PHỤ LỤC VỀ BẢO VỆ DỮ LIỆU VÀ GIAO THỨC DỮ LIỆU
Tham chiếu đến Hợp đồng số […], ngày […] (“Hợp đồng”)
Ngày hiệu lực của Phụ Lục: […] , được ký kết bởi:
1. Công ty Cổ Phần Công Nghệ Corp360 công ty được thành lập tại Việt Nam, có văn phòng đặt tại Tòa nhà 35 Điện Biên Phủ – Hà Nội
2. [Nhà cung cấp], công ty được thành lập tại […], có văn phòng đặt tại […] (“Nhà Cung Cấp”).
XÉT RẰNG:
1. Các bên mong muốn điều chỉnh một số nội dung cho phù hợp với Quy Định Bảo Vệ Dữ Liệu Chung (QĐBVDLC).
DO ĐÓ, CÁC BÊN ĐỒNG Ý với các điều khoản sau:
- 1. ĐỊNH NGHĨA
- Trong Phụ Lục này, các thuật ngữ dưới đây sẽ mang ý nghĩa được chỉ định tương ứng:
| “Phụ Lục” | Bao gồm Phụ Lục này và các tài liệu kèm theo; |
| “Dữ Liệu Khách Hàng” | nghĩa là các dữ liệu được Khách Hàng cung cấp cho CORP360, bao gồm cả dữ liệu cá nhân; |
| “Pháp Luật Bảo Vệ Dữ Liệu” | nghĩa là là Luật Bảo Vệ Dữ Liệu năm 2018, Quy Định Bảo Vệ Dữ Liệu Chung, Các Quy Định về Quyền Riêng Tư và Thông Tin Liên Lạc Điện Tử (Chỉ Thị EC) năm 2003, cũng như mọi quy định của pháp luật hiện hành liên quan đến việc xử lý dữ liệu cá nhân, quyền riêng tư, bảo vệ dữ liệu cá nhân trong thông tin liên lạc điện tử, và tiếp thị trực tiếp, bao gồm bất kỳ luật hay quy định hiện hành nào được thay thế, kế thừa và thi hành tương ứng tại Anh Quốc; |
| “Giao Thức Dữ Liệu” | nghĩa là một giao thức quy định các loại dữ liệu cá nhân có thể được xử lý bởi CORP360 khi thực hiện các Dịch Vụ, đối tượng và thời hạn của việc xử lý theo quy định tại Hợp đồng, và bất kỳ giao thức dữ liệu bổ sung nào được thống nhất và ký kết bằng văn bản bởi các bên; và |
| “GDPR” | nghĩa là Quy Định 2016/679 của Nghị Viện và Hội Đồng Châu Âu ngày 27/04/2016 về bảo vệ con người liên quan đến việc xử lý dữ liệu cá nhân và sự luân chuyển tự do của các dữ liệu đó (Quy định bảo vệ dữ liệu chung). |
- Trong Phụ Lục này, các thuật ngữ dữ liệu cá nhân, đơn vị kiểm soát dữ liệu, đơn vị kiểm soát, đơn vị xử lý dữ liệu, đơn vị xử lý, quy trình, đối tượng dữ liệu, đánh giá tác động bảo vệ dữ liệu và vi phạm dữ liệu cá nhân sẽ có ý nghĩa tương ứng quy định tại Pháp Luật Bảo Vệ Dữ Liệu . Việc tham chiếu đến thuật ngữ “dữ liệu cá nhân” sẽ chỉ giới hạn cho những dữ liệu cá nhân do Khách Hàng cung cấp cho CORP360.
- Nếu có bất kỳ thuật ngữ nào khác mà chưa được nêu ra trong Phụ Lục này, thì chúng sẽ mang ý nghĩa như đã được đề cập trong Hợp Đồng.
- Các tham chiếu đến Hợp Đồng sẽ bao gồm những nội dung được bổ sung hay sửa đổi trong Phụ Lục này.
- CÁC PHỤ LỤC
PHỤ LỤC 1
Bảo vệ dữ liệu
1. CORP360 là đơn vị xử lý dữ liệu và xử lý dữ liệu thay cho Khách Hàng của CORP360, vì vậy Nhà Cung Cấp của CORP360 sẽ được xem là đơn vị xử lý dữ liệu phụ.
