GDPR: Quy định Bảo vệ Dữ liệu Chung

Trang này phác thảo cách RapidFoundry LTD ("chúng tôi", "của chúng tôi") tuân thủ Quy định (EU) 2016/679, Quy định Bảo vệ Dữ liệu Chung ("GDPR"). Tuyên bố này nhằm cung cấp tính minh bạch về các thực hành bảo vệ dữ liệu của chúng tôi và nên được đọc cùng với Chính sách Quyền riêng tư của chúng tôi, trong đó nêu chi tiết về dữ liệu cá nhân cụ thể mà chúng tôi thu thập và cách chúng tôi sử dụng nó.

Cam kết của Chúng tôi về Tuân thủ GDPR

RapidFoundry LTD cam kết bảo vệ các quyền và tự do cơ bản của các cá nhân liên quan đến việc xử lý dữ liệu cá nhân. Là nhà cung cấp Phần mềm dưới dạng Dịch vụ có trụ sở tại EU, chúng tôi đã triển khai các biện pháp toàn diện để đảm bảo tuân thủ đầy đủ GDPR trong mọi khía cạnh hoạt động của chúng tôi.

Chúng tôi nhận thức rằng bảo vệ dữ liệu không chỉ là nghĩa vụ pháp lý mà còn là nền tảng của sự tin tưởng giữa tổ chức của chúng tôi, khách hàng của chúng tôi và các cá nhân có dữ liệu mà chúng tôi xử lý. Chương trình tuân thủ của chúng tôi được xem xét và cải tiến liên tục để phản ánh hướng dẫn quy định đang phát triển và các thực hành tốt nhất.

Vai trò: Bên Kiểm soát Dữ liệu và Bên Xử lý Dữ liệu

Khi Chúng tôi Đóng vai trò Bên Kiểm soát Dữ liệu

Theo Điều 4(7) GDPR, RapidFoundry LTD đóng vai trò bên kiểm soát dữ liệu khi chúng tôi xác định mục đích và phương tiện xử lý dữ liệu cá nhân. Điều này bao gồm:

  • Xử lý dữ liệu cá nhân của người truy cập trang web của chúng tôi
  • Quản lý tài khoản và mối quan hệ với khách hàng của chúng tôi
  • Xử lý dữ liệu của nhân viên và người xin việc
  • Tiến hành các hoạt động tiếp thị và truyền thông
  • Quản lý thanh toán và các vấn đề hợp đồng

Với tư cách là bên kiểm soát dữ liệu, chúng tôi chịu trách nhiệm hoàn toàn trong việc đảm bảo rằng các hoạt động xử lý tuân thủ các yêu cầu GDPR và đáp ứng các yêu cầu của chủ thể dữ liệu.

Khi Chúng tôi Đóng vai trò Bên Xử lý Dữ liệu

Theo Điều 4(8) GDPR, RapidFoundry LTD đóng vai trò bên xử lý dữ liệu khi chúng tôi xử lý dữ liệu cá nhân thay mặt cho khách hàng của mình liên quan đến việc cung cấp nền tảng SaaS của chúng tôi. Trong vai trò này:

  • Khách hàng của chúng tôi vẫn là bên kiểm soát dữ liệu đối với dữ liệu cá nhân mà họ tải lên hoặc xử lý thông qua nền tảng của chúng tôi
  • Chúng tôi xử lý dữ liệu đó nghiêm ngặt theo hướng dẫn đã được ghi chép của khách hàng
  • Chúng tôi duy trì các Thỏa thuận Xử lý Dữ liệu phù hợp với tất cả khách hàng
  • Chúng tôi không sử dụng dữ liệu khách hàng cho mục đích riêng của mình ngoài những gì cần thiết để cung cấp các dịch vụ đã ký hợp đồng

Nguyên tắc Xử lý Hợp pháp (Điều 5 GDPR)

RapidFoundry LTD tuân thủ các nguyên tắc bảo vệ dữ liệu được nêu trong Điều 5 GDPR. Tất cả các hoạt động xử lý dữ liệu cá nhân được tiến hành theo các nguyên tắc sau:

Tính Hợp pháp, Công bằng và Minh bạch

Chúng tôi xử lý dữ liệu cá nhân một cách hợp pháp, công bằng và minh bạch. Các cá nhân được thông báo về cách dữ liệu của họ được xử lý thông qua Chính sách Quyền riêng tư của chúng tôi và các thông báo hiện hành khác.

