GDPR: กฎระเบียบคุ้มครองข้อมูลทั่วไป

หน้านี้อธิบายวิธีที่ RapidFoundry LTD ("เรา", "พวกเรา", "ของเรา") ปฏิบัติตามระเบียบ (EU) 2016/679 หรือกฎระเบียบคุ้มครองข้อมูลทั่วไป ("GDPR") ข้อความนี้มีวัตถุประสงค์เพื่อให้ความโปร่งใสเกี่ยวกับแนวปฏิบัติในการคุ้มครองข้อมูลของเรา และควรอ่านควบคู่กับนโยบายความเป็นส่วนตัวของเรา ซึ่งระบุรายละเอียดเฉพาะเกี่ยวกับข้อมูลส่วนบุคคลที่เราเก็บรวบรวมและวิธีที่เราใช้

ความมุ่งมั่นของเราต่อการปฏิบัติตาม GDPR

RapidFoundry LTD มุ่งมั่นที่จะปกป้องสิทธิขั้นพื้นฐานและเสรีภาพของบุคคลธรรมดาในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ในฐานะผู้ให้บริการ Software-as-a-Service ที่ตั้งอยู่ในสหภาพยุโรป เราได้ดำเนินมาตรการที่ครอบคลุมเพื่อให้แน่ใจว่ามีการปฏิบัติตาม GDPR อย่างเต็มรูปแบบในทุกด้านของการดำเนินงานของเรา

เรายอมรับว่าการคุ้มครองข้อมูลไม่ใช่เพียงข้อผูกพันทางกฎหมายเท่านั้น แต่เป็นหัวใจสำคัญของความไว้วางใจระหว่างองค์กรของเรา ลูกค้าของเรา และบุคคลที่เราประมวลผลข้อมูล โปรแกรมการปฏิบัติตามกฎระเบียบของเราอยู่ภายใต้การตรวจสอบและปรับปรุงอย่างต่อเนื่องเพื่อสะท้อนถึงแนวทางการกำกับดูแลที่มีการพัฒนาและแนวปฏิบัติที่ดีที่สุด

บทบาท: ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

เมื่อเราทำหน้าที่เป็นผู้ควบคุมข้อมูล

ตามมาตรา 4(7) GDPR, RapidFoundry LTD ทำหน้าที่เป็นผู้ควบคุมข้อมูลเมื่อเรากำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึง:

  • การประมวลผลข้อมูลส่วนบุคคลของผู้เยี่ยมชมเว็บไซต์ของเรา
  • การจัดการบัญชีและความสัมพันธ์กับลูกค้าของเรา
  • การประมวลผลข้อมูลพนักงานและผู้สมัครงาน
  • การดำเนินกิจกรรมการตลาดและการสื่อสาร
  • การบริหารจัดการเรื่องการเรียกเก็บเงินและสัญญา

ในฐานะผู้ควบคุมข้อมูล เรามีความรับผิดชอบอย่างเต็มที่ในการตรวจสอบให้แน่ใจว่ากิจกรรมการประมวลผลเป็นไปตามข้อกำหนด GDPR และในการตอบสนองต่อคำขอของเจ้าของข้อมูล

เมื่อเราทำหน้าที่เป็นผู้ประมวลผลข้อมูล

ตามมาตรา 4(8) GDPR, RapidFoundry LTD ทำหน้าที่เป็นผู้ประมวลผลข้อมูลเมื่อเราประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้าของเราในส่วนที่เกี่ยวข้องกับการให้บริการแพลตฟอร์ม SaaS ของเรา ในบทบาทนี้:

  • ลูกค้าของเรายังคงเป็นผู้ควบคุมข้อมูลสำหรับข้อมูลส่วนบุคคลที่พวกเขาอัปโหลดหรือประมวลผลผ่านแพลตฟอร์มของเรา
  • เราประมวลผลข้อมูลดังกล่าวอย่างเคร่งครัดตามคำสั่งที่เป็นลายลักษณ์อักษรของลูกค้าของเรา
  • เรารักษาข้อตกลงการประมวลผลข้อมูลที่เหมาะสมกับลูกค้าทั้งหมด
  • เราไม่ใช้ข้อมูลลูกค้าเพื่อวัตถุประสงค์ของเราเองนอกเหนือจากสิ่งที่จำเป็นในการให้บริการตามสัญญา

