Thỏa Thuận Xử Lý Dữ Liệu này (“Thỏa Thuận“) là một phần của Hợp Đồng Dịch Vụ (“Hợp Đồng Chính“) giữa TeleRetro (công ty "Company") và khách hàng TeleRetro được xác định trên tài liệu đặt hàng áp dụng của TeleRetro (bên "Processor") (gọi chung là "Các Bên").
XÉT RẰNG
(A) Công ty hoạt động như một bên Kiểm Soát Dữ Liệu.
(B) Công ty muốn thuê ngoài một số Dịch Vụ, bao gồm việc xử lý dữ liệu cá nhân, cho Bên Xử Lý Dữ Liệu.
(C) Các Bên muốn thực hiện một thỏa thuận xử lý dữ liệu tuân thủ các yêu cầu của khung pháp lý hiện tại liên quan đến việc xử lý dữ liệu và quy định (EU) 2016/679 của Nghị Viện Châu Âu và Hội đồng vào ngày 27 tháng 4 năm 2016 về bảo vệ các cá nhân liên quan đến việc xử lý dữ liệu cá nhân và việc di chuyển tự do các dữ liệu đó, đồng thời hủy bỏ chỉ thị 95/46/EC (Quy định Bảo vệ Dữ liệu Chung).
(D) Các Bên muốn quy định các quyền và nghĩa vụ của họ.
ĐƯỢC THOẢ THUẬN NHƯ SAU:
1. Định nghĩa và Diễn giải
1.1 Trừ khi được định nghĩa khác ở đây, các thuật ngữ và cụm từ viết hoa sử dụng trong Thỏa Thuận này sẽ có nghĩa như sau:
1.1.1 “Thỏa Thuận” có nghĩa là Thỏa Thuận Xử Lý Dữ Liệu này và tất cả các Phụ Lục;
1.1.2 “Dữ Liệu Cá Nhân của Công ty” có nghĩa là bất kỳ Dữ Liệu Cá Nhân nào được Xử Lý bởi một Bên Xử Lý Hợp Đồng thay mặt cho Công ty theo hoặc liên quan đến Hợp Đồng Chính;
1.1.3 “Bên Xử Lý Hợp Đồng” có nghĩa là một Bên Xử Lý phụ;
1.1.4 “Luật Bảo vệ Dữ liệu” có nghĩa là Luật Bảo vệ Dữ liệu của EU và, ở mức độ áp dụng, luật bảo vệ dữ liệu hoặc quyền riêng tư của bất kỳ quốc gia nào khác;
1.1.5 “EEA” có nghĩa là Khu vực Kinh tế Châu Âu;
1.1.6 “Luật Bảo vệ Dữ liệu EU” có nghĩa là Chỉ thị EU 95/46/EC, được chuyển đổi vào luật nội địa của mỗi Quốc gia Thành viên và được sửa đổi, thay thế hoặc thay thế từng thời kỳ, bao gồm GDPR và các luật thực hiện hoặc bổ sung GDPR;
1.1.7 “GDPR” có nghĩa là Quy định Bảo vệ Dữ liệu Chung EU 2016/679;
1.1.8 “Chuyển Dữ liệu” có nghĩa là:
1.1.8.1 việc chuyển Dữ Liệu Cá Nhân của Công ty từ Công ty tới Bên Xử Lý Hợp Đồng; hoặc
1.1.8.2 việc chuyển tiếp Dữ Liệu Cá Nhân của Công ty từ Bên Xử Lý Hợp Đồng tới Bên Xử Lý phụ, hoặc giữa hai cơ sở của Bên Xử Lý Hợp Đồng, trong mỗi trường hợp, nơi việc chuyển này bị cấm bởi Luật Bảo vệ Dữ liệu (hoặc bởi các điều khoản của các thỏa thuận chuyển dữ liệu được thiết lập để giải quyết các hạn chế chuyển dữ liệu của Luật Bảo vệ Dữ liệu);
1.1.9 “Dịch Vụ” có nghĩa là các dịch vụ hồi cứu agile trực tuyến mà Công ty cung cấp.
1.1.10 “Subprocessor” có nghĩa là bất kỳ người nào được bổ nhiệm bởi hoặc thay mặt cho Bên Xử Lý Dữ Liệu để xử lý Dữ Liệu Cá Nhân thay mặt Công ty liên quan đến Thỏa Thuận.
1.2 Các thuật ngữ, “Uỷ ban”, “Bên Kiểm Soát”, “Chủ thể dữ liệu”, “Quốc gia Thành viên”, “Dữ Liệu Cá Nhân”, “Vi phạm Dữ Liệu Cá Nhân”, “Xử Lý” và “Cơ Quan Giám Sát” sẽ có cùng nghĩa như trong GDPR, và các thuật ngữ liên quan của chúng sẽ được giải thích tương tự.
