Thỏa Thuận Xử Lý Dữ Liệu

Thỏa thuận xử lý dữ liệu Forward Email

Thuật Ngữ Chính

Thuật Ngữ Giá Trị
Thỏa Thuận DPA này bổ sung cho Điều Khoản Dịch Vụ
Bộ Xử Lý Phụ Được Phê Duyệt Cloudflare (Mỹ; nhà cung cấp DNS, mạng và bảo mật), DataPacket (Mỹ/Anh; nhà cung cấp hosting), Digital Ocean (Mỹ; nhà cung cấp hosting), GitHub (Mỹ; lưu trữ mã nguồn, CI/CD và quản lý dự án), Vultr (Mỹ; nhà cung cấp hosting), Stripe (Mỹ; bộ xử lý thanh toán), PayPal (Mỹ; bộ xử lý thanh toán)
Liên Hệ Bảo Mật Nhà Cung Cấp security@forwardemail.net
Chính Sách Bảo Mật Xem Chính Sách Bảo Mật của chúng tôi trên GitHub
Bang Áp Dụng Bang Delaware, Hoa Kỳ

Thay đổi đối với Thỏa thuận

Tài liệu này là bản phái sinh của Điều khoản Chuẩn DPA của Common Paper (Phiên bản 1.0) và các thay đổi sau đã được thực hiện:

  1. Luật điều chỉnh và Tòa án được chọn đã được đưa vào như một phần bên dưới với Bang điều chỉnh được xác định ở trên.
  2. Mối quan hệ Nhà cung cấp dịch vụ đã được đưa vào như một phần bên dưới.

1. Mối quan hệ giữa Bộ xử lý và Bộ xử lý phụ

1. Nhà cung cấp là Bộ xử lý

Trong các trường hợp Khách hàng là Người kiểm soát Dữ liệu Cá nhân của Khách hàng, Nhà cung cấp sẽ được coi là Bộ xử lý đang Xử lý Dữ liệu Cá nhân thay mặt cho Khách hàng.

2. Nhà cung cấp là Bộ xử lý phụ

Trong các trường hợp Khách hàng là Bộ xử lý Dữ liệu Cá nhân của Khách hàng, Nhà cung cấp sẽ được coi là Bộ xử lý phụ của Dữ liệu Cá nhân của Khách hàng.

2. Xử lý

1. Chi tiết Xử lý

Phụ lục I(B) trên Trang Bìa mô tả đối tượng, tính chất, mục đích và thời gian của việc Xử lý này, cũng như Danh mục Dữ liệu Cá nhân được thu thập và Danh mục Chủ thể Dữ liệu.

2. Hướng dẫn Xử lý

Khách hàng chỉ dẫn Nhà cung cấp Xử lý Dữ liệu Cá nhân của Khách hàng: (a) để cung cấp và duy trì Dịch vụ; (b) như có thể được chỉ định thêm thông qua việc Khách hàng sử dụng Dịch vụ; (c) như được ghi trong Thỏa thuận; và (d) như được ghi trong bất kỳ hướng dẫn bằng văn bản nào khác do Khách hàng đưa ra và được Nhà cung cấp xác nhận về việc Xử lý Dữ liệu Cá nhân của Khách hàng theo DPA này. Nhà cung cấp sẽ tuân thủ các hướng dẫn này trừ khi bị cấm bởi các Luật áp dụng. Nhà cung cấp sẽ ngay lập tức thông báo cho Khách hàng nếu không thể tuân theo các hướng dẫn Xử lý. Khách hàng đã và sẽ chỉ đưa ra các hướng dẫn phù hợp với các Luật áp dụng.

3. Xử lý bởi Nhà cung cấp

Nhà cung cấp sẽ chỉ Xử lý Dữ liệu Cá nhân của Khách hàng theo DPA này, bao gồm các chi tiết trên Trang Bìa. Nếu Nhà cung cấp cập nhật Dịch vụ để cập nhật các sản phẩm, tính năng hoặc chức năng hiện có hoặc mới, Nhà cung cấp có thể thay đổi Danh mục Chủ thể Dữ liệu, Danh mục Dữ liệu Cá nhân, Dữ liệu thuộc Danh mục Đặc biệt, Hạn chế hoặc Biện pháp bảo vệ Dữ liệu thuộc Danh mục Đặc biệt, Tần suất Chuyển giao, Bản chất và Mục đích của việc Xử lý, và Thời gian Xử lý khi cần thiết để phản ánh các cập nhật bằng cách thông báo cho Khách hàng về các cập nhật và thay đổi.

