Thỏa Thuận Xử Lý Dữ Liệu

Thỏa Thuận Xử Lý Dữ Liệu này (“Thỏa Thuận”) là một phần của Điều Khoản và Điều Kiện (“Thỏa Thuận Chính”) giữa:

  • Khách Hàng (“Người Kiểm Soát Dữ Liệu”)
  • Textintel FZE (“Người Xử Lý Dữ Liệu”)

(Gọi chung là “Các Bên”).

1. Bối Cảnh

1.1 Khách Hàng đóng vai trò là Người Kiểm Soát Dữ Liệu và muốn thuê ngoài cho Người Xử Lý Dữ Liệu một số dịch vụ liên quan đến xử lý dữ liệu cá nhân.

1.2 Các Bên có ý định ký kết thỏa thuận xử lý dữ liệu tuân thủ các luật bảo vệ dữ liệu hiện hành, bao gồm:

  • Quy định (EU) 2016/679 của Nghị viện và Hội đồng Châu Âu ngày 27 tháng 4 năm 2016 về bảo vệ cá nhân liên quan đến xử lý dữ liệu cá nhân và tự do lưu chuyển dữ liệu đó (Quy định Chung về Bảo vệ Dữ liệu, GDPR).
  • Bất kỳ luật bảo vệ dữ liệu hoặc quyền riêng tư nào khác điều chỉnh việc xử lý dữ liệu cá nhân.

1.3 Thỏa Thuận này quy định quyền và nghĩa vụ của Các Bên liên quan đến bảo vệ dữ liệu và quyền riêng tư.

2. Định Nghĩa và Giải Thích

2.1 Trừ khi được định nghĩa khác, các thuật ngữ viết hoa trong Thỏa Thuận này có ý nghĩa như sau:

  • “Thỏa Thuận” – Thỏa Thuận Xử Lý Dữ Liệu này, bao gồm tất cả phụ lục và lịch trình.
  • “Dữ liệu Cá nhân của Khách Hàng” – Bất kỳ dữ liệu cá nhân nào được Người Xử Lý Dữ Liệu xử lý thay mặt Khách Hàng theo Thỏa Thuận Chính.
  • “Luật Bảo vệ Dữ liệu” – Tất cả các luật bảo mật và bảo vệ dữ liệu hiện hành, bao gồm GDPR và bất kỳ luật quốc gia nào bổ sung hoặc thực thi GDPR.
  • “Xử lý” – Bất kỳ hoạt động nào thực hiện trên dữ liệu cá nhân, như thu thập, lưu trữ, truyền tải hoặc xóa.
  • “Bên Xử Lý Phụ” – Bất kỳ bên thứ ba nào được phép bởi Người Xử Lý Dữ Liệu để xử lý dữ liệu cá nhân thay mặt Khách Hàng.

2.2 Các thuật ngữ không được định nghĩa trong Thỏa Thuận này sẽ có ý nghĩa theo GDPR.

3. Phạm Vi Xử Lý Dữ Liệu

3.1 Khách Hàng chỉ dẫn Người Xử Lý Dữ Liệu xử lý Dữ liệu Cá nhân của Khách Hàng nghiêm ngặt theo:

  • Hướng dẫn bằng văn bản của Khách Hàng.
  • Thỏa Thuận Chính và Thỏa Thuận này.
  • Luật Bảo vệ Dữ liệu hiện hành.

3.2 Người Xử Lý Dữ Liệu không được xử lý Dữ liệu Cá nhân của Khách Hàng cho bất kỳ mục đích nào khác ngoài những mục đích được nêu trong Thỏa Thuận này và Thỏa Thuận Chính.

4. Trách Nhiệm của Người Xử Lý Dữ Liệu

4.1 Người Xử Lý Dữ Liệu phải:

  • Đảm bảo tuân thủ Luật Bảo vệ Dữ liệu hiện hành.
  • Xử lý dữ liệu an toàn, theo các thực hành tốt nhất trong ngành.
  • Hạn chế quyền truy cập chỉ cho nhân sự được ủy quyền.
  • Đảm bảo mọi nhân sự xử lý Dữ liệu Cá nhân của Khách Hàng đều tuân thủ nghĩa vụ bảo mật.

