Cách tiếp cận GDPR

Trang này mô tả cách LINK-V tiếp cận GDPR khi xử lý dữ liệu cá nhân trong sản phẩm và dự án của chúng tôi, bao gồm Grace Mail, Timeless và các dự án Custom. Trang này bổ sung, nhưng không thay thế, các điều khoản xử lý dữ liệu trong hợp đồng của bạn hoặc thỏa thuận xử lý dữ liệu khi có văn bản được ký.

Để biết thông tin về cách chính website link-v.pro xử lý dữ liệu khách truy cập, xem Chính sách quyền riêng tư của chúng tôi.

1. Vai trò

LINK-V là bên kiểm soát dữ liệu, bên xử lý dữ liệu hay không phải cả hai phụ thuộc vào sản phẩm:

• Grace Mail Managed: LINK-V là bên xử lý dữ liệu. Khách hàng là bên kiểm soát dữ liệu email của chính họ. LINK-V vận hành hạ tầng; dữ liệu thuộc về khách hàng.
• Grace Mail Self-hosted: LINK-V không phải bên kiểm soát dữ liệu cũng không phải bên xử lý dữ liệu. Khách hàng chạy phần mềm trên hạ tầng của họ. LINK-V là nhà cung cấp phần mềm, không phải bên xử lý dữ liệu.
• Timeless: LINK-V thường là bên xử lý dữ liệu đối với dữ liệu website của khách hàng, bao gồm nội dung khách hàng đăng và mọi dữ liệu khách truy cập mà site xử lý. Khách hàng vẫn là bên kiểm soát dữ liệu của site của họ.
• Dự án Custom: LINK-V là bên xử lý dữ liệu trong quá trình phát triển và, khi có hợp đồng bảo trì liên tục, trong quá trình vận hành. Vai trò cụ thể được định nghĩa trong hợp đồng cho từng dự án.

2. Mặc định đặt tại EU

Hạ tầng production mặc định chạy trong EU. Dịch vụ lưu trữ, máy chủ email và hệ thống vận hành được đặt trong các khu vực pháp lý của EU. Khi một dự án khách hàng yêu cầu lưu trữ ở nơi khác, ví dụ một doanh nghiệp tại Mỹ có người dùng tại Mỹ, chúng tôi triển khai ở khu vực phù hợp. Vị trí dữ liệu được ghi nhận theo từng dự án.

3. Những gì chúng tôi không làm

Trong tất cả sản phẩm và dự án:

• Chúng tôi không bán, cho thuê hoặc chia sẻ dữ liệu cá nhân với bên thứ ba cho quảng cáo, marketing hoặc bất kỳ mục đích thương mại nào không liên quan đến việc cung cấp dịch vụ đã ký hợp đồng.
• Chúng tôi không huấn luyện mô hình AI bằng dữ liệu khách hàng, bao gồm nội dung hộp thư được xử lý qua Grace Mail.
• Chúng tôi không quét nội dung tin nhắn để tạo hồ sơ quảng cáo, nhắm mục tiêu theo hành vi hoặc đề xuất thương mại.
• Chúng tôi không lưu giữ dữ liệu lâu hơn mức cần thiết về vận hành và pháp lý.

4. Bảo mật

Dữ liệu cá nhân được xử lý bởi hạ tầng LINK-V được bảo vệ bằng các biện pháp kỹ thuật và tổ chức tiêu chuẩn: mã hóa TLS cho mọi kết nối, mã hóa ổ đĩa AES-256 khi lưu trữ nếu áp dụng, bản sao lưu được mã hóa, kiểm soát truy cập giới hạn theo nhu cầu vận hành và giám sát bảo mật liên tục. Cấu hình bảo mật cụ thể cho từng dự án được ghi nhận trong hợp đồng.

5. Bên xử lý phụ

Khi LINK-V sử dụng nhà cung cấp bên thứ ba để cung cấp dịch vụ, ví dụ lưu trữ hạ tầng, chúng tôi chỉ làm việc với nhà cung cấp có lập trường GDPR đáng tin cậy và điều khoản xử lý dữ liệu chấp nhận được. Danh sách bên xử lý phụ hiện tại được dùng trong từng dự án cụ thể được cung cấp cho khách hàng khi yêu cầu và được công bố trong thỏa thuận xử lý dữ liệu khi có văn bản được ký.

