На этой странице описано, как RapidFoundry LTD («мы», «нас», «наш») соответствует Регламенту (ЕС) 2016/679, Общему регламенту по защите данных («GDPR»). Это заявление призвано обеспечить прозрачность в отношении наших практик защиты данных и должно рассматриваться вместе с нашей Политикой конфиденциальности, которая детализирует конкретные персональные данные, которые мы собираем, и то, как мы их используем.
Наши обязательства по соблюдению GDPR
RapidFoundry LTD стремится защищать основные права и свободы физических лиц в отношении обработки персональных данных. Как поставщик программного обеспечения как услуги (SaaS), базирующийся в ЕС, мы внедрили комплексные меры для обеспечения полного соответствия GDPR во всех аспектах нашей деятельности.
Мы признаем, что защита данных — это не просто юридическое обязательство, но краеугольный камень доверия между нашей организацией, нашими клиентами и физическими лицами, чьи данные мы обрабатываем. Наша программа соответствия подлежит постоянному пересмотру и совершенствованию, чтобы отражать развивающиеся нормативные руководства и лучшие практики.
Роли: Контролер данных и Обработчик данных
Когда мы выступаем в роли Контролера данных
В соответствии со Статьей 4(7) GDPR, RapidFoundry LTD выступает в качестве контролера данных, когда мы определяем цели и средства обработки персональных данных. Это включает:
- Обработку персональных данных посетителей нашего веб-сайта
- Управление учетными записями и отношениями с нашими клиентами
- Обработку данных сотрудников и соискателей
- Проведение маркетинговых и коммуникационных мероприятий
- Администрирование вопросов биллинга и договорных отношений
Как контролер данных, мы несем полную ответственность за обеспечение соответствия деятельности по обработке требованиям GDPR и за ответы на запросы субъектов данных.
Когда мы выступаем в роли Обработчика данных
В соответствии со Статьей 4(8) GDPR, RapidFoundry LTD выступает в качестве обработчика данных, когда мы обрабатываем персональные данные от имени наших клиентов в связи с предоставлением нашей SaaS-платформы. В этом качестве:
- Наши клиенты остаются контролерами данных для персональных данных, которые они загружают или обрабатывают через нашу платформу
- Мы обрабатываем такие данные строго в соответствии с документированными инструкциями наших клиентов
- Мы поддерживаем соответствующие Соглашения об обработке данных со всеми клиентами
- Мы не используем данные клиентов для собственных целей, кроме случаев, необходимых для предоставления контрактных услуг
Принципы законной обработки (Статья 5 GDPR)
RapidFoundry LTD придерживается принципов защиты данных, изложенных в Статье 5 GDPR. Вся деятельность по обработке персональных данных проводится в соответствии со следующими принципами:
Законность, справедливость и прозрачность
Мы обрабатываем персональные данные законно, справедливо и прозрачно. Физические лица информируются о том, как их данные обрабатываются, через нашу Политику конфиденциальности и другие применимые уведомления.
Ограничение цели
Персональные данные собираются для конкретных, явных и законных целей и не обрабатываются дальше способом, несовместимым с этими целями.
Минимизация данных
Мы обеспечиваем, чтобы обрабатываемые персональные данные были адекватными, релевантными и ограниченными тем, что необходимо в отношении целей, для которых они обрабатываются.
Точность
Мы предпринимаем разумные шаги для обеспечения точности персональных данных и, при необходимости, их актуализации. Неточные данные удаляются или исправляются без задержки.
Ограничение хранения
Персональные данные хранятся только до тех пор, пока это необходимо для выполнения целей, для которых они были собраны, с учетом применимых юридических требований к хранению.
Целостность и конфиденциальность
Мы внедряем соответствующие технические и организационные меры для обеспечения безопасности персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения.
Подотчетность
Мы ведем документацию и записи для демонстрации соответствия вышеуказанным принципам и всем применимым требованиям GDPR.
