangan yang relevan, akses oleh otoritas publik, dan efektivitas hak subjek data.
Kerangka Privasi Data EU-A.S.
Jika berlaku, kami dapat mengandalkan Kerangka Privasi Data EU-A.S. untuk transfer ke organisasi A.S. yang tersertifikasi, mengikuti keputusan kecukupan Komisi Eropa tertanggal 10 Juli 2023.
Langkah-langkah Teknis dan Organisasi
Sesuai dengan Pasal 24 dan 32 GDPR, RapidFoundry LTD menerapkan langkah-langkah teknis dan organisasi yang sesuai untuk memastikan tingkat keamanan yang sesuai dengan risiko yang ditimbulkan oleh aktivitas pemrosesan kami.
Langkah-langkah Teknis
- Enkripsi: Data saat diam dan dalam transit dilindungi menggunakan protokol enkripsi standar industri (AES-256 dan TLS 1.2+)
- Kontrol Akses: Kontrol akses berbasis peran, otentikasi multi-faktor, dan prinsip hak istimewa minimal
- Keamanan Jaringan: Firewall, sistem deteksi intrusi, dan penilaian kerentanan secara berkala
- Pseudonimisasi: Diterapkan bila sesuai untuk mengurangi risiko terhadap subjek data
- Backup dan Pemulihan: Backup terenkripsi secara teratur dengan prosedur pemulihan yang teruji
- Pencatatan dan Pemantauan: Pencatatan audit komprehensif dan pemantauan keamanan real-time
Langkah-langkah Organisasi
- Kebijakan Keamanan Informasi: Kebijakan terdokumentasi yang mengatur penanganan data, akses, dan keamanan
- Pelatihan Karyawan: Pelatihan kesadaran perlindungan data dan keamanan secara berkala untuk semua personel
- Perjanjian Kerahasiaan: Semua karyawan dan kontraktor terikat oleh kewajiban kerahasiaan
- Respons Insiden: Prosedur terdokumentasi untuk mengidentifikasi, melaporkan, dan menanggapi insiden keamanan
- Kelangsungan Bisnis: Rencana untuk memastikan ketersediaan dan ketahanan sistem pemrosesan
- Audit Berkala: Audit internal dan eksternal berkala terhadap kontrol keamanan
Sertifikasi
RapidFoundry LTD mempertahankan [ISO 27001 / SOC 2 Type II / sertifikasi lain yang berlaku] untuk menunjukkan komitmen kami terhadap praktik terbaik keamanan informasi. Salinan sertifikasi yang relevan tersedia bagi pelanggan berdasarkan permintaan.
Dukungan Hak Subjek Data
RapidFoundry LTD berkomitmen untuk memfasilitasi pelaksanaan hak subjek data berdasarkan Bab III GDPR.
Ketika Kami Adalah Pengendali
Jika kami bertindak sebagai pengendali data, individu dapat menggunakan hak mereka langsung kepada kami. Kami menanggapi permintaan yang valid tanpa penundaan yang tidak semestinya dan dalam waktu satu bulan, tunduk pada perpanjangan jika diizinkan berdasarkan Pasal 12(3) GDPR. Detail lengkap tentang cara menggunakan hak-hak ini disediakan dalam Kebijakan Privasi kami.
Ketika Kami Adalah Pemroses
Jika kami bertindak sebagai pemroses data, kami membantu pelanggan kami (sebagai pengendali) dalam menanggapi permintaan subjek data sesuai dengan kewajiban DPA kami dan Pasal 28(3)(e) GDPR. Ini termasuk:
- Menyediakan fungsionalitas teknis untuk memungkinkan pelanggan menanggapi permintaan akses, perbaikan, penghapusan, dan portabilitas
- Segera meneruskan permintaan yang diterima langsung dari subjek data kepada pelanggan yang relevan
- Memberikan informasi dan bantuan yang diperlukan bagi pelanggan untuk memenuhi kewajiban mereka
Hak yang Didukung
Kami mendukung hak-hak subjek data berikut sebagaimana berlaku:
- Hak akses (Pasal 15)
- Hak untuk perbaikan (Pasal 16)
- Hak untuk penghapusan (Pasal 17)
- Hak untuk pembatasan pemrosesan (Pasal 18)
- Hak untuk portabilitas data (Pasal 20)
- Hak untuk menolak (Pasal 21)
- Hak terkait dengan pembuatan keputusan otomatis (Pasal 22)
Prosedur Pelanggaran Data
RapidFoundry LTD mempertahankan prosedur terdokumentasi untuk mendeteksi, menyelidiki, dan menanggapi pelanggaran data pribadi sesuai dengan Pasal 33 dan 34 GDPR.