6. Yêu cầu từ chủ thể dữ liệu

Khi LINK-V là bên xử lý dữ liệu, yêu cầu từ chủ thể dữ liệu, tức những người có dữ liệu đang được xử lý, được xử lý bởi bên kiểm soát dữ liệu, thường là khách hàng của chúng tôi. Chúng tôi hỗ trợ khách hàng phản hồi các yêu cầu đó bằng cách cung cấp phương tiện kỹ thuật để thực hiện: xuất dữ liệu, xóa, hạn chế hoặc chỉnh sửa trong các hệ thống chúng tôi vận hành.

Khi chủ thể dữ liệu liên hệ trực tiếp với LINK-V về dữ liệu được xử lý thay mặt khách hàng, chúng tôi chuyển yêu cầu đến bên kiểm soát dữ liệu phù hợp và thông báo lại cho chủ thể dữ liệu.

7. Lưu giữ và xóa

Thời hạn lưu giữ tuân theo điều khoản hợp đồng và pháp luật áp dụng:

• Khách hàng đang hoạt động giữ dữ liệu vận hành trong khi gói đăng ký hoặc dự án còn hoạt động.
• Khi chấm dứt, dữ liệu xuất ra được cung cấp ở định dạng tiêu chuẩn, máy có thể đọc được. Chúng tôi không giữ dữ liệu khách hàng làm con tin.
• Sau khi rời đi, chúng tôi xóa hoặc ẩn danh hóa dữ liệu theo thời hạn được định nghĩa trong hợp đồng, tùy thuộc vào nghĩa vụ lưu giữ theo luật định, ví dụ hồ sơ kế toán theo luật thuế Czech.

8. Phản ứng sự cố

Chúng tôi duy trì giám sát trên toàn bộ hạ tầng. Trong trường hợp có vi phạm dữ liệu cá nhân được xác nhận ảnh hưởng đến dữ liệu khách hàng, chúng tôi thông báo cho bên kiểm soát dữ liệu bị ảnh hưởng không chậm trễ vô lý, thường trong vòng 24 giờ sau khi xác nhận sự cố, kèm đánh giá ban đầu và các bước khắc phục. Chúng tôi hỗ trợ bên kiểm soát dữ liệu đáp ứng nghĩa vụ thông báo của họ theo Điều 33 GDPR khi cần.

9. Chuyển dữ liệu quốc tế

Mặc định, dữ liệu cá nhân ở lại trong EU. Khi có chuyển dữ liệu quốc tế, theo yêu cầu của khách hàng hoặc thông qua quan hệ cụ thể với bên xử lý phụ, việc chuyển dựa trên cơ chế pháp lý phù hợp, chẳng hạn điều khoản hợp đồng tiêu chuẩn hoặc biện pháp bảo vệ khác tuân thủ GDPR. Các thỏa thuận chuyển dữ liệu được ghi nhận theo từng dự án.

10. Thỏa thuận xử lý dữ liệu

Đối với các dự án khách hàng nơi LINK-V hoạt động như bên xử lý dữ liệu, thỏa thuận xử lý dữ liệu định nghĩa các điều khoản xử lý cụ thể, bao gồm loại dữ liệu, mục đích xử lý, bên xử lý phụ, biện pháp bảo mật và nghĩa vụ tương ứng của các bên theo GDPR. Thỏa thuận xử lý dữ liệu được đàm phán và ký như một phần của hợp đồng dự án khi có yêu cầu.

11. Thay đổi

Chúng tôi có thể cập nhật trang này theo thời gian để phản ánh thay đổi trong sản phẩm, quy trình hoặc luật áp dụng. Ngày “cập nhật lần cuối” ở trên cho biết khi nào trang được sửa gần nhất.

12. Liên hệ

Với câu hỏi liên quan đến GDPR về sản phẩm và dự án của LINK-V, liên hệ privacy@link-v.pro.

Với câu hỏi quyền riêng tư riêng cho website, xem Chính sách quyền riêng tư của chúng tôi.