Giới hạn Mục đích

Dữ liệu cá nhân được thu thập cho các mục đích cụ thể, rõ ràng và hợp pháp và không được xử lý thêm theo cách không tương thích với những mục đích đó.

Tối thiểu hóa Dữ liệu

Chúng tôi đảm bảo rằng dữ liệu cá nhân được xử lý là đầy đủ, phù hợp và giới hạn ở những gì cần thiết liên quan đến mục đích mà dữ liệu được xử lý.

Tính Chính xác

Chúng tôi thực hiện các bước hợp lý để đảm bảo dữ liệu cá nhân chính xác và, khi cần thiết, được cập nhật. Dữ liệu không chính xác được xóa hoặc sửa chữa mà không trì hoãn.

Giới hạn Lưu trữ

Dữ liệu cá nhân chỉ được lưu giữ trong thời gian cần thiết để hoàn thành các mục đích mà dữ liệu đó được thu thập, tuân theo các yêu cầu lưu trữ pháp lý hiện hành.

Tính Toàn vẹn và Bảo mật

Chúng tôi triển khai các biện pháp kỹ thuật và tổ chức thích hợp để đảm bảo bảo mật dữ liệu cá nhân, bao gồm bảo vệ chống lại việc xử lý trái phép hoặc bất hợp pháp và chống lại mất mát, phá hủy hoặc hư hại do tai nạn.

Trách nhiệm Giải trình

Chúng tôi duy trì tài liệu và hồ sơ để chứng minh việc tuân thủ các nguyên tắc trên và tất cả các yêu cầu GDPR hiện hành.

Cơ sở Pháp lý cho Việc Xử lý

Theo Điều 6 GDPR, RapidFoundry LTD chỉ xử lý dữ liệu cá nhân khi chúng tôi đã xác định một cơ sở pháp lý hợp lệ. Các cơ sở pháp lý mà chúng tôi dựa vào bao gồm:

  • Cần thiết cho Hợp đồng (Điều 6(1)(b)): Xử lý cần thiết để thực hiện hợp đồng với chủ thể dữ liệu hoặc để thực hiện các bước tiền hợp đồng theo yêu cầu của họ
  • Nghĩa vụ Pháp lý (Điều 6(1)(c)): Xử lý cần thiết để tuân thủ các nghĩa vụ pháp lý mà chúng tôi phải tuân theo
  • Lợi ích Hợp pháp (Điều 6(1)(f)): Xử lý cần thiết cho các mục đích lợi ích hợp pháp được theo đuổi bởi chúng tôi hoặc bên thứ ba, với điều kiện là lợi ích đó không bị ghi đè bởi quyền và tự do của chủ thể dữ liệu
  • Sự đồng ý (Điều 6(1)(a)): Khi chủ thể dữ liệu đã đưa ra sự đồng ý rõ ràng cho việc xử lý một hoặc nhiều mục đích cụ thể

Khi chúng tôi xử lý các loại dữ liệu cá nhân đặc biệt, chúng tôi đảm bảo rằng một điều kiện bổ sung theo Điều 9 GDPR được đáp ứng. Chi tiết về các cơ sở pháp lý cụ thể được áp dụng cho các hoạt động xử lý cụ thể được nêu trong Chính sách Quyền riêng tư của chúng tôi.