หลักการการประมวลผลที่ชอบด้วยกฎหมาย (มาตรา 5 GDPR)

RapidFoundry LTD ยึดมั่นในหลักการคุ้มครองข้อมูลที่กำหนดไว้ในมาตรา 5 GDPR กิจกรรมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดดำเนินการตามหลักการต่อไปนี้:

ความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส

เราประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย เป็นธรรม และโปร่งใส บุคคลได้รับแจ้งเกี่ยวกับวิธีการประมวลผลข้อมูลของพวกเขาผ่านนโยบายความเป็นส่วนตัวและประกาศอื่น ๆ ที่เกี่ยวข้อง

การจำกัดวัตถุประสงค์

ข้อมูลส่วนบุคคลถูกเก็บรวบรวมเพื่อวัตถุประสงค์ที่ระบุชัดเจนและชอบด้วยกฎหมาย และไม่ได้ประมวลผลเพิ่มเติมในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์เหล่านั้น

การลดข้อมูลให้เหลือน้อยที่สุด

เราตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่ประมวลผลนั้นเพียงพอ เกี่ยวข้อง และจำกัดเฉพาะสิ่งที่จำเป็นในส่วนที่เกี่ยวกับวัตถุประสงค์ในการประมวลผล

ความถูกต้อง

เราดำเนินการตามขั้นตอนที่สมเหตุสมผลเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลมีความถูกต้องและเมื่อจำเป็นต้องปรับปรุงให้เป็นปัจจุบัน ข้อมูลที่ไม่ถูกต้องจะถูกลบหรือแก้ไขโดยไม่ล่าช้า

การจำกัดการเก็บรักษา

ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้เฉพาะระยะเวลาที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่ข้อมูลนั้นถูกเก็บรวบรวม ภายใต้ข้อกำหนดการเก็บรักษาตามกฎหมายที่เกี่ยวข้อง

ความครบถ้วนและการรักษาความลับ

เราใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อให้แน่ใจถึงความปลอดภัยของข้อมูลส่วนบุคคล รวมถึงการป้องกันการประมวลผลโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย และป้องกันการสูญหาย ทำลาย หรือเสียหายโดยอุบัติเหตุ

ความรับผิดชอบ

เราเก็บรักษาเอกสารและบันทึกเพื่อแสดงการปฏิบัติตามหลักการข้างต้นและข้อกำหนด GDPR ทั้งหมดที่เกี่ยวข้อง

ฐานทางกฎหมายสำหรับการประมวลผล

ตามมาตรา 6 GDPR, RapidFoundry LTD ประมวลผลข้อมูลส่วนบุคคลเฉพาะเมื่อเราระบุฐานทางกฎหมายที่ถูกต้องแล้วเท่านั้น ฐานทางกฎหมายที่เราใช้ ได้แก่:

  • ความจำเป็นในการปฏิบัติตามสัญญา (มาตรา 6(1)(b)): การประมวลผลที่จำเป็นสำหรับการปฏิบัติตามสัญญากับเจ้าของข้อมูลหรือเพื่อดำเนินการตามขั้นตอนก่อนทำสัญญาตามคำขอของพวกเขา
  • ภาระผูกพันทางกฎหมาย (มาตรา 6(1)(c)): การประมวลผลที่จำเป็นเพื่อปฏิบัติตามภาระผูกพันทางกฎหมายที่เราต้องปฏิบัติตาม
  • ผลประโยชน์โดยชอบด้วยกฎหมาย (มาตรา 6(1)(f)): การประมวลผลที่จำเป็นเพื่อวัตถุประสงค์ของผลประโยชน์โดยชอบด้วยกฎหมายที่เราหรือบุคคลที่สามดำเนินการ โดยมีเงื่อนไขว่าผลประโยชน์ดังกล่าวไม่ถูกลบล้างโดยสิทธิและเสรีภาพของเจ้าของข้อมูล
  • ความยินยอม (มาตรา 6(1)(a)): เมื่อเจ้าของข้อมูลได้ให้ความยินยอมโดยชัดแจ้งในการประมวลผลเพื่อวัตถุประสงค์เฉพาะอย่างใดอย่างหนึ่งหรือหลายอย่าง