4. Xử lý bởi Khách hàng

Khi Khách hàng là Bộ xử lý và Nhà cung cấp là Bộ xử lý phụ, Khách hàng sẽ tuân thủ tất cả các Luật áp dụng liên quan đến việc Khách hàng Xử lý Dữ liệu Cá nhân của Khách hàng. Thỏa thuận của Khách hàng với Người kiểm soát của mình cũng sẽ yêu cầu Khách hàng tuân thủ tất cả các Luật áp dụng liên quan đến Khách hàng với tư cách là Bộ xử lý. Ngoài ra, Khách hàng sẽ tuân thủ các yêu cầu về Bộ xử lý phụ trong thỏa thuận của Khách hàng với Người kiểm soát của mình.

Khách hàng đã tuân thủ và sẽ tiếp tục tuân thủ tất cả các Luật Bảo vệ Dữ liệu áp dụng liên quan đến việc cung cấp Dữ liệu Cá nhân của Khách hàng cho Nhà cung cấp và/hoặc Dịch vụ, bao gồm việc thực hiện tất cả các công bố, thu thập tất cả các sự đồng ý, cung cấp lựa chọn đầy đủ và thực hiện các biện pháp bảo vệ liên quan theo yêu cầu của các Luật Bảo vệ Dữ liệu áp dụng.

6. Các bên xử lý phụ

a. Nhà cung cấp sẽ không cung cấp, chuyển giao hoặc bàn giao bất kỳ Dữ liệu Cá nhân Khách hàng nào cho bên xử lý phụ trừ khi Khách hàng đã phê duyệt bên xử lý phụ đó. Danh sách hiện tại các Bên xử lý phụ được phê duyệt bao gồm danh tính của các bên xử lý phụ, quốc gia nơi họ đặt trụ sở, và các nhiệm vụ Xử lý dự kiến của họ. Nhà cung cấp sẽ thông báo cho Khách hàng ít nhất 10 ngày làm việc trước và bằng văn bản về bất kỳ thay đổi dự kiến nào đối với Bên xử lý phụ được phê duyệt dù là bổ sung hay thay thế một bên xử lý phụ, điều này cho phép Khách hàng có đủ thời gian để phản đối các thay đổi trước khi Nhà cung cấp bắt đầu sử dụng bên xử lý phụ mới. Nhà cung cấp sẽ cung cấp cho Khách hàng các thông tin cần thiết để Khách hàng có thể thực hiện quyền phản đối thay đổi đối với Bên xử lý phụ được phê duyệt. Khách hàng có 30 ngày kể từ khi nhận thông báo về thay đổi đối với Bên xử lý phụ được phê duyệt để phản đối, nếu không Khách hàng sẽ được coi là chấp nhận các thay đổi. Nếu Khách hàng phản đối thay đổi trong vòng 30 ngày kể từ khi nhận thông báo, Khách hàngNhà cung cấp sẽ hợp tác thiện chí để giải quyết sự phản đối hoặc quan ngại của Khách hàng.

b. Khi thuê một bên xử lý phụ, Nhà cung cấp sẽ có thỏa thuận bằng văn bản với bên xử lý phụ đảm bảo bên xử lý phụ chỉ truy cập và sử dụng Dữ liệu Cá nhân Khách hàng (i) trong phạm vi cần thiết để thực hiện các nghĩa vụ được thuê lại, và (ii) phù hợp với các điều khoản của Thỏa thuận.

