Esta página descreve como a RapidFoundry LTD ("nós", "nos", "nosso") cumpre o Regulamento (UE) 2016/679, o Regulamento Geral de Proteção de Dados ("GDPR"). Esta declaração visa proporcionar transparência sobre nossas práticas de proteção de dados e deve ser lida em conjunto com nossa Política de Privacidade, que detalha os dados pessoais específicos que coletamos e como os utilizamos.
Nosso Compromisso com o Cumprimento do GDPR
A RapidFoundry LTD está comprometida em proteger os direitos e liberdades fundamentais das pessoas naturais no que diz respeito ao processamento de dados pessoais. Como um provedor de Software-as-a-Service baseado na UE, implementamos medidas abrangentes para garantir total conformidade com o GDPR em todos os aspectos de nossas operações.
Reconhecemos que a proteção de dados não é apenas uma obrigação legal, mas um pilar fundamental da confiança entre nossa organização, nossos clientes e os indivíduos cujos dados processamos. Nosso programa de conformidade está sujeito a revisão e melhoria contínuas para refletir a evolução das orientações regulatórias e as melhores práticas.
Funções: Controlador de Dados e Processador de Dados
Quando Atuamos como Controlador de Dados
De acordo com o Artigo 4(7) do GDPR, a RapidFoundry LTD atua como controlador de dados quando determinamos as finalidades e os meios de processamento de dados pessoais. Isso inclui:
- Processamento de dados pessoais de visitantes do nosso site
- Gerenciamento de contas e relacionamentos com nossos clientes
- Processamento de dados de funcionários e candidatos a emprego
- Realização de atividades de marketing e comunicação
- Administração de faturamento e questões contratuais
Como controlador de dados, assumimos total responsabilidade por garantir que as atividades de processamento estejam em conformidade com os requisitos do GDPR e por responder às solicitações dos titulares dos dados.
Quando Atuamos como Processador de Dados
De acordo com o Artigo 4(8) do GDPR, a RapidFoundry LTD atua como processador de dados quando processamos dados pessoais em nome de nossos clientes em conexão com o fornecimento de nossa plataforma SaaS. Nessa capacidade:
- Nossos clientes permanecem os controladores de dados para os dados pessoais que carregam ou processam através de nossa plataforma
- Processamos esses dados estritamente de acordo com as instruções documentadas de nossos clientes
- Mantemos Acordos de Processamento de Dados apropriados com todos os clientes
- Não utilizamos dados de clientes para nossos próprios fins além do necessário para fornecer os serviços contratados
Princípios de Processamento Lícito (Artigo 5 do GDPR)
A RapidFoundry LTD adere aos princípios de proteção de dados estabelecidos no Artigo 5 do GDPR. Todas as atividades de processamento de dados pessoais são conduzidas de acordo com os seguintes princípios:
Licitude, Justiça e Transparência
Processamos dados pessoais de forma lícita, justa e transparente. Os indivíduos são informados sobre como seus dados são processados através de nossa Política de Privacidade e outros avisos aplicáveis.
Limitação de Finalidade
Os dados pessoais são coletados para finalidades específicas, explícitas e legítimas e não são processados posteriormente de maneira incompatível com essas finalidades.
Minimização de Dados
Garantimos que os dados pessoais processados sejam adequados, relevantes e limitados ao necessário em relação às finalidades para as quais são processados.
Exatidão
Tomamos medidas razoáveis para garantir que os dados pessoais sejam precisos e, quando necessário, mantidos atualizados. Dados imprecisos são apagados ou retificados sem demora.
Limitação de Armazenamento
Os dados pessoais são retidos apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados, sujeitos aos requisitos legais de retenção aplicáveis.
Integridade e Confidencialidade
Implementamos medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou danos acidentais.
Responsabilização
Mantemos documentação e registros para demonstrar conformidade com os princípios acima e todos os requisitos aplicáveis do GDPR.