2. CORP360 sẽ đảm bảo có được sự chấp thuận của Khách Hàng và cho phép Nhà Cung Cấp được tiếp cận dữ liệu Khách Hàng sao cho Nhà Cung Cấp có thể xử lý hợp pháp bất kỳ dữ liệu cá nhân nào theo Hợp Đồng như được sửa đổi tại Phụ Lục này (hoặc theo văn bản chỉ thị khác từ CORP360 hay từ Khách Hàng của CORP360) thay mặt cho Khách Hàng của CORP360.`
3. Nhà Cung Cấp sẽ chỉ xử lý dữ liệu của CORP360 hay dữ liệu Khách Hàng của CORP360 như mô tả, và cho mục đích nêu tại Giao Thức Dữ Liệu.
4. Nhà Cung Cấp sẽ không xử lý bất kỳ dữ liệu của CORP360 hay Dữ Liệu Khách Hàng của CORP360 nào thay mặt cho CORP360 hay Khách Hàng của CORP360 cho bất kỳ mục đích nào khác, cũng không xử lý bất kỳ dữ liệu cá nhân nào thay mặt cho Khách Hàng, khi chưa có sự đồng ý bằng văn bản trước của CORP360 hay Khách Hàng của CORP360. Nếu Nhà Cung Cấp yêu cầu quyền truy cập hay xác định nhu cầu xử lý, bất kỳ dữ liệu cá nhân nào khác nhằm cung cấp các Dịch Vụ thì phải thông báo cho CORP360 biết, đồng thời việc xử lý đó sẽ tuân theo Giao Thức Dữ Liệu (được cập nhật hay sửa đổi nhằm xác định việc xử lý bổ sung).
5. Liên quan đến bất kỳ dữ liệu cá nhân nào được xử lý bởi Nhà Cung Cấp và/hoặc được truy cập bởi Nhà Cung Cấp khi cung cấp các Dịch Vụ, Nhà Cung Cấp sẽ:
5.1 thi hành các biện pháp kỹ thuật và tổ chức phù hợp nhằm đảm bảo mức an ninh tương đương khi xử lý hoặc khi chiếm hữu hay kiểm soát, bao gồm cả việc phòng chống các hành vi xử lý trái phép hay phi pháp, mất mát, hủy hoại hay thiệt hại bất ngờ, và một cấp độ an ninh phù hợp cho các rủi ro tiềm ẩn cho an ninh của dữ liệu khi xử lý dữ liệu đó; cũng như có tính toán đến việc bảo vệ dữ liệu theo các nguyên tắc thiết kế và mặc định tại QĐBVDLC ;
5.2 hỗ trợ CORP360 và Khách Hàng của CORP360 đảm bảo tính tuân thủ theo các nghĩa vụ được quy định tại Điều 32 đến 36 của QĐBVDLC, có tính toán đến bản chất xử lý và thông tin khả dụng cho Nhà Cung Cấp;
5.3 thường xuyên đánh giá và cập nhật các biện pháp kỹ thuật và tổ chức theo quy định tại khoản 5.1 nêu trên nhằm chứng minh với CORP360 và Khách Hàng của CORP360 rằng việc xử lý dữ liệu Khách Hàng của CORP360 được thực hiện theo Pháp Luật Bảo Vệ Dữ Liệu;
5.4 không chuyển nhượng bất kỳ dữ liệu cá nhân nào đến bất kỳ quốc gia nào ngoài Khu vực kinh tế Châu Âu (EEA) khi chưa có văn bản chấp thuận trước từ CORP360 và Khách Hàng của CORP360 (vốn có thể bị từ chối theo ý chí quyết định của CORP360 hoặc Khách Hàng của CORP360), tuân theo việc tuân thủ được quy định tại khoản 8 bên dưới và với điều kiện rằng việc chuyển nhượng luôn tuân thủ Pháp Luật Bảo Vệ Dữ Liệu;
5.5 cung cấp cho CORP360 và Khách Hàng của CORP360 mọi thông tin, bao gồm các tài liệu chi tiết về hoạt động xử lý dữ liệu, theo yêu cầu bởi CORP360 và Khách Hàng của CORP360 nhằm chứng minh sự tuân thủ của Nhà Cung Cấp theo Pháp Luật Bảo Vệ Dữ Liệu và các điều khoản của Hợp đồng, đồng thời cho phép CORP360 và Khách Hàng của CORP360, người đại diện của CORP360 và Khách Hàng của CORP360, các cơ quan nhà nước hữu quan vào bất kỳ lúc nào được quyền kiểm toán và thanh tra các cơ sở thiết bị, quy trình và tài liệu liên quan đến việc xử lý dữ liệu của CORP360 và Khách Hàng của CORP360 đối với các hạn chế và thủ tục an ninh phù hợp của Nhà cung cấp; và
5.6 sẽ đảm bảo rằng quyền truy cập vào dữ liệu của CORP360 và Khách Hàng của CORP360 bị giới hạn cho những nhân viên chính thức và nhân viên hợp đồng của Nhà Cung Cấp cần truy cập vào dữ liệu của CORP360 và Khách Hàng của CORP360 nhằm hỗ trợ Nhà Cung Cấp trong quá trình thực thi Hợp đồng, và mỗi nhân viên chính thức và nhân viên hợp đồng của Nhà Cung Cấp đều có nghĩa vụ tuân thủ bảo mật liên quan đến dữ liệu của CORP360 và Khách Hàng của CORP360 và tham gia khóa đào tạo phù hợp và cập nhật về bảo vệ dữ liệu, và Nhà Cung Cấp sẽ đảm bảo rằng việc truy cập bị thu hồi kịp thời không trễ hơn thời gian yêu cầu và sẽ đảm bảo những nhân viên chính thức và nhân viên hợp đồng đó tuân thủ theo Pháp Luật Bảo Vệ Dữ Liệu trong phạm vi áp dụng tương ứng.
