រំលងទៅខ្លឹមសារ

ច្បាប់

គោលការណ៍ឯកជនភាព

ធ្វើបច្ចុប្បន្នភាពចុងក្រោយ 5 ឧសភា 2026

ធ្វើបច្ចុប្បន្នភាពចុងក្រោយ:  ·  អានក្នុងរយៈពេល 4 នាទី

01.

ទិដ្ឋភាពទូទៅ

FreeBillGen គឺជាសេវាកម្មវិក្កយបត្របង្ហោះឥតគិតថ្លៃនៅ freebillgen.com។ គោលការណ៍នេះពន្យល់ពីទិន្នន័យផ្ទាល់ខ្លួនដែលយើងប្រមូល ហេតុផល អ្នកផ្សេងណាដែលមើលឃើញ រយៈពេលដែលយើងរក្សាទុក និងសិទ្ធិដែលអ្នកមានក្រោមច្បាប់អឺរ៉ុប។

វាត្រូវបានសរសេរឡើងដើម្បីអនុលោមតាមមាត្រា 13 និង 14 នៃបទប្បញ្ញត្តិការពារទិន្នន័យទូទៅ (Regulation (EU) 2016/679, "GDPR") របស់សហភាពអឺរ៉ុប និងច្បាប់សាធារណរដ្ឋលីទុយអានីស្ដីពីការការពារផ្នែកច្បាប់នៃទិន្នន័យផ្ទាល់ខ្លួន។ ផ្នែកបន្ទាប់កំណត់អ្នកគ្រប់គ្រងទិន្នន័យ ហើយផ្នែកដែលនៅសល់នៃទំព័រនេះគ្របដណ្ដប់លើប្រធានបទនីមួយៗ។

02.

តើអ្នកគ្រប់គ្រងទិន្នន័យជានរណា

សេវាកម្មនេះដំណើរការដោយ MB Libranet ដែលជាភាពជាដៃគូតូចដែលមានទីស្នាក់ការនៅ Vilnius, Lithuania ហើយជាអ្នកគ្រប់គ្រងទិន្នន័យតែមួយក្រោមមាត្រា 4(7) GDPR។ សម្រាប់សំណួរអំពីឯកជនភាព សូមសរសេរទៅ [email protected]។ ព័ត៌មានលម្អិតអំពីអង្គភាពច្បាប់ទាំងអស់ រួមទាំងលេខចុះបញ្ជីនិង VAT នៅលើ ទំព័រព័ត៌មានក្រុមហ៊ុន

យើងមិនបានតែងតាំងមន្ត្រីការពារទិន្នន័យ (DPO) ពីព្រោះការដំណើរការរបស់យើងមិនបំពេញលក្ខណៈវិនិច្ឆ័យតាមមាត្រា 37 ទេ។ អ្នកទទួលខុសត្រូវលើការការពារទិន្នន័យអាចទំនាក់ទំនងបានតាមអ៊ីម៉ែលខាងលើ។

03.

ទិន្នន័យដែលយើងដំណើរការ

យើងដំណើរការប្រភេទទិន្នន័យផ្ទាល់ខ្លួនដែលមានកំណត់ខាងក្រោម ដោយផ្អែកលើមូលដ្ឋានច្បាប់ដែលបានរាយបញ្ជី៖

