Kasunduan sa Pagproseso ng Datos (DPA)
Huling Na-update: 2026-07-01
Huling Na-update ang pahina ng mga Subprocessor: 2025-12-03
Ang DPA na ito ay naglalahad ng mga tuntunin kung saan namin pinoproseso ang personal na datos para sa inyong ngalan.
Ang Kasunduang sa Pagproseso ng Datos (Kasunduan) na ito ay naglalahad ng mga tungkulin at kundisyon kung saan ipinoproseso ng Petitions.com Group Oy (Tagapagbigay ng Serbisyo) ang personal na datos sa ngalan ng may-akda ng petisyon (May-akda ng Petisyon o Tagakontrol ng Datos) sa pagbibigay ng serbisyo sa pagho-host ng online na petisyon (Mga Serbisyo).
Pagbabago ng Mga Tuntunin
Inilalaan namin ang karapatang baguhin o i-modify ang mga Tuntuning ito anumang oras nang walang paunang abiso.
Mga Depinisyon at Papel
- Tagapagbigay ng Serbisyo: Petisyon.com (Petitions.com Group Oy), na kumikilos bilang Data Processor, ay nagpoproseso ng personal na data sa ngalan ng Data Controller ayon sa kinakailangan upang maihatid ang mga Serbisyo.
- Data Controller: Ang May-akda ng Petisyon, na tumutukoy sa mga layunin at paraan ng pagproseso ng personal na data na nakolekta mula sa mga pumirma sa kanilang petisyon. Bilang may-akda ng isang petisyon na naka-host sa Petisyon.com, ikaw ay itinuturing na Data Controller. Ikaw ang magpapasya sa nilalaman ng petisyon, kung ano ang hinihingi mula sa mga lumalagda, ang mga layunin para sa pagproseso ng kanilang personal na datos, at ang tagal ng panahon kung saan ang personal na datos ay itinatago. Petisyon.com ay nagbibigay ng isang online na plataporma para sa paggawa at pagho-host ng mga petisyon, pinapadali ang iyong papel bilang Data Controller na may kalayaang bumuo ng koleksyon ng data ng petisyon at paggamit nito ayon sa iyong mga layunin at legal na obligasyon.
Saklaw ng Pagproseso
The Service Provider will process personal data solely based on the Data Controller's instructions and only as necessary to provide the Services, unless required to do so by Union or Member State law to which the Service Provider is subject. In such a case, the Service Provider will inform the Data Controller of that legal requirement before processing, unless that law prohibits it on important grounds of public interest. Ang saklaw ng mga aktibidad ng pagproseso ay limitado sa pagho-host, pamamahala, at pagpapadali ng mga online na petisyon.
As a Data Processor, the Service Provider does not erase signature data on its own initiative. Every erasure of signature data is carried out on the documented instructions of the Data Controller — whether given specifically or in advance through this Agreement.
The Data Controller's acceptance of this Agreement constitutes the Data Controller's documented instructions to the Service Provider, including the procedures for handling signatory erasure requests described below and any self-service tools the Service Provider makes available to signatories on the Data Controller's behalf.
Proteksyon ng Datos
Ang Tagapagbigay ng Serbisyo ay nangangako na magpatupad ng mga teknikal at organisasyonal na hakbang upang matiyak ang seguridad ng personal na datos laban sa hindi awtorisadong pag-access, pagkawala, o pagkasira.
Bawal na Pagkolekta ng Data
Ipinagbabawal na humingi ng mga personal identification number (gaya ng mga national ID number) mula sa mga lumagda.
Mga Sub-proseso
Maaaring kumuha ang Tagapagbigay ng Serbisyo ng mga subprocessor upang tumulong sa pagbibigay ng mga Serbisyo. Sisiguraduhin ng Tagapagbigay ng Serbisyo na ang mga subprocessor ay sumusunod sa mga obligasyon sa proteksyon ng datos na naaayon sa DPA na ito. Kinikilala at sinasang-ayunan mo na ang Tagapagbigay ng Serbisyo ay may kapangyarihang pumili at palitan ang mga subprocessor kung kinakailangan upang maibigay ng maayos ang mga Serbisyo.
Listahan ng mga subprocessor. (Huling Na-update: 2025-12-03)
Mga Pananagutan ng Tagapamahala ng Datos
Ang Data Controller ang responsable sa pagtiyak na ang pangongolekta, pagproseso, at paghawak ng personal na datos ay sumusunod sa lahat ng naaangkop na batas at regulasyon.