Thỏa thuận Xử lý Dữ liệu

Theo Điều 28 GDPR, RapidFoundry LTD ký kết Thỏa thuận Xử lý Dữ liệu ("DPA") với tất cả các bên mà chúng tôi có mối quan hệ bên kiểm soát-bên xử lý.

DPA với Khách hàng của Chúng tôi

Khi đóng vai trò là bên xử lý dữ liệu thay mặt cho khách hàng của chúng tôi, chúng tôi cung cấp một DPA toàn diện đáp ứng tất cả các yêu cầu của Điều 28(3) GDPR, bao gồm:

  • Chủ đề, thời hạn, tính chất và mục đích của việc xử lý
  • Các loại dữ liệu cá nhân được xử lý và danh mục chủ thể dữ liệu
  • Nghĩa vụ và quyền của bên kiểm soát
  • Cam kết của chúng tôi chỉ xử lý dữ liệu theo hướng dẫn đã ghi chép
  • Nghĩa vụ bảo mật cho nhân viên
  • Các biện pháp bảo mật được triển khai
  • Điều kiện để thuê các bên xử lý phụ
  • Hỗ trợ với quyền của chủ thể dữ liệu và nghĩa vụ tuân thủ
  • Xóa hoặc trả lại dữ liệu khi chấm dứt
  • Quyền kiểm toán và kiểm tra

DPA tiêu chuẩn của chúng tôi có sẵn khi có yêu cầu và là một phần của Điều khoản Dịch vụ của chúng tôi.

DPA với Các bên Xử lý Phụ của Chúng tôi

Chúng tôi duy trì DPA với tất cả các bên xử lý phụ đáp ứng hoặc vượt quá các nghĩa vụ bảo vệ dữ liệu có trong thỏa thuận của chúng tôi với khách hàng, đảm bảo cùng mức độ bảo vệ trong toàn bộ chuỗi xử lý.

Các bên Xử lý Phụ và Quản lý Nhà cung cấp

RapidFoundry LTD thuê các bên xử lý phụ bên thứ ba để hỗ trợ cung cấp dịch vụ của chúng tôi. Chúng tôi duy trì một chương trình quản lý nhà cung cấp nghiêm ngặt để đảm bảo tất cả các bên xử lý phụ đáp ứng tiêu chuẩn bảo vệ dữ liệu của chúng tôi.

Thẩm định Bên Xử lý Phụ

Trước khi thuê bất kỳ bên xử lý phụ nào, chúng tôi tiến hành đánh giá kỹ lưỡng về các thực hành bảo vệ dữ liệu của họ, bao gồm:

  • Xem xét các chứng nhận bảo mật và báo cáo kiểm toán
  • Đánh giá các biện pháp kỹ thuật và tổ chức
  • Đánh giá các cơ chế chuyển dữ liệu khi áp dụng
  • Xác minh khả năng tuân thủ GDPR

Danh sách Bên Xử lý Phụ

Chúng tôi duy trì một danh sách cập nhật các bên xử lý phụ, có sẵn cho khách hàng khi có yêu cầu hoặc thông qua cổng thông tin khách hàng của chúng tôi. Danh sách này bao gồm danh tính, vị trí và các hoạt động xử lý của mỗi bên xử lý phụ.

Thay đổi Bên Xử lý Phụ

Theo các điều khoản DPA của chúng tôi, chúng tôi cung cấp cho khách hàng thông báo trước về bất kỳ thay đổi dự định nào đối với các bên xử lý phụ, tạo cho họ cơ hội phản đối những thay đổi đó trên cơ sở bảo vệ dữ liệu hợp lý.

Chuyển Dữ liệu Quốc tế và Biện pháp Bảo vệ

RapidFoundry LTD có trụ sở chính tại Liên minh Châu Âu. Khi dữ liệu cá nhân được chuyển ra ngoài Khu vực Kinh tế Châu Âu ("EEA"), chúng tôi đảm bảo rằng các biện pháp bảo vệ thích hợp được áp dụng theo Chương V của GDPR (Điều 44–49).