c. Nếu GDPR áp dụng cho việc Xử lý Dữ liệu Cá nhân Khách hàng, (i) các nghĩa vụ bảo vệ dữ liệu được mô tả trong DPA này (như được đề cập tại Điều 28(3) của GDPR, nếu có) cũng được áp đặt lên bên xử lý phụ, và (ii) thỏa thuận của Nhà cung cấp với bên xử lý phụ sẽ bao gồm các nghĩa vụ này, bao gồm chi tiết về cách Nhà cung cấp và bên xử lý phụ của mình sẽ phối hợp để phản hồi các yêu cầu hoặc thắc mắc về việc Xử lý Dữ liệu Cá nhân Khách hàng. Ngoài ra, Nhà cung cấp sẽ chia sẻ, theo yêu cầu của Khách hàng, bản sao các thỏa thuận (bao gồm cả các sửa đổi) với các bên xử lý phụ của mình. Trong phạm vi cần thiết để bảo vệ bí mật kinh doanh hoặc các thông tin mật khác, bao gồm dữ liệu cá nhân, Nhà cung cấp có thể gạch bỏ nội dung thỏa thuận với bên xử lý phụ trước khi chia sẻ bản sao.

d. Nhà cung cấp vẫn chịu trách nhiệm hoàn toàn đối với tất cả các nghĩa vụ được thuê lại cho các bên xử lý phụ của mình, bao gồm các hành vi và thiếu sót của các bên xử lý phụ trong việc Xử lý Dữ liệu Cá nhân Khách hàng. Nhà cung cấp sẽ thông báo cho Khách hàng về bất kỳ sự thất bại nào của các bên xử lý phụ trong việc thực hiện nghĩa vụ quan trọng liên quan đến Dữ liệu Cá nhân Khách hàng theo thỏa thuận giữa Nhà cung cấp và bên xử lý phụ.

3. Các chuyển giao bị hạn chế

1. Ủy quyền

Khách hàng đồng ý rằng Nhà cung cấp có thể chuyển giao Dữ liệu Cá nhân Khách hàng ra ngoài EEA, Vương quốc Anh, hoặc các khu vực địa lý liên quan khác khi cần thiết để cung cấp Dịch vụ. Nếu Nhà cung cấp chuyển giao Dữ liệu Cá nhân Khách hàng đến một khu vực mà Ủy ban Châu Âu hoặc cơ quan giám sát liên quan chưa ban hành quyết định về mức độ bảo vệ dữ liệu tương đương, Nhà cung cấp sẽ thực hiện các biện pháp bảo vệ thích hợp cho việc chuyển giao Dữ liệu Cá nhân Khách hàng đến khu vực đó phù hợp với các Luật Bảo vệ Dữ liệu Áp dụng.

2. Chuyển giao ngoài EEA

Khách hàngNhà cung cấp đồng ý rằng nếu GDPR bảo vệ việc chuyển giao Dữ liệu Cá nhân Khách hàng, việc chuyển giao là từ Khách hàng trong EEA đến Nhà cung cấp ngoài EEA, và việc chuyển giao không được điều chỉnh bởi quyết định mức độ bảo vệ tương đương do Ủy ban Châu Âu ban hành, thì bằng việc ký kết DPA này, Khách hàngNhà cung cấp được coi là đã ký các SCC EEA và Phụ lục của chúng, được nhập làm phần tham chiếu. Bất kỳ việc chuyển giao nào như vậy được thực hiện theo các SCC EEA, được hoàn thiện như sau: a. Module Hai (Bộ điều khiển đến Bộ xử lý) của EEA SCCs áp dụng khi Khách hàng là Bộ điều khiển và Nhà cung cấp đang Xử lý Dữ liệu Cá nhân của Khách hàng cho Khách hàng với tư cách là Bộ xử lý.

b. Module Ba (Bộ xử lý đến Bộ xử lý phụ) của EEA SCCs áp dụng khi Khách hàng là Bộ xử lý và Nhà cung cấp đang Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt cho Khách hàng với tư cách là Bộ xử lý phụ.

c. Đối với mỗi module, các điều sau đây áp dụng (khi có thể):

  1. Điều khoản kết nối tùy chọn trong Điều 7 không áp dụng;

  2. Trong Điều 9, Lựa chọn 2 (ủy quyền bằng văn bản chung) áp dụng, và thời gian tối thiểu để thông báo trước về thay đổi Bộ xử lý phụ là 10 ngày làm việc;