Deteksi dan Penilaian Pelanggaran
Kami menggunakan pemantauan teknis dan prosedur organisasi untuk mendeteksi potensi pelanggaran dengan segera. Setelah terdeteksi, tim respons insiden kami menilai sifat, ruang lingkup, dan potensi dampak dari pelanggaran tersebut.
Pemberitahuan kepada Otoritas Pengawas (Pasal 33)
Jika kami bertindak sebagai pengendali data dan pelanggaran kemungkinan mengakibatkan risiko terhadap hak dan kebebasan orang, kami memberi tahu otoritas pengawas yang kompeten tanpa penundaan yang tidak semestinya dan, jika memungkinkan, dalam waktu 72 jam setelah mengetahui pelanggaran tersebut.
Pemberitahuan kepada Subjek Data (Pasal 34)
Jika pelanggaran kemungkinan mengakibatkan risiko tinggi terhadap hak dan kebebasan orang, kami mengkomunikasikan pelanggaran kepada subjek data yang terkena dampak tanpa penundaan yang tidak semestinya, kecuali pengecualian berdasarkan Pasal 34(3) berlaku.
Pemberitahuan kepada Pelanggan (Peran Pemroses)
Jika kami bertindak sebagai pemroses data dan mengetahui adanya pelanggaran data pribadi yang mempengaruhi data pelanggan, kami memberi tahu pelanggan yang terkena dampak tanpa penundaan yang tidak semestinya, memberikan informasi yang cukup untuk memungkinkan pelanggan memenuhi kewajiban pemberitahuan mereka sendiri.
Dokumentasi
Kami mempertahankan catatan semua pelanggaran data pribadi, termasuk fakta, efek, dan tindakan perbaikan yang diambil, sesuai dengan Pasal 33(5) GDPR.
Praktik Minimalisasi dan Retensi Data
Minimalisasi Data
Sesuai dengan Pasal 5(1)(c) GDPR, kami menerapkan prinsip minimalisasi data di seluruh operasi kami:
- Kami mengumpulkan hanya data pribadi yang diperlukan untuk tujuan yang ditentukan
- Kami secara teratur meninjau praktik pengumpulan data untuk menghilangkan pemrosesan yang tidak perlu
- Kami merancang sistem dan proses kami dengan minimalisasi data sebagai pertimbangan default
- Kami mendorong pelanggan untuk menerapkan minimalisasi data saat menggunakan platform kami
Praktik Retensi
Data pribadi disimpan hanya selama yang diperlukan untuk memenuhi tujuan pengumpulannya. Praktik retensi kami diatur oleh:
- Jadwal Retensi: Kami mempertahankan jadwal retensi terdokumentasi yang menentukan periode retensi untuk kategori data pribadi yang berbeda
- Persyaratan Hukum: Data tertentu mungkin disimpan lebih lama jika diperlukan oleh hukum yang berlaku (misalnya, kewajiban pajak, akuntansi, atau peraturan)
- Kewajiban Kontraktual: Data pelanggan yang diproses dalam peran kami sebagai pemroses disimpan sesuai dengan instruksi pelanggan dan ketentuan DPA kami
- Penghapusan Aman: Setelah berakhirnya periode retensi atau pengakhiran layanan, data pribadi dihapus secara aman atau dianonimkan
Periode retensi spesifik untuk kategori data pribadi yang kami kendalikan dirinci dalam Kebijakan Privasi kami.
Informasi Kontak
Untuk pertanyaan mengenai Pernyataan Kepatuhan GDPR ini, praktik perlindungan data kami, atau untuk menggunakan hak subjek data, silakan hubungi kami:
RapidFoundry LTD
Isiodou 13 Unit 401
Limassol, 3031]
Cyprus
Pertanyaan Perlindungan Data Umum:
Email: privacy@rapidfoundry.net
Pembaruan Pernyataan Ini
Kami dapat memperbarui Pernyataan Kepatuhan GDPR ini dari waktu ke waktu untuk mencerminkan perubahan dalam praktik kami, teknologi, persyaratan hukum, atau faktor lainnya. Kami mendorong peninjauan berkala halaman ini untuk informasi terbaru tentang praktik kepatuhan kami.