Cơ chế Chuyển

Chúng tôi dựa vào các cơ chế sau để hợp pháp hóa việc chuyển dữ liệu quốc tế:

  • Quyết định Đầy đủ (Điều 45): Chuyển đến các quốc gia đã nhận được quyết định đầy đủ từ Ủy ban Châu Âu
  • Điều khoản Hợp đồng Tiêu chuẩn (Điều 46(2)(c)): Chúng tôi sử dụng Điều khoản Hợp đồng Tiêu chuẩn ("SCCs") của Ủy ban Châu Âu được thông qua theo Quyết định Thực hiện của Ủy ban (EU) 2021/914 cho việc chuyển đến các quốc gia không có quyết định đầy đủ
  • Biện pháp Bổ sung: Khi cần thiết sau khi đánh giá tác động chuyển giao, chúng tôi triển khai các biện pháp kỹ thuật, hợp đồng và tổ chức bổ sung để đảm bảo mức độ bảo vệ về cơ bản tương đương

Đánh giá Tác động Chuyển giao

Đối với các chuyển giao dựa trên SCCs, chúng tôi tiến hành đánh giá tác động chuyển giao để đánh giá liệu khung pháp lý của quốc gia nhận có đảm bảo bảo vệ đầy đủ hay không. Những đánh giá này xem xét pháp luật liên quan, quyền truy cập của cơ quan công quyền và hiệu quả của quyền chủ thể dữ liệu.

Khung Quyền riêng tư Dữ liệu EU-Hoa Kỳ

Khi áp dụng, chúng tôi có thể dựa vào Khung Quyền riêng tư Dữ liệu EU-Hoa Kỳ cho việc chuyển đến các tổ chức Hoa Kỳ được chứng nhận, theo quyết định đầy đủ của Ủy ban Châu Âu ngày 10 tháng 7 năm 2023.

Biện pháp Kỹ thuật và Tổ chức

Theo Điều 24 và 32 GDPR, RapidFoundry LTD triển khai các biện pháp kỹ thuật và tổ chức thích hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro do các hoạt động xử lý của chúng tôi đặt ra.

Biện pháp Kỹ thuật

  • Mã hóa: Dữ liệu lưu trữ và truyền tải được bảo vệ bằng các giao thức mã hóa tiêu chuẩn ngành (AES-256 và TLS 1.2+)
  • Kiểm soát Truy cập: Kiểm soát truy cập dựa trên vai trò, xác thực đa yếu tố và nguyên tắc đặc quyền tối thiểu
  • Bảo mật Mạng: Tường lửa, hệ thống phát hiện xâm nhập và đánh giá lỗ hổng thường xuyên
  • Giả danh: Được áp dụng khi thích hợp để giảm rủi ro cho chủ thể dữ liệu
  • Sao lưu và Khôi phục: Sao lưu mã hóa thường xuyên với các thủ tục khôi phục đã được kiểm tra
  • Ghi nhật ký và Giám sát: Ghi nhật ký kiểm toán toàn diện và giám sát bảo mật theo thời gian thực

Biện pháp Tổ chức

  • Chính sách Bảo mật Thông tin: Các chính sách được ghi chép quản lý việc xử lý, truy cập và bảo mật dữ liệu
  • Đào tạo Nhân viên: Đào tạo thường xuyên về bảo vệ dữ liệu và nhận thức bảo mật cho tất cả nhân viên
  • Thỏa thuận Bảo mật: Tất cả nhân viên và nhà thầu đều bị ràng buộc bởi các nghĩa vụ bảo mật
  • Ứng phó Sự cố: Thủ tục được ghi chép để xác định, báo cáo và ứng phó với các sự cố bảo mật
  • Tính Liên tục Kinh doanh: Kế hoạch để đảm bảo tính khả dụng và khả năng phục hồi của hệ thống xử lý
  • Kiểm toán Thường xuyên: Kiểm toán nội bộ và bên ngoài định kỳ về các biện pháp kiểm soát bảo mật

Chứng nhận

RapidFoundry LTD duy trì [ISO 27001 / SOC 2 Type II / các chứng nhận hiện hành khác] để chứng minh cam kết của chúng tôi đối với các thực hành tốt nhất về bảo mật thông tin. Bản sao của các chứng nhận liên quan có sẵn cho khách hàng khi có yêu cầu.

