概述
本页面从高层说明 Mobyform 如何处理与 GDPR 相关的职责,适合作为面向客户的公开参考,主要面向收集欧洲经济区(EEA)个人数据,或需要按 GDPR 思路配置流程的客户。
本页面不构成法律意见。客户仍应根据自身场景,在必要时咨询法律顾问。
控制者与处理者角色
在大多数客户表单场景中:
- 客户决定收集哪些个人数据以及收集目的
- 因此客户通常是 控制者
- Mobyform 负责托管服务本身,通常是 处理者
如果您是向某个 Mobyform 客户创建的表单提交数据的受访者,那么关于该提交内容如何被使用的问题,通常应首先联系该表单所有者。
与 GDPR 相关的产品支持
Mobyform 的设计会从以下方面支持符合 GDPR 思路的数据处理:
- 在表单中配置同意和告知机制
- 由客户控制字段结构、权限和保留设置
- 提供导出、删除、更正支持、可携带性支持和与受访者数据相关的管理操作
- 支持访问、删除、可携带和更正等 DSAR 风格请求跟踪流程
- 支持围绕 GDPR 常见 30 天响应窗口的截止时间跟踪
- 在文件存储流程中支持可配置的保留策略记录,包括保留天数和可选自动清理行为
- 支持记录监管机构通知时间、数据主体通知时间以及是否在 72 小时内完成监管机构通知的泄露跟踪流程
- 通过角色权限、审计型记录和运营控制降低不当访问风险
- 提供公开法务页面,例如 隐私政策、DPA、子处理者列表 和 安全说明
对应的产品文档可继续参考:
客户仍然需要完成的事项
使用表单平台本身并不会自动让流程变成 GDPR 合规。客户仍需自行负责:
- 识别合法处理依据
- 决定收集哪些数据以及这些数据是否必要
- 向受访者提供清晰的隐私说明
- 在以同意为依据时妥善管理同意机制
- 处理数据主体请求
- 设置合适的数据保留期限
- 审核所连接的集成与下游系统
数据主体权利
GDPR 赋予个人访问、更正、删除、限制处理、数据可携带和反对等权利。Mobyform 可以通过导出、删除工具、更正支持、保留控制和运营工具协助客户处理这些流程,但通常仍由客户负责判断请求是否适用以及如何响应。
跨境传输
根据基础设施位置、供应商所在地和客户配置,部分处理活动可能涉及跨境数据传输。在适用情况下,Mobyform 会采用法律要求的适当保障措施和合同机制。
安全与保密
GDPR 准备也依赖适当的技术与组织措施。相关公开摘要可见 安全说明 页面。
相关文档
联系方式
如果您在采购或合规审查中需要隐私文档,请联系 support@mobyform.com。