  • ទិន្នន័យគណនី. ឈ្មោះ អ៊ីម៉ែល និងពាក្យសម្ងាត់ដែលបានហ៊ែស (bcrypt) (ឬ passkey public key)។ មូលដ្ឋានច្បាប់: ការអនុវត្តកិច្ចសន្យា - Art. 6(1)(b) GDPR។
  • ទិន្នន័យវិក្កយបត្រ និងអតិថិជនដែលអ្នកបង្កើត. តែទិន្នន័យដែលអ្នកជ្រើសរើសបញ្ចូល៖ ឈ្មោះអតិថិជន អាសយដ្ឋាន លេខ VAT ធាតុបន្ទាត់ ចំនួនទឹកប្រាក់សរុប ស្ថានភាពការទូទាត់។ មូលដ្ឋានច្បាប់: ការអនុវត្តកិច្ចសន្យា - Art. 6(1)(b) GDPR។
  • Cookies វគ្គ (session) និងសុវត្ថិភាព. Cookie វគ្គដែលបានចុះហត្ថលេខា និង Cookie ប្រឆាំងការក្លែងបន្លំ (CSRF token) ដែលប្រើដើម្បីរក្សាការចូលប្រើប្រាស់ និងទប់ស្កាត់សំណើក្លែងបន្លំ។ មូលដ្ឋានច្បាប់: ចាំបាច់យ៉ាងតឹងរ៉ឹង - Art. 6(1)(f) ផលប្រយោជន៍ស្របច្បាប់។
  • កំណត់ហេតុម៉ាស៊ីនមេ. អាសយដ្ឋាន IP, user-agent, និងទិន្នន័យបន្ថែមនៃសំណើ ដែលរក្សាទុករយៈពេលខ្លីដើម្បីការពារការប្រើប្រាស់ខុស និងការស្វែងរកបញ្ហា។ មូលដ្ឋានច្បាប់: ផលប្រយោជន៍ស្របច្បាប់ - Art. 6(1)(f) GDPR។
  • កំណត់ហេតុត្រួតពិនិត្យ VIES. នៅពេលអ្នកផ្ទៀងផ្ទាត់លេខ VAT របស់អ្នកទិញ EU យើងរក្សាទុកលេខសម្គាល់សំណើ ប្រទេស និងលេខដែលបានស្វែងរក និងការឆ្លើយតប ជាភស្ដុតាងក្រោមមាត្រា 31 នៃបទប្បញ្ញត្តិ (EU) 904/2010 របស់ក្រុមប្រឹក្សា។ មូលដ្ឋានច្បាប់: កាតព្វកិច្ចច្បាប់ - Art. 6(1)(c) GDPR។

ទិន្នន័យខ្លះក្នុងចំណោមនេះមិនមែនជារបស់អ្នកទេ ប៉ុន្តែជារបស់អតិថិជនវិក្កយបត្ររបស់អ្នក (Art. 14 GDPR)។ ប្រភពគឺអ្នក - យើងទទួលបានវាតែពីព្រោះអ្នកបញ្ចូលវាទៅក្នុងវិក្កយបត្ររបស់អ្នក។ យើងដំណើរការវាលើមូលដ្ឋានច្បាប់នៃកិច្ចសន្យារបស់យើងជាមួយអ្នក និងផលប្រយោជន៍ស្របច្បាប់របស់អ្នកជាម្ចាស់អាជីវកម្មក្នុងការរក្សាកំណត់ត្រាវិក្កយបត្រអនុលោមតាមពន្ធ។

យើងមិនលក់ទិន្នន័យរបស់អ្នកឡើយ។ យើងមិនចែករំលែកវាជាមួយអ្នកផ្សាយពាណិជ្ជកម្ម អ្នកជាវ ឬបណ្តាញវិភាគ ហើយយើងមិនដំណើរការការតាមដាន ការបង្ហាញ ឬការកំណត់គោលដៅតាមអាកប្បកិរិយាណាមួយឡើយ។

04.