Hỗ trợ Quyền của Chủ thể Dữ liệu

RapidFoundry LTD cam kết tạo điều kiện thuận lợi cho việc thực hiện quyền của chủ thể dữ liệu theo Chương III của GDPR.

Khi Chúng tôi là Bên Kiểm soát

Khi chúng tôi đóng vai trò là bên kiểm soát dữ liệu, các cá nhân có thể thực hiện quyền của họ trực tiếp với chúng tôi. Chúng tôi phản hồi các yêu cầu hợp lệ mà không trì hoãn quá mức và trong vòng một tháng, tuân theo việc gia hạn khi được cho phép theo Điều 12(3) GDPR. Chi tiết đầy đủ về cách thực hiện các quyền này được cung cấp trong Chính sách Quyền riêng tư của chúng tôi.

Khi Chúng tôi là Bên Xử lý

Khi chúng tôi đóng vai trò là bên xử lý dữ liệu, chúng tôi hỗ trợ khách hàng của mình (với tư cách là bên kiểm soát) trong việc phản hồi các yêu cầu của chủ thể dữ liệu theo nghĩa vụ DPA của chúng tôi và Điều 28(3)(e) GDPR. Điều này bao gồm:

  • Cung cấp chức năng kỹ thuật để cho phép khách hàng phản hồi các yêu cầu truy cập, chỉnh sửa, xóa và tính di động dữ liệu
  • Nhanh chóng chuyển tiếp bất kỳ yêu cầu nào nhận được trực tiếp từ chủ thể dữ liệu đến khách hàng liên quan
  • Cung cấp thông tin và hỗ trợ cần thiết để khách hàng hoàn thành nghĩa vụ của họ

Quyền Được Hỗ trợ

Chúng tôi hỗ trợ các quyền chủ thể dữ liệu sau đây khi áp dụng:

  • Quyền truy cập (Điều 15)
  • Quyền chỉnh sửa (Điều 16)
  • Quyền xóa (Điều 17)
  • Quyền hạn chế xử lý (Điều 18)
  • Quyền di chuyển dữ liệu (Điều 20)
  • Quyền phản đối (Điều 21)
  • Quyền liên quan đến ra quyết định tự động (Điều 22)

Thủ tục Vi phạm Dữ liệu

RapidFoundry LTD duy trì các thủ tục được ghi chép để phát hiện, điều tra và ứng phó với vi phạm dữ liệu cá nhân theo Điều 33 và 34 GDPR.

Phát hiện và Đánh giá Vi phạm

Chúng tôi sử dụng giám sát kỹ thuật và thủ tục tổ chức để phát hiện kịp thời các vi phạm tiềm ẩn. Sau khi phát hiện, đội ứng phó sự cố của chúng tôi đánh giá bản chất, phạm vi và tác động tiềm tàng của vi phạm.

Thông báo cho Cơ quan Giám sát (Điều 33)

Khi chúng tôi đóng vai trò là bên kiểm soát dữ liệu và vi phạm có khả năng dẫn đến rủi ro cho quyền và tự do của các cá nhân, chúng tôi thông báo cho cơ quan giám sát có thẩm quyền mà không trì hoãn quá mức và, khi khả thi, trong vòng 72 giờ kể từ khi biết về vi phạm.

Thông báo cho Chủ thể Dữ liệu (Điều 34)

Khi vi phạm có khả năng dẫn đến rủi ro cao cho quyền và tự do của các cá nhân, chúng tôi thông báo vi phạm đó cho các chủ thể dữ liệu bị ảnh hưởng mà không trì hoãn quá mức, trừ khi có ngoại lệ theo Điều 34(3) áp dụng.

