Ta strona przedstawia, w jaki sposób RapidFoundry LTD („my", „nas", „nasz") przestrzega Rozporządzenia (UE) 2016/679, ogólnego rozporządzenia o ochronie danych („RODO"). Niniejsze oświadczenie ma na celu zapewnienie przejrzystości w zakresie naszych praktyk ochrony danych i powinno być czytane w połączeniu z naszą Polityką prywatności, która szczegółowo opisuje, jakie konkretne dane osobowe zbieramy i jak je wykorzystujemy.
Nasze zobowiązanie do przestrzegania RODO
RapidFoundry LTD zobowiązuje się do ochrony podstawowych praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych. Jako unijny dostawca oprogramowania w modelu Software-as-a-Service, wdrożyliśmy kompleksowe środki, aby zapewnić pełną zgodność z RODO we wszystkich aspektach naszej działalności.
Uznajemy, że ochrona danych to nie tylko obowiązek prawny, ale fundament zaufania między naszą organizacją, naszymi klientami i osobami, których dane przetwarzamy. Nasz program zgodności podlega ciągłemu przeglądowi i doskonaleniu, aby odzwierciedlać ewoluujące wytyczne regulacyjne i najlepsze praktyki.
Role: Administrator danych i Podmiot przetwarzający dane
Kiedy działamy jako Administrator danych
Zgodnie z art. 4(7) RODO, RapidFoundry LTD działa jako administrator danych, gdy określamy cele i sposoby przetwarzania danych osobowych. Obejmuje to:
- Przetwarzanie danych osobowych odwiedzających naszą stronę internetową
- Zarządzanie kontami i relacjami z naszymi klientami
- Przetwarzanie danych pracowników i kandydatów do pracy
- Prowadzenie działań marketingowych i komunikacyjnych
- Administrowanie kwestiami rozliczeń i umów
Jako administrator danych ponosimy pełną odpowiedzialność za zapewnienie, że działania związane z przetwarzaniem są zgodne z wymogami RODO oraz za odpowiadanie na żądania podmiotów danych.
Kiedy działamy jako Podmiot przetwarzający dane
Zgodnie z art. 4(8) RODO, RapidFoundry LTD działa jako podmiot przetwarzający dane, gdy przetwarzamy dane osobowe w imieniu naszych klientów w związku z dostarczaniem naszej platformy SaaS. W tej roli:
- Nasi klienci pozostają administratorami danych osobowych, które przesyłają lub przetwarzają za pośrednictwem naszej platformy
- Przetwarzamy takie dane ściśle zgodnie z udokumentowanymi instrukcjami naszych klientów
- Utrzymujemy odpowiednie Umowy powierzenia przetwarzania danych ze wszystkimi klientami
- Nie wykorzystujemy danych klientów do własnych celów poza tym, co jest konieczne do świadczenia zakontraktowanych usług
Zasady zgodnego z prawem przetwarzania (Artykuł 5 RODO)
RapidFoundry LTD przestrzega zasad ochrony danych określonych w artykule 5 RODO. Wszystkie działania związane z przetwarzaniem danych osobowych są prowadzone zgodnie z następującymi zasadami:
Zgodność z prawem, rzetelność i przejrzystość
Przetwarzamy dane osobowe zgodnie z prawem, rzetelnie i w sposób przejrzysty. Osoby fizyczne są informowane o tym, jak ich dane są przetwarzane, za pośrednictwem naszej Polityki prywatności i innych odpowiednich powiadomień.
Ograniczenie celu
Dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie są dalej przetwarzane w sposób niezgodny z tymi celami.
Minimalizacja danych
Zapewniamy, że przetwarzane dane osobowe są adekwatne, stosowne i ograniczone do tego, co niezbędne w stosunku do celów, w których są przetwarzane.
Prawidłowość
Podejmujemy uzasadnione kroki, aby zapewnić, że dane osobowe są dokładne i, w razie potrzeby, aktualizowane. Niedokładne dane są usuwane lub poprawiane bez zbędnej zwłoki.
Ograniczenie przechowywania
Dane osobowe są przechowywane tylko tak długo, jak jest to konieczne do realizacji celów, dla których zostały zebrane, z zastrzeżeniem obowiązujących prawnych wymogów dotyczących przechowywania.
Integralność i poufność
Wdrażamy odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem.
Rozliczalność
Prowadzimy dokumentację i rejestry, aby wykazać zgodność z powyższymi zasadami i wszystkimi obowiązującymi wymogami RODO.
