Trợ giúp trực tuyến của ESET

Chọn danh mục
Chọn chủ đề

Thỏa thuận xử lý dữ liệu

Có hiệu lực kể từ ngày 29 tháng 9 năm 2023 | Xem phiên bản trước của Thỏa thuận xử lý dữ liệu | So sánh các thay đổi

Theo yêu cầu của Quy định (EU) 2016/679 của Nghị viện Châu Âu và của Hội đồng ngày 27 tháng 4 năm 2016 về Bảo vệ thể nhân liên quan đến việc xử lý dữ liệu cá nhân và về việc tự do di chuyển dữ liệu đó, bãi bỏ Chỉ thị 95/46/EC (sau đây gọi là "GDPR"), Nhà cung cấp (sau đây gọi là "Bên xử lý") và Bạn (sau đây gọi là "Bên kiểm soát") đang ký kết mối quan hệ hợp đồng xử lý dữ liệu để xác định các điều khoản và điều kiện để xử lý dữ liệu cá nhân, cách thức bảo vệ dữ liệu đó cũng như xác định các quyền và nghĩa vụ khác của cả hai bên trong việc xử lý dữ liệu cá nhân của chủ thể dữ liệu thay mặt cho Bên kiểm soát trong quá trình thực hiện nội dung chính của những Điều khoản này như là hợp đồng chính.

1. Xử lý dữ liệu cá nhân. Các dịch vụ được cung cấp tuân thủ những Điều khoản này bao gồm xử lý thông tin liên quan đến một thể nhân được xác định hoặc có thể định danh được nêu trong Chính sách quyền riêng tư (sau đây gọi là "Dữ liệu cá nhân").

2. Ủy quyền. Bên kiểm soát cho phép Bên xử lý xử lý Dữ liệu cá nhân, bao gồm các hướng dẫn sau:

(i) Mục đích xử lý có nghĩa là cung cấp dịch vụ tuân theo những Điều khoản này. Bên xử lý chỉ được phép xử lý Dữ liệu cá nhân thay mặt cho Bên kiểm soát liên quan đến việc cung cấp các dịch vụ theo yêu cầu của Bên kiểm soát. Tất cả thông tin được thu thập cho các mục đích bổ sung được xử lý bên ngoài mối quan hệ hợp đồng giữa Bên kiểm soát-Bên xử lý.

(ii) Thời gian xử lý có nghĩa là khoảng thời gian từ khi hợp tác theo những Điều khoản này đến khi chấm dứt dịch vụ,

(iii) Phạm vi và Các Danh mục của dữ liệu cá nhân. Dịch vụ chỉ dành cho việc xử lý dữ liệu cá nhân chung. Tuy nhiên, Bên kiểm soát hoàn toàn chịu trách nhiệm về việc xác định phạm vi dữ liệu cá nhân.

(iv) Chủ thể dữ liệu có nghĩa là một thể nhân với tư cách là người dùng được ủy quyền dùng các thiết bị của Bên kiểm soát,

(v) Hoạt động xử lý có nghĩa là mọi và tất cả các hoạt động cần thiết để xử lý,

(vi) Hướng dẫn bằng văn bản có nghĩa là các hướng dẫn được mô tả trong những Điều khoản này, Phụ lục điều khoản, Chính sách quyền riêng tư và tài liệu dịch vụ. Bên kiểm soát sẽ chịu trách nhiệm về sự chấp nhận hợp pháp cho việc xử lý Dữ liệu cá nhân của Bên xử lý liên quan đến các quy định hiện hành tương ứng của luật bảo vệ dữ liệu.

3. Nghĩa vụ của bên xử lý. Bên xử lý sẽ có nghĩa vụ:

(i) chỉ xử lý Dữ liệu cá nhân dựa trên Hướng dẫn bằng văn bản và nhằm mục đích được xác định trong Điều khoản, Phụ lục điều khoản, Chính sách quyền riêng tư và tài liệu dịch vụ,

(ii) hướng dẫn những người được ủy quyền xử lý Dữ liệu cá nhân (sau đây gọi là "Người được ủy quyền") về các quyền và nghĩa vụ của họ theo GDPR, về trách nhiệm pháp lý của họ trong trường hợp vi phạm và đảm bảo rằng Người được ủy quyền đã cam kết bảo mật và làm theo các Hướng dẫn bằng văn bản,

(iii) thực hiện và làm theo các biện pháp được mô tả trong Điều khoản, Phụ lục điều khoản, Chính sách quyền riêng tư và tài liệu dịch vụ,

(iv) hỗ trợ Bên kiểm soát phản hồi các yêu cầu của Chủ thể dữ liệu liên quan đến các quyền của họ. Bên xử lý không được sửa, xóa hoặc hạn chế việc xử lý Dữ liệu cá nhân mà không có hướng dẫn của Bên kiểm soát. Tất cả các yêu cầu của Chủ thể dữ liệu liên quan đến Dữ liệu cá nhân được xử lý thay mặt cho Bên kiểm soát sẽ được chuyển tiếp ngay đến Bên kiểm soát.

(v) hỗ trợ Bên kiểm soát thông báo về vi phạm dữ liệu cá nhân cho cơ quan giám sát và Chủ thể dữ liệu. Bên xử lý sẽ thông báo cho Bên kiểm soát về bất kỳ vi phạm nào về xử lý Dữ liệu cá nhân hoặc bảo mật dữ liệu cá nhân ngay sau khi phát hiện. Bên xử lý sẽ hợp tác ở mức độ hợp lý trong việc điều tra và khắc phục vi phạm đó và thực hiện các biện pháp hợp lý để hạn chế các tác động tiêu cực thêm nữa.