អ្នកដំណើរការទិន្នន័យរង

យើងពឹងផ្អែកលើបណ្ដាញ sub-processor តូចតាចដោយចេតនា។ គ្មានអ្នកណាក្នុងចំណោមពួកគេជាបណ្តាញផ្សាយពាណិជ្ជកម្ម ឬវិភាគ។ គ្រប់ sub-processor ត្រូវបានចងដោយ Data Processing Addendum និងដំណើរការតែទិន្នន័យអប្បបរិមាដែលត្រូវការសម្រាប់មុខងាររបស់ខ្លួន។

SMTP2GO (អ៊ីម៉ែលប្រតិបត្តិការ)

នៅពេលអ្នកផ្ញើវិក្កយបត្រតាមអ៊ីម៉ែល ឬទទួលការជូនដំណឹងពីប្រព័ន្ធ សារត្រូវបានផ្ញើតាម SMTP2GO តាមរយៈតំបន់ EU របស់ខ្លួន (mail-eu.smtp2go.com)។ ទិន្នន័យដែលបានចែករំលែក៖ អ្នកផ្ញើ អាសយដ្ឋានអ្នកទទួល ប្រធានបទ មាតិកា និង PDF ភ្ជាប់ណាមួយ។ SMTP2GO Inc. ត្រូវបានបង្កើតឡើងនៅញូហ្ស៊ីឡង់ ជាមួយហេដ្ឋារចនាសម្ព័ន្ធ EU ហើយការផ្ទេរត្រូវបានគ្របដណ្ដប់ដោយ Standard Contractual Clauses។

Cloudflare Turnstile (ការការពារ bot)

ទម្រង់ /login និង /register បង្ហាញ Cloudflare Turnstile challenge ដើម្បីទប់ស្កាត់ការប្រើប្រាស់ស្វ័យប្រវត្តិ។ widget ផ្ទុកពី challenges.cloudflare.com ហើយផ្លាស់ប្ដូរ token មួយអាន token ជាមួយ Cloudflare siteverify endpoint។ ទិន្នន័យដែលបានចែករំលែក៖ អាសយដ្ឋាន IP, user-agent, និង challenge token ប្រើតែម្ដង។ Turnstile មិនកំណត់ cookies តាមដាន ហើយមិនប្រើសម្រាប់ការផ្សាយពាណិជ្ជកម្ម។ Cloudflare, Inc. ស្ថិតនៅសហរដ្ឋអាមេរិក ហើយការផ្ទេរត្រូវបានគ្របដណ្ដប់ដោយ EU-US Data Privacy Framework និង Standard Contractual Clauses។

bunny.net (CDN ពុម្ពអក្សរ)

គេហទំព័រផ្ទុកពុម្ពអក្សរបណ្ដាញពីរពី fonts.bunny.net ដែលជា CDN ពុម្ពអក្សរដែលគោរពឯកជនភាព ដំណើរការដោយ BunnyWay d.o.o. (Slovenia, EU)។ ទិន្នន័យដែលបានចែករំលែក៖ អាសយដ្ឋាន IP និង user-agent ក្នុងអំឡុងពេលនៃការស្នើពុម្ពអក្សរ។ សូមមើល សេចក្ដីថ្លែងការណ៍ឯកជនភាព របស់ពួកគេ។

VIES របស់គណៈកម្មការអឺរ៉ុប (ការផ្ទៀងផ្ទាត់ VAT)

នៅពេលអ្នកផ្ទៀងផ្ទាត់លេខ VAT របស់អ្នកទិញ លេខកូដប្រទេស និងលេខ VAT ដែលអ្នកបញ្ចូលត្រូវបានផ្ញើទៅ VAT Information Exchange System (VIES) របស់គណៈកម្មការអឺរ៉ុបនៅ ec.europa.eu។ អ្នកទទួលជាស្ថាប័ន EU ហើយការដំណើរការត្រូវបានគ្រប់គ្រងដោយបទប្បញ្ញត្តិ (EU) 2018/1725។

ការបង្ហោះ និងការបង្ហាញ PDF (ក្នុងស្ថាប័ន)

កម្មវិធីដំណើរការនៅលើហេដ្ឋារចនាសម្ព័ន្ធឧទ្ទិសសម្រាប់នៅក្នុងសហភាពអឺរ៉ុប។ PDF វិក្កយបត្រត្រូវបានបង្ហាញក្នុងស្ថាប័នដោយប្រើ mPDF នៅលើម៉ាស៊ីនមេផ្ទាល់ខ្លួនរបស់យើង។ គ្មាន PDF-as-a-service ភាគីទីបី ឬ hosting reseller ណាមួយត្រូវបានចូលរួមឡើយ។

គ្មានសេវាកម្ម Google។ គ្មាន Meta ឬ Facebook pixel។ គ្មាន analytics SDK។ គ្មានសេវាកម្មរាយការណ៍កំហុសភាគីទីបី។

05.