  3. Trong Điều 11, ngôn ngữ tùy chọn không áp dụng;

  4. Tất cả các dấu ngoặc vuông trong Điều 13 được loại bỏ;

  5. Trong Điều 17 (Lựa chọn 1), EEA SCCs sẽ được điều chỉnh bởi luật pháp của Quốc gia Thành viên Quản lý;

  6. Trong Điều 18(b), các tranh chấp sẽ được giải quyết tại tòa án của Quốc gia Thành viên Quản lý; và

  7. Trang Bìa của DPA này chứa thông tin yêu cầu trong Phụ lục I, Phụ lục II và Phụ lục III của EEA SCCs.

3. Chuyển giao ngoài Vương quốc Anh

Khách hàngNhà cung cấp đồng ý rằng nếu UK GDPR bảo vệ việc chuyển giao Dữ liệu Cá nhân của Khách hàng, việc chuyển giao này là từ Khách hàng trong Vương quốc Anh đến Nhà cung cấp ngoài Vương quốc Anh, và việc chuyển giao này không được điều chỉnh bởi quyết định đầy đủ do Bộ trưởng Bộ Ngoại giao Vương quốc Anh ban hành, thì bằng việc ký kết DPA này, Khách hàngNhà cung cấp được coi là đã ký Phụ lục UK và các Phụ lục của họ, được nhập bằng cách tham chiếu. Bất kỳ việc chuyển giao nào như vậy được thực hiện theo Phụ lục UK, được hoàn thành như sau:

a. Mục 3.2 của DPA này chứa thông tin yêu cầu trong Bảng 2 của Phụ lục UK.

b. Bảng 4 của Phụ lục UK được sửa đổi như sau: Không bên nào có thể chấm dứt Phụ lục UK như được quy định trong Mục 19 của Phụ lục UK; trong phạm vi ICO ban hành Phụ lục Được Phê duyệt sửa đổi theo Mục ‎18 của Phụ lục UK, các bên sẽ làm việc thiện chí để sửa đổi DPA này cho phù hợp.

c. Trang Bìa chứa thông tin yêu cầu bởi Phụ lục 1A, Phụ lục 1B, Phụ lục II và Phụ lục III của Phụ lục UK.

4. Các chuyển giao quốc tế khác

Đối với các chuyển giao Dữ liệu Cá nhân mà luật Thụy Sĩ (chứ không phải luật của bất kỳ quốc gia thành viên EEA hoặc Vương quốc Anh nào) áp dụng cho tính chất quốc tế của việc chuyển giao, các tham chiếu đến GDPR trong Điều 4 của EEA SCCs, trong phạm vi pháp lý yêu cầu, được sửa đổi để thay thế bằng Luật Bảo vệ Dữ liệu Liên bang Thụy Sĩ hoặc luật kế nhiệm của nó, và khái niệm cơ quan giám sát sẽ bao gồm Ủy viên Bảo vệ Dữ liệu và Thông tin Liên bang Thụy Sĩ.

4. Phản ứng sự cố bảo mật

  1. Khi nhận biết bất kỳ Sự cố Bảo mật nào, Nhà cung cấp sẽ: (a) thông báo cho Khách hàng mà không trì hoãn không cần thiết khi có thể, nhưng không muộn hơn 72 giờ sau khi nhận biết Sự cố Bảo mật; (b) cung cấp thông tin kịp thời về Sự cố Bảo mật khi biết hoặc khi được Khách hàng yêu cầu hợp lý; và (c) nhanh chóng thực hiện các bước hợp lý để ngăn chặn và điều tra Sự cố Bảo mật. Việc Nhà cung cấp thông báo hoặc phản ứng với Sự cố Bảo mật theo yêu cầu của DPA này sẽ không được hiểu là sự thừa nhận của Nhà cung cấp về bất kỳ lỗi hoặc trách nhiệm nào đối với Sự cố Bảo mật.