เมื่อเราประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ เราตรวจสอบให้แน่ใจว่ามีเงื่อนไขเพิ่มเติมตามมาตรา 9 GDPR ที่เป็นที่พอใจ รายละเอียดเกี่ยวกับฐานทางกฎหมายเฉพาะที่นำมาใช้กับกิจกรรมการประมวลผลเฉพาะมีอยู่ในนโยบายความเป็นส่วนตัวของเรา

ข้อตกลงการประมวลผลข้อมูล

ตามมาตรา 28 GDPR, RapidFoundry LTD ทำข้อตกลงการประมวลผลข้อมูล ("DPAs") กับทุกฝ่ายที่เรามีความสัมพันธ์ระหว่างผู้ควบคุม-ผู้ประมวลผล

DPAs กับลูกค้าของเรา

เมื่อทำหน้าที่เป็นผู้ประมวลผลข้อมูลในนามของลูกค้าของเรา เราให้ DPA ที่ครอบคลุมซึ่งระบุถึงข้อกำหนดทั้งหมดของมาตรา 28(3) GDPR รวมถึง:

  • เรื่อง ระยะเวลา ลักษณะ และวัตถุประสงค์ของการประมวลผล
  • ประเภทของข้อมูลส่วนบุคคลที่ประมวลผลและหมวดหมู่ของเจ้าของข้อมูล
  • ภาระผูกพันและสิทธิของผู้ควบคุม
  • ความมุ่งมั่นของเราในการประมวลผลข้อมูลเฉพาะตามคำสั่งที่เป็นลายลักษณ์อักษร
  • ภาระผูกพันในการรักษาความลับสำหรับบุคลากร
  • มาตรการรักษาความปลอดภัยที่นำมาใช้
  • เงื่อนไขสำหรับการใช้ผู้ประมวลผลช่วง
  • ความช่วยเหลือเกี่ยวกับสิทธิของเจ้าของข้อมูลและภาระผูกพันในการปฏิบัติตามข้อกำหนด
  • การลบหรือส่งคืนข้อมูลเมื่อสิ้นสุดสัญญา
  • สิทธิในการตรวจสอบและตรวจตรา

DPA มาตรฐานของเรามีให้เมื่อมีการร้องขอและเป็นส่วนหนึ่งของข้อกำหนดการให้บริการของเรา

DPAs กับผู้ประมวลผลช่วงของเรา

เรารักษา DPAs กับผู้ประมวลผลช่วงทั้งหมดที่มีหรือเกินภาระผูกพันในการคุ้มครองข้อมูลที่มีอยู่ในข้อตกลงของเรากับลูกค้า เพื่อให้แน่ใจว่ามีระดับการป้องกันเดียวกันตลอดทั้งห่วงโซ่การประมวลผล

ผู้ประมวลผลช่วงและการจัดการผู้ขาย

RapidFoundry LTD ใช้บริการผู้ประมวลผลช่วงบุคคลที่สามเพื่อช่วยในการให้บริการของเรา เรารักษาโปรแกรมการจัดการผู้ขายที่เข้มงวดเพื่อให้แน่ใจว่าผู้ประมวลผลช่วงทั้งหมดเป็นไปตามมาตรฐานการคุ้มครองข้อมูลของเรา

การตรวจสอบวิเคราะห์สถานะของผู้ประมวลผลช่วง

ก่อนใช้บริการผู้ประมวลผลช่วงรายใด เราดำเนินการประเมินอย่างละเอียดเกี่ยวกับแนวปฏิบัติในการคุ้มครองข้อมูลของพวกเขา รวมถึง:

  • การตรวจสอบใบรับรองความปลอดภัยและรายงานการตรวจสอบ
  • การประเมินมาตรการทางเทคนิคและองค์กร
  • การประเมินกลไกการถ่ายโอนข้อมูลที่เกี่ยวข้อง
  • การตรวจสอบความสามารถในการปฏิบัติตาม GDPR

รายชื่อผู้ประมวลผลช่วง

เราเก็บรักษารายชื่อผู้ประมวลผลช่วงที่เป็นปัจจุบัน ซึ่งมีให้กับลูกค้าเมื่อมีการร้องขอหรือผ่านพอร์ทัลลูกค้าของเรา รายชื่อนี้รวมถึงตัวตน สถานที่ตั้ง และกิจกรรมการประมวลผลของผู้ประมวลผลช่วงแต่ละราย

