GDPR:通用数据保护条例

本页概述了RapidFoundry LTD("我们"、"我们的")如何遵守欧盟2016/679号条例《通用数据保护条例》("GDPR")。本声明旨在提供关于我们数据保护实践的透明度,应与我们的隐私政策一起阅读,该政策详细说明了我们收集的具体个人数据以及我们如何使用这些数据。

我们对GDPR合规的承诺

RapidFoundry LTD致力于保护自然人在个人数据处理方面的基本权利和自由。作为一家欧盟的Software-as-a-Service提供商,我们已实施全面措施,确保我们的所有运营方面完全符合GDPR。

我们认识到,数据保护不仅仅是法律义务,更是我们的组织、我们的客户以及我们处理其数据的个人之间信任的基石。我们的合规计划会不断审查和改进,以反映不断发展的监管指导和最佳实践。

角色:数据控制者和数据处理者

当我们作为数据控制者时

根据GDPR第4(7)条,当RapidFoundry LTD确定处理个人数据的目的和方式时,我们作为数据控制者。这包括:

  • 处理我们网站访问者的个人数据
  • 管理我们与客户的账户和关系
  • 处理员工和求职者数据
  • 进行营销和沟通活动
  • 管理账单和合同事务

作为数据控制者,我们对确保处理活动符合GDPR要求以及响应数据主体请求负有全部责任。

当我们作为数据处理者时

根据GDPR第4(8)条,当RapidFoundry LTD代表我们的客户处理与提供我们SaaS平台相关的个人数据时,我们作为数据处理者。在这种情况下:

  • 我们的客户仍然是他们上传到我们平台或通过我们平台处理的个人数据的数据控制者
  • 我们严格按照客户的书面指示处理此类数据
  • 我们与所有客户维持适当的数据处理协议
  • 除了提供合同约定的服务所必需的情况外,我们不会将客户数据用于我们自己的目的

合法处理原则(GDPR第5条)

RapidFoundry LTD遵守GDPR第5条规定的数据保护原则。所有个人数据处理活动均按照以下原则进行:

合法性、公平性和透明度

我们以合法、公平和透明的方式处理个人数据。通过我们的隐私政策和其他适用通知,个人会被告知其数据如何被处理。

目的限制

个人数据的收集是出于特定、明确和合法的目的,不会以与这些目的不兼容的方式进一步处理。

数据最小化

我们确保处理的个人数据是充分、相关的,并且仅限于与处理目的相关的必要数据。

准确性

我们采取合理步骤确保个人数据准确,并在必要时保持更新。不准确的数据会被立即删除或纠正。

存储限制

个人数据仅在实现收集目的所需的时间内保留,受适用的法律保留要求约束。

完整性和保密性

我们实施适当的技术和组织措施,确保个人数据的安全,包括防止未经授权或非法处理以及防止意外丢失、破坏或损坏。

问责制

我们维护文档和记录,以证明我们遵守上述原则和所有适用的GDPR要求。

处理的法律依据

根据GDPR第6条,RapidFoundry LTD仅在我们确定了有效的法律依据的情况下处理个人数据。我们依赖的法律依据包括:

  • 合同必要性(第6(1)(b)条):为履行与数据主体的合同或应其请求采取签订合同前的步骤而进行的必要处理
  • 法律义务(第6(1)(c)条):为遵守我们所受法律义务而进行的必要处理
  • 合法利益(第6(1)(f)条):为我们或第三方追求的合法利益而进行的必要处理,前提是这些利益不被数据主体的权利和自由所凌驾
  • 同意(第6(1)(a)条):数据主体已经对一个或多个特定目的的处理给予明确同意的情况