(vi) theo lựa chọn của Bên kiểm soát là xóa hoặc trả lại toàn bộ Dữ liệu cá nhân cho Bên kiểm soát sau khi kết thúc Thời gian xử lý. Bên kiểm soát cam kết thông báo cho Bên xử lý về quyết định của mình trong vòng mười (10) ngày sau khi kết thúc Thời gian xử lý. Quy định này sẽ không ảnh hưởng đến quyền của Bên xử lý được lưu giữ dữ liệu cá nhân trong phạm vi cần thiết nhằm mục đích lưu trữ vì lợi ích công cộng, cho mục đích nghiên cứu khoa học, mục đích thống kê hoặc cho mục đích thiết lập, thực hiện hoặc bảo vệ trước các khiếu nại pháp lý.

(vii) lưu giữ một sổ đăng ký mới nhất gồm tất cả danh mục của Hoạt động xử lý được thực hiện thay cho Bên kiểm soát,

(viii) cung cấp tất cả thông tin cần thiết để chứng minh sự tuân thủ như một phần của Điều khoản, Phụ lục điều khoản, Chính sách quyền riêng tư và tài liệu dịch vụ có sẵn cho Bên kiểm soát. Trong trường hợp kiểm tra hoặc kiểm soát việc xử lý Dữ liệu cá nhân ở phía Bên kiểm soát, Bên kiểm soát sẽ có nghĩa vụ thông báo cho Bên xử lý bằng văn bản ít nhất ba mươi (30) ngày trước khi kiểm tra hoặc kiểm soát theo kế hoạch.

4. Thuê bên xử lý khác. Bên xử lý có quyền thuê một bên xử lý khác để thực hiện các hoạt động xử lý cụ thể, như cung cấp cơ sở hạ tầng và lưu trữ đám mây cho dịch vụ tuân theo các Điều khoản, Phụ lục điều khoản, chính sách quyền riêng tư và tài liệu dịch vụ. Hiện tại, Microsoft cung cấp cơ sở hạ tầng và lưu trữ đám mây như một phần của Dịch vụ đám mây Azure. Trong trường hợp như vậy, Bên xử lý sẽ vẫn là đầu mối liên hệ duy nhất và là bên chịu trách nhiệm tuân thủ. Bên xử lý theo đây cam kết thông báo cho Bên kiểm soát về bất kỳ việc bổ sung hoặc thay thế một bên xử lý nào khác nhằm mục đích có thể phải phản đối thay đổi đó.

5. Lãnh thổ xử lý. Bên xử lý đảm bảo rằng quá trình xử lý diễn ra trong Khu vực Kinh tế Châu Âu hoặc một quốc gia được chỉ định là an toàn theo quyết định của Ủy ban Châu Âu dựa trên quyết định của Bên kiểm soát. Các điều khoản hợp đồng tiêu chuẩn sẽ được áp dụng trong trường hợp việc truyền và xử lý dữ liệu nằm ngoài Khu vực Kinh tế Châu Âu hoặc một quốc gia được chỉ định là an toàn theo quyết định của Ủy ban Châu Âu như yêu cầu của Bên kiểm soát.

6. Bảo mật. Bên xử lý có chứng nhận ISO 27001:2013 và sử dụng khung ISO 27001 để thực hiện chiến lược bảo mật phòng vệ phân lớp khi áp dụng các biện pháp kiểm soát bảo mật trên lớp mạng, hệ điều hành, cơ sở dữ liệu, ứng dụng, nhân sự và các quy trình vận hành. Việc tuân thủ các yêu cầu quy định và hợp đồng thường xuyên được đánh giá và xem xét tương tự như cơ sở hạ tầng và hoạt động khác của Bên xử lý và các bước cần thiết được thực hiện để tuân thủ liên tục. Bên xử lý đã tổ chức bảo mật dữ liệu bằng cách sử dụng ISMS dựa trên ISO 27001. Tài liệu bảo mật bao gồm chủ yếu là các tài liệu chính sách về bảo mật thông tin, bảo mật vật lý, bảo mật thiết bị, quản lý sự cố, xử lý rò rỉ dữ liệu và sự cố bảo mật, v.v.

7. Các biện pháp kỹ thuật và tổ chức. Bên xử lý dữ liệu sẽ bảo vệ Dữ liệu cá nhân tránh bị thiệt hại và phá hủy ngẫu nhiên và bất hợp pháp, mất mát ngẫu nhiên, thay đổi, truy cập và tiết lộ trái phép. Nhằm mục đích này, Bên xử lý dữ liệu sẽ áp dụng các biện pháp kỹ thuật và tổ chức thích hợp tương ứng với phương thức xử lý và rủi ro do xử lý quyền của Chủ thể dữ liệu tuân theo các yêu cầu của GDPR. Mô tả chi tiết về các biện pháp kỹ thuật và tổ chức được nêu trong Chính sách bảo mật.

8. Thông tin liên hệ của bên xử lý. Tất cả thông báo, yêu cầu, nhu cầu và thông tin truyền đạt khác liên quan đến bảo vệ dữ liệu cá nhân sẽ được gửi đến ESET, spol. s.r.o., người nhận: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.