6. Các bên công nhận rằng:
6.1 Nhà Cung Cấp sẽ chỉ thi hành các biện pháp được kỳ vọng của một đơn vị kinh doanh thông thường mà không tham chiếu các yêu cầu vận hành cụ thể của CORP360 và Khách Hàng của CORP360;
6.2 Không có nội dung nào trong Phụ Lục này yêu cầu Nhà Cung Cấp phải thay đổi Dịch Vụ nhằm đáp ứng bất kỳ yêu cầu vận hành thay đổi nào áp đặt hay yêu cầu bởi QĐBVDLC, bao gồm nhưng không giới hạn việc đáp ứng các quyền riêng tư vốn có và quyền được lãng quên trừ khi và trong phạm vi được thống nhất giữa các bên;
6.3 CORP360 và Khách Hàng của CORP360 đã có cơ hội đánh giá các biện pháp được đề xuất;
6.4 Trách nhiệm của Nhà Cung Cấp nhằm khôi phục hay khắc phục bất kỳ dữ liệu nào của CORP360 và Khách Hàng của CORP360 bị giới hạn trong các nghĩa vụ sao lưu và khôi phục dữ liệu mà các bên đã nhất trí, không xét đến đó có phải bản sao lưu gần nhất hay không;
6.5 Nhà Cung Cấp chịu trách nhiệm đào tạo và giám sát các nhân sự, đại lý của mình trong việc cung cấp các Dịch Vụ bao gồm việc thực hiện các biện pháp phù hợp chống lại các thông lệ không an toàn;
6.6 Bất kỳ biện pháp nào được thực hiện nhằm mục đích bảo vệ chỉ tính đến những nguy cơ an ninh được hiểu và chấp thuận là thông thường nhất; và
6.7 Các biện pháp an ninh được Nhà Cung Cấp áp dụng có thể cần phải thay đổi hoặc nâng cấp tùy trường hợp, vốn có thể phát sinh thêm chi phí của bên thứ ba, các chi phí thực hiện, thuộc trách nhiệm hoàn toàn của Nhà Cung Cấp theo thỏa thuận của Hợp đồng.
7. Nhà Cung Cấp sẽ lập tức và trong mọi trường hợp, trong vòng 24 giờ khi biết được, thông báo cho CORP360 nếu biết được bất kỳ hành vi vi phạm hay vi phạm tiềm ẩn nào đối với Phụ lục 1 này, hoặc nếu có lý do khác để xem xét rằng có xảy ra hành vi xâm phạm dữ liệu cá nhân thì sẽ cung cấp cho CORP360 và Khách Hàng của CORP360 mọi chi tiết về hành vi vi phạm đó theo yêu cầu của CORP360 và Khách Hàng của CORP360, đồng thời hợp tác toàn diện với CORP360 và Khách Hàng của CORP360 liên quan đến bất kỳ vi phạm hay vi phạm tiềm ẩn nào, cũng như mọi biện pháp được thực hiện để phản ứng lại, bao gồm những hỗ trợ mà CORP360 và Khách Hàng của CORP360 có thể yêu cầu nhằm cho phép họ thông báo cho một cơ quan có thẩm quyền hay cơ quan phụ trách vi phạm dữ liệu cá nhân, thi hành đánh giá tác động bảo vệ dữ liệu hoặc tham vấn cơ quan có thẩm quyền liên quan đến việc xử lý dữ liệu cá nhân. CORP360 và Khách Hàng của CORP360 cũng sẽ thông báo cho Nhà Cung Cấp nếu biết được Nhà Cung Cấp có bất kỳ hành vi vi phạm hay vi phạm tiềm ẩn đối với Phụ lục 1 này.