当我们处理特殊类别的个人数据时,我们确保满足GDPR第9条规定的额外条件。关于应用于特定处理活动的具体法律依据的详细信息,请参阅我们的隐私政策

数据处理协议

根据GDPR第28条,RapidFoundry LTD与我们有控制者-处理者关系的所有方签订数据处理协议("DPA")。

与我们客户的DPA

当代表我们的客户作为数据处理者时,我们提供全面的DPA,涵盖GDPR第28(3)条的所有要求,包括:

  • 处理的主题、持续时间、性质和目的
  • 处理的个人数据类型和数据主体类别
  • 控制者的义务和权利
  • 我们承诺只按照书面指示处理数据
  • 人员的保密义务
  • 实施的安全措施
  • 聘用子处理者的条件
  • 协助数据主体权利和合规义务
  • 终止后的数据删除或返还
  • 审计和检查权

我们的标准DPA可根据要求提供,并构成我们服务条款的一部分。

与我们子处理者的DPA

我们与所有子处理者维持DPA,这些协议满足或超过我们与客户协议中包含的数据保护义务,确保整个处理链中的保护水平相同。

子处理者和供应商管理

RapidFoundry LTD聘用第三方子处理者协助提供我们的服务。我们维持严格的供应商管理计划,确保所有子处理者满足我们的数据保护标准。

子处理者尽职调查

在聘用任何子处理者之前,我们对其数据保护实践进行全面评估,包括:

  • 审查安全认证和审计报告
  • 评估技术和组织措施
  • 评估适用的数据传输机制
  • 验证GDPR合规能力

子处理者列表

我们维护一个当前子处理者列表,客户可以通过请求或通过我们的客户门户获取。此列表包括每个子处理者的身份、位置和处理活动。

子处理者变更

根据我们的DPA条款,我们向客户提供任何计划中的子处理者变更的提前通知,使他们有机会基于合理的数据保护理由对此类变更提出异议。

国际数据传输和保障措施

RapidFoundry LTD总部位于欧盟。当个人数据传输到欧洲经济区("EEA")以外时,我们确保根据GDPR第V章(第44-49条)采取适当的保障措施。

传输机制

我们依赖以下机制使国际数据传输合法化:

  • 充分性决定(第45条):向已获得欧盟委员会充分性决定的国家传输数据
  • 标准合同条款(第46(2)(c)条):我们使用欧盟委员会根据委员会执行决定(EU) 2021/914采用的标准合同条款("SCCs")向没有充分性决定的国家传输数据
  • 补充措施:在传输影响评估后需要时,我们实施额外的技术、合同和组织措施,确保本质上等同的保护水平

传输影响评估

对于依赖SCCs的传输,我们进行传输影响评估,评估接收国的法律框架是否确保足够的保护。这些评估考虑相关立法、公共机构的访问以及数据主体权利的有效性。

EU-U.S. 数据隐私框架

在适用的情况下,我们可能依赖EU-U.S. 数据隐私框架向经认证的美国组织传输数据,遵循欧盟委员会2023年7月10日的充分性决定。

技术和组织措施

根据GDPR第24条和第32条,RapidFoundry LTD实施适当的技术和组织措施,确保与我们处理活动相关的风险相适应的安全水平。

技术措施

  • 加密:使用行业标准加密协议(AES-256和TLS 1.2+)保护静态和传输中的数据
  • 访问控制:基于角色的访问控制、多因素认证和最小权限原则
  • 网络安全:防火墙、入侵检测系统和定期漏洞评估
  • 假名化:在适当情况下应用,以降低数据主体的风险
  • 备份和恢复:定期加密备份,并有经过测试的恢复程序
  • 日志记录和监控:全面的审计日志和实时安全监控

组织措施

  • 信息安全政策:记录管理数据处理、访问和安全的政策
  • 员工培训:为所有人员提供定期的数据保护和安全意识培训
  • 保密协议:所有员工和承包商都受保密义务约束
  • 事件响应:识别、报告和应对安全事件的书面程序
  • 业务连续性:确保处理系统可用性和弹性的计划
  • 定期审计:对安全控制进行定期内部和外部审计