5. Kiểm toán & Báo cáo

1. Quyền kiểm toán

Nhà cung cấp sẽ cung cấp cho Khách hàng tất cả thông tin hợp lý cần thiết để chứng minh sự tuân thủ của mình với DPA này và Nhà cung cấp sẽ cho phép và hỗ trợ các cuộc kiểm toán, bao gồm cả kiểm tra bởi Khách hàng, để đánh giá sự tuân thủ của Nhà cung cấp với DPA này. Tuy nhiên, Nhà cung cấp có thể hạn chế quyền truy cập vào dữ liệu hoặc thông tin nếu việc truy cập của Khách hàng vào thông tin đó sẽ ảnh hưởng tiêu cực đến quyền sở hữu trí tuệ, nghĩa vụ bảo mật hoặc các nghĩa vụ khác theo Luật áp dụng của Nhà cung cấp. Khách hàng thừa nhận và đồng ý rằng họ chỉ thực hiện quyền kiểm toán theo DPA này và bất kỳ quyền kiểm toán nào được Luật Bảo vệ Dữ liệu Áp dụng cấp bằng cách chỉ đạo Nhà cung cấp tuân thủ các yêu cầu báo cáo và thẩm định dưới đây. Nhà cung cấp sẽ lưu giữ hồ sơ về sự tuân thủ DPA này trong 3 năm sau khi DPA kết thúc.

2. Báo Cáo Bảo Mật

Khách hàng thừa nhận rằng Nhà cung cấp thường xuyên được kiểm toán theo các tiêu chuẩn được định nghĩa trong Chính sách Bảo mật bởi các kiểm toán viên bên thứ ba độc lập. Theo yêu cầu bằng văn bản, Nhà cung cấp sẽ cung cấp cho Khách hàng, trên cơ sở bảo mật, một bản tóm tắt Báo cáo hiện tại của mình để Khách hàng có thể xác minh sự tuân thủ của Nhà cung cấp với các tiêu chuẩn được định nghĩa trong Chính sách Bảo mật.

3. Thẩm Định An Ninh

Ngoài Báo cáo, Nhà cung cấp sẽ phản hồi các yêu cầu thông tin hợp lý do Khách hàng đưa ra để xác nhận sự tuân thủ của Nhà cung cấp với DPA này, bao gồm phản hồi các bảng câu hỏi về an ninh thông tin, thẩm định và kiểm toán, hoặc bằng cách cung cấp thêm thông tin về chương trình an ninh thông tin của mình. Tất cả các yêu cầu này phải được thực hiện bằng văn bản và gửi đến Liên hệ An ninh Nhà cung cấp và chỉ được thực hiện một lần mỗi năm.

6. Phối Hợp & Hợp Tác

1. Phản Hồi Các Yêu Cầu

Nếu Nhà cung cấp nhận được bất kỳ yêu cầu hoặc thắc mắc nào từ bất kỳ ai khác về việc Xử lý Dữ liệu Cá nhân của Khách hàng, Nhà cung cấp sẽ thông báo cho Khách hàng về yêu cầu đó và Nhà cung cấp sẽ không phản hồi yêu cầu mà không có sự đồng ý trước của Khách hàng. Ví dụ về các loại yêu cầu và thắc mắc này bao gồm lệnh của cơ quan tư pháp, hành chính hoặc cơ quan quản lý về Dữ liệu Cá nhân của Khách hàng mà việc thông báo cho Khách hàng không bị cấm bởi Pháp luật Áp dụng, hoặc yêu cầu từ chủ thể dữ liệu. Nếu được phép bởi Pháp luật Áp dụng, Nhà cung cấp sẽ tuân theo các hướng dẫn hợp lý của Khách hàng về các yêu cầu này, bao gồm cung cấp các cập nhật trạng thái và các thông tin khác được Khách hàng yêu cầu hợp lý. Nếu một chủ thể dữ liệu đưa ra yêu cầu hợp lệ theo các Luật Bảo vệ Dữ liệu Áp dụng để xóa hoặc từ chối việc Khách hàng cung cấp Dữ liệu Cá nhân cho Nhà cung cấp, Nhà cung cấp sẽ hỗ trợ Khách hàng thực hiện yêu cầu theo Luật Bảo vệ Dữ liệu Áp dụng. Nhà cung cấp sẽ hợp tác và cung cấp sự hỗ trợ hợp lý cho Khách hàng, với chi phí do Khách hàng chịu, trong bất kỳ phản hồi pháp lý hoặc hành động thủ tục nào do Khách hàng thực hiện để đáp lại yêu cầu của bên thứ ba về việc Nhà cung cấp Xử lý Dữ liệu Cá nhân của Khách hàng theo DPA này.