8. Liên quan đến bất kỳ việc truyền dữ liệu CORP360 và Khách Hàng của CORP360 ra ngoài Khu vực kinh tế Châu Âu (EEA) đến một quốc gia khi chưa có quyết định thỏa đáng bởi Ủy ban Châu Âu nơi mà CORP360 và Khách Hàng của CORP360 đã có văn bản cho phép rõ ràng căn cứ theo điều 5.4 bên trên, trước khi thực hiện truyền, Nhà Cung Cấp sẽ:
8.1 có các biện pháp an toàn phù hợp nhằm bảo vệ dữ liệu CORP360 và Khách Hàng của CORP360 đó theo mức độ hợp lý, có thể bao gồm:
8.1.1 ký kết với CORP360 và Khách Hàng của CORP360 hợp đồng mô hình của Liên minh Châu Âu nhằm xuất dữ liệu cá nhân cho một đơn vị xử lý dữ liệu hay đơn vị kiểm soát dữ liệu nằm ngoài EEA theo hình thức CORP360 hay Khách Hàng của CORP360 yêu cầu, hợp đồng mô hình này có thể sửa đổi tùy từng thời điểm; hoặc
8.1.2 đảm bảo rằng việc xuất dữ liệu cá nhân đều tuân thủ các quy định thông lệ hay các cơ chế khác, chẳng hạn như Quy định bảo vệ quyền riêng tư Hoa Kỳ (US Privacy Shield), vốn cung cấp một cấp độ bảo mật thỏa đáng và đã được phê duyệt hay thông qua bởi Ủy ban Châu Âu cho mục đích đó; và
8.2 có các quyền về dữ liệu mang tính thi hành và các biện pháp khắc phục pháp lý hiệu quả cho các vấn đề dữ liệu theo yêu cầu của Pháp Luật Bảo Vệ Dữ Liệu.
9. Nhằm mục đích nêu tại các điều 5.4 và 8, CORP360 và Khách Hàng của CORP360 đã cho phép chỉ định [tên Nhà Cung Cấp] làm một đơn vị xử lý phụ.
10. Nhà Cung Cấp sẽ lập tức thông báo cho CORP360 và Khách Hàng của CORP360 nếu nhận được bất kỳ:
10.1 phàn nàn, thông báo hay thư từ liên lạc nào liên quan trực tiếp hay gián tiếp đến việc xử lý dữ liệu cá nhân theo Hợp đồng hoặc đến tình hình tuân thủ của mỗi bên với Pháp Luật Bảo Vệ Dữ Liệu, đồng thời hợp tác toàn diện với CORP360 và Khách Hàng của CORP360 liên quan đến bất kỳ phàn nàn, thông báo hay thư từ liên lạc nào; và
10.2 bất kỳ yêu cầu hay sự phản đối nào từ một chủ thể dữ liệu liên quan đến bất kỳ dữ liệu cá nhân nào căn cứ theo Pháp Luật Bảo Vệ Dữ Liệu (bao gồm yêu cầu truy cập dữ liệu cá nhân; hiệu chỉnh hay xóa bỏ dữ liệu cá nhân; hạn chế xử lý dữ liệu cá nhân và tính di chuyển của dữ liệu cá nhân), đồng thời Nhà Cung Cấp sẽ cung cấp mọi hỗ trợ như trên khi CORP360 và Khách Hàng của CORP360 có thể yêu cầu nhằm cho phép phản hồi lại các yêu cầu của chủ thể dữ liệu theo Pháp Luật Bảo Vệ Dữ Liệu, và không phản hồi lại một chủ thể dữ liệu liên quan đến bất kỳ yêu cầu hay sự chống đối nào khi chưa có văn bản cho phép trước từ CORP360 và Khách Hàng của CORP360.