Thông báo cho Khách hàng (Vai trò Bên Xử lý)

Khi chúng tôi đóng vai trò là bên xử lý dữ liệu và biết về vi phạm dữ liệu cá nhân ảnh hưởng đến dữ liệu khách hàng, chúng tôi thông báo cho khách hàng bị ảnh hưởng mà không trì hoãn quá mức, cung cấp đủ thông tin để cho phép khách hàng hoàn thành nghĩa vụ thông báo của mình.

Tài liệu

Chúng tôi lưu giữ hồ sơ của tất cả các vi phạm dữ liệu cá nhân, bao gồm các sự kiện, tác động và hành động khắc phục được thực hiện, theo Điều 33(5) GDPR.

Thực hành Tối thiểu hóa và Lưu trữ Dữ liệu

Tối thiểu hóa Dữ liệu

Theo Điều 5(1)(c) GDPR, chúng tôi áp dụng các nguyên tắc tối thiểu hóa dữ liệu trong toàn bộ hoạt động của mình:

  • Chúng tôi chỉ thu thập dữ liệu cá nhân cần thiết cho các mục đích cụ thể
  • Chúng tôi thường xuyên xem xét thực hành thu thập dữ liệu để loại bỏ việc xử lý không cần thiết
  • Chúng tôi thiết kế hệ thống và quy trình của mình với tối thiểu hóa dữ liệu là một cân nhắc mặc định
  • Chúng tôi khuyến khích khách hàng áp dụng tối thiểu hóa dữ liệu khi sử dụng nền tảng của chúng tôi

Thực hành Lưu trữ

Dữ liệu cá nhân chỉ được lưu giữ trong thời gian cần thiết để hoàn thành các mục đích mà dữ liệu đó được thu thập. Thực hành lưu trữ của chúng tôi được quản lý bởi:

  • Lịch Lưu trữ: Chúng tôi duy trì một lịch lưu trữ được ghi chép xác định thời gian lưu trữ cho các loại dữ liệu cá nhân khác nhau
  • Yêu cầu Pháp lý: Một số dữ liệu có thể được lưu giữ lâu hơn khi luật pháp hiện hành yêu cầu (ví dụ: nghĩa vụ thuế, kế toán hoặc quy định)
  • Nghĩa vụ Hợp đồng: Dữ liệu khách hàng được xử lý trong vai trò của chúng tôi như một bên xử lý được lưu giữ theo hướng dẫn của khách hàng và các điều khoản DPA của chúng tôi
  • Xóa An toàn: Khi hết thời hạn lưu trữ hoặc chấm dứt dịch vụ, dữ liệu cá nhân được xóa an toàn hoặc ẩn danh

Thời gian lưu trữ cụ thể cho các loại dữ liệu cá nhân mà chúng tôi kiểm soát được chi tiết trong Chính sách Quyền riêng tư của chúng tôi.

Thông tin Liên hệ

Đối với các câu hỏi liên quan đến Tuyên bố Tuân thủ GDPR này, thực hành bảo vệ dữ liệu của chúng tôi, hoặc để thực hiện quyền của chủ thể dữ liệu, vui lòng liên hệ với chúng tôi:

RapidFoundry LTD
Isiodou 13 Unit 401
Limassol, 3031]
Cyprus

Yêu cầu Bảo vệ Dữ liệu Chung:
Email: privacy@rapidfoundry.net

Cập nhật Tuyên bố này

Chúng tôi có thể cập nhật Tuyên bố Tuân thủ GDPR này theo thời gian để phản ánh những thay đổi trong thực hành, công nghệ, yêu cầu pháp lý của chúng tôi hoặc các yếu tố khác. Chúng tôi khuyến khích xem xét định kỳ trang này để biết thông tin mới nhất về các thực hành tuân thủ của chúng tôi.

Last updated
February 16, 2026