Pagkilala sa Tagapamahala ng Datos
Sa ilalim ng General Proteksyon ng Datos Regulation (GDPR), kinakailangan na malinaw na nakasaad ang pagkakakilanlan ng data controller. Ang mga sumusunod na probisyon ay ginawa para sa mga may-akda ng petisyon na gumagamit ng aming website:
Indibidwal na Mga May-Akda ng Petisyon
Kung ikaw, bilang isang indibidwal, ay lumilikha ng petisyon, kinakailangan mong ibigay ang iyong buong legal na pangalan. Ito ay nagsisilbing iyong pagkakakilanlan bilang tagapamahala ng datos para sa mga layunin ng GDPR.
Mga May-akda ng Organisasyonal na Petisyon
Kung ang isang petisyon ay nilikha para sa isang organisasyon, ang buong legal na pangalan ng organisasyon ay dapat ibigay. Bukod dito, ang organisasyon ay dapat magtalaga at magbigay ng mga detalye ng kontak ng isang kinatawan na responsable para sa mga aktibidad ng pagproseso ng datos, tulad ng isang Opisyal ng Proteksyon ng Datos (Proteksyon ng Datos Officer o DPO) o katulad.
Mga Karapatan ng Data Subject
Dapat tiyakin ng tagapagkontrol ng datos na ang mga paksa ng datos (mga lumagda sa petisyon) ay maaaring magamit ang kanilang mga karapatan sa ilalim ng GDPR, tulad ng karapatan sa pag-access, pagtuwid, o pagbura ng kanilang datos, o ang maghain ng reklamo sa isang awtoridad sa pangangasiwa.
Pagproseso ng Mga Kahilingan sa Pagtanggal ng Data ng Paksa mula sa mga Lumagda
The roles differ depending on the data in question. For personal data collected through petition signatures, the Service Provider acts as the Data Processor and the Petition Author acts as the Data Controller. For the Service Provider's own operational data — such as account information, technical logs, and contact-form messages — the Service Provider acts as an independent Data Controller.
Because the Service Provider acts only on the Data Controller's documented instructions, the procedure below constitutes the Data Controller's standing instruction for handling such requests, authorising the Service Provider to act without seeking separate approval for each request.
When a signatory asks the Service Provider to erase personal data connected to a signature, the Service Provider will, without undue delay, hide the signature from public view and make information about the erasure available to the Petition Author within the Services (for example, on a data-protection overview page and through an in-account indicator). The Service Provider is not required to send a separate email for each erasure. The Petition Author is given 14 days to review the request and to erase any copies of the signatory's personal data that they have downloaded, exported, printed, or otherwise stored outside the Services. The Petition Author may object to the erasure only where there is a lawful ground to continue processing the data (for example, the establishment, exercise, or defence of legal claims); a mere preference to retain the signature is not a valid ground. Any such objection must be made by contacting the Service Provider within that period, stating the lawful ground; the Service Provider does not provide an automatic means for the Petition Author to reverse an erasure. If the Petition Author does not object on such grounds within that period, the Service Provider will permanently delete the signature data from the active database. The Service Provider aims to complete the process within the one-month period required by the GDPR.
The Service Provider may also make available a self-service tool — such as a removal link in signature confirmation messages or on the petition page — allowing signatories to remove their own signature directly. Where such a tool is used, the Service Provider acts on the Data Controller's behalf under the documented instructions set out in this Agreement.
Personal data may persist in routine backups for a limited period after deletion from the active database. Such backups are not used for day-to-day processing and are overwritten on a rolling cycle, after which the data is permanently removed.
Maaaring maglaman ang mga teknikal na log ng personal na datos, gaya ng mga IP address o metadata ng paghahatid ng email. These logs are deleted within 30 days. Contact-form messages may be retained for up to 5 years for audit, security, and dispute-resolution purposes.
The Service Provider keeps a minimal record that an erasure was carried out (without retaining the erased personal data) in order to demonstrate compliance.
Handling Rectification Requests from Signatories
The right to rectification is handled on the same basis as erasure: as a Data Processor, the Service Provider does not alter signature data on its own initiative, but only on the Data Controller's documented instructions, including any self-service tool the Service Provider makes available to signatories on the Data Controller's behalf for correcting their own data.