การเปลี่ยนแปลงผู้ประมวลผลช่วง

ตามข้อกำหนด DPA ของเรา เราให้ลูกค้าทราบล่วงหน้าเกี่ยวกับการเปลี่ยนแปลงผู้ประมวลผลช่วงที่ตั้งใจไว้ ซึ่งให้โอกาสพวกเขาในการคัดค้านการเปลี่ยนแปลงดังกล่าวด้วยเหตุผลด้านการคุ้มครองข้อมูลที่สมเหตุสมผล

การถ่ายโอนข้อมูลระหว่างประเทศและการป้องกัน

RapidFoundry LTD มีสำนักงานใหญ่อยู่ในสหภาพยุโรป เมื่อข้อมูลส่วนบุคคลถูกถ่ายโอนออกนอกเขตเศรษฐกิจยุโรป ("EEA") เราตรวจสอบให้แน่ใจว่ามีการป้องกันที่เหมาะสมตามบทที่ V ของ GDPR (มาตรา 44–49)

กลไกการถ่ายโอน

เราใช้กลไกต่อไปนี้เพื่อให้การถ่ายโอนข้อมูลระหว่างประเทศชอบด้วยกฎหมาย:

  • คำตัดสินความเพียงพอ (มาตรา 45): การถ่ายโอนไปยังประเทศที่ได้รับคำตัดสินความเพียงพอจากคณะกรรมาธิการยุโรป
  • ข้อสัญญามาตรฐาน (มาตรา 46(2)(c)): เราใช้ข้อสัญญามาตรฐาน ("SCCs") ของคณะกรรมาธิการยุโรปที่นำมาใช้ตามคำตัดสินการดำเนินการของคณะกรรมาธิการ (EU) 2021/914 สำหรับการถ่ายโอนไปยังประเทศที่ไม่มีคำตัดสินความเพียงพอ
  • มาตรการเสริม: หากจำเป็นหลังจากการประเมินผลกระทบการถ่ายโอน เราใช้มาตรการทางเทคนิค สัญญา และองค์กรเพิ่มเติมเพื่อให้แน่ใจว่ามีระดับการป้องกันที่เทียบเท่ากัน

การประเมินผลกระทบการถ่ายโอน

สำหรับการถ่ายโอนที่ใช้ SCCs เราดำเนินการประเมินผลกระทบการถ่ายโอนเพื่อประเมินว่ากรอบกฎหมายของประเทศผู้รับรับประกันการป้องกันที่เพียงพอหรือไม่ การประเมินเหล่านี้พิจารณากฎหมายที่เกี่ยวข้อง การเข้าถึงโดยหน่วยงานของรัฐ และประสิทธิภาพของสิทธิของเจ้าของข้อมูล

กรอบความเป็นส่วนตัวข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกา

หากเกี่ยวข้อง เราอาจใช้กรอบความเป็นส่วนตัวข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกาสำหรับการถ่ายโอนไปยังองค์กรในสหรัฐฯ ที่ได้รับการรับรอง ตามคำตัดสินความเพียงพอของคณะกรรมาธิการยุโรปเมื่อวันที่ 10 กรกฎาคม 2023

มาตรการทางเทคนิคและองค์กร

ตามมาตรา 24 และ 32 GDPR, RapidFoundry LTD ใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อให้แน่ใจว่ามีระดับความปลอดภัยที่เหมาะสมกับความเสี่ยงที่เกิดจากกิจกรรมการประมวลผลของเรา

มาตรการทางเทคนิค

  • การเข้ารหัส: ข้อมูลที่จัดเก็บและระหว่างการส่งได้รับการป้องกันโดยใช้โปรโตคอลการเข้ารหัสตามมาตรฐานอุตสาหกรรม (AES-256 และ TLS 1.2+)
  • การควบคุมการเข้าถึง: การควบคุมการเข้าถึงตามบทบาท การยืนยันตัวตนหลายปัจจัย และหลักการสิทธิน้อยที่สุด
  • ความปลอดภัยเครือข่าย: ไฟร์วอลล์ ระบบตรวจจับการบุกรุก และการประเมินช่องโหว่เป็นประจำ
  • การใช้นามแฝง: นำมาใช้ตามความเหมาะสมเพื่อลดความเสี่ยงต่อเจ้าของข้อมูล
  • การสำรองข้อมูลและการกู้คืน: การสำรองข้อมูลที่เข้ารหัสเป็นประจำพร้อมขั้นตอนการกู้คืนที่ผ่านการทดสอบ
  • การบันทึกและตรวจสอบ: การบันทึกการตรวจสอบที่ครอบคลุมและการตรวจสอบความปลอดภัยแบบเรียลไทม์