2. Xử lý Dữ Liệu Cá Nhân của Công ty
2.1 Bên Xử Lý Dữ Liệu sẽ:
2.1.1 tuân thủ tất cả các Luật Bảo vệ Dữ liệu áp dụng trong việc Xử Lý Dữ Liệu Cá Nhân của Công ty; và
2.1.2 không Xử Lý Dữ Liệu Cá Nhân của Công ty ngoài các chỉ dẫn tài liệu liên quan của Công ty.
2.2 Công ty hướng dẫn Bên Xử Lý Dữ Liệu xử lý Dữ Liệu Cá Nhân của Công ty.
3. Nhân sự của Bên Xử Lý
Bên Xử Lý phải thực hiện các bước hợp lý để đảm bảo tính đáng tin cậy của bất kỳ nhân viên, đại lý hoặc nhà thầu nào của Bên Xử Lý Hợp Đồng có thể truy cập vào Dữ Liệu Cá Nhân của Công ty, đảm bảo rằng việc truy cập được giới hạn nghiêm ngặt cho những cá nhân cần biết / truy cập Dữ Liệu Cá Nhân của Công ty liên quan trong phạm vi yêu cầu nghiêm ngặt cho các mục đích của Hợp Đồng Chính, và tuân thủ Luật áp dụng trong ngữ cảnh của nhiệm vụ của cá nhân đó đối với Bên Xử Lý Hợp Đồng, đảm bảo rằng tất cả các cá nhân này đều phải chịu các nghĩa vụ bảo mật hoặc nghĩa vụ bảo mật chuyên nghiệp hay theo luật định.
4. Bảo mật
4.1 Xem xét trạng thái của công nghệ, chi phí triển khai và bản chất, phạm vi, bối cảnh và mục đích của Xử Lý cũng như rủi ro của mức độ nghiêm trọng và khả năng khác nhau đối với quyền và tự do của các cá nhân tự nhiên, Bên Xử Lý phải thực hiện các biện pháp kỹ thuật và tổ chức thích hợp liên quan đến Dữ Liệu Cá Nhân của Công ty để đảm bảo mức độ an ninh thích hợp cho rủi ro đó, bao gồm, nếu thích hợp, các biện pháp được đề cập trong Điều 32(1) của GDPR.
4.2 Trong việc đánh giá mức độ an ninh thích hợp, Bên Xử Lý phải xem xét kỹ các nguy cơ đã được đưa ra bởi Xử Lý, đặc biệt là từ việc Vi phạm Dữ Liệu Cá Nhân.
5. Xử lý phụ
5.1 Bên Xử Lý không được bổ nhiệm (hoặc tiết lộ bất kỳ Dữ Liệu Cá Nhân của Công ty nào) cho bất kỳ Bên Xử Lý phụ nào trừ khi được Công ty yêu cầu hoặc cho phép.
6. Quyền Chủ thể Dữ liệu
6.1 Xem xét bản chất của Xử Lý, Bên Xử Lý sẽ hỗ trợ Công ty bằng cách thực hiện các biện pháp kỹ thuật và tổ chức thích hợp, trong phạm vi có thể, để đáp ứng các nghĩa vụ của Công ty, theo yêu cầu hợp lý của Công ty, để đáp ứng các yêu cầu thực hiện quyền của Chủ thể Dữ liệu theo Luật Bảo vệ Dữ liệu.
6.2 Bên Xử Lý sẽ:
6.2.1 thông báo ngay cho Công ty nếu nhận được yêu cầu từ Chủ thể Dữ liệu theo bất kỳ Luật Bảo vệ Dữ liệu nào liên quan đến Dữ Liệu Cá Nhân của Công ty; và
6.2.2 đảm bảo rằng họ không trả lời yêu cầu đó ngoại trừ các chỉ dẫn tài liệu của Công ty hoặc khi được yêu cầu bởi Luật áp dụng mà Bên Xử Lý phải tuân theo, trong trường hợp đó, Bên Xử Lý nếu được phép theo Luật áp dụng sẽ thông báo cho Công ty về yêu cầu pháp lý đó trước khi Bên Xử Lý Hợp Đồng trả lời yêu cầu.
7. Vi Phạm Dữ Liệu Cá Nhân
7.1 Bên Xử Lý phải thông báo cho Công ty mà không chậm trễ không đáng có khi Bên Xử Lý biết về một Vi Phạm Dữ Liệu Cá Nhân ảnh hưởng đến Dữ Liệu Cá Nhân của Công ty, cung cấp cho Công ty đủ thông tin để cho phép Công ty đáp ứng bất kỳ nghĩa vụ nào phải báo cáo hoặc thông báo cho Chủ thể Dữ liệu về Vi Phạm Dữ Liệu Cá Nhân theo Luật Bảo vệ Dữ liệu.
7.2 Bên Xử Lý sẽ hợp tác với Công ty và thực hiện các bước hợp lý về thương mại theo chỉ đạo của Công ty để hỗ trợ điều tra, giảm thiểu và khắc phục từng Vi Phạm Dữ Liệu Cá Nhân như vậy.