5. Biện Pháp Bảo Mật

5.1 Người Xử Lý Dữ Liệu phải triển khai các biện pháp kỹ thuật và tổ chức phù hợp để bảo đảm an ninh cho Dữ liệu Cá nhân của Khách Hàng, xem xét:

  • Trình độ công nghệ bảo mật hiện đại.
  • Bản chất, phạm vi và bối cảnh của việc xử lý dữ liệu.
  • Các rủi ro tiềm ẩn, bao gồm quyền truy cập trái phép, vi phạm dữ liệu và mất mát.

5.2 Khi áp dụng, các biện pháp bảo mật bao gồm:

  • Mã hóa dữ liệu lúc truyền và lúc lưu trữ.
  • Kiểm soát truy cập và cơ chế xác thực.
  • Đánh giá rủi ro và kiểm tra bảo mật định kỳ.

6. Bên Xử Lý Phụ

6.1 Người Xử Lý Dữ Liệu không được thuê Bên Xử Lý Phụ nào khi chưa có sự chấp thuận bằng văn bản trước của Khách Hàng.

6.2 Khách Hàng công nhận và ủy quyền cho Người Xử Lý Dữ Liệu sử dụng các Bên Xử Lý Phụ được chấp thuận sau:

  • Amazon Web Services
  • Meta
  • Google
  • Amplitude
  • Firebase Analytics
  • Stripe

6.3 Người Xử Lý Dữ Liệu phải đảm bảo mọi Bên Xử Lý Phụ tuân thủ cùng các nghĩa vụ được quy định trong Thỏa Thuận này.

7. Quyền của Chủ Thể Dữ Liệu

7.1 Người Xử Lý Dữ Liệu sẽ hỗ trợ Khách Hàng thực hiện các nghĩa vụ liên quan đến Quyền của Chủ Thể Dữ Liệu, bao gồm:

  • Quyền truy cập dữ liệu cá nhân.
  • Quyền chỉnh sửa hoặc xóa dữ liệu không chính xác.
  • Yêu cầu quyền di chuyển dữ liệu.

7.2 Nếu nhận được yêu cầu từ Chủ Thể Dữ Liệu, Người Xử Lý Dữ Liệu sẽ:

  • Thông báo ngay cho Khách Hàng.
  • Không phản hồi nếu chưa được Khách Hàng ủy quyền.

8. Thông Báo Vi Phạm Dữ Liệu

8.1 Trong trường hợp vi phạm Dữ liệu Cá nhân, Người Xử Lý Dữ Liệu sẽ:

  • Thông báo Khách Hàng mà không chậm trễ vô lý.
  • Cung cấp mọi chi tiết cần thiết để Khách Hàng tuân thủ nghĩa vụ báo cáo pháp lý.
  • Thực hiện các biện pháp hợp lý để giảm thiểu và khắc phục vi phạm.

9. Chuyển Giao Dữ Liệu

9.1 Người Xử Lý Dữ Liệu sẽ không chuyển giao Dữ liệu Cá nhân của Khách Hàng ra ngoài EU/EEA, trừ khi:

  • Khách Hàng đã đồng ý trước bằng văn bản.
  • Đã có các biện pháp bảo vệ phù hợp như Điều Khoản Hợp Đồng Chuẩn (SCC).

10. Lưu Trữ và Xóa Dữ Liệu

10.1 Sau khi Thỏa Thuận Chính chấm dứt, Khách Hàng có thể yêu cầu:

  • Xóa toàn bộ Dữ liệu Cá nhân của Khách Hàng trong vòng 10 ngày làm việc.
  • Giấy chứng nhận xóa để xác nhận tuân thủ.

11. Quyền Kiểm Toán

11.1 Khách Hàng có quyền:

  • Yêu cầu thông tin để chứng minh tuân thủ.
  • Thực hiện kiểm toán và kiểm tra tại Người Xử Lý Dữ Liệu.

12. Bảo Mật Thông Tin

12.1 Mỗi Bên sẽ giữ bí mật mọi thông tin chia sẻ theo Thỏa Thuận này và không tiết lộ mà không có sự đồng ý bằng văn bản của Bên kia, trừ khi:

  • Luật pháp yêu cầu tiết lộ.
  • Thông tin đã được công khai.

13. Luật Áp Dụng và Thẩm Quyền

13.1 Thỏa Thuận này được điều chỉnh bởi luật của Dubai, Các Tiểu Vương quốc Ả Rập Thống nhất.

13.2 Mọi tranh chấp phát sinh từ Thỏa Thuận này sẽ được giải quyết tại tòa án Dubai.