ខូឃីស (Cookies)

យើងកំណត់តែ cookies ចាំបាច់យ៉ាងតឹងរ៉ឹងប៉ុណ្ណោះ។ ក្រោមមាត្រា 5(3) នៃបទបញ្ជា ePrivacy (2002/58/EC) cookies ចាំបាច់យ៉ាងតឹងរ៉ឹងមិនត្រូវការការយល់ព្រម ដែលជាមូលហេតុដែលអ្នកនឹងមិនឃើញបដា cookie ។

ខូឃីវគ្គ (Session cookie)

រក្សាអ្នកឱ្យបានចូល និងចងចាំភាសាប្រើប្រាស់ដែលអ្នកបានជ្រើសសម្រាប់វគ្គ។ ផុតកំណត់នៅពេលអ្នកចាកចេញ ឬ lifetime វគ្គត្រូវបានបញ្ចប់។

HTTP-only · Secure · SameSite=Lax
Cookie token ប្រឆាំងការក្លែងបន្លំ (XSRF-TOKEN)

ផ្ទុក token ប្រឆាំងការក្លែងបន្លំក្នុងមួយវគ្គ ដែលប្រើដើម្បីផ្ទៀងផ្ទាត់ថាសំណើដែលផ្លាស់ប្ដូរស្ថានភាពមកពីគេហទំព័រនេះ។ ត្រូវការដោយ framework សម្រាប់ការសំណើណាមួយខណៈពេលចូល។

Secure · SameSite=Lax

គ្មាន analytics cookies។ គ្មាន advertising cookies។ គ្មាន cookies ភាគីទីបីត្រូវបានកំណត់ដោយយើង។ Cloudflare Turnstile challenge ដែលបានពណ៌នានៅផ្នែក 04 អាចកំណត់ cookie មួយដែលមានពេលខ្លីដោយខ្លួនឯង ដែលដាក់ព្រំដែននៅ challenges.cloudflare.com ហើយ cookie នោះចាំបាច់យ៉ាងតឹងរ៉ឹងសម្រាប់ bot-protection challenge ហើយមិនប្រើសម្រាប់ការតាមដានឡើយ។

06.

ការរក្សាទុកទិន្នន័យ

ទិន្នន័យគណនី និងវិក្កយបត្រត្រូវបានរក្សាទុកក្នុងអំឡុងពេលគណនីរបស់អ្នកសកម្ម។ នៅពេលលុបគណនី ទិន្នន័យផ្ទាល់ខ្លួនស្តង់ដារទាំងអស់ត្រូវបានដកចេញក្នុងរយៈពេល 30 ថ្ងៃ លើកលែងករណីដែលច្បាប់គណនេយ្យលីទុយអានី (ដែលកំណត់រយៈពេលរក្សាទុក 10 ឆ្នាំសម្រាប់កំណត់ត្រាវិក្កយបត្រ) តម្រូវឱ្យយើងរក្សាឯកសារជាក់លាក់ឱ្យបន្ថែម ហើយក្នុងករណីនោះ កំណត់ត្រាទាំងនោះត្រូវបានផ្លាស់ទៅប័ណ្ណសារមានការចូលប្រើប្រាស់ ហើយរក្សាទុកតែដរាបណាបំណងច្បាប់ត្រូវការ។

Server logs ត្រូវបានរក្សាទុករហូតដល់ 30 ថ្ងៃ លើកលែងករណីដែលត្រូវការយូរជាងនេះសម្រាប់ការស៊ើបអង្កេតសុវត្ថិភាពសកម្ម។ ជួរ VIES audit-log ត្រូវបានរក្សាទុកយ៉ាងហោចណាស់ 10 ឆ្នាំ ដើម្បីបំពេញតម្រូវការភស្ដុតាងនៃបទប្បញ្ញត្តិ (EU) 904/2010 របស់ក្រុមប្រឹក្សា។

07.