8. Đánh giá Tác động Bảo vệ Dữ liệu và Tư vấn Trước
8.1 Bên Xử Lý sẽ cung cấp hỗ trợ hợp lý cho Công ty trong bất kỳ đánh giá tác động bảo vệ dữ liệu nào, và tư vấn trước với các Cơ quan Giám sát hoặc các cơ quan bảo vệ dữ liệu có thẩm quyền khác, mà Công ty cho là hợp lý theo yêu cầu bởi điều 35 hoặc 36 của GDPR hoặc các quy định tương đương của bất kỳ Luật Bảo vệ Dữ liệu nào khác, trong mỗi trường hợp chỉ liên quan đến Xử Lý Dữ Liệu Cá Nhân của Công ty bởi, và xét đến bản chất của Xử Lý và thông tin có sẵn cho, các Bên Xử Lý Hợp Đồng.
9. Xóa hoặc trả lại Dữ Liệu Cá Nhân của Công ty
9.1 Tùy thuộc vào phần này 9, Bên Xử Lý sẽ nhanh chóng và trong mọi trường hợp trong vòng 10 ngày làm việc kể từ ngày chấm dứt bất kỳ Dịch Vụ nào liên quan đến Xử Lý Dữ Liệu Cá Nhân của Công ty (ngày "Ngày Chấm Dứt Dịch Vụ"), xóa và tiến hành việc xóa tất cả các bản sao của những Dữ Liệu Cá Nhân của Công ty đó.
10. Quyền kiểm toán
10.1 Tùy thuộc vào phần này 10, Bên Xử Lý sẽ sẵn sàng cung cấp cho Công ty theo yêu cầu tất cả các thông tin cần thiết để chứng minh sự tuân thủ với Thỏa Thuận này, và sẽ cho phép và đóng góp cho các cuộc kiểm toán, bao gồm cả các cuộc kiểm tra, bởi Công ty hoặc kiểm toán viên được Công ty ủy quyền liên quan đến Xử Lý Dữ Liệu Cá Nhân của Công ty bởi các Bên Xử Lý Hợp Đồng.
10.2 Quyền thông tin và kiểm toán của Công ty chỉ phát sinh theo phần 10.1 tới mức mà Thỏa Thuận không cung cấp cho họ quyền thông tin và kiểm toán đáp ứng các yêu cầu liên quan của Luật Bảo vệ Dữ liệu.
11. Chuyển Dữ liệu
11.1 Bên Xử Lý không được chuyển giao hoặc ủy quyền việc chuyển giao Dữ liệu tới các quốc gia ngoài EU và/hoặc Khu vực Kinh tế Châu Âu (EEA) mà không có sự đồng ý bằng văn bản trước của Công ty. Nếu dữ liệu cá nhân được xử lý theo Thỏa Thuận này được chuyển từ một quốc gia trong Khu vực Kinh tế Châu Âu sang một quốc gia ngoài Khu vực Kinh tế Châu Âu, Các Bên sẽ đảm bảo rằng dữ liệu cá nhân được bảo vệ đầy đủ. Để đạt được điều này, Các Bên sẽ, trừ khi có thỏa thuận khác, dựa vào các điều khoản hợp đồng tiêu chuẩn của EU đã được phê duyệt cho việc chuyển giao dữ liệu cá nhân.
12. Các Điều khoản Chung
12.1 Bảo mật. Mỗi Bên phải giữ bí mật Thỏa Thuận này và thông tin mà họ nhận được về Bên kia và hoạt động của Bên kia liên quan đến Thỏa Thuận này (“Thông tin Bí mật”) và không được sử dụng hoặc tiết lộ Thông tin Bí mật đó mà không có sự đồng ý bằng văn bản trước của Bên kia, trừ khi: (a) yêu cầu tiết lộ theo pháp luật; (b) thông tin liên quan đã có sẵn công cộng.
12.2 Thông báo. Tất cả các thông báo và giao tiếp được đưa ra theo thỏa thuận này phải được thực hiện bằng văn bản và sẽ được giao trực tiếp, gửi qua bưu điện hoặc qua email đến địa chỉ hoặc địa chỉ email được ghi trong tiêu đề của thỏa thuận này hoặc tại địa chỉ khác theo thời gian thông báo bởi các Các Bên thay đổi địa chỉ.
13. Luật và Quyền Tài phán
13.1 Thỏa Thuận Xử Lý Dữ Liệu này được điều chỉnh và diễn giải theo luật và quyền tài phán như được liệt kê dưới đây:
Quốc gia hoặc khu vực | Luật lựa chọn | Quyền tài phán |
---|---|---|
Tất cả các quốc gia và khu vực khác nơi TeleRetro có mặt | Luật của Anh và Wales | Độc quyền |
Hoa Kỳ | Tiểu bang California, Hoa Kỳ | Độc quyền; Tòa án bang và liên bang của Bắc California, California |
13.2 Bất kỳ tranh chấp nào phát sinh liên quan đến Thỏa Thuận Xử Lý Dữ Liệu này, mà Các Bên không thể giải quyết thân thiện, sẽ được đưa ra trước tòa án có thẩm quyền độc quyền như được quy định trong bảng trên, phụ thuộc vào quốc gia hoặc khu vực của Khách hàng.