11. Nhà Cung Cấp sẽ không tiết lộ hay cung cấp dữ liệu của CORP360 và Khách Hàng của CORP360 cho bất kỳ bên thứ ba nào, bao gồm bất kỳ nhà thầu phụ nào, hoặc cho phép bất kỳ nhà thầu phụ nào xử lý dữ liệu CORP360 và Khách Hàng của CORP360 trừ khi trong phạm vi mà nhà thầu phụ đó được phê duyệt một cách rõ ràng bởi CORP360 hay Khách Hàng của CORP360 bằng văn bản và sau đó chỉ nhằm phục vụ cho mục đích mà CORP360 hay khách hàng của CORP360 đã ủy quyền một cách rõ ràng, và với điều kiện:
11.1 ký kết một thỏa thuận văn bản với nhà thầu phụ có cam kết các nghĩa vụ thầu phụ tương đương với các nghĩa vụ bảo vệ dữ liệu áp dụng cho CORP360 theo Phụ lục 1này;
11.2 Nhà Cung Cấp thông báo cho CORP360 và Khách Hàng của CORP360 bất kỳ ý định thay đổi hay thay thế nào với bất kỳ nhà thầu phụ mà CORP360 và Khách Hàng của CORP360 có quyền phản đối;
11.3 Nhà Cung Cấp vẫn chịu trách nhiệm cho mọi hành động và sơ suất của các nhà thầu phụ, cũng như cho mọi hành động xử lý thực hiện bởi các nhà thầu phụ đó; và
11.4 việc xử lý của nhà thầu phụ đối với dữ liệu CORP360 và Khách Hàng của CORP360 sẽ lập tức chấm dứt khi chấm dứt hay hết hạn Hợp đồng.
PHỤ LỤC 2
Giao Thức Dữ Liệu
Tên Nhà Cung Cấp:
Ngày thỏa thuận:
Tên thỏa thuận:
Số tham chiếu:
1. Mục đích
Nhà Cung Cấp sẽ xử lý dữ liệu cá nhân chỉ trong phạm vi cần thiết để:
(a) host và cung cấp các dịch vụ máy tính khác nhau cho CORP360 và Khách Hàng của CORP360; và
(b) cung cấp hỗ trợ đột xuất cho CORP360 và Khách Hàng của CORP360 về truy cập và sử dụng bất kỳ dữ liệu cá nhân nào của CORP360 và Khách Hàng của CORP360.
2. Các loại dữ liệu cá nhân được xử lý bởi Nhà Cung Cấp
Dữ liệu cá nhân có thể bao gồm dữ liệu cá nhân liên quan đến nhân viên của CORP360 và nhân viên của Khách Hàng của CORP360, các khách hàng hay các đơn vị cung cấp.
Các loại dữ liệu cá nhân được nắm giữ có thể bao gồm:
(a) dữ liệu cá nhân của các nhân viên, bao gồm dữ liệu nhạy cảm hay các loại dữ liệu đặc biệt, thông tin ngân hàng, thông tin liên lạc, thông tin sức khỏe và y tế, đánh giá hiệu suất và mọi dữ liệu cá nhân khác liên quan đến chức năng tuyển dụng;
(b) các tài liệu nhân dạng cho khách hàng, chẳng hạn như hộ chiếu và giấy phép lái xe, thông tin liên lạc, dữ liệu liên quan đến một khách hàng có liên quan đến một nội dung tư vấn pháp lý được cung cấp bởi CORP360 và Khách Hàng của CORP360 (vốn có thể bao gồm dữ liệu nhạy cảm và các loại dữ liệu đặc biệt); và
(c) thông tin liên lạc của các đơn vị cung cấp và khách hàng khác.
3. Thời gian xử lý
Nhà Cung Cấp sẽ chỉ xử lý dữ liệu cá nhân cho các mục đích mô tả nêu trên trong Thời hạn của Hợp đồng. Sau khi chấm dứt hay hết hạn Hợp đồng, Nhà Cung Cấp phải tuân thủ theo quy định chấm dứt; nếu không thực hiện sau một khoảng thời gian hợp lý và nếu không có bất kỳ yêu cầu nào khác được đưa ra theo Hợp đồng, thì Nhà Cung Cấp sẽ xóa bỏ vĩnh viễn Dữ liệu cá nhân mà không phải chịu trách nhiệm trước CORP360 và khách hàng của CORP360.
4. Các đơn vị cung cấp dịch vụ khác
Nhà Cung Cấp đã sử dụng các tiện ích hosting sau đây (với các links vào các điều khoản sử dụng của họ):
[Điều khoản của các đơn vị cung cấp Insert URL]
[Tên] [LINK TO TERMS]]
Sản phẩm
Tin tức