2. DPIAs và DTIAs

Nếu được yêu cầu bởi các Luật Bảo vệ Dữ liệu Áp dụng, Nhà cung cấp sẽ hỗ trợ hợp lý Khách hàng trong việc tiến hành bất kỳ đánh giá tác động bảo vệ dữ liệu hoặc đánh giá tác động chuyển giao dữ liệu nào được yêu cầu và tham vấn với các cơ quan bảo vệ dữ liệu liên quan, xem xét đến tính chất của việc Xử lý và Dữ liệu Cá nhân của Khách hàng.

7. Xóa Dữ liệu Cá nhân của Khách hàng

1. Xóa bởi Khách hàng

Nhà cung cấp sẽ cho phép Khách hàng xóa Dữ liệu Cá nhân của Khách hàng theo cách phù hợp với chức năng của Dịch vụ. Nhà cung cấp sẽ tuân thủ chỉ dẫn này càng sớm càng tốt trong khả năng thực tế trừ khi việc lưu trữ thêm Dữ liệu Cá nhân của Khách hàng được yêu cầu bởi Pháp luật Áp dụng.

2. Xóa khi Hết hạn DPA

a. Sau khi DPA hết hạn, Nhà cung cấp sẽ trả lại hoặc xóa Dữ liệu Cá nhân của Khách hàng theo chỉ dẫn của Khách hàng trừ khi việc lưu trữ thêm Dữ liệu Cá nhân của Khách hàng được yêu cầu hoặc cho phép bởi Pháp luật Áp dụng. Nếu việc trả lại hoặc hủy bỏ là không khả thi hoặc bị cấm bởi Pháp luật Áp dụng, Nhà cung cấp sẽ nỗ lực hợp lý để ngăn chặn việc Xử lý thêm Dữ liệu Cá nhân của Khách hàng và sẽ tiếp tục bảo vệ Dữ liệu Cá nhân của Khách hàng còn lại trong quyền sở hữu, quản lý hoặc kiểm soát của mình. Ví dụ, Pháp luật Áp dụng có thể yêu cầu Nhà cung cấp tiếp tục lưu trữ hoặc Xử lý Dữ liệu Cá nhân của Khách hàng. b. Nếu Khách hàngNhà cung cấp đã nhập các EEA SCCs hoặc Phụ lục Vương quốc Anh như một phần của DPA này, Nhà cung cấp chỉ cung cấp cho Khách hàng chứng nhận xóa Dữ liệu Cá nhân được mô tả trong Điều 8.1(d) và Điều 8.5 của EEA SCCs nếu Khách hàng yêu cầu.

8. Giới hạn Trách nhiệm

1. Giới hạn Trách nhiệm và Miễn trừ Thiệt hại

Trong phạm vi tối đa được phép theo Luật Bảo vệ Dữ liệu Áp dụng, tổng trách nhiệm tích lũy của mỗi bên đối với bên kia phát sinh từ hoặc liên quan đến DPA này sẽ chịu sự miễn trừ, loại trừ và giới hạn trách nhiệm được nêu trong Thỏa thuận.

Bất kỳ khiếu nại nào đối với Nhà cung cấp hoặc các Công ty liên kết của họ phát sinh từ hoặc liên quan đến DPA này chỉ có thể được đưa ra bởi thực thể Khách hàng là bên trong Thỏa thuận.

3. Ngoại lệ

  1. DPA này không giới hạn bất kỳ trách nhiệm nào đối với cá nhân về quyền bảo vệ dữ liệu của cá nhân đó theo Luật Bảo vệ Dữ liệu Áp dụng. Ngoài ra, DPA này không giới hạn bất kỳ trách nhiệm nào giữa các bên đối với các vi phạm EEA SCCs hoặc Phụ lục Vương quốc Anh.

9. Mâu thuẫn giữa các Tài liệu

  1. DPA này là một phần của và bổ sung cho Thỏa thuận. Nếu có bất kỳ sự không nhất quán nào giữa DPA này, Thỏa thuận, hoặc bất kỳ phần nào của chúng, phần được liệt kê trước sẽ được ưu tiên hơn phần được liệt kê sau cho sự không nhất quán đó: (1) các EEA SCCs hoặc Phụ lục Vương quốc Anh, (2) DPA này, và sau đó (3) Thỏa thuận.