សិទ្ធិក្រោម GDPR

ក្រោម GDPR អ្នកមានសិទ្ធិ៖ ចូលប្រើ (Art. 15) ការកែប្រែ (Art. 16) ការលុប (Art. 17) ការដាក់កំណត់ការដំណើរការ (Art. 18) ការចល័តទិន្នន័យ (Art. 20) និងការជំទាស់ (Art. 21)។ នៅពេលការដំណើរការផ្អែកលើការយល់ព្រម អ្នកអាចដកចេញបានគ្រប់ពេល (Art. 7(3))។

អ្នកក៏មានសិទ្ធិក្រោមមាត្រា 77 GDPR ដើម្បីដាក់ពាក្យបណ្ដឹងទៅអាជ្ញាធរត្រួតពិនិត្យ - ជាធម្មតាអ្នកដែលស្ថិតនៅប្រទេស EU/EEA ដែលអ្នករស់នៅ ធ្វើការ ឬកន្លែងដែលការរំលោភអ្នកចោទប្រកាន់ បានកើតឡើង។ ដោយសារតែប្រតិបត្តករត្រូវបានបង្កើតឡើងនៅលីទុយអានី អាជ្ញាធរទស្សនៈគឺ State Data Protection Inspectorate (State Data Protection Inspectorate of Lithuania, VDAI)។

សម្រាប់មគ្គុទ្ទេសក៍ជាជំហានៗ ស្ដីពីរបៀបប្រើប្រាស់សិទ្ធិនីមួយៗ រួមទាំងកាលបរិច្ឆេទ និងអ្វីដែលត្រូវដាក់ក្នុងការស្នើ សូមមើល ទំព័រសិទ្ធិ GDPR ដែលបានចង់ក្ដំ។

08.

ការសម្រេចចិត្តស្វ័យប្រវត្តិ

FreeBillGen មិនប្រើការសម្រេចចិត្តដោយស្វ័យប្រវត្តិ ឬការបង្ហាញតាមន័យនៃមាត្រា 22 GDPR ឡើយ។ គ្មានការសម្រេចចិត្តណាដែលផ្តើមមានផលប៉ះពាល់ផ្នែកច្បាប់ ឬផ្នែកសំខាន់ស្រដៀងគ្នាលើអ្នក ត្រូវបានធ្វើតែដោយស្វ័យប្រវត្តិ។ យើងមិនវាយតម្លៃ ចាត់ថ្នាក់ ឬបង្ហាញអ្នកប្រើប្រាស់សម្រាប់ការផ្សាយពាណិជ្ជកម្ម ឥណទាន ការក្លែងបន្លំ ឬគោលបំណងផ្សេងទៀតឡើយ។

09.

សុវត្ថិភាព

វិធានការបច្ចេកទេស និងអង្គភាព (Art. 32 GDPR)៖

  • ពាក្យសម្ងាត់ត្រូវបានរក្សាទុកជា bcrypt hashes ហើយ passkeys (WebAuthn) ក៏ត្រូវបានគាំទ្រ។
  • 2FA ដោយផ្អែកលើពេលវេលា (TOTP) ជាជម្រើស តាមរយៈ authenticator app ណាមួយដែលអាចប្រើបាន។
  • CSRF tokens លើគ្រប់សំណើដែលផ្លាស់ប្ដូរស្ថានភាព។
  • Parameterised queries ពាសវ័ន្ត - គ្មាន SQL ដែលភ្ជាប់ string។
  • HTTPS/TLS ក្នុងអំឡុងការផ្ទេរ ហើយ HTTP Strict Transport Security ត្រូវបានបើក។
  • Content Security Policy និង header ពង្រឹងផ្សេងទៀត។
  • Audit log លំដាប់កម្មវិធី សម្រាប់សកម្មភាពដែលប៉ះពាល់ដល់សុវត្ថិភាព។
  • ការបម្រុងទុកទិន្នន័យដែលបានអ៊ិនគ្រីប ជាមួយការចូលប្រើប្រាស់ដែលមានការដាក់កំណត់។
10.

