GDPR 处理方式

本页面说明 LINK-V 在我们的产品和项目中处理个人数据时如何对待 GDPR，包括 Grace Mail、Timeless 和 Custom 项目。本页面补充但不替代合同中的数据处理条款，或已签署的数据处理协议中的条款。

关于 link-v.pro 网站本身如何处理访问者数据，请参见我们的 隐私政策。

1. 角色

LINK-V 是数据控制者、数据处理者，还是两者都不是，取决于具体产品：

• Grace Mail Managed: LINK-V 是数据处理者。客户是自己邮件数据的数据控制者。LINK-V 运营基础设施；数据属于客户。
• Grace Mail Self-hosted: LINK-V 既不是数据控制者，也不是数据处理者。客户在自己的基础设施上运行软件。LINK-V 是软件供应商，不是数据处理方。
• Timeless: LINK-V 通常是客户网站数据的数据处理者，包括客户发布的内容，以及网站处理的任何访问者数据。客户仍然是其网站数据的数据控制者。
• Custom 项目: LINK-V 在开发期间是数据处理者；如果合同包含持续维护，则在运营期间也是数据处理者。每个项目的具体角色会在合同中定义。

2. 默认基于欧盟

生产基础设施默认运行在欧盟。托管、邮件服务器和运营系统位于欧盟司法辖区内。当客户项目明确需要在其他地区托管时，例如一家拥有美国用户的美国企业，我们会部署到合适区域。数据位置会按项目记录。

3. 我们不做什么

在所有产品和项目中：

• 我们不会为了广告、营销或任何与交付合同服务无关的商业目的，出售、出租或向第三方共享个人数据。
• 我们不会使用客户数据训练 AI 模型，包括通过 Grace Mail 处理的邮箱内容。
• 我们不会扫描消息内容来建立广告画像、行为定向或商业推荐。
• 我们不会在运营和法律所必需的范围之外继续保留数据。

4. 安全

由 LINK-V 基础设施处理的个人数据受到标准技术和组织措施保护：所有连接使用 TLS 加密；适用时使用 AES-256 静态磁盘加密；备份加密；访问控制限制在运营必要范围内；并进行持续安全监控。单个项目的具体安全配置会记录在合同中。

5. 子处理方

当 LINK-V 使用第三方供应商交付服务，例如基础设施托管时，我们只与自身 GDPR 合规立场可靠、且数据处理条款可接受的供应商合作。特定项目中使用的当前子处理方列表会在客户请求时提供，并在签署数据处理协议时披露。

6. 数据主体请求

当 LINK-V 是数据处理者时，数据主体，也就是其数据正在被处理的人，其请求由数据控制者处理，通常是我们的客户。我们通过提供技术手段支持客户回应这些请求：在我们运营的系统内进行数据导出、删除、限制或更正。

如果数据主体直接联系 LINK-V，询问代表客户处理的数据，我们会将请求转交给相应的数据控制者，并相应通知数据主体。

7. 保留和删除

数据保留期限遵循合同条款和适用法律：

• 活跃客户在订阅或项目有效期间保留运营数据。
• 终止时，数据导出会以标准、机器可读格式提供。我们不会把客户数据作为人质。
• 退出后，我们会按照合同中定义的期限删除或匿名化数据，但须遵守任何法定保留义务，例如捷克税法下的会计记录。

8. 事件响应

我们对基础设施保持监控。如果发生已确认、影响客户数据的个人数据泄露，我们会在无不当延迟的情况下通知受影响的数据控制者，通常在确认事件后 24 小时内，并同时提供初步评估和补救步骤。在需要时，我们会支持数据控制者履行其根据 GDPR 第 33 条承担的通知义务。

9. 国际传输

默认情况下，个人数据留在欧盟境内。如果发生国际传输，例如应客户请求，或通过特定子处理方关系，传输会基于适当法律机制，例如标准合同条款或其他符合 GDPR 的保障措施。传输安排会按项目记录。

10. 数据处理协议

对于 LINK-V 作为数据处理者的客户项目，数据处理协议会定义具体处理条款，包括数据类别、处理目的、子处理方、安全措施，以及双方在 GDPR 下各自的义务。数据处理协议会在客户请求时作为项目合同的一部分进行协商和签署。

11. 变更

我们可能会不时更新本页面，以反映产品、流程或适用法律的变化。页面顶部的“最后更新”日期表示本页面最近一次修订的时间。

12. 联系

如有关于 LINK-V 产品和项目的 GDPR 相关问题，请联系 privacy@link-v.pro。

关于网站本身的隐私问题，请参见我们的 隐私政策。