Правовые основы для обработки
В соответствии со Статьей 6 GDPR, RapidFoundry LTD обрабатывает персональные данные только при наличии действительной правовой основы. Правовые основы, на которые мы опираемся, включают:
- Договорная необходимость (Статья 6(1)(b)): Обработка, необходимая для исполнения договора с субъектом данных или для принятия преддоговорных мер по его запросу
- Юридическое обязательство (Статья 6(1)(c)): Обработка, необходимая для соблюдения юридических обязательств, которым мы подчиняемся
- Законные интересы (Статья 6(1)(f)): Обработка, необходимая для целей законных интересов, преследуемых нами или третьей стороной, при условии, что такие интересы не перевешиваются правами и свободами субъекта данных
- Согласие (Статья 6(1)(a)): Когда субъект данных дал явное согласие на обработку для одной или нескольких конкретных целей
Если мы обрабатываем особые категории персональных данных, мы обеспечиваем соблюдение дополнительного условия в соответствии со Статьей 9 GDPR. Подробная информация о конкретных правовых основах, применяемых к определенным видам обработки, изложена в нашей Политике конфиденциальности.
Соглашения об обработке данных
В соответствии со Статьей 28 GDPR, RapidFoundry LTD заключает Соглашения об обработке данных («DPA») со всеми сторонами, с которыми у нас есть отношения контролер-обработчик.
DPA с нашими клиентами
Когда мы выступаем в качестве обработчика данных от имени наших клиентов, мы предоставляем всеобъемлющее DPA, которое охватывает все требования Статьи 28(3) GDPR, включая:
- Предмет, продолжительность, характер и цель обработки
- Типы обрабатываемых персональных данных и категории субъектов данных
- Обязательства и права контролера
- Наше обязательство обрабатывать данные только по документированным инструкциям
- Обязательства по конфиденциальности для персонала
- Реализованные меры безопасности
- Условия привлечения субобработчиков
- Помощь с правами субъектов данных и обязательствами по соблюдению
- Удаление или возврат данных по окончании
- Права на аудит и проверку
Наше стандартное DPA доступно по запросу и является частью наших Условий обслуживания.
DPA с нашими субобработчиками
Мы поддерживаем DPA со всеми субобработчиками, которые соответствуют или превосходят обязательства по защите данных, содержащиеся в наших соглашениях с клиентами, обеспечивая одинаковый уровень защиты по всей цепочке обработки.
Субобработчики и управление поставщиками
RapidFoundry LTD привлекает сторонних субобработчиков для помощи в предоставлении наших услуг. Мы поддерживаем строгую программу управления поставщиками, чтобы гарантировать, что все субобработчики соответствуют нашим стандартам защиты данных.
Должная проверка субобработчиков
Перед привлечением любого субобработчика мы проводим тщательную оценку их практик защиты данных, включая:
- Обзор сертификатов безопасности и отчетов аудита
- Оценку технических и организационных мер
- Оценку механизмов передачи данных, где применимо
- Проверку возможностей соответствия GDPR
Список субобработчиков
Мы поддерживаем актуальный список субобработчиков, который доступен клиентам по запросу или через клиентский портал. Этот список включает идентификацию, местоположение и деятельность по обработке каждого субобработчика.
Изменения субобработчиков
В соответствии с условиями нашего DPA, мы предоставляем клиентам предварительное уведомление о любых предполагаемых изменениях субобработчиков, давая им возможность возразить против таких изменений на разумных основаниях защиты данных.
Международная передача данных и гарантии
RapidFoundry LTD базируется в Европейском Союзе. Когда персональные данные передаются за пределы Европейской экономической зоны («ЕЭЗ»), мы обеспечиваем наличие соответствующих гарантий в соответствии с Главой V GDPR (Статьи 44–49).