Podstawy prawne przetwarzania
Zgodnie z artykułem 6 RODO, RapidFoundry LTD przetwarza dane osobowe tylko wtedy, gdy zidentyfikowaliśmy ważną podstawę prawną. Podstawy prawne, na których polegamy, obejmują:
- Niezbędność umowy (Artykuł 6(1)(b)): Przetwarzanie niezbędne do wykonania umowy z podmiotem danych lub do podjęcia działań przedumownych na jego żądanie
- Obowiązek prawny (Artykuł 6(1)(c)): Przetwarzanie niezbędne do wypełnienia obowiązków prawnych, którym podlegamy
- Uzasadnione interesy (Artykuł 6(1)(f)): Przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez nas lub przez stronę trzecią, o ile interesy te nie są nadrzędne wobec praw i wolności podmiotu danych
- Zgoda (Artykuł 6(1)(a)): Gdy podmiot danych wyraził wyraźną zgodę na przetwarzanie w jednym lub większej liczbie określonych celów
W przypadku przetwarzania szczególnych kategorii danych osobowych zapewniamy, że spełniony jest dodatkowy warunek zgodnie z artykułem 9 RODO. Szczegóły dotyczące konkretnych podstaw prawnych stosowanych do poszczególnych działań związanych z przetwarzaniem są określone w naszej Polityce prywatności.
Umowy powierzenia przetwarzania danych
Zgodnie z artykułem 28 RODO, RapidFoundry LTD zawiera Umowy powierzenia przetwarzania danych („DPA") ze wszystkimi stronami, z którymi mamy relację administrator-procesor.
DPA z naszymi klientami
Działając jako podmiot przetwarzający dane w imieniu naszych klientów, zapewniamy kompleksową umowę DPA, która uwzględnia wszystkie wymagania artykułu 28(3) RODO, w tym:
- Przedmiot, czas trwania, charakter i cel przetwarzania
- Rodzaje przetwarzanych danych osobowych i kategorie podmiotów danych
- Obowiązki i prawa administratora
- Nasze zobowiązanie do przetwarzania danych wyłącznie na udokumentowane polecenie
- Obowiązki zachowania poufności przez personel
- Wdrożone środki bezpieczeństwa
- Warunki angażowania podprocesorów
- Pomoc w realizacji praw podmiotów danych i obowiązków w zakresie zgodności
- Usunięcie lub zwrot danych po zakończeniu
- Prawa do audytu i inspekcji
Nasza standardowa umowa DPA jest dostępna na żądanie i stanowi część naszych Warunków korzystania z usług.
DPA z naszymi podprocesorami
Utrzymujemy umowy DPA ze wszystkimi podprocesorami, które spełniają lub przekraczają zobowiązania w zakresie ochrony danych zawarte w naszych umowach z klientami, zapewniając ten sam poziom ochrony w całym łańcuchu przetwarzania.
Podprocesorzy i zarządzanie dostawcami
RapidFoundry LTD angażuje podmioty zewnętrzne jako podprocesorów, aby pomóc w świadczeniu naszych usług. Utrzymujemy rygorystyczny program zarządzania dostawcami, aby zapewnić, że wszyscy podprocesorzy spełniają nasze standardy ochrony danych.
Weryfikacja podprocesorów
Przed zaangażowaniem jakiegokolwiek podprocesora przeprowadzamy dokładną ocenę ich praktyk ochrony danych, w tym:
- Przegląd certyfikatów bezpieczeństwa i raportów z audytów
- Ocenę środków technicznych i organizacyjnych
- Ocenę mechanizmów przekazywania danych, gdzie ma to zastosowanie
- Weryfikację zdolności do zapewnienia zgodności z RODO
Lista podprocesorów
Utrzymujemy aktualną listę podprocesorów, która jest dostępna dla klientów na żądanie lub za pośrednictwem portalu klienta. Lista ta zawiera tożsamość, lokalizację i działania związane z przetwarzaniem każdego podprocesora.
Zmiany podprocesorów
Zgodnie z warunkami naszej umowy DPA, informujemy klientów z wyprzedzeniem o wszelkich zamierzonych zmianach dotyczących podprocesorów, dając im możliwość zgłoszenia sprzeciwu wobec takich zmian z uzasadnionych powodów związanych z ochroną danych.
Międzynarodowe transfery danych i zabezpieczenia
RapidFoundry LTD ma siedzibę w Unii Europejskiej. W przypadku przekazywania danych osobowych poza Europejski Obszar Gospodarczy („EOG"), zapewniamy, że stosowane są odpowiednie zabezpieczenia zgodnie z Rozdziałem V RODO (Artykuły 44-49).