认证

RapidFoundry LTD维持[ISO 27001 / SOC 2 Type II / 其他适用认证],以证明我们对信息安全最佳实践的承诺。相关认证副本可根据客户要求提供。

数据主体权利支持

RapidFoundry LTD致力于促进GDPR第III章规定的数据主体权利的行使。

当我们是控制者时

当我们作为数据控制者时,个人可以直接向我们行使他们的权利。我们会在不过度延迟的情况下,在一个月内回应有效请求,根据GDPR第12(3)条允许的情况可以延长。有关如何行使这些权利的完整详细信息,请参阅我们的隐私政策

当我们是处理者时

当我们作为数据处理者时,我们根据DPA义务和GDPR第28(3)(e)条协助我们的客户(作为控制者)回应数据主体请求。这包括:

  • 提供技术功能,使客户能够回应访问、纠正、删除和可移植性请求
  • 及时将直接从数据主体收到的任何请求转发给相关客户
  • 提供客户履行其义务所需的信息和协助

支持的权利

我们支持以下适用的数据主体权利:

  • 访问权(第15条)
  • 纠正权(第16条)
  • 删除权(第17条)
  • 处理限制权(第18条)
  • 数据可移植权(第20条)
  • 反对权(第21条)
  • 与自动决策相关的权利(第22条)

数据泄露程序

RapidFoundry LTD根据GDPR第33条和第34条维持书面程序,用于检测、调查和应对个人数据泄露。

泄露检测和评估

我们使用技术监控和组织程序及时检测潜在泄露。一旦检测到,我们的事件响应团队会评估泄露的性质、范围和潜在影响。

向监管机构通知(第33条)

当我们作为数据控制者,且泄露可能导致自然人权利和自由风险时,我们会在知悉泄露后不过度延迟,在可行的情况下在72小时内通知主管监管机构。

向数据主体通知(第34条)

当泄露可能导致自然人权利和自由的高风险时,我们会不过度延迟地向受影响的数据主体传达泄露情况,除非适用第34(3)条的例外情况。

向客户通知(处理者角色)

当我们作为数据处理者,知悉影响客户数据的个人数据泄露时,我们会不过度延迟地通知受影响的客户,提供足够的信息使客户能够履行其自身的通知义务。

文档

我们根据GDPR第33(5)条记录所有个人数据泄露,包括事实、影响和采取的补救措施。

数据最小化和保留实践

数据最小化

根据GDPR第5(1)(c)条,我们在整个运营中应用数据最小化原则:

  • 我们只收集特定目的所必需的个人数据
  • 我们定期审查数据收集实践,消除不必要的处理
  • 我们在设计系统和流程时将数据最小化作为默认考虑因素
  • 我们鼓励客户在使用我们的平台时应用数据最小化

保留实践

个人数据仅在实现收集目的所需的时间内保留。我们的保留实践受以下因素管理:

  • 保留计划:我们维护记录的保留计划,指定不同类别个人数据的保留期限
  • 法律要求:某些数据可能因适用法律要求(如税务、会计或监管义务)而保留更长时间
  • 合同义务:作为处理者角色处理的客户数据根据客户指示和我们的DPA条款保留
  • 安全删除:保留期限到期或服务终止后,个人数据被安全删除或匿名化

我们控制的个人数据类别的具体保留期限在我们的隐私政策中详细说明。

联系信息

如果您对本GDPR合规声明、我们的数据保护实践有任何问题,或想行使数据主体权利,请联系我们:

RapidFoundry LTD
Isiodou 13 Unit 401
Limassol, 3031]
Cyprus

一般数据保护咨询:
电子邮件:privacy@rapidfoundry.net

本声明的更新

我们可能会不时更新本GDPR合规声明,以反映我们实践、技术、法律要求或其他因素的变化。我们鼓励定期查看本页面,了解我们合规实践的最新信息。

Last updated
February 16, 2026