Механизмы передачи
Мы полагаемся на следующие механизмы для легитимизации международной передачи данных:
- Решения о достаточности (Статья 45): Передача в страны, получившие решение о достаточности от Европейской комиссии
- Стандартные договорные условия (Статья 46(2)(c)): Мы используем Стандартные договорные условия («СДУ») Европейской комиссии, принятые в соответствии с Исполнительным решением Комиссии (ЕС) 2021/914 для передачи в страны без решения о достаточности
- Дополнительные меры: При необходимости, после оценки воздействия передачи, мы внедряем дополнительные технические, договорные и организационные меры для обеспечения по существу эквивалентного уровня защиты
Оценки воздействия передачи
Для передач, опирающихся на СДУ, мы проводим оценки воздействия передачи для определения, обеспечивает ли правовая база страны-получателя адекватную защиту. Эти оценки учитывают соответствующее законодательство, доступ со стороны государственных органов и эффективность прав субъектов данных.
Рамки конфиденциальности данных ЕС-США
Где применимо, мы можем полагаться на Рамки конфиденциальности данных ЕС-США для передачи сертифицированным организациям США, следуя решению о достаточности Европейской комиссии от 10 июля 2023 года.
Технические и организационные меры
В соответствии со Статьями 24 и 32 GDPR, RapidFoundry LTD внедряет соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, представляемому нашей деятельностью по обработке.
Технические меры
- Шифрование: Данные в состоянии покоя и при передаче защищены с использованием отраслевых стандартов протоколов шифрования (AES-256 и TLS 1.2+)
- Контроль доступа: Контроль доступа на основе ролей, многофакторная аутентификация и принцип наименьших привилегий
- Сетевая безопасность: Брандмауэры, системы обнаружения вторжений и регулярные оценки уязвимостей
- Псевдонимизация: Применяется, где это уместно, для снижения рисков для субъектов данных
- Резервное копирование и восстановление: Регулярные зашифрованные резервные копии с протестированными процедурами восстановления
- Логирование и мониторинг: Комплексное аудиторское логирование и мониторинг безопасности в реальном времени
Организационные меры
- Политики информационной безопасности: Документированные политики, регулирующие обработку данных, доступ и безопасность
- Обучение сотрудников: Регулярное обучение защите данных и осведомленности о безопасности для всего персонала
- Соглашения о конфиденциальности: Все сотрудники и подрядчики связаны обязательствами по конфиденциальности
- Реагирование на инциденты: Документированные процедуры для идентификации, сообщения и реагирования на инциденты безопасности
- Непрерывность бизнеса: Планы для обеспечения доступности и устойчивости систем обработки
- Регулярные аудиты: Периодические внутренние и внешние аудиты средств контроля безопасности
Сертификации
RapidFoundry LTD поддерживает [ISO 27001 / SOC 2 Type II / другие применимые сертификации] для демонстрации нашей приверженности лучшим практикам информационной безопасности. Копии соответствующих сертификатов доступны клиентам по запросу.
Поддержка прав субъектов данных
RapidFoundry LTD стремится содействовать осуществлению прав субъектов данных в соответствии с Главой III GDPR.
Когда мы являемся контролером
Когда мы действуем как контролер данных, физические лица могут осуществлять свои права непосредственно с нами. Мы отвечаем на действительные запросы без неоправданной задержки и в течение одного месяца, с возможностью продления, где это разрешено в соответствии со Статьей 12(3) GDPR. Полная информация о том, как осуществлять эти права, представлена в нашей Политике конфиденциальности.