Once a correction is made, the live signature list maintained within the Services reflects the corrected value. In accordance with the obligation to use up-to-date signature data, the Data Controller must rely only on a freshly retrieved copy and update or discard any outdated copies accordingly; the Service Provider is not required to disclose the previous (incorrect) value to the Data Controller.
The Service Provider may keep an internal record of the change (for example, the previous and new values, and the time of the change) for fraud prevention, security, and dispute-resolution purposes. This record is not made available to the Data Controller by default and is retained only for as long as necessary for those purposes.
Notifying Recipients
Where the Data Controller has disclosed signature data to any recipient (such as a decision-maker or other third party), the Data Controller is responsible, under Article 19 of the GDPR, for communicating any subsequent erasure or rectification of that data to each such recipient, unless this proves impossible or involves a disproportionate effort. The Service Provider's removal or correction of data within the Services does not discharge this obligation in respect of copies the Data Controller has shared outside the Services.
Pananagutan at Pagsunod
Ang data controller ay dapat na makapagpakita ng pagsunod sa GDPR, kasama na ang pagtugon sa mga kahilingan ng data subjects tungkol sa kanilang personal na datos.
Patakaran o Paunawa sa Privacy
Dapat magbigay ng malinaw at madaling ma-access na patakaran sa privacy o abiso, na naglalahad kung paano pinoproseso ang personal na data, ang mga layunin ng pagproseso, at kung paano maipapagamit ng mga data subject ang kanilang mga karapatan.
Abiso ng Mga Pagbabago
Ang mga may-akda ng petisyon ay kinakailangang ipaalam sa Petisyon.com (Petitions.com Group Oy) ang anumang pagbabago sa kanilang katayuan bilang isang data controller o sa mga detalye ng pakikipag-ugnayan ng kanilang kinatawan.
Taunang Pagsusuri ng Pagproseso ng Data
Ang Petition Author ay kinakailangang magsagawa ng taunang pagsusuri upang matukoy kung may makatwirang dahilan pa para sa patuloy na pagproseso ng personal data ng mga pumirma. Ang pagsusuring ito ay dapat tasahin ang pangangailangan at kaugnayan ng datos kaugnay sa layunin ng petisyon. Kung matukoy ng May-akda ng Petisyon na wala nang wastong dahilan upang ipagpatuloy ang pagproseso ng datos, dapat silang magpatupad ng angkop na hakbang upang itigil ang pagproseso at simulan ang pagbura ng datos alinsunod sa naaangkop na mga batas sa proteksyon ng datos.
Use of Up-to-Date Signature Data
Before the Data Controller discloses signature data to any third party (such as a decision-maker or other recipient of the petition), or otherwise processes the data outside the Services — including contacting signatories by email — the Data Controller must retrieve a fresh copy of the signature list from the Services and use only that current version. Signatories may exercise their right to erasure at any time, and only the live list maintained within the Services reflects such erasures. The Data Controller must not rely on previously downloaded, exported, or printed copies for these purposes, and must securely discard outdated copies.
Pagpapanatili at Pagbura ng Data
Kung ang Data Controller (ang may-akda ng petisyon) ay lumabag sa anumang mga tuntunin ng Kasunduan sa Pagproseso ng Datos (DPA), kabilang ngunit hindi limitado sa kabiguan sa pagsasagawa ng taunang pagsusuri ng mga gawain sa pagproseso ng datos o pagbibigay ng wastong katwiran para sa patuloy na pagproseso ng personal na datos ng mga lumagda, ang Tagapagbigay ng Serbisyo ay may karapatang tanggalin o alisin ang personal na datos na nauugnay sa kanilang petisyon.
Limitasyon ng Pananagutan
Sa anumang pagkakataon, ang kabuuang pananagutan ng tagaproseso ng datos sa tagakontrol ng datos para sa lahat ng pinsala, pagkalugi, at mga dahilan ng hakbang, maging sa ilalim ng kontrata, kapinsalaang dulot ng kapabayaan, o iba pa, ay hindi lalampas sa kabuuang halagang binayaran ng tagakontrol ng datos sa tagaproseso ng datos sa ilalim ng kasunduang ito.
Umiiral na batas
Ang Kasunduang ito ay pamamahalaan ng mga batas ng Finland.