Bases Legais para Processamento
De acordo com o Artigo 6 do GDPR, a RapidFoundry LTD processa dados pessoais apenas quando identificamos uma base legal válida. As bases legais nas quais nos apoiamos incluem:
- Necessidade Contratual (Artigo 6(1)(b)): Processamento necessário para a execução de um contrato com o titular dos dados ou para tomar medidas pré-contratuais a seu pedido
- Obrigação Legal (Artigo 6(1)(c)): Processamento necessário para cumprir obrigações legais às quais estamos sujeitos
- Interesses Legítimos (Artigo 6(1)(f)): Processamento necessário para os fins dos interesses legítimos perseguidos por nós ou por terceiros, desde que tais interesses não sejam sobrepostos pelos direitos e liberdades do titular dos dados
- Consentimento (Artigo 6(1)(a)): Quando o titular dos dados deu consentimento explícito para o processamento para uma ou mais finalidades específicas
Quando processamos categorias especiais de dados pessoais, garantimos que uma condição adicional do Artigo 9 do GDPR seja satisfeita. Detalhes sobre as bases legais específicas aplicadas a atividades particulares de processamento estão estabelecidos em nossa Política de Privacidade.
Acordos de Processamento de Dados
De acordo com o Artigo 28 do GDPR, a RapidFoundry LTD celebra Acordos de Processamento de Dados ("DPAs") com todas as partes com as quais temos uma relação controlador-processador.
DPAs com Nossos Clientes
Quando atuamos como processador de dados em nome de nossos clientes, fornecemos um DPA abrangente que aborda todos os requisitos do Artigo 28(3) do GDPR, incluindo:
- O assunto, duração, natureza e finalidade do processamento
- Os tipos de dados pessoais processados e categorias de titulares de dados
- As obrigações e direitos do controlador
- Nosso compromisso de processar dados apenas mediante instruções documentadas
- Obrigações de confidencialidade para o pessoal
- Medidas de segurança implementadas
- Condições para envolver subprocessadores
- Assistência com direitos do titular dos dados e obrigações de conformidade
- Exclusão ou devolução de dados após o término
- Direitos de auditoria e inspeção
Nosso DPA padrão está disponível mediante solicitação e faz parte dos nossos Termos de Serviço.
DPAs com Nossos Subprocessadores
Mantemos DPAs com todos os subprocessadores que atendem ou excedem as obrigações de proteção de dados contidas em nossos acordos com clientes, garantindo o mesmo nível de proteção em toda a cadeia de processamento.
Subprocessadores e Gestão de Fornecedores
A RapidFoundry LTD contrata subprocessadores terceirizados para auxiliar na prestação de nossos serviços. Mantemos um rigoroso programa de gestão de fornecedores para garantir que todos os subprocessadores atendam aos nossos padrões de proteção de dados.
Due Diligence de Subprocessadores
Antes de contratar qualquer subprocessador, realizamos uma avaliação completa de suas práticas de proteção de dados, incluindo:
- Revisão de certificações de segurança e relatórios de auditoria
- Avaliação de medidas técnicas e organizacionais
- Avaliação de mecanismos de transferência de dados, quando aplicável
- Verificação das capacidades de conformidade com o GDPR
Lista de Subprocessadores
Mantemos uma lista atualizada de subprocessadores, que está disponível para clientes mediante solicitação ou através de nosso portal do cliente. Esta lista inclui a identidade, localização e atividades de processamento de cada subprocessador.
Alterações de Subprocessadores
De acordo com os termos do nosso DPA, fornecemos aos clientes aviso prévio de quaisquer alterações pretendidas aos subprocessadores, dando-lhes a oportunidade de objetar a tais alterações com base em motivos razoáveis de proteção de dados.
Transferências Internacionais de Dados e Salvaguardas
A RapidFoundry LTD tem sede na União Europeia. Quando os dados pessoais são transferidos para fora do Espaço Econômico Europeu ("EEE"), garantimos que as salvaguardas apropriadas estejam em vigor, de acordo com o Capítulo V do GDPR (Artigos 44–49).
