Thông báo về GDPR
Các quyền về bảo vệ dữ liệu của cá nhân trong Khu vực Kinh tế Châu Âu. PhishDestroy cam kết tuân thủ GDPR.
Thông báo này áp dụng cho các cá nhân tại Khu vực Kinh tế Châu Âu (EEA) và Vương quốc Anh. PhishDestroy tôn trọng quyền riêng tư của quý vị và xử lý dữ liệu cá nhân theo Quy định chung về bảo vệ dữ liệu (EU) 2016/679.
Chủ thể kiểm soát dữ liệu
PhishDestroy là một dự án chống lừa đảo qua email độc lập và phi lợi nhuận. Theo quy định của GDPR, dự án PhishDestroy đóng vai trò là đơn vị kiểm soát dữ liệu đối với mọi dữ liệu cá nhân được xử lý thông qua các dịch vụ của chúng tôi. Vui lòng liên hệ với người phụ trách bảo vệ dữ liệu của chúng tôi tại privacy@phishdestroy.io.
Chúng tôi xử lý những loại dữ liệu cá nhân nào
Chúng tôi thu thập và xử lý lượng dữ liệu cá nhân tối thiểu, chỉ giới hạn trong những thông tin thực sự cần thiết cho nhiệm vụ chống lừa đảo qua email của chúng tôi:
- Gửi báo cáo về các mối đe dọa: Tên miền, URL, địa chỉ ví và bất kỳ bằng chứng nào mà bạn tự nguyện cung cấp khi báo cáo một mối đe dọa.
- Thông số kỹ thuật: Địa chỉ IP, chuỗi user agent và dấu thời gian truy cập được thu thập tự động nhằm đảm bảo an ninh và ngăn chặn các hành vi lạm dụng.
- Dữ liệu phân tích: Thống kê sử dụng đã được ẩn danh thông qua Google Analytics (Google Tag Manager) nhằm tìm hiểu cách thức sử dụng các dịch vụ của chúng tôi.
- Dữ liệu liên lạc: Địa chỉ email hoặc tên người dùng Telegram khi bạn liên hệ trực tiếp với chúng tôi.
Chúng tôi làm không thu thập dữ liệu tài chính, giấy tờ tùy thân hoặc bất kỳ loại dữ liệu cá nhân đặc biệt nào (Điều 9 của GDPR).
Cơ sở pháp lý cho việc xử lý dữ liệu
Chúng tôi xử lý dữ liệu cá nhân dựa trên các cơ sở pháp lý sau đây, theo quy định tại Điều 6(1) của GDPR:
- Lợi ích hợp pháp (Điều 6(1)(f)): Xử lý dữ liệu tình báo về mối đe dọa, địa chỉ IP và siêu dữ liệu kỹ thuật nhằm bảo vệ người dùng Internet khỏi các hành vi lừa đảo và gian lận. Lợi ích hợp pháp của chúng tôi là phòng ngừa tội phạm mạng và bảo vệ công chúng.
- Sự đồng ý (Điều 6(1)(a)): Khi bạn tự nguyện gửi báo cáo về mối đe dọa hoặc liên hệ với chúng tôi. Bạn có thể rút lại sự đồng ý bất cứ lúc nào.
- Nghĩa vụ pháp lý (Điều 6, khoản 1, điểm c): Khi chúng tôi buộc phải tuân thủ các yêu cầu hợp pháp từ các cơ quan chức năng hoặc các lệnh của tòa án.
Các quyền của bạn theo GDPR
Với tư cách là chủ thể dữ liệu tại Khu vực Kinh tế Châu Âu (EEA)/Vương quốc Anh, quý vị có các quyền sau đây:
- Quyền tiếp cận (Điều 15): Yêu cầu cung cấp bản sao dữ liệu cá nhân của bạn mà chúng tôi đang lưu giữ.
- Quyền yêu cầu chỉnh sửa (Điều 16): Yêu cầu chỉnh sửa thông tin cá nhân không chính xác.
- Quyền được xóa dữ liệu (Điều 17): Yêu cầu xóa dữ liệu cá nhân của bạn (“quyền được quên”).
- Quyền hạn chế (Điều 18): Yêu cầu chúng tôi hạn chế việc xử lý dữ liệu của quý vị.
- Quyền chuyển giao dữ liệu (Điều 20): Nhận dữ liệu của bạn dưới dạng có cấu trúc và có thể đọc được bằng máy.
- Quyền phản đối (Điều 21): Phản đối việc xử lý dữ liệu dựa trên lợi ích hợp pháp.
- Quyền rút lại sự đồng ý (Điều 7(3)): Có thể rút lại sự đồng ý bất cứ lúc nào mà không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu trước đó.