Mechanizmy transferu
Opieramy się na następujących mechanizmach, aby legalizować międzynarodowe transfery danych:
- Decyzje o adekwatności (Artykuł 45): Transfery do krajów, które otrzymały decyzję o adekwatności od Komisji Europejskiej
- Standardowe klauzule umowne (Artykuł 46(2)(c)): Wykorzystujemy standardowe klauzule umowne Komisji Europejskiej („SCCs") przyjęte zgodnie z decyzją wykonawczą Komisji (UE) 2021/914 dla transferów do krajów bez decyzji o adekwatności
- Środki uzupełniające: Tam, gdzie jest to wymagane po ocenie wpływu transferu, wdrażamy dodatkowe środki techniczne, umowne i organizacyjne, aby zapewnić zasadniczo równoważny poziom ochrony
Oceny wpływu transferu
Dla transferów opartych na SCCs przeprowadzamy oceny wpływu transferu, aby ocenić, czy ramy prawne kraju odbiorcy zapewniają odpowiednią ochronę. Oceny te uwzględniają odpowiednie ustawodawstwo, dostęp przez władze publiczne i skuteczność praw podmiotów danych.
Ramy Prywatności Danych UE-USA
W stosownych przypadkach możemy polegać na Ramach Prywatności Danych UE-USA dla transferów do certyfikowanych organizacji amerykańskich, w następstwie decyzji Komisji Europejskiej o adekwatności z 10 lipca 2023 roku.
Środki techniczne i organizacyjne
Zgodnie z artykułami 24 i 32 RODO, RapidFoundry LTD wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka związanego z naszymi działaniami przetwarzania.
Środki techniczne
- Szyfrowanie: Dane w spoczynku i podczas przesyłania są chronione przy użyciu standardowych protokołów szyfrowania (AES-256 i TLS 1.2+)
- Kontrola dostępu: Kontrola dostępu oparta na rolach, uwierzytelnianie wieloczynnikowe i zasada najmniejszych uprawnień
- Bezpieczeństwo sieci: Zapory sieciowe, systemy wykrywania włamań i regularne oceny podatności
- Pseudonimizacja: Stosowana tam, gdzie jest to właściwe, aby zmniejszyć ryzyko dla podmiotów danych
- Kopie zapasowe i odzyskiwanie: Regularne zaszyfrowane kopie zapasowe z testowanymi procedurami odzyskiwania
- Rejestrowanie i monitorowanie: Kompleksowe rejestrowanie audytów i monitorowanie bezpieczeństwa w czasie rzeczywistym
Środki organizacyjne
- Polityki bezpieczeństwa informacji: Udokumentowane polityki regulujące obsługę danych, dostęp i bezpieczeństwo
- Szkolenie pracowników: Regularne szkolenia z zakresu ochrony danych i świadomości bezpieczeństwa dla całego personelu
- Umowy o poufności: Wszyscy pracownicy i kontrahenci są związani zobowiązaniami do zachowania poufności
- Reagowanie na incydenty: Udokumentowane procedury identyfikowania, zgłaszania i reagowania na incydenty bezpieczeństwa
- Ciągłość działania: Plany zapewniające dostępność i odporność systemów przetwarzania
- Regularne audyty: Okresowe wewnętrzne i zewnętrzne audyty kontroli bezpieczeństwa
Certyfikaty
RapidFoundry LTD posiada [certyfikaty ISO 27001 / SOC 2 Type II / inne odpowiednie certyfikaty], aby zademonstrować nasze zaangażowanie w najlepsze praktyki bezpieczeństwa informacji. Kopie odpowiednich certyfikatów są dostępne dla klientów na żądanie.
Wsparcie praw podmiotów danych
RapidFoundry LTD zobowiązuje się do ułatwiania wykonywania praw podmiotów danych zgodnie z Rozdziałem III RODO.
Gdy jesteśmy administratorem
Gdy działamy jako administrator danych, osoby fizyczne mogą wykonywać swoje prawa bezpośrednio wobec nas. Odpowiadamy na uzasadnione żądania bez zbędnej zwłoki i w ciągu miesiąca, z zastrzeżeniem przedłużenia, gdy jest to dozwolone zgodnie z artykułem 12(3) RODO. Pełne szczegóły dotyczące sposobu wykonywania tych praw są podane w naszej Polityce prywatności.
Gdy jesteśmy procesorem
Gdy działamy jako podmiot przetwarzający dane, pomagamy naszym klientom (jako administratorom) w odpowiadaniu na żądania podmiotów danych zgodnie z naszymi zobowiązaniami wynikającymi z DPA i artykułu 28(3)(e) RODO. Obejmuje to:
- Zapewnienie funkcjonalności technicznej umożliwiającej klientom odpowiadanie na żądania dostępu, sprostowania, usunięcia i przenoszenia danych
- Niezwłoczne przekazywanie wszelkich żądań otrzymanych bezpośrednio od podmiotów danych do odpowiedniego klienta
- Dostarczanie informacji i pomocy niezbędnych klientom do wypełnienia ich obowiązków
Obsługiwane prawa
Wspieramy następujące prawa podmiotów danych, w zależności od przypadku:
- Prawo dostępu (Artykuł 15)
- Prawo do sprostowania (Artykuł 16)
- Prawo do usunięcia (Artykuł 17)
- Prawo do ograniczenia przetwarzania (Artykuł 18)
- Prawo do przenoszenia danych (Artykuł 20)
- Prawo do sprzeciwu (Artykuł 21)
- Prawa związane ze zautomatyzowanym podejmowaniem decyzji (Artykuł 22)
Procedury w przypadku naruszenia danych
RapidFoundry LTD utrzymuje udokumentowane procedury wykrywania, badania i reagowania na naruszenia danych osobowych zgodnie z artykułami 33 i 34 RODO.