Mecanismos de Transferência
Contamos com os seguintes mecanismos para legitimar transferências internacionais de dados:
- Decisões de Adequação (Artigo 45): Transferências para países que receberam uma decisão de adequação da Comissão Europeia
- Cláusulas Contratuais Padrão (Artigo 46(2)(c)): Utilizamos as Cláusulas Contratuais Padrão ("SCCs") da Comissão Europeia adotadas de acordo com a Decisão de Implementação (UE) 2021/914 da Comissão para transferências para países sem uma decisão de adequação
- Medidas Suplementares: Quando necessário, após uma avaliação de impacto de transferência, implementamos medidas técnicas, contratuais e organizacionais adicionais para garantir um nível de proteção essencialmente equivalente
Avaliações de Impacto de Transferência
Para transferências que dependem de SCCs, realizamos avaliações de impacto de transferência para avaliar se o quadro jurídico do país destinatário garante proteção adequada. Essas avaliações consideram a legislação relevante, o acesso por autoridades públicas e a eficácia dos direitos dos titulares dos dados.
Estrutura de Privacidade de Dados UE-EUA
Quando aplicável, podemos depender da Estrutura de Privacidade de Dados UE-EUA para transferências para organizações certificadas dos EUA, seguindo a decisão de adequação da Comissão Europeia de 10 de julho de 2023.
Medidas Técnicas e Organizacionais
De acordo com os Artigos 24 e 32 do GDPR, a RapidFoundry LTD implementa medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco apresentado por nossas atividades de processamento.
Medidas Técnicas
- Criptografia: Dados em repouso e em trânsito são protegidos usando protocolos de criptografia padrão da indústria (AES-256 e TLS 1.2+)
- Controles de Acesso: Controles de acesso baseados em funções, autenticação multifator e o princípio do privilégio mínimo
- Segurança de Rede: Firewalls, sistemas de detecção de intrusão e avaliações regulares de vulnerabilidade
- Pseudonimização: Aplicada quando apropriado para reduzir riscos aos titulares dos dados
- Backup e Recuperação: Backups criptografados regulares com procedimentos de restauração testados
- Registro e Monitoramento: Registro abrangente de auditoria e monitoramento de segurança em tempo real
Medidas Organizacionais
- Políticas de Segurança da Informação: Políticas documentadas que regem o manuseio, acesso e segurança de dados
- Treinamento de Funcionários: Treinamento regular de proteção de dados e conscientização de segurança para todo o pessoal
- Acordos de Confidencialidade: Todos os funcionários e contratados estão vinculados por obrigações de confidencialidade
- Resposta a Incidentes: Procedimentos documentados para identificação, relatório e resposta a incidentes de segurança
- Continuidade de Negócios: Planos para garantir disponibilidade e resiliência dos sistemas de processamento
- Auditorias Regulares: Auditorias periódicas internas e externas dos controles de segurança
Certificações
A RapidFoundry LTD mantém [ISO 27001 / SOC 2 Tipo II / outras certificações aplicáveis] para demonstrar nosso compromisso com as melhores práticas de segurança da informação. Cópias das certificações relevantes estão disponíveis para clientes mediante solicitação.
Suporte aos Direitos dos Titulares dos Dados
A RapidFoundry LTD está comprometida em facilitar o exercício dos direitos dos titulares dos dados de acordo com o Capítulo III do GDPR.
Quando Somos o Controlador
Quando atuamos como controlador de dados, os indivíduos podem exercer seus direitos diretamente conosco. Respondemos a solicitações válidas sem demora indevida e dentro de um mês, sujeito a prorrogação quando permitido pelo Artigo 12(3) do GDPR. Detalhes completos sobre como exercer esses direitos são fornecidos em nossa Política de Privacidade.