Để thực hiện bất kỳ quyền nào trong số các quyền này, vui lòng gửi email privacy@phishdestroy.io với dòng tiêu đề "Yêu cầu theo GDPR". Chúng tôi sẽ trả lời trong vòng 30 ngày theo quy định của pháp luật. Các yêu cầu hợp lý sẽ không bị tính phí.
Lưu trữ dữ liệu
Chúng tôi chỉ lưu giữ dữ liệu cá nhân trong thời gian cần thiết để phục vụ các mục đích đã nêu:
- Dữ liệu tình báo về mối đe dọa: Được lưu giữ vô thời hạn như một phần của hồ sơ công khai về cơ sở hạ tầng lừa đảo qua email. Tên miền, URL và các chỉ số kỹ thuật liên quan không được coi là dữ liệu cá nhân của người báo cáo.
- Nhật ký máy chủ (IP, trình duyệt người dùng): Dữ liệu sẽ được lưu giữ tối đa 90 ngày vì lý do an ninh và phòng ngừa lạm dụng, sau đó sẽ tự động bị xóa.
- Hồ sơ liên lạc: Sẽ được lưu giữ trong tối đa 12 tháng kể từ lần tương tác cuối cùng, trừ khi việc trao đổi đang diễn ra yêu cầu thời gian lưu giữ lâu hơn.
- Dữ liệu phân tích: Đã được ẩn danh và tổng hợp; dữ liệu cấp cá nhân sẽ không được lưu giữ lâu hơn thời gian mà Google Analytics xử lý theo các cài đặt lưu giữ dữ liệu của riêng họ.
Chuyển giao dữ liệu quốc tế
Hạ tầng của PhishDestroy được phân tán trên nhiều khu vực pháp lý. Khi dữ liệu cá nhân được chuyển ra ngoài Khu vực Kinh tế Châu Âu (EEA), chúng tôi dựa trên:
- Các điều khoản hợp đồng tiêu chuẩn (SCCs) đã được Ủy ban Châu Âu phê duyệt.
- Các quyết định về tính đầy đủ (nếu có) (ví dụ: việc chuyển dữ liệu sang các quốc gia có mức độ bảo vệ dữ liệu đầy đủ).
- Sự cần thiết để thực hiện sứ mệnh vì lợi ích công cộng của chúng tôi (Điều 49(1)(d) GDPR) trong một số trường hợp nhất định.
Dịch vụ của bên thứ ba
Chúng tôi sử dụng các dịch vụ của bên thứ ba sau đây, những dịch vụ này có thể xử lý dữ liệu cá nhân:
- Cloudflare: CDN, bảo vệ chống DDoS và các dịch vụ DNS. Chính sách bảo mật của Cloudflare.
- Ahrefs: Phân tích SEO và theo dõi hiệu suất trang web. Chính sách bảo mật của Ahrefs.
- Google Analytics (qua GTM): Phân tích dữ liệu trang web đã được ẩn danh. Chính sách bảo mật của Google.
- API Bot Telegram: Để gửi báo cáo về các mối đe dọa. Chính sách bảo mật của Telegram.
Các biện pháp an ninh
Chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân, bao gồm kết nối được mã hóa (TLS/HTTPS), kiểm soát quyền truy cập và các đợt rà soát an ninh định kỳ. Xem Chính sách bảo mật để biết thêm chi tiết.
Quyền khiếu nại
Nếu bạn cho rằng các quyền bảo vệ dữ liệu của mình đã bị vi phạm, bạn có quyền nộp đơn khiếu nại lên cơ quan giám sát tại quốc gia thành viên EU nơi bạn thường trú, nơi làm việc hoặc nơi xảy ra hành vi vi phạm được cho là đã xảy ra. Danh sách các Cơ quan Bảo vệ Dữ liệu của EU có tại edpb.europa.eu.
Những thay đổi đối với Thông báo này
Chúng tôi có thể cập nhật thông báo GDPR này để phản ánh những thay đổi trong các quy trình hoạt động của chúng tôi hoặc pháp luật hiện hành. Ngày “Cập nhật lần cuối” trong thông tin meta của trang sẽ được điều chỉnh cho phù hợp. Việc tiếp tục sử dụng các dịch vụ của chúng tôi sau khi có những thay đổi được coi là sự chấp nhận thông báo đã được cập nhật.
Liên hệ
Đối với mọi thắc mắc, yêu cầu hoặc khiếu nại liên quan đến bảo vệ dữ liệu:
- Email: privacy@phishdestroy.io
- Tiêu đề: Yêu cầu theo GDPR (đối với các yêu cầu chính thức) hoặc Yêu cầu về quyền riêng tư (đối với các câu hỏi chung)