Когда мы являемся обработчиком
Когда мы действуем как обработчик данных, мы помогаем нашим клиентам (как контролерам) в ответах на запросы субъектов данных в соответствии с нашими обязательствами по DPA и Статьей 28(3)(e) GDPR. Это включает:
- Предоставление технической функциональности, позволяющей клиентам отвечать на запросы о доступе, исправлении, удалении и переносимости
- Быстрая передача любых запросов, полученных непосредственно от субъектов данных, соответствующему клиенту
- Предоставление информации и помощи, необходимых для выполнения клиентами своих обязательств
Поддерживаемые права
Мы поддерживаем следующие права субъектов данных в зависимости от обстоятельств:
- Право на доступ (Статья 15)
- Право на исправление (Статья 16)
- Право на удаление (Статья 17)
- Право на ограничение обработки (Статья 18)
- Право на переносимость данных (Статья 20)
- Право на возражение (Статья 21)
- Права, связанные с автоматизированным принятием решений (Статья 22)
Процедуры при нарушении данных
RapidFoundry LTD поддерживает документированные процедуры для обнаружения, расследования и реагирования на нарушения персональных данных в соответствии со Статьями 33 и 34 GDPR.
Обнаружение и оценка нарушений
Мы используем технический мониторинг и организационные процедуры для быстрого обнаружения потенциальных нарушений. После обнаружения наша команда реагирования на инциденты оценивает характер, объем и потенциальное воздействие нарушения.
Уведомление надзорных органов (Статья 33)
Когда мы действуем как контролер данных, и нарушение может привести к риску для прав и свобод физических лиц, мы уведомляем компетентный надзорный орган без неоправданной задержки и, где это возможно, в течение 72 часов с момента, когда нам стало известно о нарушении.
Уведомление субъектов данных (Статья 34)
Когда нарушение может привести к высокому риску для прав и свобод физических лиц, мы сообщаем о нарушении затронутым субъектам данных без неоправданной задержки, если не применяется исключение в соответствии со Статьей 34(3).
Уведомление клиентов (роль обработчика)
Когда мы действуем как обработчик данных и нам становится известно о нарушении персональных данных, затрагивающем данные клиентов, мы уведомляем затронутого клиента без неоправданной задержки, предоставляя достаточную информацию, чтобы клиент мог выполнить свои собственные обязательства по уведомлению.
Документация
Мы ведем учет всех нарушений персональных данных, включая факты, последствия и принятые меры по исправлению, в соответствии со Статьей 33(5) GDPR.
Практики минимизации данных и их хранения
Минимизация данных
В соответствии со Статьей 5(1)(c) GDPR, мы применяем принципы минимизации данных во всех наших операциях:
- Мы собираем только персональные данные, необходимые для указанных целей
- Мы регулярно пересматриваем практики сбора данных, чтобы устранить ненужную обработку
- Мы проектируем наши системы и процессы с учетом минимизации данных как стандартного соображения
- Мы поощряем клиентов применять минимизацию данных при использовании нашей платформы
Практики хранения
Персональные данные хранятся только до тех пор, пока это необходимо для выполнения целей, для которых они были собраны. Наши практики хранения регулируются:
- График хранения: Мы поддерживаем документированный график хранения, определяющий сроки хранения для различных категорий персональных данных
- Юридические требования: Некоторые данные могут храниться дольше, если это требуется применимым законодательством (например, налоговые, бухгалтерские или нормативные обязательства)
- Договорные обязательства: Данные клиентов, обрабатываемые в нашей роли обработчика, хранятся в соответствии с инструкциями клиента и условиями нашего DPA
- Безопасное удаление: По истечении сроков хранения или прекращении услуг персональные данные надежно удаляются или анонимизируются
Конкретные сроки хранения для категорий персональных данных, которые мы контролируем, подробно описаны в нашей Политике конфиденциальности.
Контактная информация
По вопросам, касающимся этого Заявления о соответствии GDPR, наших практик защиты данных или для осуществления прав субъектов данных, пожалуйста, свяжитесь с нами:
RapidFoundry LTD
Isiodou 13 Unit 401
Limassol, 3031]
Кипр
Общие запросы по защите данных:
Email: privacy@rapidfoundry.net
Обновления этого заявления
Мы можем периодически обновлять это Заявление о соответствии GDPR, чтобы отразить изменения в наших практиках, технологиях, юридических требованиях или других факторах. Мы рекомендуем периодически просматривать эту страницу для получения последней информации о наших практиках соответствия.