Wykrywanie i ocena naruszeń
Stosujemy techniczne monitorowanie i procedury organizacyjne, aby szybko wykrywać potencjalne naruszenia. Po wykryciu nasz zespół reagowania na incydenty ocenia charakter, zakres i potencjalny wpływ naruszenia.
Powiadamianie organów nadzorczych (Artykuł 33)
Gdy działamy jako administrator danych, a naruszenie może prowadzić do ryzyka dla praw i wolności osób fizycznych, powiadamiamy właściwy organ nadzorczy bez zbędnej zwłoki i, jeśli to możliwe, w ciągu 72 godzin od uzyskania wiedzy o naruszeniu.
Powiadamianie podmiotów danych (Artykuł 34)
Gdy naruszenie może prowadzić do wysokiego ryzyka dla praw i wolności osób fizycznych, informujemy o naruszeniu osoby, których dane dotyczą, bez zbędnej zwłoki, chyba że zastosowanie ma wyjątek zgodnie z artykułem 34(3).
Powiadamianie klientów (rola procesora)
Gdy działamy jako podmiot przetwarzający dane i dowiemy się o naruszeniu danych osobowych dotyczącym danych klienta, powiadamiamy dotkniętego klienta bez zbędnej zwłoki, dostarczając wystarczające informacje, aby umożliwić klientowi wypełnienie jego własnych obowiązków powiadamiania.
Dokumentacja
Prowadzimy rejestry wszystkich naruszeń danych osobowych, w tym faktów, skutków i podjętych działań naprawczych, zgodnie z artykułem 33(5) RODO.
Praktyki minimalizacji danych i retencji
Minimalizacja danych
Zgodnie z artykułem 5(1)(c) RODO, stosujemy zasady minimalizacji danych w całej naszej działalności:
- Zbieramy tylko dane osobowe niezbędne do określonych celów
- Regularnie przeglądamy praktyki zbierania danych, aby wyeliminować niepotrzebne przetwarzanie
- Projektujemy nasze systemy i procesy z uwzględnieniem minimalizacji danych jako domyślnego założenia
- Zachęcamy klientów do stosowania minimalizacji danych podczas korzystania z naszej platformy
Praktyki retencji
Dane osobowe są przechowywane tylko tak długo, jak jest to konieczne do realizacji celów, dla których zostały zebrane. Nasze praktyki retencji są regulowane przez:
- Harmonogram retencji: Utrzymujemy udokumentowany harmonogram retencji określający okresy przechowywania dla różnych kategorii danych osobowych
- Wymogi prawne: Niektóre dane mogą być przechowywane dłużej, gdy wymagają tego obowiązujące przepisy (np. zobowiązania podatkowe, księgowe lub regulacyjne)
- Zobowiązania umowne: Dane klientów przetwarzane w naszej roli procesora są przechowywane zgodnie z instrukcjami klienta i warunkami naszej umowy DPA
- Bezpieczne usuwanie: Po upływie okresów przechowywania lub zakończeniu usług dane osobowe są bezpiecznie usuwane lub anonimizowane
Konkretne okresy przechowywania dla kategorii danych osobowych, którymi zarządzamy, są szczegółowo opisane w naszej Polityce prywatności.
Informacje kontaktowe
W przypadku pytań dotyczących niniejszego Oświadczenia o zgodności z RODO, naszych praktyk ochrony danych lub w celu wykonania praw podmiotów danych, prosimy o kontakt:
RapidFoundry LTD
Isiodou 13 Unit 401
Limassol, 3031]
Cypr
Ogólne zapytania dotyczące ochrony danych:
Email: privacy@rapidfoundry.net
Aktualizacje tego oświadczenia
Możemy aktualizować niniejsze Oświadczenie o zgodności z RODO od czasu do czasu, aby odzwierciedlić zmiany w naszych praktykach, technologiach, wymogach prawnych lub innych czynnikach. Zachęcamy do okresowego przeglądania tej strony w celu uzyskania najnowszych informacji o naszych praktykach zgodności.