Quando Somos o Processador
Quando atuamos como processador de dados, auxiliamos nossos clientes (como controladores) a responder às solicitações dos titulares dos dados de acordo com nossas obrigações de DPA e o Artigo 28(3)(e) do GDPR. Isso inclui:
- Fornecimento de funcionalidade técnica para permitir que os clientes respondam a solicitações de acesso, retificação, exclusão e portabilidade
- Encaminhamento imediato de quaisquer solicitações recebidas diretamente dos titulares dos dados para o cliente relevante
- Fornecimento de informações e assistência necessárias para que os clientes cumpram suas obrigações
Direitos Suportados
Apoiamos os seguintes direitos dos titulares dos dados, conforme aplicável:
- Direito de acesso (Artigo 15)
- Direito à retificação (Artigo 16)
- Direito ao apagamento (Artigo 17)
- Direito à restrição de processamento (Artigo 18)
- Direito à portabilidade dos dados (Artigo 20)
- Direito de oposição (Artigo 21)
- Direitos relacionados à tomada de decisão automatizada (Artigo 22)
Procedimentos para Violação de Dados
A RapidFoundry LTD mantém procedimentos documentados para detectar, investigar e responder a violações de dados pessoais de acordo com os Artigos 33 e 34 do GDPR.
Detecção e Avaliação de Violações
Empregamos monitoramento técnico e procedimentos organizacionais para detectar potenciais violações prontamente. Após a detecção, nossa equipe de resposta a incidentes avalia a natureza, o escopo e o impacto potencial da violação.
Notificação às Autoridades Supervisoras (Artigo 33)
Quando atuamos como controlador de dados e uma violação é suscetível de resultar em risco para os direitos e liberdades de pessoas naturais, notificamos a autoridade supervisora competente sem demora indevida e, quando viável, dentro de 72 horas após tomarmos conhecimento da violação.
Notificação aos Titulares dos Dados (Artigo 34)
Quando uma violação é suscetível de resultar em alto risco para os direitos e liberdades de pessoas naturais, comunicamos a violação aos titulares dos dados afetados sem demora indevida, a menos que se aplique uma exceção prevista no Artigo 34(3).
Notificação aos Clientes (Função de Processador)
Quando atuamos como processador de dados e tomamos conhecimento de uma violação de dados pessoais que afeta dados de clientes, notificamos o cliente afetado sem demora indevida, fornecendo informações suficientes para permitir que o cliente cumpra suas próprias obrigações de notificação.
Documentação
Mantemos registros de todas as violações de dados pessoais, incluindo os fatos, efeitos e ações corretivas tomadas, de acordo com o Artigo 33(5) do GDPR.
Práticas de Minimização e Retenção de Dados
Minimização de Dados
De acordo com o Artigo 5(1)(c) do GDPR, aplicamos princípios de minimização de dados em todas as nossas operações:
- Coletamos apenas os dados pessoais necessários para finalidades específicas
- Revisamos regularmente as práticas de coleta de dados para eliminar processamento desnecessário
- Projetamos nossos sistemas e processos com minimização de dados como consideração padrão
- Incentivamos os clientes a aplicar minimização de dados ao usar nossa plataforma
Práticas de Retenção
Os dados pessoais são retidos apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados. Nossas práticas de retenção são regidas por:
- Cronograma de Retenção: Mantemos um cronograma de retenção documentado especificando períodos de retenção para diferentes categorias de dados pessoais
- Requisitos Legais: Certos dados podem ser retidos por mais tempo quando exigido pela lei aplicável (por exemplo, obrigações fiscais, contábeis ou regulatórias)
- Obrigações Contratuais: Dados de clientes processados em nossa função como processador são retidos de acordo com as instruções do cliente e os termos do nosso DPA
- Exclusão Segura: Após o término dos períodos de retenção ou encerramento dos serviços, os dados pessoais são excluídos com segurança ou anonimizados
Períodos de retenção específicos para categorias de dados pessoais que controlamos são detalhados em nossa Política de Privacidade.
Informações de Contato
Para perguntas sobre esta Declaração de Conformidade com o GDPR, nossas práticas de proteção de dados ou para exercer os direitos do titular dos dados, entre em contato conosco:
RapidFoundry LTD
Isiodou 13 Unit 401
Limassol, 3031]
Chipre
Consultas Gerais sobre Proteção de Dados:
Email: privacy@rapidfoundry.net
Atualizações desta Declaração
Podemos atualizar esta Declaração de Conformidade com o GDPR de tempos em tempos para refletir mudanças em nossas práticas, tecnologias, requisitos legais ou outros fatores. Incentivamos a revisão periódica desta página para obter as informações mais recentes sobre nossas práticas de conformidade.