GDPR合规

1. 我们对GDPR的承诺

Virtual Receptionist致力于确保我们处理的个人数据的安全和保护。我们已实施全面的政策和程序，以遵守于2018年5月25日生效的欧盟《通用数据保护条例》（GDPR）。

作为数据控制者和处理者，我们按照GDPR的合法性、公平性、透明性、目的限制、数据最小化、准确性、存储限制、完整性和保密性原则处理个人数据。

2. 数据处理原则

• 合法性：我们仅在有合法法律依据（同意、合同、法律义务、合法利益）的情况下处理个人数据。
• 目的限制：我们仅出于特定、明确和合法的目的收集数据。
• 数据最小化：我们仅收集为预期目的所必需的数据。
• 准确性：我们采取措施确保个人数据的准确性和时效性。
• 存储限制：我们仅在必要期限内保留数据。
• 安全性：我们实施适当的技术和组织措施。

3. 您在GDPR下的权利

作为数据主体，您根据GDPR享有以下权利：

4. 数据安全措施

我们实施强健的安全措施来保护您的个人数据：

• 所有数据传输采用端到端加密（TLS 1.3）
• 存储数据采用AES-256静态加密
• 定期安全审计和渗透测试
• 访问控制和身份验证机制
• 员工数据保护培训
• 事件响应程序
• 数据备份和灾难恢复计划

5. 国际数据传输

当我们将个人数据传输到欧洲经济区（EEA）以外时，我们确保采取适当的保障措施：

• 经欧盟委员会批准的标准合同条款（SCCs）
• 向获得充分性认定的国家传输
• 适用时采用具有约束力的公司规则

6. 数据处理协议

作为企业客户的数据处理者，我们签订符合GDPR第28条的数据处理协议（DPA）。我们的DPA涵盖：

• 处理的主题和期限
• 处理的性质和目的
• 处理的个人数据类型
• 数据主体类别
• 控制者的义务和权利
• 次级处理者要求

7. 数据泄露通知

在发生个人数据泄露事件时，我们将：

• 在72小时内通知相关监管机构
• 在需要时将泄露事件告知受影响的数据主体
• 记录所有泄露事件和采取的补救措施
• 实施措施以防止未来发生泄露