มาตรการองค์กร

  • นโยบายความปลอดภัยสารสนเทศ: นโยบายที่เป็นลายลักษณ์อักษรที่ควบคุมการจัดการข้อมูล การเข้าถึง และความปลอดภัย
  • การฝึกอบรมพนักงาน: การฝึกอบรมด้านการคุ้มครองข้อมูลและการรับรู้ด้านความปลอดภัยเป็นประจำสำหรับบุคลากรทั้งหมด
  • ข้อตกลงการรักษาความลับ: พนักงานและผู้รับเหมาทั้งหมดผูกพันตามข้อผูกพันในการรักษาความลับ
  • การตอบสนองต่อเหตุการณ์: ขั้นตอนที่เป็นลายลักษณ์อักษรสำหรับการระบุ การรายงาน และการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย
  • ความต่อเนื่องทางธุรกิจ: แผนเพื่อให้แน่ใจว่ามีระบบการประมวลผลที่พร้อมใช้งานและมีความยืดหยุ่น
  • การตรวจสอบเป็นประจำ: การตรวจสอบการควบคุมความปลอดภัยภายในและภายนอกเป็นระยะ

การรับรอง

RapidFoundry LTD รักษา [ISO 27001 / SOC 2 Type II / การรับรองอื่น ๆ ที่เกี่ยวข้อง] เพื่อแสดงความมุ่งมั่นของเราต่อแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยสารสนเทศ สำเนาของใบรับรองที่เกี่ยวข้องมีให้กับลูกค้าเมื่อมีการร้องขอ

การสนับสนุนสิทธิของเจ้าของข้อมูล

RapidFoundry LTD มุ่งมั่นที่จะอำนวยความสะดวกในการใช้สิทธิของเจ้าของข้อมูลภายใต้บทที่ III ของ GDPR

เมื่อเราเป็นผู้ควบคุม

เมื่อเราทำหน้าที่เป็นผู้ควบคุมข้อมูล บุคคลสามารถใช้สิทธิของพวกเขาโดยตรงกับเรา เราตอบสนองต่อคำขอที่ถูกต้องโดยไม่ล่าช้าเกินควรและภายในหนึ่งเดือน ซึ่งอาจขยายเวลาได้ตามที่อนุญาตภายใต้มาตรา 12(3) GDPR รายละเอียดทั้งหมดเกี่ยวกับวิธีการใช้สิทธิเหล่านี้มีระบุไว้ในนโยบายความเป็นส่วนตัวของเรา

เมื่อเราเป็นผู้ประมวลผล

เมื่อเราทำหน้าที่เป็นผู้ประมวลผลข้อมูล เราช่วยลูกค้าของเรา (ในฐานะผู้ควบคุม) ในการตอบสนองต่อคำขอของเจ้าของข้อมูลตามภาระผูกพันของ DPA และมาตรา 28(3)(e) GDPR ซึ่งรวมถึง:

  • การให้ฟังก์ชันทางเทคนิคเพื่อให้ลูกค้าสามารถตอบสนองต่อคำขอการเข้าถึง การแก้ไข การลบ และการพกพาข้อมูล
  • การส่งต่อคำขอที่ได้รับโดยตรงจากเจ้าของข้อมูลไปยังลูกค้าที่เกี่ยวข้องโดยทันที
  • การให้ข้อมูลและความช่วยเหลือที่จำเป็นสำหรับลูกค้าในการปฏิบัติตามภาระผูกพันของพวกเขา

สิทธิที่ได้รับการสนับสนุน

เราสนับสนุนสิทธิของเจ้าของข้อมูลต่อไปนี้ตามที่เกี่ยวข้อง:

  • สิทธิในการเข้าถึง (มาตรา 15)
  • สิทธิในการแก้ไข (มาตรา 16)
  • สิทธิในการลบ (มาตรา 17)
  • สิทธิในการจำกัดการประมวลผล (มาตรา 18)
  • สิทธิในการพกพาข้อมูล (มาตรา 20)
  • สิทธิในการคัดค้าน (มาตรา 21)
  • สิทธิที่เกี่ยวข้องกับการตัดส
Last updated
February 16, 2026