10. Thời hạn Thỏa thuận

DPA này sẽ bắt đầu khi Nhà cung cấpKhách hàng đồng ý với Trang Bìa cho DPA và ký hoặc chấp nhận điện tử Thỏa thuận và sẽ tiếp tục cho đến khi Thỏa thuận hết hạn hoặc bị chấm dứt. Tuy nhiên, Nhà cung cấpKhách hàng sẽ vẫn chịu các nghĩa vụ trong DPA này và Luật Bảo vệ Dữ liệu Áp dụng cho đến khi Khách hàng ngừng chuyển Dữ liệu Cá nhân của Khách hàng cho Nhà cung cấpNhà cung cấp ngừng Xử lý Dữ liệu Cá nhân của Khách hàng.

11. Luật Áp dụng và Tòa án Được Chọn

Bất chấp các điều khoản về luật áp dụng hoặc tương tự trong Thỏa thuận, tất cả các diễn giải và tranh chấp về DPA này sẽ được điều chỉnh bởi luật của Bang Quản lý mà không xét đến các quy định về xung đột luật pháp của nó. Ngoài ra, và bất chấp các điều khoản về lựa chọn diễn đàn, thẩm quyền hoặc tương tự trong Thỏa thuận, các bên đồng ý đưa bất kỳ vụ kiện, hành động hoặc thủ tục pháp lý nào về DPA này đến, và mỗi bên không thể rút lại việc chấp nhận thẩm quyền độc quyền của, các tòa án của Bang Quản lý.

12. Mối quan hệ Nhà cung cấp Dịch vụ

Trong phạm vi Đạo luật Bảo mật Người tiêu dùng California, Cal. Civ. Code § 1798.100 et seq ("CCPA") áp dụng, các bên thừa nhận và đồng ý rằng Nhà cung cấp là nhà cung cấp dịch vụ và đang nhận Dữ liệu Cá nhân từ Khách hàng để cung cấp Dịch vụ như đã thỏa thuận trong Thỏa thuận, điều này cấu thành mục đích kinh doanh. Nhà cung cấp sẽ không bán bất kỳ Dữ liệu Cá nhân nào do Khách hàng cung cấp theo Thỏa thuận. Ngoài ra, Nhà cung cấp sẽ không giữ lại, sử dụng hoặc tiết lộ bất kỳ Dữ liệu Cá nhân nào do Khách hàng cung cấp theo Thỏa thuận ngoại trừ khi cần thiết để cung cấp Dịch vụ cho Khách hàng, như đã nêu trong Thỏa thuận, hoặc như được phép bởi Luật Bảo vệ Dữ liệu Áp dụng. Nhà cung cấp xác nhận rằng họ hiểu các hạn chế của đoạn này.

13. Định nghĩa

  1. "Pháp luật áp dụng" có nghĩa là các luật, quy tắc, quy định, lệnh tòa án và các yêu cầu ràng buộc khác của cơ quan chính phủ có thẩm quyền liên quan áp dụng cho hoặc điều chỉnh một bên.

  2. "Luật Bảo vệ Dữ liệu Áp dụng" có nghĩa là các Pháp luật Áp dụng điều chỉnh cách Dịch vụ có thể xử lý hoặc sử dụng thông tin cá nhân, dữ liệu cá nhân, thông tin nhận dạng cá nhân hoặc thuật ngữ tương tự khác của một cá nhân.

  3. "Bên kiểm soát" sẽ có ý nghĩa được quy định trong Luật Bảo vệ Dữ liệu Áp dụng cho công ty xác định mục đích và phạm vi Xử lý Dữ liệu Cá nhân.

  4. "Trang Bìa" có nghĩa là tài liệu được các bên ký hoặc chấp nhận điện tử, bao gồm các Điều khoản Chuẩn DPA này và xác định Nhà cung cấp, Khách hàng, cùng chủ đề và chi tiết của việc xử lý dữ liệu.

  5. "Dữ liệu Cá nhân của Khách hàng" có nghĩa là Dữ liệu Cá nhân mà Khách hàng tải lên hoặc cung cấp cho Nhà cung cấp như một phần của Dịch vụ và được điều chỉnh bởi DPA này.