ការផ្ទេរអន្តរជាតិ

ទិន្នន័យផ្ទាល់ខ្លួនត្រូវបានដំណើរការនៅក្នុងសហភាពអឺរ៉ុបតាមលំនាំដើម។ sub-processor ពីរក្នុងចំណោមអ្នកដែលបានរៀបរាប់នៅផ្នែក 04 អាចពាក់ព័ន្ធនឹងការផ្ទេរទៅប្រទេសទីបី៖

  • Cloudflare Turnstile - ការផ្ទេរទៅសហរដ្ឋអាមេរិក ត្រូវបានគ្របដណ្ដប់ដោយ EU-US Data Privacy Framework និង Standard Contractual Clauses របស់គណៈកម្មការអឺរ៉ុប។
  • SMTP2GO - ក្រុមហ៊ុនប្រតិបត្តិការត្រូវបានបង្កើតឡើងនៅញូហ្ស៊ីឡង់ (ប្រទេសមួយដែលទទួលបានការសម្រេចចិត្តសក្ដានុពលពីគណៈកម្មការអឺរ៉ុប) ហើយប្រើហេដ្ឋារចនាសម្ព័ន្ធ EU-region សម្រាប់ការចែកចាយ។ ករណីដែលការផ្ទេរកើតឡើង ត្រូវបានគ្របដណ្ដប់ដោយ Standard Contractual Clauses។

គ្មានការផ្ទេរផ្សេងទៀតទៅប្រទេសទីបី។ ប្រសិនបើការនេះផ្លាស់ប្ដូរ យើងនឹងពឹងផ្អែកលើយន្តការផ្ទេរ GDPR Chapter V ដែលសមស្រប ហើយធ្វើបច្ចុប្បន្នភាពគោលការណ៍នេះមុនការផ្ទេរថ្មីចាប់ផ្ដើម។

11.

កុមារ

FreeBillGen គឺជាឧបករណ៍ អាជីវកម្ម ហើយមិនត្រូវបានតម្រង់ទៅរកកុមារដែលអាយុក្រោម 16 ឆ្នាំ។ យើងមិនប្រមូលទិន្នន័យផ្ទាល់ខ្លួនពីកុមារដោយចេតនាឡើយ។

12.

ការផ្លាស់ប្ដូរគោលការណ៍នេះ

ប្រសិនបើយើងធ្វើការផ្លាស់ប្ដូរសំខាន់ យើងនឹងបោះផ្សាយអត្ថបទបច្ចុប្បន្នភាពនៅលើទំព័រនេះជាមួយកាលបរិច្ឆេទ "ធ្វើបច្ចុប្បន្នភាពចុងក្រោយ" ថ្មី ហើយជូនដំណឹងដល់គណនីសកម្មតាមអ៊ីម៉ែល។ កំណែបច្ចុប្បន្នត្រូវបានកំណត់ដោយកាលបរិច្ឆេទនៅលើ top ទំព័រ។

13.

ទំនាក់ទំនង

សំណួរអំពីឯកជនភាព និងសំណើសិទ្ធិ៖ [email protected]។ អាសយដ្ឋានប្រៃសណីយ៍ និងព័ត៌មានលម្អិតអំពីអង្គភាពច្បាប់ពេញលេញ នៅលើ ទំព័រព័ត៌មានក្រុមហ៊ុន