  6. "DPA" có nghĩa là các Điều khoản Chuẩn DPA này, Trang Bìa giữa Nhà cung cấpKhách hàng, cùng các chính sách và tài liệu được tham chiếu hoặc đính kèm trong Trang Bìa.

  7. "EEA SCCs" có nghĩa là các điều khoản hợp đồng chuẩn được đính kèm theo Quyết định Thi hành 2021/914 ngày 4 tháng 6 năm 2021 của Ủy ban Châu Âu về các điều khoản hợp đồng chuẩn cho việc chuyển dữ liệu cá nhân sang các nước thứ ba theo Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng Châu Âu.

  8. "Khu vực Kinh tế Châu Âu" hoặc "EEA" có nghĩa là các quốc gia thành viên của Liên minh Châu Âu, Na Uy, Iceland và Liechtenstein.

  9. "GDPR" có nghĩa là Quy định Liên minh Châu Âu 2016/679 được thực thi bởi luật địa phương tại quốc gia thành viên EEA liên quan.

  10. "Dữ liệu Cá nhân" sẽ có ý nghĩa được quy định trong Luật Bảo vệ Dữ liệu Áp dụng cho thông tin cá nhân, dữ liệu cá nhân hoặc thuật ngữ tương tự khác.

  11. "Xử lý" hoặc "Xử lý Dữ liệu" sẽ có ý nghĩa được quy định trong Luật Bảo vệ Dữ liệu Áp dụng cho bất kỳ việc sử dụng nào, hoặc thực hiện thao tác máy tính nào trên Dữ liệu Cá nhân, bao gồm cả bằng phương pháp tự động.

  12. "Bên xử lý" sẽ có ý nghĩa được quy định trong Luật Bảo vệ Dữ liệu Áp dụng cho công ty xử lý Dữ liệu Cá nhân thay mặt cho Bên kiểm soát.

  13. "Báo cáo" có nghĩa là các báo cáo kiểm toán được chuẩn bị bởi công ty khác theo các tiêu chuẩn được định nghĩa trong Chính sách Bảo mật thay mặt cho Nhà cung cấp.

  14. "Chuyển giao bị hạn chế" có nghĩa là (a) khi GDPR áp dụng, việc chuyển dữ liệu cá nhân từ EEA sang một quốc gia ngoài EEA không thuộc phạm vi quyết định về sự đầy đủ của Ủy ban Châu Âu; và (b) khi UK GDPR áp dụng, việc chuyển dữ liệu cá nhân từ Vương quốc Anh sang bất kỳ quốc gia nào khác không thuộc phạm vi các quy định về sự đầy đủ được ban hành theo Mục 17A của Đạo luật Bảo vệ Dữ liệu Vương quốc Anh 2018.

  15. "Sự cố Bảo mật" có nghĩa là Vi phạm Dữ liệu Cá nhân như được định nghĩa trong Điều 4 của GDPR.

  16. "Dịch vụ" có nghĩa là sản phẩm và/hoặc dịch vụ được mô tả trong Thỏa thuận.

  17. "Dữ liệu thuộc Danh mục Đặc biệt" sẽ có ý nghĩa được quy định trong Điều 9 của GDPR.

  18. "Bên xử lý phụ" sẽ có ý nghĩa được quy định trong Luật Bảo vệ Dữ liệu Áp dụng cho công ty mà với sự chấp thuận và đồng ý của Bên kiểm soát, hỗ trợ Bên xử lý trong việc Xử lý Dữ liệu Cá nhân thay mặt cho Bên kiểm soát.

  19. "UK GDPR" có nghĩa là Quy định Liên minh Châu Âu 2016/679 được thực thi bởi mục 3 của Đạo luật Rút khỏi Liên minh Châu Âu (Withdrawal) của Vương quốc Anh năm 2018 tại Vương quốc Anh.

  20. "Phụ lục UK" có nghĩa là phụ lục chuyển giao dữ liệu quốc tế cho EEA SCCs do Ủy viên Thông tin ban hành cho các Bên thực hiện Chuyển giao bị hạn chế theo S119A(1) Đạo luật Bảo vệ Dữ liệu 2018.

Credits

Tài liệu này là bản phái sinh của Common Paper DPA Standard Terms (Phiên bản 1.0) và được cấp phép theo CC BY 4.0.